IT-Grundschutz/Kompendium

Aus Foxwiki

IT-Grundschutz-Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Struktur

Struktur des IT-Grundschutz-Kompendiums
  • modular
Die Bausteine des IT-Grundschutz-Kompendiums sind nach dem folgenden Schichtenmodell aufgebaut
Option Beschreibung
Prozess-Bausteine
ISMS: Sicherheitsmanagement
ORP: Organisatorischen und personellen Sicherheitsaspekte
CON: Konzepten und Vorgehensweisen
OPS: Operativer IT-Betrieb und IT-Betrieb durch Dritte
DER: Detektion und Reaktion auf Sicherheitsvorfälle
System-Bausteine
APP: Bausteine die Absicherung von Anwendungen und Diensten betreffend.
SYS: Bausteine zu den IT-Systemen eines Informationsverbundes.
NET: Bausteine zu Aspekten der Netzverbindung und Kommunikation.
INF: Bausteine zu infrastrukturellen Sicherheitsaspekten.
IND: Bausteine zu Sicherheitsaspekten industrieller IT.
IT-Grundschutz-Bausteine
  • besteht aus den IT-Grundschutz-Bausteinen
  • die in zehn thematische Schichten eingeordnet sind
  • jeweils unterschiedliche Aspekte betrachten.

Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug.

  • Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben.
  • Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.
Der große Vorteil, den Sie als Anwender des -Grundschutz-Kompendiums haben
  • Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen.
  • Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.
Anforderungen

Die Anforderungen in den Bausteine beschreiben, was für eine angemessene Sicherheit getan werden sollte.

Umsetzungshinweise

Wie dies erfolgen kann oder sollte, ist in ergänzenden Umsetzungshinweisen beschrieben, die das für die meisten Bausteine veröffentlicht.

IT-Grundschutz-Kataloge

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten, welche die schrittweise Einführung und Umsetzung eines ISMS erläutern.

  • Dazu sind beispielhaft Bausteine, Gefährdungen und Maßnahmen definiert.
  • Der IT-Grundschutz gilt als praxisnahe Ableitung von Methoden mit reduziertem Arbeitsaufwand.

Schichtenmodell

Die verschiedenen Grundschutz-Bausteine sind in ein Schichtenmodell gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):

Prozess-Bausteine

  • ISMS: Sicherheitsmanagement (ISMS.1 Sicherheitsmanagement)
  • ORP: Organisation und Personal (ORP.1 Organisation, ORP.2 Personal, ORP.3 Sensibilisierung und Schulung, ORP.4 Identitäts- und Berechtigungsmanagement, ORP.5 Compliance Management)
  • CON: Konzeption und Vorgehensweisen (CON.1 Kryptokonzept, CON.2 Datenschutz, CON.3 Datensicherungskonzept, CON.4 Auswahl und Einsatz von Standardsoftware, CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen, CON.6 Löschen und Vernichten, CON.7 Informationssicherheit auf Auslandsreisen)
  • OPS: Betrieb, aufgeteilt in die vier Teilschichten Eigener IT-Betrieb, Betrieb von Dritten, Betrieb für Dritte und Betriebliche Aspekte (OPS.1.1.2 Ordnungsgemäße IT-Administration, OPS.1.1.3 Patch- und Änderungsmanagement, OPS.1.1.4 Schutz vor Schadprogrammen, OPS.1.1.5 Protokollierung, OPS.2.1 Outsourcing für Kunden, OPS.2.4 Fernwartung)
  • DER: Detektion und Reaktion (DER.1 Detektion von sicherheitsrelevanten Ereignissen, DER.2.1 Behandlung von Sicherheitsvorfällen, DER2.2 Vorsorge für die IT-Forensik, DER.3.1 Audits und Revisionen, DER.4 Notfallmanagement)

System-Bausteine

  • APP: Anwendungen (APP.1.1 Office Produkte, APP.1.2 Webbrowser, APP.3.2 Webserver, APP.5.1 Allgemeine Groupware, APP.5.2 Microsoft Exchange und Outlook)
  • SYS: IT-Systeme (SYS.1.1 Allgemeiner Server, SYS.1.2.2 Windows Server 2012, SYS.1.5 Virtualisierung, SYS.2.1 Allgemeiner Client, SYS.2.3 Client unter Windows 10, SYS.3.1 Laptops, SYS 3.2.1 Allgemeine Smartphones und Tablets, SYS.3.4 Mobile Datenträger, SYS.4.4 Allgemeines IoT-Gerät)
  • IND: Industrielle IT (IND.1 Betriebs- und Steuerungstechnik, IND.2.1 Allgemeine ICS-Komponente, IND.2.3 Sensoren und Aktoren)
  • NET: Netze und Kommunikation (NET.1.1 Netzarchitektur und Design, NET.1.2 Netzmanagement, NET.2.1 WLAN-Betrieb, NET.2.2 WLAN-Nutzung, NET.3.1 Router und Switches, NET.3.2 Firewall)
  • : Infrastruktur (INF.1 Allgemeines Gebäude, INF.2 Rechenzentrum sowie Serverraum, INF.3 Elektrotechnische Verkabelung, INF.4 IT-Verkabelung, INF.7 Büroarbeitsplatz, INF.8 Häuslicher Arbeitsplatz)

Vorteile des Schichtenmodells

Die im Grundschutz-Kompendium vorgenommene Einteilung der Bausteine bietet eine Reihe von Vorteilen.

  • So wird durch die vorgenommene Aufteilung der verschiedenen Einzelaspekte der Informationssicherheit die Komplexität dieses Themas zweckmäßig reduziert und Redundanzen werden vermieden.
  • Dies erleichtert es auch, gezielt Einzelaspekte eines entwickelten Sicherheitskonzepts zu aktualisieren, ohne dass davon andere Teile des Konzepts beeinflusst werden.

Die einzelnen Schichten sind darüber hinaus so gewählt, dass Zuständigkeiten gebündelt sind.

  • So adressieren die Schichten und primär das Sicherheitsmanagement einer Institution, die Schicht die Haustechnik und die Schichten , und die für -Systeme, Netze und Anwendungen jeweils zuständigen Verantwortlichen, Administratoren und Betreiber.

Das -Grundschutz-Kompendium wird kontinuierlich aktualisiert und erweitert.

  • Dabei berücksichtigt das mit jährlich durchgeführten Befragungen die Wünsche der Anwender.
  • Wenn Sie regelmäßige aktuelle Informationen zum Grundschutz wünschen oder sich an Befragungen zu dessen Weiterentwicklung beteiligen möchten, können Sie sich beim für den Bezug des -Grundschutz-Newsletters registrieren lassen (zur Registrierung).
  • Für den fachlichen Austausch und die Information über Aktuelles zum Grundschutz haben Sie hierzu in einer eigenen Gruppe zum Grundschutz bei XING Gelegenheit.

Grundschutz-Bausteine

IT-Grundschutz/Kompendium/Baustein - Dokument des IT-Grundschutz-Kompendiums

Beschreibung

Umfang

Circa 10 Seiten

Gliederung
Inhalt Beschreibung
Einleitung
Zielsetzung und Abgrenzung
Gefährdungslage
Sicherheitsanforderungen

Einleitung

  • Anwendung
  • Elementarer Gefährdungen
  • Kurzen Beschreibung
  • Abgrenzung des behandelten Sachverhalts

Zielsetzung und Abgrenzung

Abgrenzung und Verweis des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug

Gefährdungslage

Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen

  • Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben

Sicherheitsanforderungen

Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind

  • Die Anforderungen beschreiben, was getan werden sollte

Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen

  • vorrangig zu erfüllende Basis-Anforderungen,
  • für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
  • Anforderungen für den erhöhten Schutzbedarf

Modalverben

Modalverben - beschreiben die Verbindlichkeit einer Anforderung

Beschreibung
MUSS und SOLL
Ausdruck Verbindlichkeit
MUSS, DARF NUR Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN Darf in keinem Fall getan werden
SOLLTE Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
Ausdruck Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL Anforderung liegt im Ermessen des Herstellers




Anhang

Siehe auch

Links

Weblinks
  1. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html

TMP