IT-Grundschutz/Profile

Aus Foxwiki

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Blick auf Beispielbausteine
Blick in Institutionen
Adaption als Schablone
Anwenderspezifische Empfehlungen
  • Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
  • Berücksichtigt Möglichkeiten und Risiken der Institution
  • Profile beziehen sich auf typische IT-Szenarien
  • Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI
Keine BSI-Vorgabe
  • Diskussion: Nachweis für Umsetzung (z. B. Testat)
  • Anerkennung ausgewählter Profile durch BSI
Was ist ein IT-Grundschutz-Profil?
Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Erstellung

Aufbau

Formale Aspekte

Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI

Management Summary
  • Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils
Aufbau (2/5)
  • Geltungsbereich
  • Zielgruppe
  • Angestrebter Schutzbedarf
  • Zugrundeliegende IT-Grundschutz-Vorgehensweise
  • ISO 27001-Kompatibilität
  • Rahmenbedingungen
  • Abgrenzung
  • Bestandteile des IT-Grundschutz-Profils
  • Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
  • Verweise auf andere IT-Grundschutz-Profile
Aufbau (3/5)
  • Referenzarchitektur
  • Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
  • Informationsverbund mit
  • Prozessen,
  • Infrastruktur
  • Netz-Komponenten
  • IT-Systemen
  • Anwendungen
  • Textuell und graphisch mit eindeutigen Bezeichnungen
  • Wenn möglich, Gruppenbildung
  • Umgang bei Abweichungen zur Referenzarchitektur
Aufbau (4/5)
  • Umzusetzende Anforderungen und Maßnahmen
  • Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand

Umsetzungsvorgabe möglich:

  • „Auf geeignete Weise“
  • „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
  • „Durch Umsetzung von [...]“

Auswahl der umzusetzenden Anforderungen eines Bausteins:

  • Verzicht auf (einzelne) Standardanforderungen
  • Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf

Zusätzliche Anforderungen

  • Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
  • Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
  • [...]
Aufbau (5/5)

Anwendungshinweise

  • Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept.

Risikobehandlung

  • Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.

Unterstützende Informationen

  • Hinweise, wo vertiefende Informationen zu finden sind

Anhang

  • Glossar, zusätzliche Bausteine etc.


Anhang

Siehe auch

Links

Weblinks