IT-Grundschutz/Kompendium
IT-Grundschutz-Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit
Beschreibung
Sammlung von Dokumenten (Bausteine)
- IT-Grundschutz-Bausteine
- Aspekte der Informationssicherheit
- Typische Gefährdungen
- Typische Sicherheitsanforderungen
- Einführung eines Information Security Management Systems (ISMS)
- Schrittweise
- Praxisnah
- Reduzierter Aufwand
- Thematische Schichten
- Unterschiedliche Aspekte
- Gegenstand eines Bausteins
Übergeordnete Themen
- Informationssicherheitsmanagement
- Notfallmanagement
Spezielle technische Systeme
- Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- Mobile Systeme
- Industrielle Steuerungen
- Aktualisierung und Erweiterung
- Kontinuierlich
- Berücksichtigung von Anwenderwünschen
- Anpassung an die Entwicklung der zugrunde liegenden Standards
- Anpassung an die Gefährdungslage
Schichten
- Schichtenmodell der Grundschutz-Bausteine
- Komplexität reduzieren
- Redundanzen vermeiden
- Zuständigkeiten bündeln
- Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen
Kapitel
Kapitel | Beschreibung |
---|---|
Einführung |
|
Schichtenmodell und Modellierung | |
Rollen | |
Glossar | |
Elementare Gefährdungen | |
Bausteine |
Bausteine
Schichten
Schicht | Beschreibung |
---|---|
Prozesse | |
Systeme |
- Prozess-Bausteine
Kürzel | Titel |
---|---|
ISMS | Sicherheitsmanagement |
ORP | Organisation und Personal |
CON | Konzeption und Vorgehensweise |
OPS | Betrieb |
DER | Detektion und Reaktion |
- System-Bausteine
Kürzel | Titel |
---|---|
APP | Anwendungen |
SYS | IT-Systeme |
IND | Industrielle IT |
NET | Netze und Kommunikation |
INF | Infrastruktur |
Aufbau eines Bausteins
IT-Grundschutz-Baustein - Dokument des BSI-Grundschutz-Kompendiums
Beschreibung
- Umfang
Circa 10 Seiten
- Gliederung
Inhalt | Beschreibung |
---|---|
Einleitung | |
Zielsetzung und Abgrenzung | |
Gefährdungslage | |
Sicherheitsanforderungen |
Gliederung
- Einleitung
- Zielsetzung und Abgrenzung
- Gefährdungslage
- Sicherheitsanforderungen
Einleitung
- Anwendung
- Elementarer Gefährdungen
- Kurzen Beschreibung
- Abgrenzung des behandelten Sachverhalts
Zielsetzung und Abgrenzung
Abgrenzung und Verweis des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug
Gefährdungslage
Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen
- Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben
Sicherheitsanforderungen
Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind
- Die Anforderungen beschreiben, was getan werden sollte
Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen
- vorrangig zu erfüllende Basis-Anforderungen,
- für eine vollständige Umsetzung des Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
- Anforderungen für den erhöhten Schutzbedarf
- Modalverben
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
Ausdruck | Verbindlichkeit |
---|---|
MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
Ausdruck | Verbindlichkeit |
---|---|
MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
Schichten
IT-Grundschutz-Kompendium/Prozess-Bausteine - Konzepte und Vorgehensweisen
Beschreibung
Kürzel | Titel | Beschreibung |
---|---|---|
ISMS | Sicherheitsmanagement | |
ORP | Organisation und Personal | |
CON | Konzeption und Vorgehensweise | |
OPS | Betrieb | |
DER | Detektion und Reaktion |
ISMS
- Sicherheitsmanagement
Nummer | Titel |
---|---|
ISMS.1 | Sicherheitsmanagement |
ORP
- Organisation und Personal
Nummer | Titel |
---|---|
ORP.1 | Organisation |
ORP.2 | Personal |
ORP.3 | Sensibilisierung und Schulung zur Informationssicherheit |
ORP.4 | Identitäts- und Berechtigungsmanagement |
ORP.5 | Compliance Management (Anforderungsmanagement) |
CON
- Konzeption und Vorgehensweise
Nummer | Titel |
---|---|
CON.1 | Kryptokonzept |
CON.2 | Datenschutz |
CON.3 | Datensicherungskonzept |
CON.6 | Löschen und Vernichten |
CON.7 | Informationssicherheit auf Auslandsreisen |
CON.8 | Software-Entwicklung |
CON.9 | Informationsaustausch |
CON.10 | Entwicklung von Webanwendungen |
CON.11.1 | Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH |
OPS
- Betrieb
Nummer | Titel |
---|---|
OPS.1.1.1 | Allgemeiner Betrieb |
OPS.1.1.2 | Ordnungsgemäße IT-Administration |
OPS.1.1.3 | Patch- und Änderungsmanagement |
OPS.1.1.4 | Schutz vor Schadprogrammen |
OPS.1.1.5 | Protokollierung |
OPS.1.1.6 | Software-Tests und -Freigaben |
OPS.1.1.7 | Systemmanagement |
OPS.1.2.2 | Archivierung |
OPS.1.2.4 | Telearbeit |
OPS.1.2.5 | Fernwartung |
OPS.1.2.6 | NTP-Zeitsynchronisation |
OPS.2.2 | Cloud-Nutzung |
OPS.2.3 | Nutzung von Outsourcing |
OPS.3.2 | Anbieten von Outsourcing |
DER
- Detektion und Reaktion
Nummer | Titel |
---|---|
DER.1 | Detektion von sicherheitsrelevanten Ereignissen |
DER.2.1 | Behandlung von Sicherheitsvorfällen |
DER.2.2 | Vorsorge für die IT-Forensik |
DER.2.3 | Bereinigung weitreichender Sicherheitsvorfälle |
DER.3.1 | Audits und Revisionen |
DER.3.2 | Revision auf Basis des Leitfadens IT-Revision |
DER.4 | Notfallmanagement |
IT-Grundschutz-Kompendium - System-Bausteine
Beschreibung
Kürzel | Titel | Beschreibung |
---|---|---|
APP | Anwendungen | |
SYS | IT-Systeme | |
IND | Industrielle IT | |
NET | Netzwerke/Kommunikation | |
INF | Infrastruktur |
APP
- Anwendungen
Nummer | Titel |
---|---|
APP.1.1 | Office-Produkte |
APP.1.2 | Webbrowser |
APP.1.4 | Mobile Anwendung (Apps) |
APP.2.1 | Allgemeiner Verzeichnisdienst |
APP.2.2 | Active Directory Domain Services |
APP.2.3 | OpenLDAP |
APP.3.1 | Webanwendungen und Webservices |
APP.3.2 | Webserver |
APP.3.3 | Fileserver |
APP.3.4 | Samba |
APP.3.6 | DNS-Server |
APP.4.2 | SAP-System |
APP.4.3 | Relationale Datenbanksysteme |
APP.4.4 | Kubernetes |
APP.4.6 | ABAP-Programmierung |
APP.5.2 | Microsoft Exchange und Outlook |
APP.5.3 | Allgemeiner E-Mail-Client und -Server |
APP.5.4 | Unified Communications und Collaboration |
APP.6 | Allgemeine Software |
APP.7 | Entwicklung von Individualsoftware |
SYS
- IT-Systeme
Nummer | Titel |
---|---|
SYS.1.1 | Allgemeiner Server |
SYS.1.2.2 | Windows Server 2012 |
SYS.1.2.3 | Windows Server |
SYS.1.3 | Server unter Linux und Unix |
SYS.1.5 | Virtualisierung |
SYS.1.6 | Containerisierung |
SYS.1.7 | IBM-Z |
SYS.1.8 | Speicherlösungen |
SYS.1.9 | Terminalserver |
SYS.2.1 | Allgemeiner Client |
SYS.2.2.3 | Clients unter Windows |
SYS.2.3 | Clients unter Linux und Unix |
SYS.2.4 | Clients unter macOS |
SYS.2.5 | Client-Virtualisierung |
SYS.2.6 | Virtual Desktop Infrastructure |
SYS.3.1 | Laptops |
SYS.3.2.1 | Allgemeine Smartphones und Tablets |
SYS.3.2.2 | Mobile Device Management |
SYS.3.2.3 | iOS (for Enterprise) |
SYS.3.2.4 | Android |
SYS.3.3 | Mobiltelefon |
SYS.4.1 | Drucker, Kopierer und Multifunktionsgeräte |
SYS.4.3 | Eingebettete Systeme |
SYS.4.4 | Allgemeines IoT-Gerät |
SYS.4.5 | Wechseldatenträger |
IND
- Industrielle IT
Nummer | Titel |
---|---|
IND.1 | Prozessleit- und Automatisierungstechnik |
IND.2.1 | Allgemeine -Komponente |
IND.2.2 | Speicherprogrammierbare Steuerung |
IND.2.3 | Sensoren und Aktoren |
IND.2.4 | Maschine |
IND.2.7 | Safety Instrumented Systems |
IND.3.2 | Fernwartung im industriellen Umfeld |
NET
- Netze und Kommunikation
Nummer | Titel |
---|---|
NET.1.1 | Netzarchitektur und -design |
NET.1.2 | Netzmanagement |
NET.2.1 | WLAN-Betrieb |
NET.2.2 | WLAN-Nutzung |
NET.3.1 | Router und Switches |
NET.3.2 | Firewall |
NET.3.3 | VPN |
NET.3.4 | Network Access Control |
NET.4.1 | TK-Anlagen |
NET.4.2 | VoIP |
NET.4.3 | Faxgeräte und Faxserver |
INF
- Infrastruktur
Nummer | Titel |
---|---|
INF.1 | Allgemeines Gebäude |
INF.2 | Rechenzentrum sowie Serverraum |
INF.5 | Raum sowie Schrank für technische Infrastruktur |
INF.6 | Datenträgerarchiv |
INF.7 | Büroarbeitsplatz |
INF.8 | Häuslicher Arbeitsplatz |
INF.9 | Mobiler Arbeitsplatz |
INF.10 | Besprechungs-, Veranstaltungs- und Schulungsraum |
INF.11 | Allgemeines Fahrzeug |
INF.12 | Verkabelung |
INF.13 | Technisches Gebäudemanagement |
INF.14 | Gebäudeautomation |
Rollen
Rollen - Definitionen und Zuständigkeiten
Übersicht
Rolle | Aufgabe |
---|---|
Auditteamleitung | Leitung des Auditteams |
Auditteam | Fachlich Unterstützung der Auditteamleitung |
Bauleitung | Umsetzung von Baumaßnahmen |
Benutzende | Informationstechnische Systeme nutzen |
Bereichssicherheitsbeauftragte | Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen |
Beschaffungsstelle | Initiiert und überwacht Beschaffungen |
Brandschutzbeauftragte | Brandschutz |
Datenschutzbeauftragte | Gesetzeskonformen Umgang mit personenbezogenen Daten |
Compliance-Beauftragte | Vorgaben identifizieren und deren Einhaltung zu prüfen |
Entwickelnde | Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen |
Errichterfirma | Unternehmen, das Gewerke oder aber auch Gebäude errichtet |
Fachabteilung | Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat |
Fachverantwortliche | Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig |
Haustechnik | Infrastruktur in Gebäuden und Liegenschaften |
ICS-Informationssicherheitsbeauftragte | Sicherheit von ICS-Systemen |
Informationssicherheitsbeauftragte (ISB) |
Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben. |
ISMS Management-Team | |
Institution | Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet. |
Institutionsleitung | Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit. |
IS-Revisionsteam | Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen. |
IT-Betrieb | Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet.
Mitarbeitende Die Mitarbeitenden sind Teil einer Institution. |
Notfallbeauftragte | Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement.
zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig.
densereignis. |
OT-Betrieb (Operational Technology, OT) | Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig. |
OT-Leitung | Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise
die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen.
ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen |
Personalabteilung | |
Planende | Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst.
|
Risikomanager | Person, die alle Aufgaben des Risikomanagements wahrnimmt. |
Testende | Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen. |
Vorgesetzte | Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal |
Wartungspersonal | Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden.
|
Zentrale Verwaltung | Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt.
|