IT-Grundschutz (nach BSI)

Der vom BSI entwickelte IT-Grundschutz ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

  • Die IT-Grundschutz-Kataloge enthalten Empfehlungen zu Organisation, Technik, Personal und Infrastruktur, um IT-Sicherheit im Unternehmen oder in der Behörde aufzubauen oder zu erhöhen.
  • Die IT-Grundschutz-Standards sind die BSI-Standards 100-1 bis 100-4. In ihnen enthalten sind Empfehlungen zu Methoden, Prozessen, Vorgehensweisen und Maßnahmen, um die IT-Sicherheit im Unternehmen oder in der Behörde umzusetzen.

IT-Grundschutz-Kataloge

Der IT-Grundschutz des BSI bietet einen bewährten Maßnahmenkatalog, mit dem Unternehmen und Behörden ihre IT-Systeme zuverlässig vor digitalen Angriffen schützen können. Die IT-Grundschutz-Kataloge beinhalten organisatorische, technische, personelle und infrastrukturelle Empfehlungen, die grundlegend für die Sicherheit aller Unternehmensdaten sind.

Schichtenmodell und Modellierung: Zwecks Umsetzung des IT-Grundschutz muss das betrachtete Unternehmen oder die betrachtete Behörde unter Zuhilfenahme der Bausteine des IT-Grundschutz nachgebildet werden. Hierfür bedarf es einer Strukturanalyse und Schutzbedarfsfeststellung. Bei der Erstellung des IT-Grundschutz hat das BSI die verschiedenen zu betrachtenden Sicherheitsaspekte 5 Schichten zugeordnet, die sich letztlich in den Bausteinen wiederspiegeln:

  • Schicht 1: Übergreifende Sicherheitsaspekte, Bausteine B1, beispielsweise IT-Sicherheitsmanagement, Organisation oder Schutz vor Schadprogramme.
  • Schicht 2: Infrastrukturelle Sicherheitsaspekte, Bausteine B2, beispielsweise Gebäude, Serverraum oder häuslicher Arbeitsplatz.
  • Schicht 3: Einzelne IT-Systeme des Unternehmens oder der Behörde, Bausteine B3, beispielsweise TK-Anlagen, Laptops und PCs.
  • Schicht 4: Vernetzungsaspekte, Bausteine B4, beispielsweise Netzmanagement, W-Lan, VoIP oder VPN.
  • Schicht 5: IT-Anwendungen, Bausteine B5, beispielsweise E-Mail, Webserver, Faxserver.

Ziel der Modellierung nach dem IT-Grundschutz ist es, für die Bausteine einer jeden Schicht zu entscheiden, ob und wie sie zur Nachbildung des betrachteten Unternehmens oder der betrachteten Behörde herangezogen werden können.

Rollenbeschreibungen: Im Maßnahmenkatalog des IT-Grundschutz werden nicht nur Maßnahmen, sondern auch die für die Umsetzung der Maßnahmen verantwortlichen Personen im Unternehmen oder in der Behörde genannt. In der Rollenbeschreibung der IT-Grundschutz-Kataloge finden sich nicht nur die Bezeichnungen einer Rolle (beispielsweise Administrator oder IT-Sicherheitsbeauftragter), sondern auch eine Beschreibung der Tätigkeit.

Glossar: Im Glossar der IT-Grundschutzkataloge werden wichtige Begriffe rund um die IT-Sicherheit und den IT-Grundschutz erläutert.

(1) Bausteine: Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert:

  • B 1: Übergreifende Aspekte der Informationssicherheit
  • B 2: Sicherheit der Infrastruktur
  • B 3: Sicherheit der IT-Systeme
  • B 4: Sicherheit im Netz
  • B 5: Sicherheit in Anwendungen

(2) Gefährdungskataloge: Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert:

  • G 0: Elementare Gefährdungen
  • G 1: Höhere Gewalt
  • G 2: Organisatorische Mängel
  • G 3: Menschliche Fehlhandlungen
  • G 4: Technisches Versagen
  • G 5: Vorsätzliche Handlungen

(3) Maßnahmenkataloge: Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Maßnahmenkataloge gruppiert:

  • M 1: Infrastruktur
  • M 2: Organisation
  • M 3: Personal
  • M 4: Hard- und Software
  • M 5: Kommunikation
  • M 6: Notfallvorsorge

Fazit zur Grundschutzmethodik des BSI: Ein Unternehmen oder eine Behörde wird in „Bausteinen“ nachgebildet (1). Die Bausteine zeigen an, welche Gefährdungen typischerweise vorliegen (2), und welche Maßnahmen zu ergreifen sind (3).

Hilfsmittel: Vom BSI sind Hilfsmittel den IT-Grundschutz-Katalogen hinzugefügt worden:

  • Checklisten und Formulare
  • Muster und Beispiele
  • Tools zur Unterstützung des IT-Grundschutzprozesses
  • Beispielprofile
  • Dokumentationen und Studien
  • Informationen externer Anwender
  • Archiv

IT-Grundschutz-Standards

Das BSI hat verschiedene IT-Grundschutz-Standards veröffentlicht. Darin enthalten sind Methoden, Prozesse und Verfahren sowie Vorgehensweisen und Maßnahmen bezüglich der Informationssicherheit in Unternehmen oder Behörden.

Die derzeit frei verfügbaren Standards sind folgende:

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit
  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  • BSI-Standard 100-4: Notfallmanagement

BSI-Standard 100-1

Der BSI-Standard 100-1 „Managementsysteme für Informationssicherheit“ beschreibt Schritt für Schritt, was ein erfolgreiches Informationssicherheitsmanagementsystem (ISMS) ausmacht. Er beinhaltet insbesondere ein Kapitel über die Erstellung und Umsetzung eines Sicherheitskonzepts.

BSI-Standard 100-2

Der BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise“ beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben werden kann. Durch diesen Standard werden u.a. die Anforderungen der ISO-Standards der 2700x-Reihe interpretiert.

BSI-Standard 100-3

Der BSI-Standard 100-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ erläutert, wie mit Hilfe der IT-Grundschutz-Kataloge des BSI eine vereinfachte Analyse von Risiken für IT-Systeme durchgeführt werden kann. Zielobjekte dieser Risikoanalyse sind solche, die einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit aufweisen, und für welche die IT-Grundschutzkataloge in Bausteinen, Gefährdungen und Maßnahmen nicht ausreichen.

BSI-Standard 100-4

Der BSI-Standard 100-4 „Notfallmanagement“ zeigt systematisch auf, wie ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen ist.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*