01790 BSI IT-Grundschutz
|
Der IT-Grundschutz ist die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführte und etablierte Vorgehensweise zum Aufbau und Betrieb eines ISMS sowie zur Erstellung von IT-Sicherheitskonzepten. Er wurde 2017 grundlegend modernisiert und basiert derzeit auf den drei BSI-Standards 200-1/2/3 und dem IT-Grundschutz-Kompendium, einer systematischen Sammlung von Mustersicherheitskonzepten für standardisierte IT-Komponenten und Einsatzfälle. Es werden die BSI-Standards vorgestellt und die praktische Anwendung des IT-Grundschutz-Kompendiums wird erläutert. Arbeitshilfen: von: |
1.1 Grundidee des IT-Grundschutzes
Standardsicherheitsniveau
Beim IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelt es sich weniger um einen dedizierten ISMS-Standard als vielmehr um eine praxisorientierte Methodik zum Aufbau eines ISMS und zur Erstellung und Umsetzung von IT-Sicherheitskonzepten. Die Grundidee besteht darin, durch organisatorische, personelle, infrastrukturelle und technische Standardsicherheitsmaßnahmen ein Standardsicherheitsniveau für die Informationsverarbeitung eines Unternehmens oder einer Behörde zu erreichen, das auch für sensiblere Bereiche ausbaufähig ist. [Anmerkung der Redaktion: Für Unternehmen, Behörden und sonstige Organisationen wird durchgängig der zusammenfassende Begriff „Institution” verwendet.]
Beim IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelt es sich weniger um einen dedizierten ISMS-Standard als vielmehr um eine praxisorientierte Methodik zum Aufbau eines ISMS und zur Erstellung und Umsetzung von IT-Sicherheitskonzepten. Die Grundidee besteht darin, durch organisatorische, personelle, infrastrukturelle und technische Standardsicherheitsmaßnahmen ein Standardsicherheitsniveau für die Informationsverarbeitung eines Unternehmens oder einer Behörde zu erreichen, das auch für sensiblere Bereiche ausbaufähig ist. [Anmerkung der Redaktion: Für Unternehmen, Behörden und sonstige Organisationen wird durchgängig der zusammenfassende Begriff „Institution” verwendet.]
Ausgangspunkt
Der IT-Grundschutz geht davon aus, dass
Der IT-Grundschutz geht davon aus, dass
| • | IT-Landschaften aus typischen Hardware- und Softwarekomponenten bestehen, |
| • | die einer Reihe von typischen Risiken ausgesetzt sind, |
| • | denen mit Standardsicherheitsmaßnahmen begegnet werden kann. |
Ziel
Mit der IT-Grundschutz-Methodik wird das Ziel verfolgt, Aufbau und Betrieb eines ISMS durch ein hohes Maß an Standardisierung und durch den Verzicht auf eine vollständige initiale geschäftsprozessbasierte Risikoanalyse zu vereinfachen.
Mit der IT-Grundschutz-Methodik wird das Ziel verfolgt, Aufbau und Betrieb eines ISMS durch ein hohes Maß an Standardisierung und durch den Verzicht auf eine vollständige initiale geschäftsprozessbasierte Risikoanalyse zu vereinfachen.
Baukastenprinzip
Die Standardisierung wird erreicht durch die Anwendung eines Baukastenprinzips: Einzelne Bausteine, die als themenspezifische Sammlungen zur Beschreibung der Gefährdungslage sowie organisatorischer und technischer Anforderungen anzusehen sind, thematisieren typische Abläufe von Geschäftsprozessen und Bereichen der Informationsverarbeitung, wie beispielsweise Client-Server-Netze oder Kommunikations- und Anwendungskomponenten. Damit kann ein Sicherheitskonzept übersichtlich und kompakt gehalten und die Verfolgung der Maßnahmenumsetzung auf einen Soll-Ist-Vergleich reduziert werden.
Die Standardisierung wird erreicht durch die Anwendung eines Baukastenprinzips: Einzelne Bausteine, die als themenspezifische Sammlungen zur Beschreibung der Gefährdungslage sowie organisatorischer und technischer Anforderungen anzusehen sind, thematisieren typische Abläufe von Geschäftsprozessen und Bereichen der Informationsverarbeitung, wie beispielsweise Client-Server-Netze oder Kommunikations- und Anwendungskomponenten. Damit kann ein Sicherheitskonzept übersichtlich und kompakt gehalten und die Verfolgung der Maßnahmenumsetzung auf einen Soll-Ist-Vergleich reduziert werden.
