search

IT-Grundschutz

hashtag
hashtag Sicherheitsmanagement

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Massnahmen erfahrungsgemäss weder effektiv noch effizient. Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Massnahmen zielgerichtet gesteuert und überwacht werden. Ein solches Informationssicherheitsmanagementsystem (ISMS) besteht aus folgenden Komponenten:

  • Managementprinzipien Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen

  • Ressourcen und Mitarbeitern Umfasst die Steuerung des Einsatzes von Technik und Personal

  • Sicherheitsprozesse Beschreibung der Prozesse

Komponenten eines ISMS

hashtag
hashtag Strukturanalyse

Die Strukturanalyse nach BSI Grundschutz ist ein Verfahren, um die Objekte zu identifizieren und zu beschreiben, die in einem Informationsverbund für die Informationssicherheit relevant sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen.

Die Strukturanalyse gliedert sich in vier Teile:

1

hashtag
Erfassung von Geschäftsprozessen und Anwendungen

Erfassung der wichtigsten Aufgaben und Informationen des Informationsverbundes.

2

hashtag
Erstellung eines Netzplans

Erstellen eines Netzplans, der die Kommunikationsverbindungen zwischen den IT-Systemen und anderen Komponenten zeigt.

3

hashtag
Erhebung von IT-, ICS- und IoT-Systemen

Erhebung der Systeme, die im Informationsverbund in Betrieb sind oder deren Einsatz geplant wird.

4

hashtag
Erfassung betroffener Räume und Gebäude

Erfassung der räumlichen Gegebenheiten des Informationsverbundes.

Ziel der Strukturanalyse ist es, die erforderlichen Kenntnisse zusammenzustellen und aufzubereiten, um den Schutzbedarf der Objekte zu bestimmen und angemessene Schutzmassnahmen festzulegen. Die Strukturanalyse ist der erste Schritt des IT-Grundschutz-Vorgehensmodells, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde.

hashtag
hashtag Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung ist ein wichtiger Schritt im IT-Grundschutz-Vorgehensmodell, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Die Schutzbedarfsfeststellung hat das Ziel, den Schutzbedarf der Objekte zu bestimmen, die in einem Informationsverbund für die Informationssicherheit relevant sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen.

Die Schutzbedarfsfeststellung basiert auf der Strukturanalyse, die die Objekte identifiziert und beschreibt. Die Objekte werden in vier Typen unterteilt:

  • Geschäftsprozesse und Anwendungen

  • IT-, ICS- und IoT-Systeme

  • Räume

  • Kommunikationsverbindungen

Für jedes Objekt wird der Schutzbedarf in Bezug auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit ermittelt. Dabei werden typische Schadensszenarien betrachtet, die bei einer Beeinträchtigung der Grundwerte eintreten könnten.

Der Schutzbedarf wird in drei Kategorien eingeteilt:

  • normal

  • hoch

  • sehr hoch

Die Kategorien geben an, wie schwerwiegend die Folgen eines Schadens für den Informationsverbund oder die Organisation sind. Der Schutzbedarf kann sich auch auf andere Objekte vererben, wenn diese von dem betroffenen Objekt abhängig sind. Die Ergebnisse der Schutzbedarfsfeststellung werden dokumentiert und dienen als Grundlage für die Auswahl angemessener Sicherheitsmassnahmen.

hashtag
hashtag Modellierung

Die Modellierung nach BSI ist ein Verfahren, um die Sicherheitsanforderungen für einen Informationsverbund zu bestimmen und zu dokumentieren. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Die Modellierung basiert auf der Strukturanalyse, die die Objekte identifiziert und beschreibt, die für die Informationssicherheit relevant sind.

Die Modellierung besteht darin, die passenden IT-Grundschutz-Bausteine aus dem IT-Grundschutz-Kompendium auszuwählen und auf die Objekte anzuwenden. Die IT-Grundschutz-Bausteine beschreiben typische Sicherheitsmassnahmen für verschiedene Aspekte der Informationssicherheit, wie z.B. Organisation, Technik oder Infrastruktur. Die Bausteine sind in vier Schichten unterteilt: prozessorientiert, systemorientiert, netzorientiert und infrastrukturorientiert. Für jedes Objekt wird der Schutzbedarf in Bezug auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit ermittelt und entsprechend der passende Baustein ausgewählt.

Link zu BSI Bausteinearrow-up-rightarrow-up-right

Das Ergebnis der Modellierung ist ein IT-Grundschutz-Modell des Informationsverbundes, das die Sicherheitsanforderungen für alle Objekte enthält. Das Modell dient als Grundlage für die Bewertung der Sicherheit bestehender Systeme und Verfahren sowie für die Planung neuer Elemente. Die Modellierung wird geeignet dokumentiert und regelmässig überprüft und aktualisiert.

hashtag
hashtag IT-Grundschutz Check

Ein IT-Grundschutz-Check ist ein Verfahren, um zu überprüfen, ob die Sicherheitsanforderungen und -massnahmen für einen Informationsverbund angemessen umgesetzt sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Der IT-Grundschutz-Check basiert auf dem IT-Grundschutz-Kompendium, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wird.

Der IT-Grundschutz-Check besteht aus vier Schritten:

1

hashtag
Vorbereitung

In dieser Phase werden die Ziele, der Umfang und die Methoden des Checks festgelegt. Ausserdem werden die notwendigen Ressourcen und Dokumente beschafft.

2

hashtag
Durchführung

In dieser Phase werden die Sicherheitsanforderungen aus dem IT-Grundschutz-Modell mit den tatsächlich umgesetzten Sicherheitsmassnahmen verglichen. Dabei werden verschiedene Prüfmethoden wie Interviews, Begehungen oder Tests angewendet.

3

hashtag
Dokumentation

In dieser Phase werden die Ergebnisse des Checks in einem Bericht festgehalten. Der Bericht enthält eine Übersicht über den Erfüllungsgrad der Sicherheitsanforderungen, eine Bewertung der Sicherheitslage und gegebenenfalls Empfehlungen für Verbesserungsmassnahmen.

4

hashtag
Nachbereitung

In dieser Phase werden die Ergebnisse des Checks mit den relevanten Stakeholdern kommuniziert und die nächsten Schritte geplant.

Der IT-Grundschutz-Check ist ein effizientes Instrument, um das erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen. Er kann auch als Voraussetzung für eine Zertifizierung nach IT-Grundschutz dienen.

hashtag
hashtag Risikoanalyse

Eine Risikoanalyse nach BSI ist ein Verfahren, um die Sicherheitsgefährdungen und deren Auswirkungen für einen Informationsverbund zu untersuchen und zu bewerten. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen. Die Risikoanalyse nach BSI basiert auf dem BSI-Standard 200-3: Risikomanagement, der eine effiziente Methodik für die Risikoanalyse bietet.

Die Risikoanalyse nach BSI besteht aus folgenden Schritten:

1

hashtag
Festlegung des Analyseumfangs und der Analysemethode

2

hashtag
Identifikation der Zielobjekte und ihrer Schutzbedarfe

3

hashtag
Identifikation der Gefährdungen und ihrer Eintrittswahrscheinlichkeiten

4

hashtag
Bewertung der Risiken und ihrer Auswirkungen

5

hashtag
Entscheidung über die Risikobehandlung und die Massnahmenplanung

6

hashtag
Dokumentation und Kommunikation der Ergebnisse

Die Risikoanalyse nach BSI ist ein wichtiger Teil des IT-Grundschutz-Vorgehensmodells, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Das IT-Grundschutz-Vorgehensmodell beschreibt, wie Institutionen ein angemessenes Sicherheitsniveau für ihre Informationsverbünde erreichen können. Die Risikoanalyse nach BSI wird angewendet, wenn die Standard-Anforderungen des IT-Grundschutzes nicht ausreichen oder nicht passen, z.B. wenn ein Zielobjekt einen hohen oder sehr hohen Schutzbedarf hat oder wenn es keine geeigneten IT-Grundschutz-Bausteine gibt.

hashtag
hashtag Umsetzungsplanung

Die Umsetzungsplanung nach BSI ist ein Verfahren, um die Sicherheitsmassnahmen zu planen und zu priorisieren, die für einen Informationsverbund erforderlich sind. Ein Informationsverbund ist eine Zusammenfassung von IT-Systemen, Anwendungen, Informationen, Geschäftsprozessen und Räumlichkeiten, die einem gemeinsamen Zweck dienen 1arrow-up-rightarrow-up-right. Die Umsetzungsplanung basiert auf der Modellierung, die die Sicherheitsanforderungen für die Objekte des Informationsverbundes bestimmt 2arrow-up-rightarrow-up-right.

Die Umsetzungsplanung besteht aus folgenden Schritten 3arrow-up-rightarrow-up-right:

1

hashtag
Massnahmen konsolidieren

In diesem Schritt werden die Sicherheitsmassnahmen aus den IT-Grundschutz-Bausteinen und den Risikoanalysen zusammengefasst und nach Typ, Schicht und Schutzbedarf sortiert.

2

hashtag
Aufwände schätzen

Kosten, Zeitaufwand und Nutzen der Sicherheitsmassnahmen werden abgeschätzt und bewertet.

3

hashtag
Umsetzungsreihenfolge und Verantwortlichkeit bestimmen

Festlegung einer sinnvollen Reihenfolge für die Umsetzung, basierend auf Prioritäten, Abhängigkeiten und Ressourcen; Zuständigkeiten werden zugewiesen.

4

hashtag
Begleitende Massnahmen planen

Planung unterstützender Massnahmen wie Schulungen, Kommunikation oder Kontrollen.

Die Umsetzungsplanung dient dazu, die Sicherheitslücken im Informationsverbund wirksam und effizient zu schliessen. Sie sollte geeignet dokumentiert und regelmässig überprüft und aktualisiert werden.

hashtag
hashtag Aufrechterhaltung und Verbesserung

Das ist ein wichtiges Thema, denn Informationssicherheit ist kein statischer Zustand, sondern ein dynamischer Prozess, der ständig an neue Herausforderungen angepasst werden muss. Hier einige Kernpunkte:

  • Die Aufrechterhaltung und Verbesserung der Informationssicherheit ist eine Phase des Sicherheitsprozesses nach IT-Grundschutz. In dieser Phase werden die Sicherheitsmassnahmen regelmässig kontrolliert, bewertet und optimiert. Dabei werden auch neue Anforderungen, Risiken und Veränderungen berücksichtigt.

  • Reifegradmodelle sind hilfreiche Instrumente zur Bewertung und Verbesserung der Informationssicherheit. Sie beschreiben verschiedene Stufen der Entwicklung und Reife von Sicherheitsprozessen und -massnahmen und können als Orientierungshilfe oder Benchmark dienen.

  • Eine Möglichkeit, das erreichte Sicherheitsniveau nach aussen zu demonstrieren, ist eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz. Diese Zertifizierung belegt, dass ein angemessenes Informationssicherheitsmanagement eingerichtet ist und die IT-Grundschutz-Anforderungen erfüllt sind. Die Zertifizierung erfolgt durch eine unabhängige Zertifizierungsstelle nach einem festgelegten Verfahren.

VorherigeBSI GrundschutzkompendiumNächsteSicherheitsstandards