M 3.49 Schulung zur Vorgehensweise nach IT-Grundschutz
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Vorgesetzte
IT-Sicherheitsverantwortliche und Mitglieder des IT-Sicherheitsmanagements müssen die IT-Grundschutzmethodik gut kennen, um sie anwenden zu können. Um sich in die Vorgehensweise nach IT-Grundschutz einzuarbeiten, gibt es verschiedene Möglichkeiten:
- Selbststudium
- Web-Kurs des BSI zum Einstieg in die IT-Grundschutz-Vorgehensweise
- Externe Schulungsanbieter von IT-Grundschutz-Schulungen (Auf den BSI-Webseiten findet sich eine Liste von Schulungsanbietern zum Thema IT-Grundschutz. Das BSI hat dabei Schulungsqualität und Schulungsinhalte nicht bewertet.)
- Erarbeitung eigener IT-Grundschutz-Schulungen.
Bei der Planung einer neuen IT-Grundschutz-Schulung oder Beurteilung einer extern angebotenen Schulung sollten die folgenden Themen betrachtet werden:
- Sensibilisierung für IT-Sicherheit
- Was ist ein ISMS (Informationssicherheitsmanagementsystem)?
Wie wird ein funktionierender IT-Sicherheitsprozess etabliert? - Überblick über das IT-Grundschutzkonzept (Philosophie, Anwendungsgebiet, Struktur)
- Erstellung einer IT-Sicherheitsleitlinie
- Definition von IT-Sicherheitszielen
- Definition des IT-Verbundes
- IT-Sicherheitsmanagement
- Organisationsstrukturen (Darstellung geeigneter Organisationsstrukturen für das IT-Sicherheitsmanagement)
- Rollen (IT-Sicherheitsbeauftragte, IT-Sicherheitsmanagement-Team, etc.)
- Verantwortlichkeiten
- IT-Sicherheitskonzept: Typischer Aufbau und Inhalte
- Strukturanalyse
- Erstellung eines Netzplans
- Gruppenbildung
- Erhebung der IT-Systeme
- Erfassung der IT-Anwendungen
- Schutzbedarfsfeststellung
- Vorgehensweise
- Definition der Schutzbedarfskategorien inklusive individueller Anpassung der Bewertungstabellen
- Schadensszenarien
- Schutzbedarfsfeststellung für IT-Anwendungen, IT-Systeme, Kommunikationsverbindungen und IT-Räume
- Modellierung nach IT-Grundschutz
- Überblick über die IT-Grundschutz-Bausteine
- Schichtenmodell
- Übergeordnete Aspekte der IT-Sicherheit
- Sicherheit der Infrastruktur
- Sicherheit der IT-Systeme
- Sicherheit im Netz
- Sicherheit der Anwendungen
- Prüfung auf Vollständigkeit
- Lebenszyklusmodell der Maßnahmen
- Basissicherheits-Check
- Darstellung der Vorgehensweise
- Umsetzungsstatus
- Ergänzende Sicherheitsanalyse: Risikoanalyse basierend auf IT- Grundschutz
- Realisierung der IT-Sicherheitsmaßnahmen
- Sichtung aller fehlenden Maßnahmen
- Konsolidierung der Maßnahmen
- Kosten und Aufwandsabschätzungen (Budgetierung)
- Realisierung der Maßnahmen (Umsetzungsreihenfolge, Verantwortliche, Realisierungsplan)
- Hilfsmittel zur Arbeit mit den IT-Grundschutz-Katalogen
Das BSI stellt verschiedene Hilfsmittel zur Verfügung, die die praktische Arbeit mit den IT-Grundschutz-Katalogen erleichtern. Die Folgenden sollten den Anwendern vorgestellt werden:- Leitfaden als Motivation für IT-Sicherheit
- Web-Kurs als Einstieg in die IT-Grundschutz-Vorgehensweise
- Tabellen und Formblätter als Hilfsmittel bei der Umsetzung
- Musterrichtlinien und Profile als Beispielanwendungen
- IT-Grundschutz-Tool als Unterstützung bei der Erstellung, Verwaltung und Fortschreibung von IT-Sicherheitskonzepten dem IT-Grundschutz entsprechend. Das BSI bietet hierfür das IT-Grundschutz-Tool GSTOOL an.
- Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz: Überblick Zertifizierungsschema
In einer umfassenden IT-Grundschutz-Schulung sollten die Teilnehmer auch Gelegenheit haben, die dargestellte Vorgehensweise anhand von Beispielen zu üben.
Zur Gestaltung neuer IT-Grundschutz-Schulungen wird unter den Hilfsmitteln auf den BSI-Webseiten zu IT-Grundschutz ein Foliensatz zur Verfügung gestellt. Dieser kann benutzt werden, um eigene Schulungen hierauf aufzubauen. Alle Lehrinhalte werden in Übersichten und Strukturgrammen kurz angeschnitten. Es wird aufgezeigt, welche Inhalte eine Schulung beinhalten sollte, die in die Vorgehensweise IT-Grundschutz und die Anwendung der IT-Grundschutz-Kataloge einführen soll.