M 3.49 Schulung zur Vorgehensweise nach IT-Grundschutz
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte
Sicherheitsverantwortliche müssen die IT-Grundschutz-Methodik gut kennen, um sie anwenden zu können. Um sich in die Vorgehensweise nach IT-Grundschutz einzuarbeiten, gibt es verschiedene Möglichkeiten:
- Selbststudium
- Web-Kurs des BSI zum Einstieg in die IT-Grundschutz-Vorgehensweise
- Externe Schulungsanbieter von IT-Grundschutz-Schulungen (Auf den BSI-Webseiten findet sich eine Liste von Schulungsanbietern zum Thema IT-Grundschutz. Das BSI hat dabei Schulungsqualität und Schulungsinhalte nicht bewertet.)
- Erarbeitung eigener IT-Grundschutz-Schulungen.
Bei der Planung einer neuen IT-Grundschutz-Schulung oder Beurteilung einer extern angebotenen Schulung sollten die folgenden Themen betrachtet werden:
- Sensibilisierung für Informationssicherheit
- Was ist ein ISMS (Informationssicherheitsmanagementsystem)?
Wie wird ein funktionierender Sicherheitsprozess etabliert? - Überblick über das IT-Grundschutzkonzept (Philosophie, Anwendungsgebiet, Struktur)
- Erstellung einer Leitlinie zur Informationssicherheit
- Definition von Informationssicherheitszielen
- Definition des Informationsverbundes
- Informationssicherheitsmanagement
- Organisationsstrukturen (Darstellung geeigneter Organisationsstrukturen für das Informationssicherheitsmanagement)
- Rollen (IT-Sicherheitsbeauftragte, Sicherheitsmanagement-Team, etc.)
- Verantwortlichkeiten
- Sicherheitskonzept: Typischer Aufbau und Inhalte
- Strukturanalyse
- Gruppenbildung
- Erfassung der Anwendungen und der zugehörigen Informationen
- Erstellung eines Netzplans
- Erhebung der IT-Systeme
- Erfassung der Räume
- Schutzbedarfsfeststellung
- Vorgehensweise
- Definition der Schutzbedarfskategorien inklusive individueller Anpassung der Bewertungstabellen
- Schadensszenarien
- Schutzbedarfsfeststellung für Anwendungen, IT-Systeme Kommunikationsverbindungen und Räume
- Modellierung nach IT-Grundschutz
- Überblick über die IT-Grundschutz-Bausteine
- Schichtenmodell
- Übergeordnete Aspekte der Informationssicherheit
- Sicherheit der Infrastruktur
- Sicherheit der IT-Systeme
- Sicherheit im Netz
- Sicherheit der Anwendungen
- Prüfung auf Vollständigkeit
- Lebenszyklusmodell der Maßnahmen
- Basissicherheits-Check
- Darstellung der Vorgehensweise
- Umsetzungsstatus
- Ergänzende Sicherheitsanalyse: Risikoanalyse basierend auf IT- Grundschutz
- Realisierung der Sicherheitsmaßnahmen
- Sichtung aller fehlenden Maßnahmen
- Konsolidierung der Maßnahmen
- Kosten und Aufwandsabschätzungen (Budgetierung)
- Realisierung der Maßnahmen (Umsetzungsreihenfolge, Verantwortliche, Realisierungsplan)
- Hilfsmittel zur Arbeit mit den IT-Grundschutz-Katalogen
Das BSI stellt verschiedene Hilfsmittel zur Verfügung, die die praktische Arbeit mit den IT-Grundschutz-Katalogen erleichtern. Die Folgenden sollten den Anwendern vorgestellt werden:- Leitfaden als Motivation für Informationssicherheit
- Webkurs als Einstieg in die IT-Grundschutz-Vorgehensweise
- Tabellen und Formblätter als Hilfsmittel bei der Umsetzung
- Musterrichtlinien und Profile als Beispielanwendungen
- Tool-Unterstützung bei der Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten auf der Basis von IT-Grundschutz entsprechend. Das BSI bietet hierfür das GSTOOL an.
- Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz: Überblick Zertifizierungsschema
In einer umfassenden IT-Grundschutz-Schulung sollten die Teilnehmer auch Gelegenheit haben, die dargestellte Vorgehensweise anhand von Beispielen zu üben.
Zur Gestaltung neuer IT-Grundschutz-Schulungen wird unter den Hilfsmitteln auf den BSI-Webseiten zu IT-Grundschutz ein Foliensatz zur Verfügung gestellt. Dieser kann benutzt werden, um eigene Schulungen hierauf aufzubauen. Alle Lehrinhalte werden in Übersichten und Strukturgrammen kurz angeschnitten. Es wird aufgezeigt, welche Inhalte eine Schulung beinhalten sollte, die in die Vorgehensweise IT-Grundschutz und die Anwendung der IT-Grundschutz-Kataloge einführen soll.
Prüffragen:
- Sind die Sicherheitsverantwortlichen mit der IT -Grundschutz-Methodik vertraut?
- Werden bei der Planung einer IT -Grundschutz-Schulung die Themen der Schulung vorher festgelegt?
- Wird in der IT -Grundschutz-Schulung die Vorgehensweise auch anhand von Beispielen geübt?