Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: 1.4 Anwendungsweisen der IT-Grundschutz-Kataloge - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

1 IT-Grundschutz - Basis für IT-Sicherheit

1.4 Anwendungsweisen der IT-Grundschutz-Kataloge

Logo Anwendungsweisen der IT-Grundschutz-Kataloge

Für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses müssen eine ganze Reihe von Aktionen durchgeführt werden. Hierfür bieten die IT-Grundschutz-Vorgehensweise (siehe BSI-Standard 100-2) sowie die IT-Grundschutz-Kataloge Hinweise zur Methodik und praktische Umsetzungshilfen. Enthalten sind ferner Lösungsansätze für verschiedene, die IT-Sicherheit betreffende Aufgabenstellungen, beispielsweise IT-Sicherheitskonzeption, Revision und Zertifizierung. Je nach vorliegender Aufgabenstellung sind dabei unterschiedliche Anwendungsweisen des IT-Grundschutzes zweckmäßig. Dieser Abschnitt dient dazu, durch Querverweise auf die entsprechenden Kapitel der IT-Grundschutz-Vorgehensweise im BSI-Standard 100-2 den direkten Einstieg in die einzelnen Anwendungsweisen zu erleichtern.

IT-Sicherheitsprozess und IT-Sicherheitsmanagement

Die Abhängigkeit vom ordnungsgemäßen Funktionieren der Informationstechnik hat in den letzten Jahren sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft stark zugenommen. Immer mehr Geschäftsprozesse werden auf die Informationstechnik verlagert oder mit ihr verzahnt. Ein Ende dieser Entwicklung ist nicht abzusehen. IT-Sicherheit ist daher als integraler Bestandteil der originären Aufgabe anzusehen. Der folgende Aktionsplan beinhaltet alle wesentlichen Schritte, die für einen kontinuierlichen IT-Sicherheitsprozess notwendig sind, und ist somit als eine planmäßig anzuwendende, begründete Vorgehensweise zu verstehen, wie ein angemessenes IT-Sicherheitsniveau erreicht und aufrechterhalten werden kann:

Initiierung des IT-Sicherheitsprozesses

Abbildung: Initiierung des IT-Sicherheitsprozesses

Im Dokument IT-Grundschutz-Vorgehensweise wird dies ausführlich beschrieben. Außerdem wird im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Sicherheitsprozess im Überblick dargestellt und es wird eine detaillierte Erläuterung der einzelnen Aktionen in Form empfohlener Standard-Maßnahmen gegeben.

Zur Erstellung der IT-Sicherheitskonzeption ist nach IT-Grundschutz eine Reihe von Schritten notwendig. Eine kurze Darstellung davon wird im Folgenden gegeben.

IT-Strukturanalyse

Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame Geschäftsprozesse bzw. IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung von IT-Grundschutz ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein

Netztopologieplan als Ausgangsbasis für die Analyse an. Die folgenden Aspekte müssen berücksichtigt werden:

Die einzelnen Schritte der IT-Strukturanalyse werden im Detail in Kapitel 4.1 der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) in Form einer Handlungsanweisung beschrieben.

Schutzbedarfsfeststellung

Zweck der Schutzbedarfsfeststellung ist es zu ermitteln, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch". Erläuterungen und praktische Hinweise zur Schutzbedarfsfeststellung sind Gegenstand von Kapitel 4.2 der IT-Grundschutz-Vorgehensweise.

Modellierung

Im nächsten Schritt müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden IT-Verbunds abgebildet werden.

In Kapitel 4.3 der IT-Grundschutz-Vorgehensweise wird beschrieben, wie die Modellierung eines IT-Verbunds durch Bausteine aus den IT-Grundschutz-Katalogen vorgenommen werden sollte. Detaillierte Hinweise für die Verwendung des Schichtenmodells und die Modellierung nach IT-Grundschutz sind im Kapitel 2 der IT-Grundschutz-Kataloge enthalten. Wie der anschließende Soll-Ist-Vergleich anhand eines Basis-Sicherheitschecks durchgeführt werden sollte, wird in Kapitel 4.4 der IT-Grundschutz-Vorgehensweise beschrieben.

Basis-Sicherheitscheck

Der Basis-Sicherheitscheck ist ein Organisationsinstrument, welches einen schnellen Überblick über das vorhandene IT-Sicherheitsniveau bietet. Mit Hilfe von Interviews wird der Status Quo eines bestehenden (nach IT-Grundschutz modellierten) IT-Verbunds in Bezug auf den Umsetzungsgrad von Sicherheitsmaßnahmen der IT-Grundschutz-Kataloge ermittelt. Als Ergebnis liegt eine Übersicht vor, in dem für jede relevante Maßnahme der Umsetzungsstatus "entbehrlich", "ja", "teilweise" oder "nein" erfasst ist. Durch die Identifizierung von noch nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt. Kapitel 4.4 des BSI-Standards 100-2 beschreibt einen Aktionsplan für die Durchführung eines Basis-Sicherheitschecks. Dabei wird sowohl den organisatorischen Aspekten als auch den fachlichen Anforderungen bei der Projektdurchführung Rechnung getragen.

IT-Sicherheitsrevision

Die in den IT-Grundschutz-Katalogen enthaltenen Sicherheitsmaßnahmen können auch für die IT-Sicherheitsrevision genutzt werden. Hierzu wird die gleiche Vorgehensweise wie beim Basis-Sicherheitscheck empfohlen. Hilfreich und arbeitsökonomisch ist es, für jeden Baustein anhand der Maßnahmentexte eine speziell auf die eigene Institution angepasste Checkliste zu erstellen. Dies erleichtert die Revision und verbessert häufig die Reproduzierbarkeit der Ergebnisse.

Weiterführende IT-Sicherheitsmaßnahmen

Die Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bieten im Normalfall einen angemessenen und ausreichenden Schutz. Insbesondere bei hohem oder sehr hohem Schutzbedarf kann es jedoch sinnvoll sein zu prüfen, ob zusätzlich oder ersatzweise höherwertige IT-Sicherheitsmaßnahmen erforderlich sind. Geeignete Maßnahmen für Bereiche mit höherem Schutzbedarf sollten über ergänzende Sicherheitsanalysen bzw. Risikoanalysen ausgewählt werden (siehe Kapitel 4.5 des BSI-Standards 100-2). Eine Methode hierfür ist die im BSI-Standard 100-3 "Risikoanalyse auf der Basis von IT-Grundschutz" beschriebene Vorgehensweise.

Umsetzung von IT-Sicherheitskonzepten

Damit das angestrebte IT-Sicherheitsniveau erreicht wird, müssen bestehende Schwachstellen ermittelt und alle erforderlichen Maßnahmen identifiziert werden. Diese sowie die Realisierungsplanung müssen in einem Sicherheitskonzept festgehalten werden. Vor allem müssen alle erforderlichen Maßnahmen auch konsequent umgesetzt werden. In Kapitel 4.6 des BSI-Standards zur IT-Grundschutz-Vorgehensweise wird beschrieben, was bei der Umsetzungsplanung von IT-Sicherheitsmaßnahmen beachtet werden muss.

Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz

Die Vorgehensweise nach IT-Grundschutz und die IT-Grundschutz-Kataloge werden nicht nur für die IT-Sicherheitskonzeption, sondern auch zunehmend als Referenz im Sinne eines Sicherheitsstandards verwendet. Durch eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz kann eine Institution nach innen und außen hin dokumentieren, dass sie sowohl ISO 27001 als auch IT-Grundschutz in der erforderlichen Tiefe umgesetzt hat.

Das Niveau der Qualifizierung wird dabei in drei verschiedene Stufen unterteilt, die sich sowohl im Hinblick auf die Güte (d. h. den erforderlichen Umsetzungsgrad der Sicherheitsmaßnahmen) als auch in Bezug auf die Vertrauenswürdigkeit unterscheiden. Das Eingangsniveau kann durch einen lizenzierten Auditor nachgewiesen werden, das höchste Niveau erfordert zusätzlich eine Prüfung durch eine Zertifizierungsstelle. Das Prüfungsschema für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz sowie das entsprechende Lizenzierungsschema für Auditoren sind auf dem Webserver des BSI erhältlich.

Weitere Kapitel zum Einstieg in IT-Grundschutz