Grundschutzhandbuch

Das Basisschutzhandbuch des BSI (Kapitel 9.5) kann in Deutschland für die Sicherung und Prüfung von Archivierungssystemen verwendet werden. ety-Handbuch) M2.167 oder DoD 5220.22-M ist ein zentraler Bestandteil bei der Rückgabe von gebrauchtem EDV-Equipment, das Rundschutzhandbuch M2.167 oder DoD 5220.22-M ist ein zentraler Bestandteil bei der Rückgabe von IT-Geräten.

Basisschutzhandbuch wurde aktualisiert | Datensicherheit in der Katholizität

In einer Pressemitteilung vom 11. Oktober 2017 hieß es: "Nach der grundsätzlichen Revision der Gesamtmethodik stellt der neue IT-Grundschutz für Einsteiger und Fortgeschrittene eine modular aufgebaute und anpassungsfähige Möglichkeit zur Steigerung der Datensicherheit in Verwaltungen und Betrieben dar. Die neuen Offerten richten sich insbesondere an kleine und mittlere Betriebe und Verwaltungen. Die vom BSI herausgegebenen Normen sind neben dem Handbuch ein wesentlicher Baustein der Grundschutzmethodik.

Während dies bisher nur für große Anlagen mit eigenen Datenzentren möglich war, ist es nach der grundsätzlichen Revision des Handbuches nun auch für kleine Anlagen möglich, die Empfehlung des BSI für die eigene Sicherheits-Infrastruktur zu verwenden. Daher wird ausdrücklich angeraten, diese in Zukunft verstärkt zu nützen und in die eigene Planungen miteinzubeziehen.

mw-headline" id="Grundschutz">Grundschutz

Mit einer Einführung und einem Katalogumfang von über 3000 S. bildet er die Basis für die Zertifizierungen des firmeneigenen GRundschutz. Bei erhöhten Sicherheitsanforderungen kann der IT-Grundschutz als Basis für weitere Massnahmen dienen. Dort finden Sie auch Hilfe zur Umsetzung des IT-Basisschutzes in Gestalt des Basisschutzleitfadens, der die Einzelschritte im Detail beschreibt.

Zuerst wird die Katalog-Gruppe benannt, B steht für Modul, B für Maß und B für Gefahr. Die Bausteinkataloge sind das Herzstück des Grundschutzhandbuches und folgen wie die anderen Bausteine einem Schichtmodell. Indem sie in Arbeitsschichten unterteilt werden, können auch die von jeder Arbeitsschicht betroffene Personengruppe eindeutig definiert werden.

Jedes Modul hat den gleichen Aufbauplan. Diese Modulnummer besteht aus der Anzahl der Layer, in denen sich das Modul gerade aufhält und einer in dieser Layer einmaligen Layer. Im Anschluss an eine kurze Darstellung der vom Modul berücksichtigten Sachverhalte wird die entsprechende Gefährdungssituation beschrieben. Danach erfolgt eine Auflistung der individuellen Gefährdungsquellen.

Es handelt sich dabei um weitere Informationen, die nicht unbedingt für die Schaffung eines Basisschutzes abzuarbeiten sind. In einer Kurzbeschreibung werden die erforderlichen Massnahmen erläutert. Die Texte folgen dem Lebenslauf der betreffenden Ausgabe und umfassen unter anderem die Bereiche Planen und Konzipieren, Beschaffen (falls erforderlich), Umsetzen, Betreiben, Entsorgen (falls erforderlich) und Notfallvorsorge.

Die Einzelmaßnahmen werden nach der detaillierten Beschreibung wieder in einer Übersicht zusammengefaßt, die nun nach der Gliederung des Maßnahmenkatalogs und nicht mehr nach dem Lebensweg geordnet ist. Die Massnahmen sind in die Klassen A, B, C und C eingeteilt. Massnahmen der Klasse A führen in das Thema ein, Massnahmen der Klasse B verlängern es und die Klasse C ist dann für die Bescheinigung des Basisschutzes vonnöten.

Die Massnahmen der Klasse C sind weitere Massnahmen, die sich in der Anwendung bewähren. Damit das jeweilige Modul so klein wie möglich gehalten wird, werden oft die globalen Gesichtspunkte in einem Modul kombiniert, während in einem zweiten Modul gezieltere Daten erfasst werden. Ein Beispiel ist der Web-Server Apache. Das allgemeine Modul B 5.4 Web-Server, in dem die Massnahmen und Gefahren für jeden Web-Server beschrieben sind, sowie das Modul B 5.11, das sich spezifisch mit dem Apache-Web-Server befasst, gelten für ihn.

Auch für andere, teilweise ganz andere Module können die im Modul dargestellten Massnahmen oder Gefahren von Bedeutung sein. Dadurch wird ein Netzwerk der Einzelkomponenten des Grundschutzhandbuches geschaffen. Nach den Komponentenkatalogen geht das Handbuch detaillierter auf die Gefahren für IT-Systeme ein. Das in diesen Verzeichnissen zusammengetragene Wissen ist nach Ansicht des BSI nicht zwingend für die Schaffung eines Basisschutzes vonnöten.

In einem Maßnahmenkatalog sind die zur Durchführung des Basisschutzes erforderlichen Massnahmen zusammengefaßt. Für mehrere Systemkomponenten geeignete Massnahmen werden nur einmal an zentraler Stelle erläutert. Zusätzlich werden Ebenen zur Gliederung der individuellen Kennzahlengruppen verwendet. Die Verantwortlichen für die Einleitung und Durchführung der Massnahme werden in der entsprechenden Massnahmenbeschreibung zuerst benannt.

Eine detaillierte Darstellung der Massnahme erfolgt im Folgenden. Schließlich werden Steuerungsfragen zur richtigen Implementierung angesprochen. Im Rahmen der Durchführung der Maßnahmen sollte zunächst geprüft werden, ob sie an den entsprechenden Vorgang angepasst werden müssen. Die zu realisierenden Massnahmen für die verschiedenen Module sind in einer Übersicht zusammengefasst. Dabei wird jede einzelne Massnahme benannt und der Grad der Durchführung festgehalten.

Dann wird die Umstellung eingeplant und ein Sachbearbeiter ernannt. Ist die Durchführung der Massnahme nicht möglich, sollten die Ursachen dafür in das folgende Eingabefeld eintragen werden. Er fasst die Massnahmen und die wesentlichen Gefahren für die einzelne Baugruppe zusammen. Mit der Abkürzung werden sowohl Massnahmen als auch Gefahren identifiziert.

Diese werden priorisiert und klassifiziert. Welche Massnahmen welchen Gefahren entgegenwirken, zeigt die folgende Übersicht. In den Querverweistabellen sind jedoch nur die wesentlichen Gefahren aufgeführt. Wenn die oben erwähnten Gefahren einer Massnahme nicht auf das einzelne IT-System anwendbar sind, macht dies diese nicht unnötig.

Nur wenn alle Massnahmen getroffen wurden, kann der Basisschutz garantiert werden. So kann die Aufzeichnung der Durchführung der Einzelmaßnahmen am Computer durchgeführt und rasch ausgewertet werden. Für die Implementierung und Pflege der grundlegenden IT-Sicherheit wird ein mehrstufiges Verfahren empfohlen, das im Folgenden kurz beschrieben wird.

Nachdem man sich für einen Basisschutz entschieden hat, wird zunächst das zu schützende IT-Netzwerk analysiert. In diesem Arbeitsschritt wird der Schutzanspruch der Einzelkomponenten ermittelt. Das Basisschutzhandbuch deckt die "normalen" Schutzanforderungen ab. Bei den anderen Rubriken ist der Basisschutz ein guter Ausgangspunkt für weitere Massnahmen. Zielsetzung der Abbildung ist die Abbildung der IT-Komponente von der IT-Systemanalyse auf die Module des Grundschutzhandbuches.

Das IT-Sicherheitsaudit hat die gleiche Aufgabe, mit dem Hinweis, dass der Basisschutz bereits implementiert ist und die Implementierung überwacht werden soll. Dazu wird jedes Modul aus der bisherigen Modellbildung individuell berücksichtigt und der Grad der Implementierung der darin dargestellten Massnahmen erörtert. Hier werden die im vorherigen Arbeitsschritt erfassten Massnahmen durchgeführt.

Treten bei der Durchführung einer Massnahme Probleme auf, müssen diese dokumentiert werden, damit sie bei einer anschliessenden Überarbeitung oder einem Auditing nachvollzogen werden können. Bei den meisten IT-Komponenten sollten die im Grundschutzkatalog aufgeführten Massnahmen einen hinreichenden Datenschutz gewährleisten. Sind die Schutzanforderungen des Bauteils jedoch als "hoch" oder "sehr hoch" definiert, müssen zusätzlich zu den grundlegenden Schutzmaßnahmen weitere Massnahmen getroffen werden.

Zu diesem Zweck wird die Durchführung der Massnahmen überwacht und protokolliert.