It Grundschutz

mw-headline" id="BSI-Standards_und_IT-Grundschutz-Kataloge">BSI-Standards und IT-Grundschutz-Kataloge[classeBearbeiten | | |/span>Quellcode editieren]>

IT-Grundschutz definiert die Bundesregierung als ein vom BSI entwickeltes Verfahren zur Identifizierung und Umsetzung von Sicherheitsmassnahmen in der firmeneigenen Informationstechnologie (IT). Der Grundschutz hat zum Zweck, ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme zu erwirken. Zur Erreichung dieses Zieles werden in den IT-Grundschutzkatalogen sowohl die technischen als auch die infrastrukturellen, organisatorischen und personellen Sicherheitsmassnahmen empfohlen.

Ähnlich wie im BDSG sind die Bezeichnungen Datenschutz und Datensicherheit vielfältig gemischt. IT-Grundschutz ist ein praktischer Name für eine Sammlung von Basissicherheitsmaßnahmen und zusätzlichen Sicherheitsprogrammen für Ämter und Gewerbe. Mit dem ISO/IEC 27001-Zertifikat können Firmen und Ämter ihren systematischen Ansatz zum Schutze ihrer IT-Systeme (Information Security Management System (ISMS)) vor IT-Sicherheitsbedrohungen vorführen.

Aufgrund der Neustrukturierung und Ausweitung des Handbuches IT-Grundschutz im Jahr 2006 durch das BSI wurden die Methodologie und die IT-Grundschutzkataloge voneinander abgetrennt. Die vier BSI-Standards beinhalten Informationen über den prinzipiellen Ablauf eines Informationssicherheits-Managementsystems (ISMS) (100-1), das Vorgehen nach IT-Grundschutz (100-2) und die Vorbereitung einer Gefährdungsanalyse für hohe und sehr hohe Schutzanforderungen auf Basis einer ITSchutzerhebung (100-3).

Es enthält essentielle Bestandteile für ein adäquates Business Continuity Management (BCM) und kombiniert Bestandteile aus den Bereichen Business Continuity Management (BS 25999) und ITIL Service Continuity Management mit den entsprechenden Komponenten der Kataloge von IT-Grundschutz. Seit 2006 orientiert sich das BSI regelmässig an internationalen Richtlinien wie ISO/IEC 27001. Bei den Katalogen von IT-Grundschutz handelt es sich um eine Dokumentensammlung, die die stufenweise EinfÃ?

Grundlage eines IT-Grundschutzkonzeptes ist der erstmalige Erlass einer detaillierten Gefährdungsanalyse. Dabei werden drei Kategorien von Schutzbedürfnissen formuliert, mit deren Hilfe die Schutzbedürfnisse des Untersuchungsobjektes ermittelt und die zugehörigen personal-, technisch-organisatorischen und infrastrukturellen Sicherungsmaßnahmen aus den IT-Grundschutzkatalogen ausgewählt werden. Der Einsatz der Kataloge von IT-Grundschutz macht eine zeitaufwändige Sicherheitsbetrachtung überflüssig, die Fachwissen voraussetzt, da zunächst mit pauschalen Gefahren umzugehen ist.

Das BSI bestätigt die gelungene Umsetzung des Basisschutzes mit dem Aufbau eines Informationssicherheits-Managementsystems (ISMS) und vergibt ein ISO/IEC 27001-Zertifikat auf der Grundlage des IT-Grundschutzes. Firmen, die sich nach der Norm ISO/IEC 27001 zertifiziert haben, sind zur Durchführung von Risikoanalysen verpflichteter. Die Vorteile liegen sowohl in der Erlangung der ISO/IEC 27001-Zertifizierung als auch in der Einhaltung der BSI-Vorgaben.

Darüber hinaus gibt es ein Modul zum Thema Datensicherheit, das vom Beauftragten für Datensicherheit und Informationssicherheit in Kooperation mit den Landesdatenschutzbehörden entwickelt und in die IT-Grundschutzkataloge eingebunden wurde. Ein Informationsnetz ist die Summe der Infrastruktur-, Organisations-, Personal- und Technikkomponenten, die der Erfüllung von Aufgaben in einem gewissen Anwendungsgebiet der Datenverarbeitung dient.

Das Informationsnetzwerk kann die komplette IT einer Einrichtung oder auch Einzelbereiche beinhalten, die durch Organisationsstrukturen (z.B. Abteilungsnetzwerk) oder gängige IT-Anwendungen (z.B. für die Erarbeitung eines IT-Sicherheitskonzeptes und vor allem für die Verwendung der IT-Grundschutzkataloge) analysiert und dokumentiert werden müssen, es ist notwendig, die Aufbauorganisation der vorhandenen Informationstechnologie zu durchleuchten.

Dabei sind folgende Gesichtspunkte zu berücksichtigen: die bestehende Netzinfrastruktur, die Organisations- und Personalrahmenbedingungen für das Informationsnetz, die im Informationsnetz eingesetzten vernetzten und nicht vernetzten IT-Systeme, die Kommunikationsanbindung zwischen den IT-Systemen und den im Informationsnetz betriebenen externen IT-Anwendungen. Die Schutzbedarfsanalyse soll feststellen, welcher Schutzbedarf für die verwendeten Daten und die verwendete Informationstechnologie ausreicht.

Zu diesem Zweck wird für jede Applikation und die verarbeitete Information der erwartete Schaden berücksichtigt, der eintreten kann, wenn Diskretion, Unversehrtheit oder Erreichbarkeit beeinträchtigt werden. Die Schutzanforderungen für einen Datenserver hängen von den darauf laufenden Applikationen ab. Dabei ist zu berücksichtigen, dass mehrere IT-Applikationen auf einem IT-System betrieben werden können, wodurch die Applikation mit dem größten Schutzanspruch die Schutzanforderungskategorie des IT-Systems festlegt (sog. Maximalprinzip).

Möglicherweise werden mehrere Applikationen auf einem Rechner ausgeführt, die einen geringen Schutz benötigen - mehr oder weniger unbedeutende Applikationen. Andererseits ist es vorstellbar, dass eine IT-Anwendung mit hohen Schutzanforderungen diese nicht zwangsläufig auf das IT-System übertragen kann, da sie überflüssig ist oder nur unbedeutende Anteile darauf ablaufen ("Verteilungseffekt").

Informationstechnologie in öffentlichen Verwaltungen und Betrieben ist heute meist durch eine starke Vernetzung der IT-Systeme gekennzeichnet. Zur Bewältigung dieser Aufgabenstellung ist es zweckmäßig, die komplette IT in logische Einzelteile aufzuteilen und jeden Teil, d.h. ein Informationsnetzwerk, separat zu berücksichtigen. Grundvoraussetzung für den Einsatz der Kataloge von IT-Grundschutz in einem Informationsnetzwerk ist eine ausführliche Dokumentation seiner Strukturen.

Die Module der Kataloge von IT-Grundschutz müssen dann in einem anschließenden Schritt auf die Bestandteile des vorhandenen Informationsnetzes abbildung. Anhand von Befragungen wird der Stand eines vorhandenen Informationsnetzes (nach dem Vorbild von IT-Grundschutz) hinsichtlich des Umsetzungsgrades von Sicherheitsmassnahmen in den IT-Grundschutz-Katalogen erhoben. Indem noch nicht oder nur partiell umgesetzte Massnahmen identifiziert werden, werden Möglichkeiten zur Verbesserung der Datensicherheit der betroffenen Informationstechnologie identifiziert.

Hieraus ergibt sich, was noch zu tun ist, um einen grundlegenden Schutz der Daten zu erreichen. Der Basissicherheitscheck dient der Abbildung der Basisschutzmaßnahmen. Dieser Wert ist nur für niedrige bis mittlere Schutzanforderungen ausreichend. Bei Systemen mit hohen/sehr hohen Schutzanforderungen werden in der Regel auf Risikoanalysen beruhende Informationssicherheitskonzepte wie ISO/IEC 27001 eingesetzt.

Im Rahmen der zusätzlichen Sicherheitsbetrachtung wird beschlossen, ob eine Gefährdungsanalyse für IT-Systeme mit hohen/sehr hohen Schutzanforderungen mit der Querverweistabelle des BSI vorgenommen werden soll. Der BSI-Standard 100-3 ermöglicht die Durchführung der Gefahrenanalyse.