Menü
Ein Beitrag von Adacor

IT Grundschutz Kataloge für ISO 27001

Letztlich haben wir über die Zertifizierung nach ISO 27001 berichtet. Der IT-Grundschutz ist die in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Ausprägung der ISO 27001.

IT Grundschutz Kataloge für ISO 27001

 

Die IT Grundschutz-Kataloge des BSI lassen sich grob in die drei Kategorien Bausteinkataloge, Gefährungskataloge sowie die Maßnahmenkataloge einteilen.

Damit das IT-Grundschutz-Zertifikat des BSI auch die internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.
Die BSI-Standards und die IT-Grundschutz-Kataloge helfen, die sehr allgemein gehaltenen Anforderungen der ISO 27001 zu interpretieren, und unterstützen die Unternehmen bei der Umsetzung eines ISMS in der Praxis durch konkrete Vorgaben und Abläufe. Die IT-Grundschutz-Kataloge erklären nicht nur, was gemacht werden sollte, sondern auch wie eine Umsetzung (auch auf technischer Ebene) aussehen kann.

Hilfestellung ganz konkret: Die IT-Grundschutz-Kataloge vom BSI

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten des BSI und dienen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Die Identifikation und Bewertung von Schwachstellen in IT-Systemen erfolgt über eine Risikoanalyse, wobei für jede Systemkomponente oder -gruppe das Gefährdungspotenzial einzeln untersucht wird und der Schaden geschätzt wird, die mit einem Ausfall oder Datenverlust verbunden wären. Diese Herangehensweise ist jedoch sehr zeitaufwändig. Die IT-Grundschutz-Vorgehensweise geht von einer Systemgefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür entsprechende Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann.

Image

Eintauchen in die Cloud-Ökonomie?

Unternehmen, die mit Cloud-Technologie ihre IT-Organisation und -Prozesse effektiv unterstützen wollen, stehen vor der Frage:
Wie viel Cloud ist dazu nötig?

Unser IT-Magazin Behind The Scene unterstützt dabei mit einem vielschichtigen Realitätscheck.
Jetzt kostenlos downloaden

In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als solide Basis für weitergreifende Sicherheitsmaßnahmen genutzt werden.
IT-Grundschutz umfasst eine Vielzahl von Katalogen, die sich grob in drei Kategorien einteilen lassen:
die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge.
Ergänzt werden diese durch eine Vielzahl von Formularen und Kreuzreferenztabellen auf der Internetplattform des BSI. Die konkrete Vorgehensweise für den IT-Grundschutz ist in den BSI-Standards 100-1 bis 100-3 beschrieben. Sie bilden die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines ISMS.

Infografik IT-Grundschutz Kataloge

Übersicht der drei IT Grundschutzkataloge

IT-Grundschutz Bausteinkatalog

Der Bausteinkatalog ist das zentrale Element. Er enthält verschiedene Kategorien, die auch als „Schichten“ bezeichnet werden. Im Bausteinkatalog werden fünf Schichten unterschieden: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. In der Regel lassen sich diese Schichten in einem zweiten Schritt in Bezug auf die Verantwortung konkreten Personengruppen in einer Organisation zuordnen

IT-Grundschutz Gefährdungskataloge

Die Gefährdungskataloge beschreiben die möglichen Gefahrenquellen für IT-Systeme. Unterschieden werden höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Jede Gefahrenquelle wird im Katalog beschrieben und der Leser erhält konkrete Beispiel-Schadensfälle, die durch diese Gefahrenquellen ausgelöst werden können.

IT-Grundschutz Maßnahmenkataloge

Die konkreten Maßnahmen zur Umsetzung des Grundschutzes enthalten die Maßnahmenkataloge. Die „Katalog-Schichten“ dienen dabei der Strukturierung der Maßnahmen in Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge. In diesem Kontext ist auch zu prüfen, ob eine Anpassung der Maßnahme auf die speziellen Anforderungen des Betriebes notwendig ist.

Jeder Baustein befasst sich so mit einem spezifischen Informationswert (z. B. Server unter Linux) und führt für diesen allgemeine Informationen, Gefährdungen und empfohlene Maßnahmen zusammen.

, , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

IT Security

EU-DSGVO stellt hohe Ansprüche an Datenschutz

Geforderte Maßnahmen der EU-DSGVO beginnen bei der Datenportabilität d.h. Wie Unternehmen informieren müssen und umfassen den Datenschutz durch Technikgestaltung.

weiter lesen

Alternativen nach dem Aus von Safe Harbor

IT Security

Alternativen nach dem Aus von Safe Harbor

Konsequenzen für die Praxis beim Austausch personenbezogener Daten zwischen der EU und den USA.

weiter lesen

Datenverlust vermeiden – Infografik zeigt wie Datenspeicherung geht

IT Security

Datenverlust vermeiden – Infografik zeigt wie Datenspeicherung geht

Wir haben in einer Infografik die sichersten Möglichkeiten der Datenspeicherung aufbereitet.

weiter lesen


Neueste Nachrichten von Adacor

Digitaler Wandel meistern

Biz & Trends

Wie setzen Unternehmen die Digitalisierung erfolgreich um?

Digitalisierung braucht Know-how und Infrastruktur, um die Herausforderungen in Unternehmen erfolgreich zu meistern.

weiter lesen

Deadline EU-DSGVO

IT Security

EU-DSGVO: Machen Sie Datenschutz zur Chefsache!

So wappnen Sie Ihr Unternehmensmanagement vor den den Auswirkungen der EU-Datenschutz-Grundverordnung

weiter lesen

Werkzeuge Analyse Public Cloud Anbieter

Cloud

AWS, Azure oder Google Cloud?

AWS, Azure oder Google Cloud - Eine ausführliche Analyse der Public-Cloud-Anbieter aus Management-Sicht

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.