IT Grundschutz Kataloge für ISO 27001

Letztlich haben wir über die Zertifizierung nach ISO 27001 berichtet. Der IT-Grundschutz ist die in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Ausprägung der ISO 27001.

IT Grundschutz Kataloge für ISO 27001

 

Die IT Grundschutz-Kataloge des BSI lassen sich grob in die drei Kategorien Bausteinkataloge, Gefährungskataloge sowie die Maßnahmenkataloge einteilen.

Damit das IT-Grundschutz-Zertifikat des BSI auch die internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.
Die BSI-Standards und die IT-Grundschutz-Kataloge helfen, die sehr allgemein gehaltenen Anforderungen der ISO 27001 zu interpretieren, und unterstützen die Unternehmen bei der Umsetzung eines ISMS in der Praxis durch konkrete Vorgaben und Abläufe. Die IT-Grundschutz-Kataloge erklären nicht nur, was gemacht werden sollte, sondern auch wie eine Umsetzung (auch auf technischer Ebene) aussehen kann.

Hilfestellung ganz konkret: Die IT-Grundschutz-Kataloge vom BSI

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten des BSI und dienen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Die Identifikation und Bewertung von Schwachstellen in IT-Systemen erfolgt über eine Risikoanalyse, wobei für jede Systemkomponente oder -gruppe das Gefährdungspotenzial einzeln untersucht wird und der Schaden geschätzt wird, die mit einem Ausfall oder Datenverlust verbunden wären. Diese Herangehensweise ist jedoch sehr zeitaufwändig. Die IT-Grundschutz-Vorgehensweise geht von einer Systemgefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür entsprechende Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann.


In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als solide Basis für weitergreifende Sicherheitsmaßnahmen genutzt werden.
IT-Grundschutz umfasst eine Vielzahl von Katalogen, die sich grob in drei Kategorien einteilen lassen:
die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge.
Ergänzt werden diese durch eine Vielzahl von Formularen und Kreuzreferenztabellen auf der Internetplattform des BSI. Die konkrete Vorgehensweise für den IT-Grundschutz ist in den BSI-Standards 100-1 bis 100-3 beschrieben. Sie bilden die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines ISMS.

Infografik IT-Grundschutz Kataloge

Übersicht der drei IT Grundschutzkataloge

IT-Grundschutz Bausteinkatalog

Der Bausteinkatalog ist das zentrale Element. Er enthält verschiedene Kategorien, die auch als „Schichten“ bezeichnet werden. Im Bausteinkatalog werden fünf Schichten unterschieden: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. In der Regel lassen sich diese Schichten in einem zweiten Schritt in Bezug auf die Verantwortung konkreten Personengruppen in einer Organisation zuordnen

IT-Grundschutz Gefährdungskataloge

Die Gefährdungskataloge beschreiben die möglichen Gefahrenquellen für IT-Systeme. Unterschieden werden höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Jede Gefahrenquelle wird im Katalog beschrieben und der Leser erhält konkrete Beispiel-Schadensfälle, die durch diese Gefahrenquellen ausgelöst werden können.

IT-Grundschutz Maßnahmenkataloge

Die konkreten Maßnahmen zur Umsetzung des Grundschutzes enthalten die Maßnahmenkataloge. Die „Katalog-Schichten“ dienen dabei der Strukturierung der Maßnahmen in Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge. In diesem Kontext ist auch zu prüfen, ob eine Anpassung der Maßnahme auf die speziellen Anforderungen des Betriebes notwendig ist.

Jeder Baustein befasst sich so mit einem spezifischen Informationswert (z. B. Server unter Linux) und führt für diesen allgemeine Informationen, Gefährdungen und empfohlene Maßnahmen zusammen.

, , ,


Weitere Artikel zum Thema lesen

IT-Security

IT Security

IT-Security Webinar mit den Sicherheits-Themen des Jahres

Ransomware, Krypto-Trojaner, MySQLServer Exploits stehen immer wieder im Fokus, wenn es um IT-Sicherheit geht.

weiter lesen

Trendumfrage – wichtigste IT-Themen 2015

Biz & Trends, Cloud, IT Security

Trendumfrage – wichtigste IT-Themen 2015

Cloud Computing liegt vorne, dann folgen IT-Sicherheit und Big Data. Industrie 4.0 wird wichtiger.

weiter lesen

CryptoPHP infiziert Joomla, WordPress und Co

IT Security

CryptoPHP infiziert Joomla, WordPress und Co

Was ist an dem Schadcode besonders gefährlich und welche Maßnahmen werden dagegen ergriffen?

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.