Menü
Ein Beitrag von Adacor

IT Grundschutz Kataloge für ISO 27001

Letztlich haben wir über die Zertifizierung nach ISO 27001 berichtet. Der IT-Grundschutz ist die in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Ausprägung der ISO 27001.

IT Grundschutz Kataloge für ISO 27001

 

Die IT Grundschutz-Kataloge des BSI lassen sich grob in die drei Kategorien Bausteinkataloge, Gefährungskataloge sowie die Maßnahmenkataloge einteilen.

Damit das IT-Grundschutz-Zertifikat des BSI auch die internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.
Die BSI-Standards und die IT-Grundschutz-Kataloge helfen, die sehr allgemein gehaltenen Anforderungen der ISO 27001 zu interpretieren, und unterstützen die Unternehmen bei der Umsetzung eines ISMS in der Praxis durch konkrete Vorgaben und Abläufe. Die IT-Grundschutz-Kataloge erklären nicht nur, was gemacht werden sollte, sondern auch wie eine Umsetzung (auch auf technischer Ebene) aussehen kann.

Hilfestellung ganz konkret: Die IT-Grundschutz-Kataloge vom BSI

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten des BSI und dienen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Die Identifikation und Bewertung von Schwachstellen in IT-Systemen erfolgt über eine Risikoanalyse, wobei für jede Systemkomponente oder -gruppe das Gefährdungspotenzial einzeln untersucht wird und der Schaden geschätzt wird, die mit einem Ausfall oder Datenverlust verbunden wären. Diese Herangehensweise ist jedoch sehr zeitaufwändig. Die IT-Grundschutz-Vorgehensweise geht von einer Systemgefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür entsprechende Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann.

Image

Strategien mit denen Unternehmen ihren Cloud-Erfolg steigern

Ausgzeichnete DevOps Private Cloud – Adacor erhält Innovationspreis
Wenn Daten umziehen müssen – Storage Migration in der Praxis
Was genau ist "Digitalisierung"– Aufteilung in Bereiche bringt Klarheit

Die neue Ausgabe des IT-Magazins komfortabel lesen!
Jetzt PDF hier downloaden

In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als solide Basis für weitergreifende Sicherheitsmaßnahmen genutzt werden.
IT-Grundschutz umfasst eine Vielzahl von Katalogen, die sich grob in drei Kategorien einteilen lassen:
die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge.
Ergänzt werden diese durch eine Vielzahl von Formularen und Kreuzreferenztabellen auf der Internetplattform des BSI. Die konkrete Vorgehensweise für den IT-Grundschutz ist in den BSI-Standards 100-1 bis 100-3 beschrieben. Sie bilden die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines ISMS.

Infografik IT-Grundschutz Kataloge

Übersicht der drei IT Grundschutzkataloge

IT-Grundschutz Bausteinkatalog

Der Bausteinkatalog ist das zentrale Element. Er enthält verschiedene Kategorien, die auch als „Schichten“ bezeichnet werden. Im Bausteinkatalog werden fünf Schichten unterschieden: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. In der Regel lassen sich diese Schichten in einem zweiten Schritt in Bezug auf die Verantwortung konkreten Personengruppen in einer Organisation zuordnen

IT-Grundschutz Gefährdungskataloge

Die Gefährdungskataloge beschreiben die möglichen Gefahrenquellen für IT-Systeme. Unterschieden werden höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Jede Gefahrenquelle wird im Katalog beschrieben und der Leser erhält konkrete Beispiel-Schadensfälle, die durch diese Gefahrenquellen ausgelöst werden können.

IT-Grundschutz Maßnahmenkataloge

Die konkreten Maßnahmen zur Umsetzung des Grundschutzes enthalten die Maßnahmenkataloge. Die „Katalog-Schichten“ dienen dabei der Strukturierung der Maßnahmen in Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge. In diesem Kontext ist auch zu prüfen, ob eine Anpassung der Maßnahme auf die speziellen Anforderungen des Betriebes notwendig ist.

Jeder Baustein befasst sich so mit einem spezifischen Informationswert (z. B. Server unter Linux) und führt für diesen allgemeine Informationen, Gefährdungen und empfohlene Maßnahmen zusammen.

, , ,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

IT-Compliance – gesetzliche Anforderungen für deutsche Unternehmen

Cloud, Hosting, IT Security

IT-Compliance – gesetzliche Anforderungen für deutsche Unternehmen

Welche Gesetze und Vorschriften müssen Unternehmen beachten, damit Informationssicherheit gewährleistet ist?

weiter lesen

IT-Security

IT Security

IT-Security Webinar mit den Sicherheits-Themen des Jahres

Ransomware, Krypto-Trojaner, MySQLServer Exploits stehen immer wieder im Fokus, wenn es um IT-Sicherheit geht.

weiter lesen

Health goes mobile: Datenschutz für mHealth

Biz & Trends, IT Security

Health goes mobile: Datenschutz für mHealth

Welche Kategorien von Health Apps gibt es? Kommt jetzt die App aufs Rezept?

weiter lesen


Neueste Nachrichten von Adacor

IT Security

Risikomanagement als Mehrwert für Unternehmen sehen

Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können.

weiter lesen

Cloud

AWS, Azure und Co.: Brauchen Sie wirklich eine große Public-Cloud?

Das Angebot großer Public Clouds klingt für viele Unternehmen verlockend. Eine Private Cloud kann jedoch die ökonomisch sinnvollere Lösung sein.

weiter lesen

Biz & Trends

Was ist eigentlich Digitalisierung?

Der Begriff „ Digitalisierung“ weist viele Facetten auf. Die Aufteilung in Bereiche bringt jedoch Klarheit.

weiter lesen