Menü
Ein Beitrag von Adacor

IT Grundschutz Kataloge für ISO 27001

Letztlich haben wir über die Zertifizierung nach ISO 27001 berichtet. Der IT-Grundschutz ist die in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Ausprägung der ISO 27001.

IT Grundschutz Kataloge für ISO 27001

 

Die IT Grundschutz-Kataloge des BSI lassen sich grob in die drei Kategorien Bausteinkataloge, Gefährungskataloge sowie die Maßnahmenkataloge einteilen.

Damit das IT-Grundschutz-Zertifikat des BSI auch die internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.
Die BSI-Standards und die IT-Grundschutz-Kataloge helfen, die sehr allgemein gehaltenen Anforderungen der ISO 27001 zu interpretieren, und unterstützen die Unternehmen bei der Umsetzung eines ISMS in der Praxis durch konkrete Vorgaben und Abläufe. Die IT-Grundschutz-Kataloge erklären nicht nur, was gemacht werden sollte, sondern auch wie eine Umsetzung (auch auf technischer Ebene) aussehen kann.

Hilfestellung ganz konkret: Die IT-Grundschutz-Kataloge vom BSI

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten des BSI und dienen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Die Identifikation und Bewertung von Schwachstellen in IT-Systemen erfolgt über eine Risikoanalyse, wobei für jede Systemkomponente oder -gruppe das Gefährdungspotenzial einzeln untersucht wird und der Schaden geschätzt wird, die mit einem Ausfall oder Datenverlust verbunden wären. Diese Herangehensweise ist jedoch sehr zeitaufwändig. Die IT-Grundschutz-Vorgehensweise geht von einer Systemgefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür entsprechende Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann.

Image

Herausforderung Cloud Migration begegnen

Welche Cloud-Lösungen gibt es auf dem Markt?
Wie gewährleisten Hoster Sicherheit & Compliance?
Welches Betriebsmodell eignet sich für mein Unternehmen?

Treffen Sie die Geschäftsführer der Adacor auf dem Deutschen IT-Leiter-Kongress!
Tickets hier gewinnen

In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als solide Basis für weitergreifende Sicherheitsmaßnahmen genutzt werden.
IT-Grundschutz umfasst eine Vielzahl von Katalogen, die sich grob in drei Kategorien einteilen lassen:
die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge.
Ergänzt werden diese durch eine Vielzahl von Formularen und Kreuzreferenztabellen auf der Internetplattform des BSI. Die konkrete Vorgehensweise für den IT-Grundschutz ist in den BSI-Standards 100-1 bis 100-3 beschrieben. Sie bilden die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines ISMS.

Infografik IT-Grundschutz Kataloge

Übersicht der drei IT Grundschutzkataloge

IT-Grundschutz Bausteinkatalog

Der Bausteinkatalog ist das zentrale Element. Er enthält verschiedene Kategorien, die auch als „Schichten“ bezeichnet werden. Im Bausteinkatalog werden fünf Schichten unterschieden: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. In der Regel lassen sich diese Schichten in einem zweiten Schritt in Bezug auf die Verantwortung konkreten Personengruppen in einer Organisation zuordnen

IT-Grundschutz Gefährdungskataloge

Die Gefährdungskataloge beschreiben die möglichen Gefahrenquellen für IT-Systeme. Unterschieden werden höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Jede Gefahrenquelle wird im Katalog beschrieben und der Leser erhält konkrete Beispiel-Schadensfälle, die durch diese Gefahrenquellen ausgelöst werden können.

IT-Grundschutz Maßnahmenkataloge

Die konkreten Maßnahmen zur Umsetzung des Grundschutzes enthalten die Maßnahmenkataloge. Die „Katalog-Schichten“ dienen dabei der Strukturierung der Maßnahmen in Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge. In diesem Kontext ist auch zu prüfen, ob eine Anpassung der Maßnahme auf die speziellen Anforderungen des Betriebes notwendig ist.

Jeder Baustein befasst sich so mit einem spezifischen Informationswert (z. B. Server unter Linux) und führt für diesen allgemeine Informationen, Gefährdungen und empfohlene Maßnahmen zusammen.

, , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Biz & Trends, IT Security

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Wie sich USB-Sticks verschlüsseln lassen und wieso dies immens wichtig ist.

weiter lesen

Intelligentes IT-Sicherheitsmanagement – Maßnahmen für einen sicheren Arbeitsplatz

Cloud, IT Security

Intelligentes IT-Sicherheitsmanagement – Maßnahmen für einen sicheren Arbeitsplatz

Als Hosting-Spezialist im Geschäftskundenbereich deckt die ADACOR Hosting ein Marktsegment ab, in dem die IT-Sicherheit einen extrem hohen Stellenwert hat. Was bedeutet das für...

weiter lesen

DNSSEC, DANE und SSL

IT Security

DNSSEC, DANE und SSL bei Filoo

Wir haben Maßnahmen implementiert, um DNSSEC bei Filoo einzuführen.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

„Recruit a Friend“ – Mitarbeiterempfehlungen als Recruitingmaßnahme

Eine Win-Win-Situation für Mitarbeiter, Bewerber und Arbeitgeber.

weiter lesen

Cloud

Adacor Experten auf IT-Leiter-Kongress treffen

Treffen Sie die Cloud-Experten der Adacor Group auf dem Deutschen IT-Leiter-Kongress. Wir laden Sie ein. Weitere Infos jetzt im Blog lesen.

weiter lesen

Cloud, Hosting

Sichere Migration in die Cloud

Wie erkennt man frühzeitig die Herausforderungen beim Umzug in die Cloud und was muss man tun, um sie erfolgreich zu bewältigen?

weiter lesen