Menü
Ein Beitrag von Adacor

IT Grundschutz Kataloge für ISO 27001

Letztlich haben wir über die Zertifizierung nach ISO 27001 berichtet. Der IT-Grundschutz ist die in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Ausprägung der ISO 27001.

IT Grundschutz Kataloge für ISO 27001

 

Die IT Grundschutz-Kataloge des BSI lassen sich grob in die drei Kategorien Bausteinkataloge, Gefährungskataloge sowie die Maßnahmenkataloge einteilen.

Damit das IT-Grundschutz-Zertifikat des BSI auch die internationale Zertifizierungsnorm für Informationssicherheits-Managementsysteme mit abdeckt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema.
Die BSI-Standards und die IT-Grundschutz-Kataloge helfen, die sehr allgemein gehaltenen Anforderungen der ISO 27001 zu interpretieren, und unterstützen die Unternehmen bei der Umsetzung eines ISMS in der Praxis durch konkrete Vorgaben und Abläufe. Die IT-Grundschutz-Kataloge erklären nicht nur, was gemacht werden sollte, sondern auch wie eine Umsetzung (auch auf technischer Ebene) aussehen kann.

Hilfestellung ganz konkret: Die IT-Grundschutz-Kataloge vom BSI

Die IT-Grundschutz-Kataloge sind eine Sammlung von Dokumenten des BSI und dienen der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Die Identifikation und Bewertung von Schwachstellen in IT-Systemen erfolgt über eine Risikoanalyse, wobei für jede Systemkomponente oder -gruppe das Gefährdungspotenzial einzeln untersucht wird und der Schaden geschätzt wird, die mit einem Ausfall oder Datenverlust verbunden wären. Diese Herangehensweise ist jedoch sehr zeitaufwändig. Die IT-Grundschutz-Vorgehensweise geht von einer Systemgefährdungslage aus, die in 80 % der Fälle zutreffend ist, und empfiehlt hierfür entsprechende Gegenmaßnahmen. So kann ein Sicherheitsniveau erreicht werden, das in den meisten Fällen als ausreichend betrachtet werden kann.

Image

Datenschutz ist Chefsache

Kennen Sie schon alle Aspekte zur EU-DSGVO?
Der Bericht in der aktuellen Ausgabe unseres Magazins unterstützt Sie bei der Beantwortung dieser und weiterer brennender Fragen.

Magazin jetzt kostenlos downloaden

In Fällen eines höheren Sicherheitsbedarfs kann der IT-Grundschutz als solide Basis für weitergreifende Sicherheitsmaßnahmen genutzt werden.
IT-Grundschutz umfasst eine Vielzahl von Katalogen, die sich grob in drei Kategorien einteilen lassen:
die Bausteinkataloge, die Gefährdungskataloge und abschließend die Maßnahmenkataloge.
Ergänzt werden diese durch eine Vielzahl von Formularen und Kreuzreferenztabellen auf der Internetplattform des BSI. Die konkrete Vorgehensweise für den IT-Grundschutz ist in den BSI-Standards 100-1 bis 100-3 beschrieben. Sie bilden die Basis für die Anwendung der IT-Grundschutz-Kataloge und die Etablierung eines ISMS.

Infografik IT-Grundschutz Kataloge

Übersicht der drei IT Grundschutzkataloge

IT-Grundschutz Bausteinkatalog

Der Bausteinkatalog ist das zentrale Element. Er enthält verschiedene Kategorien, die auch als „Schichten“ bezeichnet werden. Im Bausteinkatalog werden fünf Schichten unterschieden: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. In der Regel lassen sich diese Schichten in einem zweiten Schritt in Bezug auf die Verantwortung konkreten Personengruppen in einer Organisation zuordnen

IT-Grundschutz Gefährdungskataloge

Die Gefährdungskataloge beschreiben die möglichen Gefahrenquellen für IT-Systeme. Unterschieden werden höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen. Jede Gefahrenquelle wird im Katalog beschrieben und der Leser erhält konkrete Beispiel-Schadensfälle, die durch diese Gefahrenquellen ausgelöst werden können.

IT-Grundschutz Maßnahmenkataloge

Die konkreten Maßnahmen zur Umsetzung des Grundschutzes enthalten die Maßnahmenkataloge. Die „Katalog-Schichten“ dienen dabei der Strukturierung der Maßnahmen in Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation und Notfallvorsorge. In diesem Kontext ist auch zu prüfen, ob eine Anpassung der Maßnahme auf die speziellen Anforderungen des Betriebes notwendig ist.

Jeder Baustein befasst sich so mit einem spezifischen Informationswert (z. B. Server unter Linux) und führt für diesen allgemeine Informationen, Gefährdungen und empfohlene Maßnahmen zusammen.

, , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Nur ein Viertel verwenden Passwort-Manager

Biz & Trends, IT Security

Nur ein Viertel verwenden Passwort-Manager

Passwort-Safes sind eine bequeme und sichere Lösung für die verschlüsselte Verwaltung von Kennwörtern für Webanwendungen.

weiter lesen

Vergleichstest Web Vulnerability Scanner

IT Security

Vergleichstest Web Vulnerability Scanner

Netsparker oder Acunetix: Teil 1 unseres Vergleichstests von Web Vulnerability Scannern.

weiter lesen

Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

IT Security

Erfolgreiche Auditierung – IDW PS 951 und ISAE 3402

Zertifizierung nach IDW PS 951 Typ B kurz und bündig erklärt.

weiter lesen


Neueste Nachrichten von Adacor

Biz & Trends

UN Global Compact: Adacor jetzt Participant-Mitglied

Im UN Global Compact wird eine gerechtere Ausgestaltung der Globalisierung umgesetzt. Die Adacor Group setzt sich im Rahmen ihrer Participant-Mitgliedschaft aktiv ein.

weiter lesen

Cloud

Jira & Confluence von Atlassian optimal nutzen

Die agile Zusammenarbeit mit Jira, Confluence, Bitbucket und Hipchat noch besser digital organisieren? Durch Application Hosting mehr Vorteile aus den Atlassian-Tools ziehen.

weiter lesen

Cloud

Wie Serverless Infrastructures mit Microservices zusammenspielen

Serverless Infrastructures erleichtern die Arbeit von Backend-Entwicklern. Microservices sind elementare Bestandteile der serverlosen Datenverarbeitung. Wir erklären wie sie sich optimal in bestehende Workflows implementieren...

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.