/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Informationssicherheitsmanagement mit IT-Grundschutz
Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Die meisten Informationen werden heutzutage mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. Moderne Geschäftsprozesse sind heute in Wirtschaft und Verwaltung ohne IT-Unterstützung längst nicht mehr vorstellbar. In Produktion und Fertigung hat mit Industrial Control Systems (ICS) die Informations- und Kommunikationstechnik ebenso Einzug gehalten wie das Internet of Things (IoT) in fast jedem anderem Bereich.
2.1 Ganzheitliches Konzept
Um zu einem bedarfsgerechten Sicherheitsniveau für alle Geschäftsprozesse, Informationen und auch der IT-Systeme einer Institution zu kommen, ist allerdings mehr als das bloße Anschaffen von Viren­schutzprogrammen, Firewalls oder Datensicherungssystemen notwendig. Ein ganzheitliches Konzept ist wichtig. Dazu gehört vor allem ein funktionierendes und in die Institution integriertes Sicherheits­management. Informationssicherheitsmanagement (oder kurz: IS-Management) ist jener Teil des all­gemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informatio­nen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten soll. Dabei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.
Informationssicherheit ist nicht nur eine Frage der Technik, sondern hängt in erheblichem Maße von den organisatorischen und personellen Rahmenbedingungen ab. Der IT-Grundschutz trägt dem Ganzen Rechnung, indem er über die auf dem Stand der Technik basierenden Bausteine sowohl techni­sche als auch nicht technische Sicherheitsanforderungen für typische Geschäftsbereiche, Anwendun­gen und Systeme beschreibt. Im Vordergrund stehen dabei praxisnahe und handlungsorientierte Si­cherheitsanforderungen mit dem Ziel, die Einstiegshürde in den Sicherheitsprozess so niedrig wie möglich zu halten und hochkomplexe Vorgehensweisen zu vermeiden.
Unter dem Dach des IT-Grundschutzes werden mit der Basis-, der Standard- und der Kern-Absiche­rung verschiedene Vorgehensweisen angeboten, um den Institutionen je nach Art und Größe passen­de Instrumente zum Schutz ihrer Informationsverbünde an die Hand zu geben.
2.2 Managementsystem für die Informationssicherheit
Im BSI-Standard 200-2 wird dargestellt, wie ein effizientes Managementsystem für die Informations­sicherheit aufgebaut und wie das IT-Grundschutz-Kompendium im Rahmen dieser Aufgabe verwen­det werden kann. Die Vorgehensweisen nach IT-Grundschutz in Kombination mit dem IT-Grund­schutz-Kompendium bieten eine systematische Methodik zur Erarbeitung von Sicherheitskonzepten und praxiserprobten Sicherheitsmaßnahmen, die in zahlreichen Behörden und Unternehmen erfolg­reich eingesetzt werden.
Die Bausteine im IT-Grundschutz-Kompendium werden ständig weiterentwickelt und bedarfsgerecht um aktuelle Fachthemen ergänzt. Alle Informationen rund um den IT-Grundschutz sind kostenfrei über die Website des BSI abrufbar. Um die internationale Zusammenarbeit von Behörden und Unter­
Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für eine Institution existenzbedrohend werden kann. Dabei ist ein vernünftiger Informationsschutz eben­ so wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen.2.4 Elemente des IT-Grundschutzes
nehmen zu unterstützen, werden alle Dokumente rund um den IT-Grundschutz auch in englischer Sprache und in elektronischer Form zur Verfügung gestellt.
Immer mehr Geschäftsprozesse werden über Informations- und Kommunikationstechnik miteinander verknüpft. Dies geht einher mit einer steigenden Komplexität der technischen Systeme und mit einer hohen Abhängigkeit vom korrekten Funktionieren der Technik. Daher ist ein geplantes und organisier­tes Vorgehen aller Beteiligten notwendig, um ein angemessenes und ausreichendes Sicherheitsniveau durchzusetzen und aufrechtzuerhalten. Eine Verankerung dieses Prozesses in allen Geschäftsbereichen kann nur gewährleistet werden, wenn dieser zur Aufgabe der obersten Leitungs- bzw. Management­ebene wird. Die oberste Managementebene ist verantwortlich für das zielgerichtete und ordnungsge­mäße Funktionieren einer Institution und damit auch für die Gewährleistung der Informationssicherheit nach innen und außen. Daher muss diese den Sicherheitsprozess initiieren, steuern und kontrollieren.
Dazu gehören strategische Leitaussagen zur Informationssicherheit, konzeptionelle Vorgaben und auch organisatorische Rahmenbedingungen sowie ausreichende Ressourcen, um Informationssicher­heit innerhalb aller Geschäftsprozesse erreichen zu können.
2.3 Verantwortung für die Informationssicherheit
Die Verantwortung für Informationssicherheit verbleibt in jedem Fall bei der obersten Management­ebene, die Aufgabe „Informationssicherheit“ wird allerdings typischerweise an einen Beauftragten für Informationssicherheit delegiert. In den IT-Grundschutz-Dokumenten wurde bisher die Bezeich­
nung IT-Sicherheitsbeauftragter verwendet, da dieser Begriff in Unternehmen und Behörden lange Zeit der am weitesten verbreitete war. Die Bezeichnung Informationssicherheitsbeauftragter oder kurz IS-Beauftragter (ISB) ist allerdings treffender und ersetzt daher im IT-Grundschutz die alte Be­zeichnung. Andere Varianten sind CISO (Chief Information Security Officer) oder Informationssicher­heitsmanager (ISM).
Informationssicherheit umfasst den umfangreicheren Bereich des Schutzes von Informationen, zwar in und mit IT, aber auch ohne IT bzw. über IT hinaus. Somit ist IT-Sicherheit ein Teilbereich der Infor­mationssicherheit und beschäftigt sich gezielt mit dem Schutz der eingesetzten IT. In großen Institu­tionen kann es weiterhin neben dem ISB auch einen dedizierten Beauftragten für IT-Sicherheit geben.
Dieser ist dann typischerweise im IT-Bereich tätig, während der ISB unmittelbar der Leitungsebene zuarbeitet.
Wenn diese Randbedingungen in einer konkreten Situation nicht gegeben sind, sollte zunächst ver­sucht werden, die fehlenden Sicherheitsmaßnahmen auf Arbeitsebene umzusetzen. In jedem Fall sollte aber darauf hingewirkt werden, die Leitungsebene für die Belange der Informationssicherheit zu sensibilisieren, sodass sie zukünftig ihrer Verantwortung Rechnung trägt. Der vielfach zu beobachtende, sich selbst auf Arbeitsebene initiierende Informationssicherheitsprozess führt zwar zu einer punktuellen Verbesserung der Sicherheitssituation, garantiert jedoch kein dauerhaftes Fortentwickeln des Informationssicherheitsniveaus.
2.4 Elemente des IT-Grundschutzes
Ein fundiertes und gut funktionierendes Sicherheitsmanagement ist die unerlässliche Basis für die zuverlässige und kontinuierliche Umsetzung von Sicherheitsmaßnahmen in einer Institution. Daher findet sich neben der ausführlichen Behandlung in diesem Dokument im IT-Grundschutz-Kompendium ein Baustein Sicherheitsmanagement. Dies dient sowohl dazu, eine einheitliche Methodik bei der Anwendung des IT-Grundschutzes zu erreichen, als auch dazu, das Sicherheitsmanagement seiner 122 Informationssicherheitsmanagement mit IT-Grundschutz
Ergänzend zu den in diesem Standard beschriebenen Vorgehensweisen nach IT-Grundschutz werden im IT-Grundschutz-Kompendium Sicherheitsanforderungen nach dem Stand der Technik formuliert.
Der IT-Grundschutz verfolgt dabei einen ganzheitlichen Ansatz. Durch die geeignete Umsetzung von organisatorischen, personellen, infrastrukturellen und technischen Sicherheitsanforderungen wird mit der Standard-Absicherung ein Sicherheitsniveau erreicht, das für den normalen Schutzbedarf an­
gemessen und ausreichend ist, um geschäftsrelevante Informationen zu schützen. Bei der Umsetzung der Basis-Absicherung wird ein Sicherheitsniveau erreicht, das zwar deutlich unter dem der Stan­dard-Absicherung liegt, aber eine gute Grundlage für Einsteiger bietet. Mit der Kern-Absicherung
können hochschutzbedürftige Informationen und Geschäftsprozesse vorrangig geschützt werden.
Für typische Prozesse, Anwendungen und Komponenten in der Informations-, Kommunikations­ und Fertigungstechnik finden sich in den Bausteinen des IT-Grundschutz-Kompendiums geeignete „Bündel“ mit Sicherheitsanforderungen zur Basis-, Standard- und Kern-Absicherung.
Diese Bausteine sind entsprechend ihrem jeweiligen Fokus in prozess- und systemorientierte Baustei­ne aufgeteilt und nach zusammengehörigen Themen in ein Schichtenmodell einsortiert. Die prozess­orientierten Bausteine finden sich in den folgenden Schichten:
• ISMS (Managementsysteme für Informationssicherheit)
• ORP (Organisation und Personal)
• CON (Konzepte und Vorgehensweisen)
• OPS (Betrieb)
• DER (Detektion und Reaktion)
Die systemorientierten Bausteine sind in die folgenden Schichten gruppiert:
• INF (Infrastruktur)
• NET (Netze und Kommunikation)
• SYS (IT-Systeme)
• APP (Anwendungen)
• IND (Industrielle IT)
Jeder Baustein enthält eine kurze Beschreibung der Thematik und des Ziels, das mit der Umsetzung des Bausteins erreicht werden soll, sowie eine Abgrenzung zu anderen Bausteinen, die einen ähnli­chen thematischen Bezug haben. Weiterhin gibt es einen kurzen Überblick über die spezifischen Ge­fährdungen des betrachteten Themengebietes. Die konkreten Sicherheitsanforderungen für die Ba­sis-, Standard- und Kern-Absicherung bilden den Hauptteil.
Zusätzlich kann es zu den Bausteinen des IT-Grundschutz-Kompendiums Umsetzungshinweise ge­ben. Diese beschreiben, wie die Anforderungen der Bausteine in der Praxis erfüllt werden können, und enthalten dafür passende Sicherheitsmaßnahmen mit detaillierten Beschreibungen, die auf dem Erfahrungsschatz des BSI und von IT-Grundschutz-Anwendern basieren.
Bedeutung angemessen in die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz einbezie­hen zu können.2.6 Übersicht über den Informationssicherheitsprozess
2.5 Thematische Abgrenzung
Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen so­wohl in IT-Systemen, aber auch auf Papier oder in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Das Aktionsfeld der klassischen IT-Sicherheit wird bei der Cyber-Sicherheit auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen ver­bundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Pro­
zesse und verarbeitete Informationen mit ein. Der Begriff „Informationssicherheit“ statt IT-Sicherheit oder Cyber-Sicherheit ist daher umfassender. Der IT-Grundschutz verfolgt seit Langem einen ganz­heitlichen Ansatz, mit dem auch geschäftsrelevante Informationen und Geschäftsprozesse geschützt
werden, die nicht oder nur teilweise mit IT unterstützt werden. Da aber in der Literatur noch überwie­gend der Begriff „IT-Sicherheit“ zu finden ist, wird er auch in dieser sowie in anderen Publikationen
des IT-Grundschutzes weiterhin verwendet, allerdings werden die Texte sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet.
Aufgabe der Informationssicherheit ist der angemessene Schutz der Grundwerte Vertraulichkeit, In­tegrität (Unverfälschtheit) und Verfügbarkeit von Informationen. Dazu gehört auch die Absicherung der Informationsverarbeitung, also insbesondere der IT. Darüber hinaus müssen auch die Systeme
einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie bei­spielsweise ICS- und IoT-Systeme. Außerdem schließt dies auch die Authentizität und Nicht-abstreit­barkeit als Spezialfälle der Integrität ein. Je nach Anwendungsfall kann es hilfreich sein, weitere
Grundwerte in die Betrachtungen einzubeziehen. Im Bereich Datenschutz werden, im Rahmen des Standard-Datenschutzmodells (siehe [SDM]), weitere Schutzziele herangezogen, nämlich Datenmini­
mierung, Intervenierbarkeit (als technische Gestaltung von Verfahren zur Ausübung der Betroffenenrechte), Transparenz und Nichtverkettung (als Sicherung der Zweckbindung).
Die Planungs- und Lenkungsaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement bezeichnet. Aus den gleichen Gründen, die oben für die Be­griffe „Informationssicherheit“ und „IT-Sicherheit“ genannt sind, wird in einigen BSI-Dokumenten statt Informationssicherheitsmanagement (oder der Kurzform IS-Management) noch der Begriff „IT-Sicherheitsmanagement“ verwendet.
2.6 Übersicht über den Informationssicherheitsprozess
Die Vorgehensweisen nach IT-Grundschutz bieten Hilfestellung beim Aufbau und bei der Aufrechter­haltung des Prozesses der Informationssicherheit in einer Institution, indem Wege und Methoden für das generelle Vorgehen, aber auch für die Lösung spezieller Probleme aufgezeigt werden.
Für die Gestaltung des Sicherheitsprozesses ist ein systematisches Vorgehen erforderlich, damit ein angemessenes Sicherheitsniveau erreicht werden kann. Im Rahmen des IT-Grundschutzes besteht der Sicherheitsprozess aus den folgenden Phasen:
• Initiierung des Sicherheitsprozesses
• Übernahme der Verantwortung durch die Leitungsebene
• Konzeption und Planung des Sicherheitsprozesses
• Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen
• Entscheidung für eine Vorgehensweise
142 Informationssicherheitsmanagement mit IT-Grundschutz
• Erstellung der Leitlinie zur Informationssicherheit
• Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement
• Erstellung einer Sicherheitskonzeption
• Umsetzung der Sicherheitskonzeption
• Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit
• Fortentwicklung des ISMS
Die ganzheitliche Umsetzung von Informationssicherheit (Standard-Absicherung) in einem einzelnen großen Schritt ist oft ein zu ehrgeiziges Ziel. Viele kleine Schritte und ein langfristiger, kontinuierlicher Verbesserungsprozess ohne hohe Investitionskosten zu Beginn sind oft erfolgversprechender. So kann
es besser sein, zunächst nur die dringend erforderlichen Sicherheitsvorkehrungen umzusetzen (Ba­sis-Absicherung) oder in Bereichen mit höchsten Sicherheitsanforderungen schnell das erforderliche hohe Sicherheitsniveau zu erreichen (Kern-Absicherung). Von diesen Keimzellen ausgehend, sollte
dann kontinuierlich die Sicherheit in der Gesamtorganisation verbessert werden.

Informationssicherheitsverantwortliche können die Vorgehensweisen nach IT-Grundschutz und das IT-Grundschutz-Kompendium aus verschiedenen Gründen und Zielsetzungen anwenden. Dement­sprechend ist auch die Reihenfolge und Intensität der einzelnen Phasen abhängig vom bereits vorhan­denen Sicherheitsumfeld und dem jeweiligen Blickwinkel der Anwender. Beispielsweise werden bei einer regulären Überarbeitung des Sicherheitskonzepts häufig andere Schwerpunkte als bei der Inte­gration neuer Geschäftsprozesse gesetzt.
Abbildung 1: Phasen des Sicherheitsprozesses
• Erweiterung der gewählten Vorgehensweise2.6 Übersicht über den Informationssicherheitsprozess
Einige der Phasen können auch parallel durchgeführt werden, z. B. kann die Konzeption und Planung des Sicherheitsprozesses gleichzeitig zum Aufbau der Informationssicherheitsorganisation erfolgen.
In diesem Fall müssen die vorgezogenen Phasen mit den neuen Ergebnissen zeitnah aktualisiert wer­den.
Im Folgenden wird eine kurze Darstellung über die Phasen des Sicherheitsprozesses gegeben.
Initiierung des Sicherheitsprozesses
Die Leitungsebene muss den Sicherheitsprozess initiieren, steuern und kontrollieren. Hierfür sind ei­nerseits strategische Leitaussagen zur Informationssicherheit und andererseits organisatorische Rah­menbedingungen erforderlich. Wie ein funktionierender Sicherheitsprozess aufgebaut ist und welche Organisationsstrukturen dafür sinnvoll sind, ist in Kapitel 3 beschrieben.
Erstellung der Leitlinie zur Informationssicherheit
Eine wesentliche Grundlage für die Ausgestaltung des Sicherheitsprozesses ist die Leitlinie zur Infor­mationssicherheit. Sie beschreibt, welche Sicherheitsziele und welches Sicherheitsniveau die Institu­tion anstrebt, was die Motivation hierfür ist und mit welchen Maßnahmen und mit welchen Struktu­ren dies erreicht werden soll. Alle Mitarbeiter sollten daher die Inhalte der Sicherheitsleitlinie kennen
und nachvollziehen können. Was für die Leitlinie und andere Dokumente im Sicherheitsprozess zu beachten ist, wird in Kapitel 3.4 beschrieben.
Aufbau einer geeigneten Organisationsstruktur
Für das Informationssicherheitsmanagement muss eine für Größe und Art der Institution geeignete Organisationsstruktur aufgebaut werden, siehe Kapitel 4.
Erstellung einer Sicherheitskonzeption
Nachdem ein Informationssicherheitsprozess initiiert wurde und die Sicherheitsleitlinie und Informa­tionssicherheitsorganisation definiert wurden, wird die Sicherheitskonzeption für die Institution er­stellt. Als Grundlage hierfür finden sich in den Bausteinen des IT-Grundschutz-Kompendiums für ty­pische Komponenten von Geschäftsprozessen, Anwendungen, IT-Systeme und weitere Objekte ent­sprechende Sicherheitsanforderungen nach dem Stand der Technik. Diese sind thematisch in Bausteine strukturiert, so dass sie modular aufeinander aufsetzen.
Abhängig davon, ob eine Basis-, Standard- oder Kern-Absicherung angestrebt ist, sehen die einzelnen Aktivitäten zur Erstellung einer Sicherheitskonzeption etwas anders aus, grundsätzlich basieren sie aber alle auf den Vorarbeiten, die mit der Erstellung des IT-Grundschutz-Kompendiums geleistet wor­den sind.
Bei Anwendung des IT-Grundschutzes wird ein Soll-Ist-Vergleich zwischen den Sicherheitsanforderun­gen aus den relevanten Bausteinen des IT-Grundschutz-Kompendiums und den in der Institution be­reits realisierten Maßnahmen durchgeführt. Dabei festgestellte fehlende oder nur unzureichend er­füllte Anforderungen zeigen die Sicherheitsdefizite auf, die es durch die Umsetzung von aus den An­forderungen abgeleiteten Maßnahmen zu beheben gilt.
Nur bei einem signifikant höheren Schutzbedarf muss zusätzlich eine Risikoanalyse unter Beachtung von Kosten- und Wirksamkeitsaspekten durchgeführt werden. In der Regel reicht es hierbei aus, die Sicherheitsanforderungen des IT-Grundschutz-Kompendiums durch entsprechende individuelle, qua­
litativ höherwertige Maßnahmen zu ergänzen. Hierzu ist im BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz (siehe [BSI3]) eine im Vergleich zu traditionellen Risikoanalyse-Methoden einfachere Vorgehensweise beschrieben.
162 Informationssicherheitsmanagement mit IT-Grundschutz
Umsetzung von Sicherheitskonzepten
Ein ausreichendes Sicherheitsniveau lässt sich nur erreichen, wenn bestehende Defizite ermittelt, der Status quo in einem Sicherheitskonzept festgehalten, erforderliche Maßnahmen identifiziert und die­
se Maßnahmen insbesondere auch konsequent umgesetzt werden. In Kapitel 9 wird beschrieben, was bei der Umsetzungsplanung von Sicherheitsmaßnahmen beachtet werden muss.
Ziel des Sicherheitsmanagements ist es, das angestrebte Sicherheitsniveau zu erreichen und dieses auch dauerhaft aufrechtzuerhalten und zu verbessern. Daher müssen der Sicherheitsprozess und die
Organisationsstrukturen für Informationssicherheit regelmäßig darauf überprüft werden, ob sie an­ gemessen, wirksam und effizient sind. Ebenso ist zu analysieren, ob die Maßnahmen des Sicherheits­
konzepts noch zum Informationsverbund passen, ob sie praxisnah sind und ob sie korrekt umgesetzt wurden. In Kapitel 10 wird überblicksartig dargestellt, welche Aktionen für die Aufrechterhaltung und
Verbesserung der Informationssicherheit ergriffen werden sollten. Dazu gehört auch, zu überlegen, ob die gewählte Vorgehensweise ergänzt oder erweitert werden soll, beispielsweise von Basis- auf
Standard- oder von Kern-Absicherung eines eingegrenzten Bereiches auf einen größeren Informati­onsverbund.
2.7
Anwendung des IT-Grundschutz-Kompendiums
Nachdem die Leitungsebene mit der Erstellung der Leitlinie zur Informationssicherheit und dem Aufbau der Informationssicherheitsorganisation den Sicherheitsprozess auf der strategischen Ebene de­finiert hat, wird dieser mithilfe der Sicherheitskonzeption auf der operativen Ebene fortgeführt. Somit ist die Erstellung einer Sicherheitskonzeption eine der zentralen Aufgaben des Informationssicher­heitsmanagements. Hier werden die erforderlichen Sicherheitsmaßnahmen identifiziert und doku­mentiert.
Um die sehr heterogenen Ausgestaltungen von Institutionen der verschiedenen Branchen und Grö­ßenordnungen sowie der von ihnen eingesetzten IT- oder ICS-Systeme einschließlich der Einsatzum­gebung besser strukturieren und aufbereiten zu können, verfolgt der IT-Grundschutz das Baukasten­prinzip. Die einzelnen Bausteine, die im IT-Grundschutz-Kompendium beschrieben werden, spiegeln typische Bereiche und Aspekte der Informationssicherheit in einer Institution wider, von übergeord­neten Themen, wie dem IS-Management, der Notfallvorsorge oder der Datensicherungskonzeption bis hin zu speziellen Komponenten einer IT- oder ICS-Umgebung. Das IT-Grundschutz-Kompendium beschreibt die spezifische Gefährdungslage und die Sicherheitsanforderungen für verschiedene Kom­ponenten, Vorgehensweisen und Systeme, die jeweils in einem Baustein zusammengefasst werden.
Das BSI überarbeitet und aktualisiert zusammen mit vielen engagierten Anwendern regelmäßig diebestehenden Bausteine, um die Empfehlungen auf dem Stand der Technik zu halten. Darüber hinaus wird das bestehende Werk regelmäßig um weitere Bausteine ergänzt. Anwender können Bausteine vorschlagen oder erstellen. Unter Federführung des IT-Grundschutz-Teams des BSI werden diese dann zunächst als Community Draft aufbereitet, in den dann weitere Anregungen einfließen können, bevor sie ins IT-Grundschutz-Kompendium aufgenommen werden.
Die Bausteine spielen eine zentrale Rolle in der Methodik des IT-Grundschutzes. Sie sind einheitlich aufgebaut, um ihre Anwendung zu vereinfachen. Jeder Baustein beginnt mit einer kurzen Beschrei­bung der betrachteten Komponente, der Vorgehensweise bzw. des Systems inklusive Zielsetzung sowie einer Abgrenzung zu anderen Bausteinen mit thematischem Bezug. Im Anschluss daran wird die spezifische Gefährdungslage dargestellt.
Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit2.7 Anwendung des IT-Grundschutz-Kompendiums
Danach folgen die Sicherheitsanforderungen, gegliedert nach Basis- und Standard-Anforderungen sowie Anforderungen bei erhöhtem Schutzbedarf. Die im IT-Grundschutz-Kompendium aufgeführ­
ten Basis- und Standard-Anforderungen stellen zusammengenommen den Stand der Technik dar.
Diese müssen für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz erfüllt werden.
In den Anforderungen werden die in Versalien geschriebenen Modalverben „SOLLTE“ und „MUSS“ in ihren jeweiligen Formen sowie den zugehörigen Verneinungen genutzt, um deutlich zu machen, wie die jeweiligen Anforderungen zu interpretieren sind. Die hier genutzte Definition basiert auf
[RFC2119] sowie DIN 820-2:2012, Anhang H [820-2].
MUSS/DARF NUR:
DARF NICHT/DARF KEIN:
SOLLTE:
SOLLTE NICHT/SOLLTE KEIN:
Dieser Ausdruck bedeutet, dass es sich um eine Anforderung han­delt, die unbedingt erfüllt werden muss (uneingeschränkte Anfor­derung).
Dieser Ausdruck bedeutet, dass etwas in keinem Fall getan wer­den darf (uneingeschränktes Verbot).
Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig be­gründet werden.
Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden sollte, es aber Gründe gibt, dies doch zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden.
Sicherheitskonzepte, die mithilfe des IT-Grundschutzes erstellt werden, sind kompakt, da innerhalb des Konzepts jeweils nur auf die entsprechenden Sicherheitsanforderungen im IT-Grund­schutz-Kompendium referenziert werden muss. Dies fördert die Verständlichkeit und die Übersicht­lichkeit. Um die Sicherheitsanforderungen leichter umsetzen zu können, gibt es zu vielen Baustei­nen des IT-Grundschutz-Kompendiums zusätzlich Umsetzungshinweise. Diese beschreiben, wie die Anforderungen der Bausteine in der Praxis erfüllt werden können, und enthalten dafür passende Sicherheitsmaßnahmen mit einer detaillierten Beschreibung. Bei der verwendeten Fachterminolo­gie wird darauf geachtet, dass die Beschreibungen für diejenigen verständlich sind, die die Maß­nahmen realisieren müssen. Zu beachten ist, dass es sich bei den Umsetzungshinweisen um Hilfe­stellungen zur Erfüllung der Anforderungen des jeweiligen Bausteins und nicht um verbindliche Vorgaben handelt.
Hinweis:
Die umfangreichen Informationen rund um IT-Grundschutz ersetzen nicht den gesunden Men­schenverstand. Informationssicherheit zu verstehen, umzusetzen und zu leben, sollte Priorität haben. Das IT-Grundschutz-Kompendium bietet zu vielen Aspekten eine Menge an Informatio­nen und Empfehlungen. Bei deren Bearbeitung sollte immer im Auge behalten werden, dass aus diesen die ffr die jeweilige Institution und ihre Rahmenbedingungen geeigneten Sicherheitsan­forderungen ausgewählt und angepasst werden. Weiterffhrende Informationen zur Anpassung der Baustein-Anforderungen finden sich in Kapitel 8.3.6. Weder die Anforderungen der Baustei­ne des IT-Grundschutz-Kompendiums noch die Maßnahmen der Umsetzungshinweise sollten als pure Checklisten zur Statusfeststellung genutzt werden, sondern mit Augenmaß an die individu­ellen Bedingungen angepasst werden.
182 Informationssicherheitsmanagement mit IT-Grundschutz
Um die Realisierung der Maßnahmen zu vereinfachen, werden die IT-Grundschutz-Texte konsequent auch in elektronischer Form zur Verfügung gestellt. Darüber hinaus wird die Realisierung der Sicher­heitsanforderungen und Maßnahmen auch durch Hilfsmittel und Musterlösungen unterstützt, die teilweise durch das BSI und teilweise auch von Anwendern des IT-Grundschutzes bereitgestellt wer­den.