Begriffsdefinition GS++

Aus ISMS-Ratgeber WiKi
Version vom 5. Dezember 2025, 15:42 Uhr von Dirk (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{#seo: |title=Definition für typische Begriffe aus dem Grundschutz++ |description=Hier sind typische Begriffe aus dem Grundschutz++ definiert.}} {{SHORTDESC:Definition für typische Begriffe aus dem Grundschutz++.}} ''Hier sind typische Begriffe aus dem Grundschutz++ definiert.'' <onlyinclude> === Anforderungen === Anforderungen beschreiben, was umgesetzt werden muss, um ein bestimmtes Sicherheitsniveau zu erreichen. Sie beziehen sich auf organisator…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen


Hier sind typische Begriffe aus dem Grundschutz++ definiert.


Anforderungen

Anforderungen beschreiben, was umgesetzt werden muss, um ein bestimmtes Sicherheitsniveau zu erreichen. Sie beziehen sich auf organisatorische, personelle, technische und infrastrukturelle Aspekte der Informationssicherheit.

Wie eine Anforderung praktisch erfüllt wird, wird durch passende Maßnahmen festgelegt.

In englischen Standards wird für Anforderungen häufig der Begriff „control“ verwendet.

Im Grundschutz++ wird der Verbindlichkeitsgrad analog zum klassischen IT-Grundschutz durch das Modalverb der Anforderung festgelegt:

  • MUSS → verpflichtend, keine Abweichungen zulässig.
  • SOLLTE → grundsätzlich verpflichtend, Ausnahmen mit Begründung möglich.
  • KANN → optional, je nach Situation sinnvoll.

Assets

Assets sind alle materiellen oder immateriellen Werte einer Organisation, die für den Geschäftsbetrieb erforderlich sind. Dazu gehören z. B. Informationen, IT-Systeme, Software, Gebäude oder Fachwissen. Sie stellen die Grundlage für die Erreichung von Organisations- oder Geschäftsziele dar.

Gleichartige und gleich behandelte Assets sollten sinnvoll zusammen gefasst (gruppiert) und als ein Asset behandet werden.

Assets entsprechen damit weitgehend den "Zielobjekten" im klassischen IT-Grundschutz.

Blaupausen

Eine Blaupause ist eine vordefinierte Vorlage mit einer Auswahl relevanter Zielobjekte und Praktiken und zugehöriger Sicherheitsanforderungen. Sie dient als Einstiegshilfe für Organisationen, um basierend auf dem initialen Schutzbedarf (normal oder erhöht) passende Maßnahmen rasch zu identifizieren und umzusetzen, ohne eine vollständige eigene Modellierung vornehmen zu müssen.

Im Gegensatz zur traditionellen IT-Grundschutz-Methodik, die eine detaillierte Strukturanalyse und Modellierung erfordert, ermöglicht die Blaupause einen effizienten, risikoorientierten Top-down-Ansatz und kann an den Geltungsbereich angepasst werden, um den PDCA-Zyklus eines ISMS zu unterstützen.

Du kannst Blaupausen nutzen, um den Umstieg von älteren Grundschutz-Versionen zu erleichtern oder neu einzusteigen, indem Du den Schutzbedarf deines Informationsverbunds bewertest und die passende Vorlage als Ausgangspunkt wählst. Ergänzende Anpassungen erfolgen durch GAP-Analysen.

Blaupausen entsprechen damit in etwa den "Profilen" im klassischen IT-Grundschutz.

Geltungsbereich

Der Geltungsbereich (Scope) definiert, für welchen organisatorischen und fachlichen Bereich das Informationssicherheitsmanagementsystem (ISMS) gilt. Er legt fest, welche Standorte, Systeme, Prozesse oder Einheiten vom ISMS abgedeckt werden und welche nicht. Damit wird klar abgegrenzt, wo das ISMS anzuwenden ist.

Informationssicherheitsmanagementsystem (ISMS)

Das ISMS ist ein systematischer Ansatz, um Informationssicherheit in einer Organisation zu planen, zu steuern, zu überwachen und fortlaufend zu verbessern.

Es stellt sicher, dass Sicherheitsstrategien und -maßnahmen regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst werden. Ziel ist ein dauerhaft wirksamer, ganzheitlicher Schutz von Informationen.

Informationsverbund

Ein Informationsverbund umfasst alle technischen, organisatorischen, personellen und infrastrukturellen Komponenten, die gemeinsam Aufgaben der Informationsverarbeitung erfüllen.

Dies kann die gesamte Institution oder abgegrenzte Bereiche (z. B. einzelne Abteilungen oder IT-Systemgruppen) betreffen, die durch gemeinsame Prozesse oder Strukturen verbunden sind.

Maßnahmen

Maßnahmen sind konkrete Handlungen, Vorgaben oder technische Umsetzungen, die dazu dienen, erkannte Risiken zu steuern und Anforderungen zu erfüllen. Sie können organisatorischer, personeller, technischer oder infrastruktureller Art sein und sollen die Informationssicherheit (die Umsetzung der Anforderungen) wirksam sicherstellen.

Praktiken

Praktiken fassen Anforderungen zu thematischen Gruppen zusammen, die typischerweise bestimmten Rollen oder Prozessen zugeordnet werden. Dadurch wird klar, wer für die Umsetzung verantwortlich ist.

Es gibt drei Arten von Praktiken:

  • ISMS-Praktiken (übergreifendes Management nach dem PDCA-Zyklus)
  • Organisatorische Praktiken
  • Technische Praktiken

Die ISMS-Praktiken bilden den Regelkreis zur laufenden Steuerung und Verbesserung der Informationssicherheit.

Schutzbedarf

Der Schutzbedarf zeigt, wie stark Informationen, Systeme oder Prozesse geschützt werden müssen. Er ergibt sich aus möglichen Auswirkungen auf die Grundwerte:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Je nach Bewertung wird der Schutzbedarf als „normal“ oder „hoch“ eingestuft und bestimmt das erforderliche Sicherheitsniveau sowie die Auswahl passender Anforderungen.

Sicherheitsleitlinie

Die Sicherheitsleitlinie ist das grundlegende Dokument für Informationssicherheit in einer Organisation.

Sie beschreibt Ziele, Prinzipien und Strategien, mit denen Informationssicherheit erreicht werden soll. Sie legt fest, welche Bedeutung Informationssicherheit hat, welche Ziele verfolgt werden und wie Verantwortlichkeiten verteilt sind. Damit definiert sie das angestrebte Sicherheitsniveau.

Sicherheitsniveau

Das Sicherheitsniveau gibt an, in welchem Maß die definierten Sicherheitsziele erreicht sind. Es ergibt sich aus der wirksamen Umsetzung organisatorischer, technischer und personeller Anforderungen.

Unterschieden werden:

  • Normales Sicherheitsniveau: entspricht dem Stand der Technik
  • Erhöhtes Sicherheitsniveau: für besonders schutzbedürftige Informationen oder Systeme

Stufen

Alle Anforderungen werden einer Prioritätsstufe zugeordnet, um die Umsetzung effizient zu gestalten:

  • Stufe 0: Zwingend (sofort) umzusetzende Anforderungen zur Sicherstellung der ISO-Kompatibilität (MUSS-Anforderungen).

Die Stufen 1-4 geben den Umsetzungsaufwand der Anforderungen wieder:

  • Stufe 1: Schnell und mit geringem Aufwand (~1 Tag) realisierbare Maßnahmen (QuickWin) / keine laufenden Aufwände.
  • Stufe 2: Mit eigenen Mitteln leicht umsetzbare Anforderung (~1 Woche) / geringe laufende Aufwände.
  • Stufe 3: Mit normalem Aufwand (mehrere Wochen) und ggf. externer Unterstützung umsetzbar / normale laufende Aufwände.
  • Stufe 4: Höherer Umsetzungsaufwand, häufig in längerfristigen Projekten mit externen Experten.

Die nächste Stufe sind optionale Anforderungen als Vorschläge bei erhöhtem Schutzbedarf.

  • Stufe 5: Umfassende/zusätzliche Anforderungen für höheren Schutzbedarf.

Diese Einstufung ermöglicht eine schnelle Einschätzung des Umsetzungsaufwands und hilft bei der effizienten Ressourcenplanung.

Zielobjekte

Zielobjektkategorien und Zielobjekte sind Bestandteile eines Informationsverbunds, denen spezifische Anforderungen zugeordnet sind. Das können sowohl physische Objekte (z. B. Server, Räume) als auch logische Objekte (z. B. Anwendungen, Datenbestände) sein. Die Zielobjekte entsprechen damit eher den "Bausteinen" im klassischen IT-Grundschutz.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Begriffsdefinition_GS%2B%2B&oldid=1895