Leitfaden Grundschutz++ umsetzen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Einleitung

Dieser Umsetzungsleitfaden dient als Praxisanleitung für den Einstieg oder Umstieg in die Methodik des BSI Grundschutz++. Er unterstützt insbesondere Organisationen, die erstmals oder neu strukturiert die Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) nach Grundschutz++ umsetzen wollen. Ziel ist es, die Einstiegshürde niedrig zu halten, grundlegende Schritte verständlich zu erklären und den Auf- sowie Ausbau eines wirksamen und ganzheitlichen Sicherheitsprozesses nach der neuen Vorgehensweisen zu erleichtern.

Dabei bietet der Leitfaden Orientierung beim Umgang mit der neuen Grundschutzmethodik, der Modellierung des Informationsverbunds und der Auswahl sinnvoller Maßnahmen – ganz gleich, ob gerade erst mit Grundschutz++ begonnen wird oder ein Umstieg vom klassischen IT-Grundschutz-Kompendium erfolgt.

Begriffsdefinition

Hier sind typische Begriffe aus dem Grundschutz++ definiert.

Anforderungen

Anforderungen beschreiben, was umgesetzt werden muss, um ein bestimmtes Sicherheitsniveau zu erreichen. Sie beziehen sich auf organisatorische, personelle, technische und infrastrukturelle Aspekte der Informationssicherheit.

Wie eine Anforderung praktisch erfüllt wird, wird durch passende Maßnahmen festgelegt.

In englischen Standards wird für Anforderungen häufig der Begriff „control“ verwendet.

Im Grundschutz++ wird der Verbindlichkeitsgrad analog zum klassischen IT-Grundschutz durch das Modalverb der Anforderung festgelegt:

  • MUSS → verpflichtend, keine Abweichungen zulässig.
  • SOLLTE → grundsätzlich verpflichtend, Ausnahmen mit Begründung möglich.
  • KANN → optional, je nach Situation sinnvoll.

Assets

Assets sind alle materiellen oder immateriellen Werte einer Organisation, die für den Geschäftsbetrieb erforderlich sind. Dazu gehören z. B. Informationen, IT-Systeme, Software, Gebäude oder Fachwissen. Sie stellen die Grundlage für die Erreichung von Organisations- oder Geschäftsziele dar.

Gleichartige und gleich behandelte Assets sollten sinnvoll zusammen gefasst (gruppiert) und als ein Asset behandet werden.

Assets entsprechen damit weitgehend den "Zielobjekten" im klassischen IT-Grundschutz.

Blaupausen

Eine Blaupause ist eine vordefinierte Vorlage mit einer Auswahl relevanter Zielobjekte und Praktiken und zugehöriger Sicherheitsanforderungen. Sie dient als Einstiegshilfe für Organisationen, um basierend auf dem initialen Schutzbedarf (normal oder erhöht) passende Maßnahmen rasch zu identifizieren und umzusetzen, ohne eine vollständige eigene Modellierung vornehmen zu müssen.

Im Gegensatz zur traditionellen IT-Grundschutz-Methodik, die eine detaillierte Strukturanalyse und Modellierung erfordert, ermöglicht die Blaupause einen effizienten, risikoorientierten Top-down-Ansatz und kann an den Geltungsbereich angepasst werden, um den PDCA-Zyklus eines ISMS zu unterstützen.

Du kannst Blaupausen nutzen, um den Umstieg von älteren Grundschutz-Versionen zu erleichtern oder neu einzusteigen, indem Du den Schutzbedarf deines Informationsverbunds bewertest und die passende Vorlage als Ausgangspunkt wählst. Ergänzende Anpassungen erfolgen durch GAP-Analysen.

Blaupausen entsprechen damit in etwa den "Profilen" im klassischen IT-Grundschutz.

Geltungsbereich

Der Geltungsbereich (Scope) definiert, für welchen organisatorischen und fachlichen Bereich das Informationssicherheitsmanagementsystem (ISMS) gilt. Er legt fest, welche Standorte, Systeme, Prozesse oder Einheiten vom ISMS abgedeckt werden und welche nicht. Damit wird klar abgegrenzt, wo das ISMS anzuwenden ist.

Informationssicherheitsmanagementsystem (ISMS)

Das ISMS ist ein systematischer Ansatz, um Informationssicherheit in einer Organisation zu planen, zu steuern, zu überwachen und fortlaufend zu verbessern.

Es stellt sicher, dass Sicherheitsstrategien und -maßnahmen regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst werden. Ziel ist ein dauerhaft wirksamer, ganzheitlicher Schutz von Informationen.

Informationsverbund

Ein Informationsverbund umfasst alle technischen, organisatorischen, personellen und infrastrukturellen Komponenten, die gemeinsam Aufgaben der Informationsverarbeitung erfüllen.

Dies kann die gesamte Institution oder abgegrenzte Bereiche (z. B. einzelne Abteilungen oder IT-Systemgruppen) betreffen, die durch gemeinsame Prozesse oder Strukturen verbunden sind.

Maßnahmen

Maßnahmen sind konkrete Handlungen, Vorgaben oder technische Umsetzungen, die dazu dienen, erkannte Risiken zu steuern und Anforderungen zu erfüllen. Sie können organisatorischer, personeller, technischer oder infrastruktureller Art sein und sollen die Informationssicherheit (die Umsetzung der Anforderungen) wirksam sicherstellen.

Praktiken

Praktiken fassen Anforderungen zu thematischen Gruppen zusammen, die typischerweise bestimmten Rollen oder Prozessen zugeordnet werden. Dadurch wird klar, wer für die Umsetzung verantwortlich ist.

Es gibt drei Arten von Praktiken:

  • ISMS-Praktiken (übergreifendes Management nach dem PDCA-Zyklus)
  • Organisatorische Praktiken
  • Technische Praktiken

Die ISMS-Praktiken bilden den Regelkreis zur laufenden Steuerung und Verbesserung der Informationssicherheit.

Schutzbedarf

Der Schutzbedarf zeigt, wie stark Informationen, Systeme oder Prozesse geschützt werden müssen. Er ergibt sich aus möglichen Auswirkungen auf die Grundwerte:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Je nach Bewertung wird der Schutzbedarf als „normal“ oder „hoch“ eingestuft und bestimmt das erforderliche Sicherheitsniveau sowie die Auswahl passender Anforderungen.

Sicherheitsleitlinie

Die Sicherheitsleitlinie ist das grundlegende Dokument für Informationssicherheit in einer Organisation.

Sie beschreibt Ziele, Prinzipien und Strategien, mit denen Informationssicherheit erreicht werden soll. Sie legt fest, welche Bedeutung Informationssicherheit hat, welche Ziele verfolgt werden und wie Verantwortlichkeiten verteilt sind. Damit definiert sie das angestrebte Sicherheitsniveau.

Sicherheitsniveau

Das Sicherheitsniveau gibt an, in welchem Maß die definierten Sicherheitsziele erreicht sind. Es ergibt sich aus der wirksamen Umsetzung organisatorischer, technischer und personeller Anforderungen.

Unterschieden werden:

  • Normales Sicherheitsniveau: entspricht dem Stand der Technik
  • Erhöhtes Sicherheitsniveau: für besonders schutzbedürftige Informationen oder Systeme

Zielobjekte

Zielobjektkategorien und Zielobjekte sind Bestandteile eines Informationsverbunds, denen spezifische Anforderungen zugeordnet sind. Das können sowohl physische Objekte (z. B. Server, Räume) als auch logische Objekte (z. B. Anwendungen, Datenbestände) sein. Die Zielobjekte entsprechen damit eher den "Bausteinen" im klassischen IT-Grundschutz.

Definition des Informationsverbunds

Modellierung

Asset Erfassung (Strukturanalyse)

Die Erfassung der relevanten Assets erfolgt wie gewohnt in Komponentenlisten in den folgenden Kategorien:

Informationen

Informationen bilden den Kernwert des Informationsverbunds und müssen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit bewertet werden, da ihr Verlust oder Missbrauch direkte Geschäftsschäden verursacht.

Beispiel: Daten, Dokumente, Datenbanken und Wissensbestände unabhängig vom Speichermedium, z. B. Geschäftsdaten, Verträge oder Geschäftsgeheimnisse.​

Anwendungen

Sie verarbeiten und speichern Informationen; ihr Schutzbedarf vererbt sich auf zugrunde liegende IT-Systeme und bestimmt Maßnahmen gegen Ausfälle oder Manipulationen.

Beispiel: Softwarelösungen wie ERP-Systeme, Datenbanken, Webanwendungen oder Geschäftsanwendungen.​

Nutzende

Sie greifen auf Assets zu und stellen das schwächste Glied dar; Schutzmaßnahmen fokussieren Sensibilisierung und Zugriffsrechte, um Insider-Risiken zu minimieren.

Beispiel: Personen oder Rollen wie Mitarbeitende, externe Dienstleistende, Endbenutzer, Prozessverantwortliche oder Administrierende.

IT-Systeme

Sie hosten Anwendungen und Informationen; der Schutzbedarf ergibt sich aus Vererbung und schützt vor Hardwareausfällen oder Angriffen auf die Basisinfrastruktur.

Beispiel: Hardware wie Server, Arbeitsplatzrechner, Speichersysteme oder Virtualisierungsplattformen.

Netze

Sie ermöglichen den Datenfluss zwischen Assets; Maßnahmen sichern den sicheren Transport und verhindern unbefugten Zugriff oder Abhörangriffe.

Beispiel: Kommunikationsinfrastrukturen wie LAN, WAN, WLAN, Firewalls oder VPN-Verbindungen.

Standorte

Sie beherbergen alle anderen Assets; Schutz adressiert physische Bedrohungen wie Einbruch oder Katastrophen und gewährleistet die Verfügbarkeit des gesamten Informationsverbunds.

Beispiele: Physische Orte wie Gebäude, Rechenzentren, Räume oder Arbeitsplätze.

Gruppierung der Assets

Um die Komplexität und den Aufwand zu reduzieren, sollten Assets sinnvoll gruppiert werden. Dabei sollten gleiche und gleich zu behandelnde Assets zu einem Asset zusammen gefasst werden.

Zielobjektmapping

Jedes Asset wird einem oder mehreren passenden Zielobjekten zugewiesen.

Vererbung der Zielobjekte

Für die zugewiesenen Zielobjekte müssen auch alle darüber liegenden Zielobjekte in der Hierarchie zugewiesen werden.

Fazit

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Leitfaden_Grundschutz%2B%2B_umsetzen&oldid=1889