Zum Inhalt springen

IT-Grundschutz

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 29. März 2006 um 15:29 Uhr durch Ghw (Diskussion | Beiträge) (Linkfix). Sie kann sich erheblich von der aktuellen Version unterscheiden.

Als IT-Grundschutz bezeichnet man die Standardsicherheitsmaßnahmen für typische IT-Systeme.

Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse. Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet. Es werden drei Schutzbedarfskategorien gebildet mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus dem IT-Grundschutzhandbuch auswählt.

Gemäß Grundschutzverfahren werden folgende Schritte durchlaufen:

  • Definition des IT-Verbundes
  • Durchführung einer IT-Strukturanalyse
  • Durchführung einer Schutzbedarfsfeststellung
  • Durchführung eines Basis Sicherheitschecks
  • Umsetzung der IT-Grundschutzmaßnahmen

Das IT-Grundschutzhandbuch des deutschen Bundesamts für Sicherheit in der Informationstechnik bietet ein "Kochrezept" für ein mittleres Schutzniveau. Dabei wird neben Eintrittswahrscheinlichkeiten und potentieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwändige Sicherheitsanalyse, die Expertenwissen erfordert. Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen.

Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes wird von BSI ein Grundschutz-Zertifikat vergeben. In den Stufen 1 und 2 basiert es auf Selbsterklärungen, in der Stufe 3 erfolgt eine Überprüfung durch einen unabhängigen, vom BSI lizenzierten Auditor. Seit 2006 ist eine Internationalisierung des Zertifizierungsverfahrens möglich. Es werden dann ISO 27001 Zertifikate auf Basis von IT-Grundschutz herausgegeben. ISO 27001 ist der Nachfolger von BS 7799-2. Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards.

Ein Baustein "Datenschutz" liegt derzeit nur als Entwurf vor, ist im GSHB selbst jedoch nicht enthalten. Dieser kann aber vom WWW-Server des Bundesdatenschutzbeauftragter heruntergeladen werden.

Literatur

Abgerufen von „https://de.wikipedia.org/w/index.php?title=IT-Grundschutz&oldid=15143703