IT Grundschutz

Question 1

Derzeit besteht der IT-Grundschutz aus vier BSI-Standards und dem Kompendium:

Answer 1

• BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS),
• BSI-Standard 200-2 IT-Grundschutz-Methodik,
• BSI-Standard 200-3 Risikomanagement,
• BSI-Standard 200-4 Business Continuity Management System (BCMS),
• IT-Grundschutz-Kompendium.

Question 2

BSI-Standard 200-1 Managementsysteme für Informationssicherheit (ISMS):

Answer 2

Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).“

Question 3

BSI-Standard 200-2 IT-Grundschutz-Methodik:

Answer 3

„Der Standard bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden
Informationssicherheitsmanagements (ISMS).“

Question 4

BSI-Standard 200-3 Risikomanagement:

Answer 4

Der Standard beinhaltet gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Er dient der Risikoanalyse

Question 5

BSI-Standard 200-4 Business Continuity Management System:

Answer 5

Der modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business
Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren.

Question 6

IT-Grundschutz-Kompendium:

Answer 6

Institutionen/Unternehmen müssen Gefahren identifizieren, bewerten und begegnen können. Das BSI hat dazu eine generische Gefährdungsanalyse erstellt und 47 elementare Gefährdungen (nummeriert als G 0.x) bestimmt und aufgelistet.

Question 7

Kompendium elementare Gefährdungen

Answer 7

G 0.1 Feuer
G 0.2 Ungünstige klimatische Bedingungen
G 0.3 Wasser
G 0.4 Verschmutzung, Staub, Korrosion
G 0.5 Naturkatastrophen
G 0.6 Katastrophen im Umfeld
G 0.7 Großereignisse im Umfeld
G 0.8 Ausfall oder Störung der Stromversorgung
G 0.9 Ausfall oder Störung von Kommunikationsnetzen
G 0.10 Ausfall oder Störung von Versorgungsnetzen
G 0.11 Ausfall oder Störung von Dienstleistern
G 0.12 Elektromagnetische Störstrahlung
G 0.13 Abfangen kompromittierender Strahlung
G 0.14 Ausspähen von Informationen (Spionage)

Question 8

Erstellung einer Sicherheitskonzeption nach der Basis-Absicherung

Answer 8

1. Initiierung des Sicherheitsprozesses:
   - Verantwortung übernehmen/der
   Informationssicherheitsbeauftragte als zentrale Rolle.
   - Geltungsbereich: der
   Informationsverbund
   - Sicherheitsziele festlegen und Leitlinien erstellen
2. Organisation des Sicherheitsprozesses:
   - Aufbau einer Organisation zur
   Informationssicherheit
   - Integration in bestehende Abläufe und Prozesse
   - Konzeption und Planung des
   Sicherheitsprozesses
3. Durchführung des Sicherheitsprozesses:
   - Auswahl und Priorisierung der Bausteine (Modellierung)
   - IT-Grundschutz-Check
   - Umsetzung der Sicherheitskonzeption

Question 9

Sicherheitsrelevante Themen für die Leitungsebene:

Answer 9

• Sicherheitsrisiken für die Institution und deren Informationen
• Auswirkungen und Kosten im Schadensfall
• Auswirkungen von Sicherheitsvorfällen auf kritische Geschäftsprozesse
• Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben
• die für eine Branche typischen Vorgehensweisen zur Informationssicherheit
• der aktuelle Stand der Informationssicherheit in der Institution mit abgeleiteten Handlungsempfehlungen

Question 10

Verantwortung durch die Leitungsebene:

Answer 10

• Die Leitungsebene trägt die Gesamtverantwortung für Informationssicherheit.
• Die Leitungsebene muss jederzeit über mögliche Risiken und Konsequenzen für die Informationssicherheit
  informiert sein.
• Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und benennt einen Verantwortlichen Informationssicherheitsbeauftragten (ISB).
• Die Leitungsebene unterstützt den ISB vollständig und stellt ausreichende Ressourcen bereit, um die gesetzten Ziele erreichen zu können.

Question 11

Zuständigkeiten und Aufgaben des ISB:

Answer 11

• Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken
• die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen
• die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und Sicherheitsrichtlinien koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit erlassen
• die Realisierung von Sicherheitsmaßnahmen initiieren und überprüfen
• der Leitungsebene über den Status quo der Informations-sicherheit berichten
• sicherheitsrelevante Projekte koordinieren
• Sicherheitsvorfälle untersuchen
• Sensibilisierungs- und Schulungsmaßnahmen zur Infor-mationssicherheit initiieren und koordinieren

Question 12

Definition des Informationsverbundes:

Answer 12

• Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der
  Geltungsbereich beinhalten soll.
• Den Geltungsbereich eindeutig abgrenzen.
• Schnittstellen zu externen Partnern beschreiben.

Question 13

Beispiele für Sicherheitsziele:

Answer 13

• hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit,
  Integrität, Vertraulichkeit)
• Gewährleistung der guten Reputation der Institution in der Öffentlichkeit
• Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte
• Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
• »Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
• »Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit

Question 14

Erstellung einer Sicherheitsleitlinie:

Answer 14

• zu beteiligende Organisationseinheiten für die Sicherheitsleitlinie identifizieren
• »gemeinsam Geltungsbereich und Inhalte festlegen
• »Inkraftsetzung der Sicherheitsleitlinie durch die Leitungs-ebene veranlassen
• »Sicherheitsleitlinie bekannt geben
• »Sicherheitsleitlinie regelmäßig überprüfen und ggf. aktualisieren

Question 15

Organisation des Sicherheitsprozesses und der Rahmenbedingungen:

Answer 15

• Rollen und Aufgaben für die Gestaltung des Informationssicherheitsprozesses definieren, zuordnen und
  dokumentieren
• Informationssicherheitsmanagement in die Abläufe und Prozesse integrieren
• Geschäftsprozesse und die damit verbundenen datenverarbeitungsrelevanten Unterstützungsfunktionen
  identifizieren und in Bezug auf deren Schutz priorisieren
• Berücksichtigung aller relevanten Rahmenbedingungen, Richtlinien und Gesetze

Question 16

Modellierung nach IT-Grundschutz:

Answer 16

• Identifikation der relevanten Module/Bausteine nach dem Grundschutz
• Reihenfolge bei der Umsetzung unter der Berücksichtigung relevanter Zielobjekte (Prozesse, Anwendungen,
  IT-Systeme etc.) festlegen
• Abschätzung des Sicherheitsniveaus
• Erstellung eines grafischen Netzplans unter Berücksichtigung der IT-Infrastruktur, der Geschäftsprozesse und
  der Beziehungen zueinander

Question 17

Initiierung und Test des Sicherheitsprozesses:

Answer 17

• Erfüllung der typische Komponenten von Geschäftsprozessen, Anwendungen und IT-Systemen
  organisatorische, personelle, infrastrukturelle und technische Anforderungen aus dem IT-Grundschutz-Kompendium
• Festlegung konkreter Maßnahmen zu den Anforderungen
• Kosten- und Aufwandsschätzung
• Durchführung eines IT-Grundschutzchecks für die Basis-Absicherung sowie Dokumentation der Ergebnisse
• Festlegung der Umsetzungsreihenfolge der Maßnahmen, Aufgaben und Verantwortung

Question 18

Durchführung des Sicherheitsprozesses:

Answer 18

• Kern-Absicherung in Bezug auf besonders gefährdeten Geschäftsprozesse und Assets
• Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise. Mit der Standard-Absicherung kann ein ISB die Assets und Prozesse einer Institution sowohl umfassend als auch in der Tiefe absichern