IT-Grundschutz des BSI
Der IT-Grundschutz des deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine definierte Vorgehensweise zum Schutz von IT-Systemen. Der IT-Grundschutz soll Unternehmen und Organisationen helfen, notwendige Sicherheitsmaßnahmen strukturiert zu identifizieren und umzusetzen.
Ziel der vorgegebenen Vorgehensweise ist das Erreichen eines angemessenen und ausreichenden mittleren Schutzniveaus für IT-Systeme. Dieses Ziel soll erreicht werden über:
- technische Sicherheitsmaßnahmen nach IT-Grundschutz-Katalogen
- infrastrukturelle, organisatorische und personelle Schutzmaßnahmen
Gemäß der definierten Vorgehensweise sind dabei folgende Schritte zu durchlaufen:
- Definition des Informationsverbundes
- Durchführung einer IT-Strukturanalyse
- Durchführung einer Schutzbedarfsfeststellung
- Modellierung
- Durchführung eines Basis-Sicherheitschecks
- Durchführung einer ergänzenden Sicherheitsanalyse (evtl. anschließende Risikoanalyse)
- Konsolidierung der Maßnahmen
- Umsetzung der IT-Grundschutzmaßnahmen
Abgrenzung zur ISO 2700x
Der wesentliche Unterschied zur internationalen Standardreihe ISO/IEC 2700x ist, dass der IT-Grundschutz auf eine detaillierte, individuelle Risikoanalyse mit Unterscheidung nach Eintrittswahrscheinlichkeiten und Schadensauswirkungen verzichtet. Stattdessen geht der IT-Grundschutz von von pauschalen Gefährdungen von IT-Systemen aus und definiert darauf aufbauend Standardmethoden und -maßnahmen, die die verschiedenen Bereiche Personal, Gebäude, Software, Hardware, Organisation und Kommunikationsnetze abdecken. Der Grundschutz stellt damit eine Art Kochrezept zur Umsetzung eines normalen Schutzniveaus zur Verfügung.
Dem Konzept liegt die Annahme zugrunde, dass individuellen Analysen (individuelle Identifikationen der zu schützenden Assets) und individuelle Sicherheitskonzepte bei Anwendungen mit normalem Schutzbedarf zu aufwendig sind. Der IT-Grundschutz soll vielmehr auch technisch weniger versierte Personen ermöglichen, benötigten Maßnahmen zu identifizieren und deren Umsetzung zu veranlassen.
Nicht desto trotzt ist es auch beim IT-Grundschutz notwendig, im Rahmen der Schutzbedarfsfeststellung individuell für jedes IT-System die zu erwartenden Schäden abzuschätzen, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können, um hieraus die richtige Schutzbedarfskategorie und damit den eigentlichen Schutzbedarf zu ermitteln.
Bestandteile des IT-Grundschutz
Der IT-Grundschutz besteht aus einer Sammlung von Dokumenten, die vom BSI erstellt werden. Die Dokumente werden regelmäßig überarbeitet und technischen Neuerungen angepasst. Sie lassen sich im Wesentlichen in die BSI-Standards und das IT-Grundschutz-Kompendium unterteilen.