Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

Transkript

1 Die Modernisierung des IT-Grundschutzes Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah

2 Vorwort Der IT-Grundschutz des BSI ist die bewährte Methode zur Etablierung eines soliden Managementsystems für Informationssicherheit in Unternehmen und Verwaltung. Das dynamische Themengebiet der Informationssicherheit, neue politische Rahmenbedingungen wie das IT-Sicherheitsgesetz und die Bedürfnisse der Anwender haben den Ausschlag für eine grundlegende Überarbeitung des IT-Grundschutz gegeben. Ziel der Modernisierung ist es, besonders kleinen und mittelständischen Unternehmen einen einfachen Einstieg in ein eigenes Sicherheitsmanagement zu ermöglichen. Mit dieser Broschüre möchten wir Sie bereits jetzt über die neuen Entwicklungen beim IT-Grundschutz und das künftige Angebotsportfolio informieren. Arne Schönbohm Präsident des Bundesamtes für Sicherheit in der Informationstechnik

3 Die Angebote des modernisierten IT-Grundschutzes:» Neue Vorgehensweisen» Neuausrichtung der IT-Grundschutz-Profile» Neue Bausteinstruktur und -inhalte Die Basis: Neue Vorgehensweisen Den ersten Einstieg in ein Sicherheitsmanagement liefert die Basis- Absicherung. Mit der Standard-Absicherung wird ein normaler Schutzbedarf adressiert und mit der Kern-Absicherung lassen sich wichtige, ausgewählte Bereiche fokussieren:» Basis-Absicherung Erstabsicherung Zielanwender KMU» Standard-Absicherung Implementierung eines kompletten Sicherheitsprozesses entspricht BSI-Standard ISO Zertifizierung möglich» Kern-Absicherung Fokus auf kleineren Informationsverbund Schutz besonders sensibler Daten und Prozesse Abbildung: Die neuen Vorgehensweisen setzen sich aus drei unterschiedlichen Absicherungsarten zusammen.

4 Die Arbeitsgrundlage: Neue Bausteine Die neuen Vorgehensweisen bedingen auch eine Überarbeitung der Bausteine. Bei ihnen ergeben sich die wichtigsten Neuerungen im Hinblick auf Inhalt, Struktur und Erstellungsprozess: Inhalte:» Aufbereitung der Themen auf Sicherheitsziele ausgerichtet, Bausteine dadurch gestrafft und übersichtlicher» Anforderungen für Basis-, Standard- und Kern-Absicherung» Auswahl der Anforderungen basierend auf aktueller Bedrohungslage und elementaren Gefährdungen» kompaktere Darstellungsweise auf ca. 10 Seiten» neue Themen wie ICS, Detektion und Reaktion» Empfehlungen bei Hochsicherheit Zusätzlich gibt es zu vielen Bausteinen Umsetzungshinweise mit konkreten Empfehlungen. Struktur und Erstellungsprozess:» vereinfachte Handhabung» schnellere Veröffentlichung» zeitnahe Aktualisierung Die Anwender werden bei der Erstellung von Bausteinen und anderen IT-Grundschutz-Veröffentlichungen einbezogen, z.b. stehen Bausteine als Community Drafts zur Kommentierung online.

5 Ihr Werkzeug: Die IT-Grundschutz-Profile Die IT-Grundschutz-Profile sind als Schablonen konzipiert, mit denen unterschiedliche Anwender(gruppen) den IT-Grundschutz an die Anforderungen in ihrer Institution anpassen können. Das Profil-Konzept:» modulare Anpassung der IT-Grundschutz-Methodik» typische IT-Szenarien abbilden» Erstellung durch Branchen, Verbände und (einzelne) Institutionen» Schablonen dienen weiteren Anwendern für ihr Sicherheitsmanagement Abbildung: Von Abgrenzung bis Risikobehandlung auf Basis eines veröffentlichten Profils sollen weitere Anwender eigene Sicherheitsbetrachtungen für ihre Institution vornehmen können.

6 Kontakt Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Telefon: +49 (0) Telefax: +49 (0) Internet: Stand: August 2016 Bildnachweis: Titelbild: Fotolia, Titelgraphik: BSI Sonstige Bilder/Graphiken: BSI Artikelnummer: BSI-Fbl16/CK01