IT-Grundschutz-Kompendium

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das IT-Grundschutz-Kompendium ist die zweite grundlegende Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Rahmen des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es aus Sicht des BSI die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten. Im Fokus des IT-Grundschutz-Kompendiums stehen die IT-Grundschutz-Bausteine. Das IT-Grundschutz-Kompendium hat im Jahr 2018 die IT-Grundschutz-Kataloge abgelöst.

Aufbau des IT-Grundschutz-Kompendiums

[Bearbeiten | Quelltext bearbeiten]

Das IT-Grundschutz-Kompendium enthält für unterschiedliche Vorgehensweisen, Komponenten und IT-Systeme Erläuterungen zur Gefährdungslage, Sicherheitsanforderungen sowie weiterführende Informationen. Sie sind jeweils in einem Baustein zusammengefasst sind. Die grundlegende Struktur des IT-Grundschutz-Kompendiums unterteilt die Bausteine in prozess- und systemorientierte Bausteine, zudem sind sie nach Themen in ein Schichtenmodell einsortiert.[1]

Prozess-Bausteine gelten in der Regel für sämtliche oder große Teile eines Informationsverbundes gleichermaßen. System-Bausteine werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.

IT-Grundschutz-Bausteine (Edition 2023)

[Bearbeiten | Quelltext bearbeiten]

Prozess-Bausteine

[Bearbeiten | Quelltext bearbeiten]

ISMS: Sicherheitsmanagement

[Bearbeiten | Quelltext bearbeiten]
  • ISMS.1 Sicherheitsmanagement

ORP: Organisation und Personal

[Bearbeiten | Quelltext bearbeiten]
  • ORP.1 Organisation
  • ORP.2 Personal
  • ORP.3 Sensibilisierung und Schulung zur Informationssicherheit
  • ORP.4 Identitäts- und Berechtigungsmanagement
  • ORP.5 Compliance Management (Anforderungsmanagement)

CON: Konzeption und Vorgehensweise

[Bearbeiten | Quelltext bearbeiten]
  • CON.1 Kryptokonzept
  • CON.2 Datenschutz
  • CON.3 Datensicherungskonzept
  • CON.6 Löschen und Vernichten
  • CON.7 Informationssicherheit auf Auslandsreisen
  • CON.8 Software-Entwicklung
  • CON.9 Informationsaustausch
  • CON.10 Entwicklung von Webanwendungen
  • CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)
  • OPS.1.1.1 Allgemeiner IT-Betrieb
  • OPS.1.1.2 Ordnungsgemäße IT-Administration
  • OPS.1.1.3 Patch- und Änderungsmanagement
  • OPS.1.1.4 Schutz vor Schadprogrammen
  • OPS.1.1.5 Protokollierung
  • OPS.1.1.6 Software-Tests und -Freigaben
  • OPS.1.1.7 Systemmanagement
  • OPS.1.2.2 Archivierung
  • OPS.1.2.4 Telearbeit
  • OPS.1.2.5 Fernwartung
  • OPS.1.2.6 NTP -Zeitsynchronisation
  • OPS.2.2 Cloud-Nutzung
  • OPS.2.3 Nutzung von Outsourcing
  • OPS.3.2 Anbieten von Outsourcing

DER: Detektion und Reaktion

[Bearbeiten | Quelltext bearbeiten]
  • DER.1 Detektion von sicherheitsrelevanten Ereignissen
  • DER.2.1 Behandlung von Sicherheitsvorfällen
  • DER.2.2 Vorsorge für die IT-Forensik
  • DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
  • DER.3.1 Audits und Revisionen
  • DER.3.2 Revision auf Basis des Leitfadens IS-Revision
  • DER.4 Notfallmanagement

System-Bausteine

[Bearbeiten | Quelltext bearbeiten]

APP: Anwendungen

[Bearbeiten | Quelltext bearbeiten]
  • APP.1.1 Office-Produkte
  • APP.1.2 Webbrowser
  • APP.1.4 Mobile Anwendung (APPs)
  • APP.2.1 Allgemeiner Verzeichnisdienst
  • APP.2.2 Active Directory Domain Services
  • APP.2.3 OpenLDAP
  • APP.3.1 Webanwendungen und Webservices
  • APP.3.2 Webserver
  • APP.3.3 Fileserver
  • APP.3.4 Samba
  • APP.3.6 DNS-Server
  • APP.4.2 SAP-ERP-System
  • APP.4.3 Relationale Datenbanksysteme
  • APP.4.4 Kubernetes
  • APP.4.6 SAP ABAP-Programmierung
  • APP.5.2 Microsoft Exchange und Outlook
  • APP.5.3 Allgemeiner E-Mail-Client und -Server
  • APP.5.4 Unified Communications und Collaboration
  • APP.6 Allgemeine Software
  • APP.7 Entwicklung von Individualsoftware

SYS: IT-Systeme

[Bearbeiten | Quelltext bearbeiten]
  • SYS.1.1 Allgemeiner Server
  • SYS.1.2.2 Windows Server 2012
  • SYS.1.2.3 Windows Server
  • SYS.1.3 Server unter Linux und Unix
  • SYS.1.5 Virtualisierung
  • SYS.1.6 Containerisierung
  • SYS.1.7 IBM Z
  • SYS.1.8 Speicherlösungen
  • SYS.1.9 Terminalserver
  • SYS.2.1 Allgemeiner Client
  • SYS.2.2.3 Clients unter Windows
  • SYS.2.3 Clients unter Linux und Unix
  • SYS.2.4 Clients unter macOS
  • SYS.2.5 Client-Virtualisierung
  • SYS.2.6 Virtual Desktop Infrastructure
  • SYS.3.1 Laptops
  • SYS.3.2.1 Allgemeine Smartphones und Tablets
  • SYS.3.2.2 Mobile Device Management (MDM)
  • SYS.3.2.3 iOS (for Enterprise)
  • SYS.3.2.4 Android
  • SYS.3.3 Mobiltelefon
  • SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
  • SYS.4.3 Eingebettete Systeme
  • SYS.4.4 Allgemeines IoT-Gerät
  • SYS.4.5 Wechseldatenträger

IND: Industrielle IT

[Bearbeiten | Quelltext bearbeiten]
  • IND.1 Prozessleit- und Automatisierungstechnik
  • IND.2.1 Allgemeine ICS-Komponente
  • IND.2.2 Speicherprogrammierbare Steuerung (SPS)
  • IND.2.3 Sensoren und Aktoren
  • IND.2.4 Maschine
  • IND.2.7 Safety Instrumented Systems
  • IND.3.2 Fernwartung im industriellen Umfeld

NET: Netze und Kommunikation

[Bearbeiten | Quelltext bearbeiten]
  • NET.1.1 Netzarchitektur und -design
  • NET.1.2 Netzmanagement
  • NET.2.1 WLAN-Betrieb
  • NET.2.2 WLAN-Nutzung
  • NET.3.1 Router und Switches
  • NET.3.2 Firewall
  • NET.3.3 VPN
  • NET.3.4 Network Access Control
  • NET.4.1 TK-Anlagen
  • NET.4.2 VoIP
  • NET.4.3 Faxgeräte und Faxserver

INF: Infrastruktur

[Bearbeiten | Quelltext bearbeiten]
  • INF.1 Allgemeines Gebäude
  • INF.2 Rechenzentrum sowie Serverraum
  • INF.5 Raum sowie Schrank für technische Infrastruktur
  • INF.6 Datenträgerarchiv
  • INF.7 Büroarbeitsplatz
  • INF.8 Häuslicher Arbeitsplatz
  • INF.9 Mobiler Arbeitsplatz
  • INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum
  • INF.11 Allgemeines Fahrzeug
  • INF.12 Verkabelung
  • INF.13 Technisches Gebäudemanagement
  • INF.14 Gebäudeautomation

Änderungshistorie der Bausteine

[Bearbeiten | Quelltext bearbeiten]

Dies war die erste Edition des IT-Grundschutz-Kompendiums.

Die folgenden 14 neuen IT-Grundschutz-Bausteine sind hinzugekommen:[2]

  • APP.1.4 Mobile Anwendungen (* APPs)
  • APP.2.3 OpenLDAP
  • APP.4.2 SAP-ERP-System
  • APP.4.6 SAP ABAP-Programmierung
  • IND.2.7 Safety Instrumented Systems
  • INF.6 Datenträgerarchiv
  • NET.4.1 TK-Anlagen
  • NET.4.2 VoIP
  • NET.4.3 Faxgeräte und Faxserver
  • OPS.2.2 Cloud-Nutzung
  • SYS.1.7 IBM Z-System
  • SYS.2.4 Clients unter macOS
  • SYS.3.3 Mobiltelefon
  • SYS.4.3 Eingebettete Systeme

Die folgenden IT-Grundschutz-Bausteine sind in der Edition 2020 neu hinzugekommen:[3]

  • CON.8 Software-Entwicklung
  • INF.5 Raum sowie Schrank für technische Infrastruktur

Die folgenden IT-Grundschutz-Bausteine sind in der Edition 2021 hinzugekommen, umbenannt oder in eine andere Schicht verschoben worden:[4]

Neue Bausteine:

  • CON.10 Entwicklung von Webanwendungen
  • INF.11 Allgemeines Fahrzeug

Umbenannte oder verschobene Bausteine:

Edition 2020 Edition 2021
APP.5.1 Allgemeine Groupware APP.5.3 Allgemeiner E-Mail-Client und -Server
CON.4 Auswahl und Einsatz von Standard-Software APP.6 Allgemeine Software
CON.5 Entwicklung und Einsatz von Individualsoftware APP.7 Entwicklung von Individualsoftware
IND.1 Betriebs- und Steuerungstechnik IND.1 Prozessleit- und Automatisierungstechnik
INF.3 Elektrotechnische Verkabelung INF.12 Verkabelung
INF.4 IT-Verkabelung
ORP.3 Sensibilisierung und Schulung ORP.3 Sensibilisierung und Schulung zur Informationssicherheit

Die folgenden 7 IT-Grundschutz-Bausteine sind in der Edition 2022 neu hinzugekommen:[5]

  • OPS.1.1.7 Systemmanagement
  • OPS.1.2.6 NTP-Zeitsynchronisation
  • APP.4.4 Kubernetes
  • SYS.1.6 Containerisierung
  • IND.3.2 Fernwartung im industriellen Umfeld
  • INF.13 Technisches Gebäudemanagement
  • INF.14 Gebäudeautomation

Die folgenden IT-Grundschutz-Bausteine sind in der Edition 2023 hinzugekommen oder entfallen:[6]

Neue Bausteine:

  • CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)
  • OPS.1.1.1 Allgemeiner IT-Betrieb
  • OPS.2.3 Nutzung von Outsourcing (dieser Baustein ersetzt OPS.2.1 Outsourcing für Kunden)
  • OPS.3.2 Anbieten von Outsourcing (dieser Baustein ersetzt OPS.3.1 Outsourcing für Dienstleister)
  • APP.5.4 Unified Communications und Collaboration (UCC)
  • SYS.1.2.3 Windows Server
  • SYS.1.9 Terminalserver
  • SYS.2.5 Client-Virtualisierung
  • SYS.2.6 Virtual Desktop Infrastructure
  • NET.3.4 Network Access Control

Entfallene Bausteine:

  • SYS.2.2.2 Clients unter Windows 8.1: Der Support für das Betriebssystem endete am 10. Januar 2023. Windows 8.1 sollte daher nicht mehr eingesetzt werden.
  • OPS.2.1 Outsourcing für Kunden: Der Baustein wird durch OPS.2.3 Nutzung von Outsourcing ersetzt
  • OPS.3.1 Outsourcing für Dienstleister: Der Baustein wird durch OPS.3.2 Anbieten von Outsourcing ersetzt

Sicherheits-Zertifizierung

[Bearbeiten | Quelltext bearbeiten]

Eine ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz für Organisationen und Unternehmen besteht durch erfolgreiche Umsetzung des IT-Grundschutzes.[7]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Edition 2023 des IT-Grundschutz-Kompendiums. S. 35, abgerufen am 4. Januar 2024.
  2. Edition 2019 des IT-Grundschutz-Kompendiums. S. 15, abgerufen am 4. Januar 2024.
  3. Edition 2020 des IT-Grundschutz-Kompendiums. S. 11, abgerufen am 4. Januar 2024.
  4. Edition 2021 des IT-Grundschutz-Kompendiums. S. 11, abgerufen am 4. Januar 2024.
  5. Edition 2022 des IT-Grundschutz-Kompendiums. S. 13, abgerufen am 4. Januar 2024.
  6. Edition 2023 des IT-Grundschutz-Kompendiums. S. 13, abgerufen am 4. Januar 2024.
  7. Zertifizierte Informationssicherheit. BSI, abgerufen am 4. Januar 2024.