Bundesamt für Sicherheit in der Informationstechnik

1. Wie oft erscheint eine neue Edition des IT-Grundschutz-Kompendiums?

Das IT-Grundschutz-Kompendium ist der Nachfolger der IT-Grundschutz-Kataloge und wird jährlich zum 1. Februar in einer neuen Edition veröffentlicht. Der vorliegende Final Draft des Kompendiums wird somit am 01.02.2018 zur offiziellen ersten Edition.

Die jeweils aktuelle Edition des IT-Grundschutz-Kompendiums bildet die Basis für die Zertifizierung. Die Editionen sind daher mit den früheren Ergänzungslieferungen der IT-Grundschutz-Kataloge vergleichbar.

Neue und überarbeitete Bausteine erscheinen auch zwischen den Editionen als Drafts, sowohl als Community Drafts zur Kommentierung durch die Anwender als auch als Final Drafts, sobald die Bausteine fertiggestellt sind. Diese Bausteine können bereits verwendet werden, bevor sie in die nächste Edition des IT-Grundschutz-Kompendiums aufgenommen werden, sind als Draft aber noch nicht relevant für eine Zertifizierung.

2. In manchen Bausteinen des IT-Grundschutz-Kompendiums wird in der Abgrenzung auf andere Bausteine verwiesen, die ich aber nicht finden kann. Wo sind diese?

Mit der Veröffentlichung der ersten Edition des IT-Grundschutz-Kompendiums wurden zunächst die wesentlichen bzw. die am häufigsten genutzten Bausteine der 15. Ergänzungslieferung der IT-Grundschutz-Kataloge migriert. Die zweite Edition des IT-Grundschutz-Kompendiums wird neben neuen auch weitere, aus den Katalogen migrierte Bausteine enthalten. An einigen Stellen im IT-Grundschutz-Kompendium wird bereits auf Bausteine verwiesen, die nicht Bestandteil der ersten Edition sind, aber spätestens in der zweiten Edition veröffentlicht werden. Für Zielobjekte, für die es im IT-Grundschutz-Kompendium noch keine Bausteine gibt, sollten – soweit vorhanden – zwischenzeitlich die bestehenden Bausteine der IT-Grundschutz-Kataloge genutzt werden.

Wie in der Antwort zur ersten Frage erläutert, erscheinen neue Bausteine außerdem zwischen den Editionen und werden jeweils zum 1. Februar des Folgejahres offizieller Bestandteil des Kompendiums.

3. Muss ich wirklich das vollständige IT-Grundschutz-Kompendium lesen?

Nein. Das IT-Grundschutz-Kompendium ist als Nachschlagewerk gedacht. Aus diesem Grund ist es in zehn sogenannte Schichten aufgeteilt, zum Beispiel in APP für "Anwendungen", IND für "Industrielle IT" oder OPS für den "Betrieb". Diese Schichten sind thematisch weiter untergliedert, etwa APP.2 für "Verzeichnisdienste", OPS.1 für "Eigenen Betrieb" oder OPS.3 für "Betrieb für Dritte". Jeder Anwender kann sich für seine Zielobjekte die relevanten Bausteine zusammenstellen, mit denen er arbeiten möchte. Wird z. B. kein Betrieb für Dritte geleistet, kann die komplette Teilschicht OPS.3 unbeachtet bleiben. Wird kein Active Directory als Verzeichnisdienst eingesetzt, braucht man sich auch nicht mit dem Baustein zu diesem Thema befassen. Einen guten Einstieg in die Thematik liefern die Vorkapitel des IT-Grundschutz-Kompendiums. Außerdem gibt es eine graphische Übersicht, wie das Kompendium strukturiert ist.

4. Warum enthalten die BSI-Standards und der "Leitfaden zur Basis-Absicherung" keine technischen Details? Wie sichere ich damit meine Systeme in der Praxis ab?

In den BSI-Standards sind Vorgehensweisen beschrieben, mit denen ein Managementsystem für Informationssicherheit (ISMS) systematisch aufgebaut und betrieben werden kann. Das ISMS auf Basis von IT-Grundschutz ist kompatibel zum ISO-Standard 27001 und stellt einen organisatorischen Prozess sicher, der als Grundlage für die Umsetzung technischer Maßnahmen dient. Der "Leitfaden zur Basis-Absicherung" ergänzt den BSI-Standard 200-2, indem er in kompakter und vereinfachter Form die wesentlichen Schritte beschreibt, mit dem Einsteiger einen Prozess zur Erhöhung der Informationssicherheit etablieren können. Um sich konkret mit Sicherheitsanforderungen in einer Institution auseinandersetzen zu können, ist das IT-Grundschutz-Kompendium mit den Bausteinen erforderlich. Zu vielen Bausteinen gibt es bereits zusätzlich Umsetzungshinweise, in denen detaillierte und praxisbewährte Maßnahmen zur Erfüllung der Anforderung beschrieben sind.

5. Sind die Maßnahmen in den Umsetzungshinweisen verpflichtend?

Nein. Die Maßnahmen in den Umsetzungshinweisen sind praxisbewährte Empfehlungen, wie die Anforderungen aus den Bausteinen des IT-Grundschutz-Kompendiums erfüllt werden können. Es handelt sich um "Best Practices", in die Erfahrung und Know-how der IT-Grundschutz-Anwender eingeflossen sind. Eine Umsetzung der Maßnahmen bzw. eine Orientierung daran ist empfehlenswert, es handelt sich aber nicht um eine verbindliche Vorgabe.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK