Bundesamt für Sicherheit in der Informationstechnik

Aktuelles zum IT-Grundschutz

Einstieg in den IT-Grundschutz: Neuer Online-Kurs veröffentlicht

08. August 2018 / Ab heute steht der neue Online-Kurs zum IT-Grundschutz auf der Webseite zur Verfügung. Basierend auf dem IT-Grundschutz-Kompendium und den BSI-Standards 200-1,-2 und -3 führt die vom BSI entwickelte und veröffentlichte Web-Schulung die Anwender in unterschiedlichen Lektionen durch die IT-Grundschutz-Vorgehensweise.

Im Fokus der Lerneinheiten steht die praktische Anwendung des IT-Grundschutzes und seiner Komponenten. Die Sicherheitskonzeption rückt dabei die Strukturanalyse der Geschäftsprozesse in den Mittelpunkt. Ausgehend von dieser Analyse über die Modellierung der IT-Sicherheitsmaßnahmen bis hin zur Umsetzungsplanung werden Anwender detailliert durch den Prozess geleitet. Mit Testfragen am Ende jeder Lektion lässt sich zudem unmittelbar der individuelle Kenntnisstand überprüfen.

Der Online-Kurs richtet sich an Anwender aus Wirtschaft und Verwaltung, ist aber auch für Studierende und weitere Interessenten geeignet. Besonders Anwender aus kleinen und mittelgroßen Unternehmen sind angesprochen, den Kurs für Sicherheitsbetrachtungen in ihrer Institution zu nutzen.

Hier geht es direkt zum Online-Kurs IT-Grundschutz.

Neue IT-Grundschutz-Bausteine: Kommentare erwünscht

26. Juli 2018 / Auf den Webseiten des IT-Grundschutzes stehen vier weitere IT-Grundschutz-Bausteine als Community Draft zur Kommentierung bereit, die auf den modernisierten IT-Grundschutz migriert worden sind. In der Schicht Anwendungen ist der Baustein APP.2.3 OpenLDAP veröffentlicht. Der frei verfügbare Verzeichnisdienst stellt einem Datennetz Informationen über Benutzer oder IT-Systeme zur Verfügung. Der IT-Grundschutz-Baustein INF.6: Datenträgerarchiv aus der Schicht Infrastruktur erläutert typische Gefährdungen und Anforderungen zu Fragen der Informationssicherheit. IBM Z-Systeme gehören zu den Server-Systemen, die allgemein als Großrechner bezeichnet werden. In der Schicht IT-Systeme steht im Community Draft SYS.1.7: IBM Z-System der Schutz von Informationen, die auf Z-Systemen verarbeitet, angeboten oder darüber übertragen werden, im Fokus. In der Schicht Telekommunikation sind im Baustein NET.4.3 Faxgeräte und Faxserver zwei frühere Bausteine zu einem neuen Entwurf konsolidiert worden.

Weitere Informationen:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/GS_Drafts/gs_drafts_node.html

IT-Grundschutz-Profil für Handwerkskammern veröffentlicht

18. Juli 2018 / Im Rahmen der im Oktober 2017 vereinbarten Kooperation zwischen dem Zentralverband des Deutschen Handwerks (ZDH) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde nun das erste IT-Grundschutzprofil für die Handwerkskammern veröffentlicht.

Das IT-Grundschutz-Profil "Informationssicherheit für Handwerkskammern" wurde in einem Workshop-Format von rund 50 Vertreterinnen und Vertretern der Handwerkskammer und handwerksnahen Organisationen entwickelt. Das erste branchenspezifische Sicherheitskonzept für die Handwerkskammern, dient Handwerkskammern und Institutionen mit vergleichbaren Strukturen als Schablone und kann angewendet werden, um die Informationssicherheit in einer Institution zu erhöhen.

Hier gehts direkt zur BSI-Pressemitteilung und dem IT-Grundschutz-Profil "Handwerkskammern".

Erstes Zertifikat nach modernisiertem IT-Grundschutz-Kompendium für Berliner Verwaltung

09. Juli 2018 / Das IT-Dienstleistungszentrum Berlin (ITDZ) hat vom BSI das erste Zertifikat auf Basis des neuen IT-Grundschutz-Kompendiums erhalten. Neben dem sicheren Betrieb der Standard-Arbeitsplätze der Berliner Verwaltung und der Umsetzung des Informationssicherheitsmanagementsystem (ISMS) des ITDZ Berlin waren auch die IKT-Basisdienste Gegenstand der Untersuchung. Zu den Basisdiensten zählen auch die Netzwerktechnik zur verschlüsselten Kommunikation insbesondere über das Berliner Landesnetz, die Anbindung an Fremdnetze sowie die private Cloud-Infrastruktur, die Rechenzentren und Dienstgebäude des ITDZ Berlin. Das interne Fachverfahren LKG mit den notwendigen IT-Komponenten dient als Beispiel für eine Anwendung mit hohem Schutzbedarf.

Das Zertifikat wurde nach der Umsetzung von Informationssicherheitsmaßnahmen aufgrund des BSI-Standards 200-2 "IT-Grundschutz-Methodik" und des IT-Grundschutz-Kompendiums, Edition 2018, erteilt. Das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz bestätigt, dass der Informationsverbund des Dienstleistungsunternehmens durch die Anwendung des IT-Grundschutzes abgesichert wird. Der Informationsverbund beziehungsweise das Informationssicherheitsmanagementsystem erfüllt die Anforderungen nach ISO 27001. Zudem bestätigt das Zertifikat, dass die technischen und organisatorischen Anforderungen der IT-Grundschutz-Methodik erfolgreich umgesetzt wurden.

Für mehr Informationssicherheit in Kommunen: Erstes IT-Grundschutz-Profil veröffentlicht

18.Mai 2018 / Die kommunale Arbeitsgruppe „Modernisierung des IT-Grundschutzes“ hat mit Unterstützung der Dachverbände und des BSI das erste IT-Grundschutz-Profil des modernisierten IT-Grundschutzes veröffentlicht. Das „IT-Grundschutz-Profil – Basis-Absicherung für Kommunen“ soll Kommunalverwaltungen beim Einstieg in den systematischen Aufbau von Informationssicherheit unterstützen. Bei IT-Grundschutz-Profilen handelt es sich um Schablonen, mit denen Anwendergruppen den IT-Grundschutz zielgenau auf die Sicherheitsanforderungen ihrer Institutionen anpassen können. Anschließend kann ein IT-Grundschutz-Profil von Institutionen mit vergleichbaren Sicherheitsanforderungen für ihren Anwendungsbereich verwendet werden.

ISO und modernisierter IT-Grundschutz: Neue Zuordnungstabelle erleichtert Arbeit mit beiden Vorgehensweisen

20. April 2018 / Der IT-Grundschutz interpretiert im BSI-Standard 200-2 die Anforderungen bzw. Maßnahmen der ISO-Normen 27001 sowie 27002. Das IT-Grundschutz-Kompendium bietet den Anwendern in den IT-Grundschutz-Bausteinen dazu konkrete Hilfestellungen, um die generischen ISO-Anforderungen zu erfüllen. Das BSI unterstützt nun die IT-Grundschutz-Anwender mit einer neuen Zuordnungstabelle bei der Abbildung der Inhalte von der ISO 27001/2 auf den IT-Grundschutz. Für diejenigen, die sich mit beiden Standards zur Informationssicherheit befassen, bringt die neue Tabelle eine deutliche Arbeitserleichterung mit sich.

Erster IT-Grundschutz-Tag 2018: Vorträge sind online

15. März 2018 / Unter dem Motto „Modernisierter IT-Grundschutz: Wie komme ich von alt zu neu?“ fand in Kooperation mit der HiScout GmbH am 8. März 2018 der erste IT-Grundschutz-Tag des Jahres 2018 statt. Im Fokus der Veranstaltung standen Herangehensweisen und Möglichkeiten, um bestehende ISMS auf den modernisierten IT-Grundschutz zu migrieren. Kollegen aus dem IT-Grundschutz-Team stellten dem interessierten Auditorium als Unterstützung seitens des BSI eine „Anleitung zur Migration von Sicherheitskonzepten“ und Migrationstabellen für eine erfolgreiche Migration vor. Weitere interessante Vorträge rundeten die Veranstaltung ab. Die Dokumente sind auf den Webseiten des IT-Grundschutzes veröffentlicht. Der einhellige Tenor der Referenten auf der Veranstaltung war, dass die IT-Grundschutz-Anwender möglichst bald mit der Migration beginnen sollten. Zur Migration und den weiteren Vortragsthemen können Sie nun die Vortragsfolien einsehen.

Unterstützung bei der Migration: „Anleitung zur Migration von Sicherheitskonzepten“ und Migrationstabellen veröffentlicht

08. März 2018 / Das BSI stellt den IT-Grundschutz-Anwendern mit der „Anleitung zur Migration von Sicherheitskonzepten“ einen Leitfaden für eine reibungslose Migration zur Verfügung. Darüber hinaus ermöglichen Migrationstabellen eine einfache Zuordnung der Maßnahmen aus den „alten“ Bausteinen der IT-Grundschutz-Kataloge auf die Anforderungen in den „neuen“ Bausteinen des IT-Grundschutz-Kompendiums. Die Dokumente richten sich an Anwender, die ein auf dem „alten“ IT-Grundschutz – nach den BSI-Standards 100-1,-2,-3 und dem IT-Grundschutz-Katalog – aufgebautes Sicherheitskonzept auf den neuen IT-Grundschutz – nach den BSI-Standards 200-1,-2 und -3 und der ersten Edition des IT-Grundschutz-Kompendiums – migrieren möchten.
Hier geht es direkt zur „Anleitung zur Migration von Sicherheitskonzepten“ und den Migrationstabellen

1. Edition des IT-Grundschutz-Kompendiums ist erschienen: Online-Version steht jetzt zur Verfügung

13. Februar 2018 / Ab dem 9. Februar 2018 steht auf der BSI-Webseite eine Online-Version der 1. Edition des IT-Grundschutz-Kompendiums zur Verfügung, das am 1. Februar bei der Bundesanzeiger Verlag GmbH als Loseblattwerk erschienen ist. Das IT-Grundschutz-Kompendium wurde im Rahmen der Modernisierung des IT-Grundschutzes zur it-sa 2017 als Final Draft vorgestellt. Die nun vorliegende 1. Edition löst die IT-Grundschutz-Kataloge ab und ist zertifizierungsrelevant.  Der Bundesanzeiger Verlag liefert das IT-Grundschutz-Kompendium im Februar aus.

Hier geht es direkt zum IT-Grundschutz-Kompendium.

Das IT-Grundschutz-Kompendium kann als Loseblattwerk beim Bundesanzeiger Verlag bezogen werden: wirtschaft@bundesanzeiger.de

Strukturbeschreibung für IT-Grundschutz-Profile

23. Januar 2018 / Das BSI hat eine „Strukturbeschreibung für IT-Grundschutz-Profile“ als Anleitung zur Erstellung eines IT-Grundschutz-Profils veröffentlicht. Ziel der IT-Grundschutz-Profile ist es, dass zunächst eine Institution oder Branche den IT-Grundschutz auf ihre individuellen Sicherheitsanforderungen anpasst und die Ergebnisse anschließend als Schablone von anderen Institutionen mit vergleichbaren Sicherheitsanforderungen oder IT-Umgebungen adaptiert werden können. Mögliche Anwendungsbereiche für Profile sind zum Beispiel Kommunalverwaltungen, Krankenhäuser oder Wasserwerke im Bereich der Kritischen Infrastrukturen.

Die Sturkturbeschreibung steht als Community Draft zur Verfügung. Auch zu dieser Veröffentlichung nehmen wir gerne Ihre Kommentare und Anregungen entgegen.

Interessierte Anwender finden die Strukturbeschreibung auf der Webseite.

Vorstellung des modernisierten IT-Grundschutzes auf der it-sa 2017

11. Oktober 2017 / Am 11.10.2017 hat das BSI auf der IT-Security-Messe it-sa in Nürnberg die Ergebnisse der Modernisierung des IT-Grundschutzes der Öffentlichkeit vorgestellt. Die wesentlichen Aspekte werden an dieser Stelle zusammen gefasst. [weiterlesen]