Bundesamt für Sicherheit in der Informationstechnik

M 3.49 Schulung zur Vorgehensweise nach IT-Grundschutz

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

IT-Sicherheitsverantwortliche müssen die IT-Grundschutz-Methodik gut kennen, um sie erfolgreich anwenden zu können. Es gibt verschiedene Möglichkeiten, um sich in die Vorgehensweise nach IT-Grundschutz einzuarbeiten:

  • Selbststudium
  • Web-Kurs des BSI zum Einstieg in die IT-Grundschutz-Vorgehensweise
  • Durcharbeiten der BSI -Beispielunterlagen des fiktiven Unternehmens RECPLAST
  • Externe Schulungsanbieter von IT-Grundschutz-Schulungen (Auf den BSI -Webseiten findet sich eine Liste von Schulungsanbietern zum Thema IT-Grundschutz. Das BSI hat dabei Schulungsqualität und Schulungsinhalte nicht bewertet.)
  • Erarbeitung eigener IT-Grundschutz-Schulungen.

Wenn eine neue IT-Grundschutz-Schulung geplant wird oder eine extern angebotene Schulung zu beurteilen ist, sollten die folgenden Themen betrachtet werden:

  • Sensibilisierung für Informationssicherheit
  • Was ist ein Informationssicherheitsmanagementsystem (ISMS) ?
    Wie wird ein funktionierender Sicherheitsprozess etabliert?
  • Überblick über das IT-Grundschutzkonzept (Philosophie, Anwendungsgebiet, Struktur)
  • Erstellung einer Leitlinie zur Informationssicherheit
    • Definition von Informationssicherheitszielen
    • Definition des Informationsverbundes
  • Informationssicherheitsmanagement
    • Organisationsstrukturen (Darstellung geeigneter Organisationsstrukturen für das Informationssicherheitsmanagement)
    • Rollen (IT-Sicherheitsbeauftragte, Sicherheitsmanagement-Team, etc.)
    • Verantwortlichkeiten
  • Sicherheitskonzept: typischer Aufbau und Inhalte
  • Strukturanalyse
    • Gruppenbildung
    • Erfassung der Anwendungen und der zugehörigen Informationen
    • Erstellung eines Netzplans
    • Erhebung der IT-Systeme
    • Erfassung der Räume
  • Schutzbedarfsfeststellung
    • Vorgehensweise
    • Definition der Schutzbedarfskategorien inklusive individueller Anpassung der Bewertungstabellen
    • Schadensszenarien
    • Schutzbedarfsfeststellung für Anwendungen, IT-Systeme Kommunikationsverbindungen und Räume
  • Modellierung nach IT-Grundschutz
    • Überblick über die IT-Grundschutz-Bausteine
    • Schichtenmodell
      • Übergeordnete Aspekte der Informationssicherheit
      • Sicherheit der Infrastruktur
      • Sicherheit der IT-Systeme
      • Sicherheit im Netz
      • Sicherheit der Anwendungen
    • Prüfung auf Vollständigkeit
    • Lebenszyklusmodell der Maßnahmen
  • Basissicherheits-Check
    • Darstellung der Vorgehensweise
    • Umsetzungsstatus
  • Ergänzende Sicherheitsanalyse: Risikoanalyse basierend auf IT- Grundschutz
  • Realisierung der Sicherheitsmaßnahmen
    • Sichtung aller fehlenden Maßnahmen
    • Konsolidierung der Maßnahmen
    • Kosten und Aufwandsabschätzungen (Budgetierung)
    • Realisierung der Maßnahmen (Umsetzungsreihenfolge, Verantwortliche, Realisierungsplan)
  • Hilfsmittel zur Arbeit mit den IT-Grundschutz-Katalogen
    Das BSI stellt verschiedene Hilfsmittel zur Verfügung, die die praktische Arbeit mit den IT-Grundschutz-Katalogen erleichtern. Die Folgenden sollten den Anwendern vorgestellt werden:
    • Leitfaden als Motivation für Informationssicherheit
    • Webkurs als Einstieg in die IT-Grundschutz-Vorgehensweise
    • Tabellen und Formblätter als Hilfsmittel bei der Umsetzung
    • Musterrichtlinien und Profile als Beispielanwendungen
    • Tool-Unterstützung bei der Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten auf der Basis von IT-Grundschutz. Diverse Hersteller bieten hierfür geeignete IT-Grundschutz-Tools an.
  • Kurzvorstellung der ISO 27001
    • Die Standardfamilie ISO 2700x
    • Aufbau des Standards ISO 27001
    • Zuordnung der Normkapitel von ISO 27001 zu den BSI-Standards sowie der Themen im Anhang A zu den Bausteinen der Schicht 1
  • Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz: Überblick Zertifizierungsschema

In einer umfassenden IT-Grundschutz-Schulung sollten die Teilnehmer die dargestellte Vorgehensweise anhand von Beispielen üben.

Zur Gestaltung neuer IT-Grundschutz-Schulungen wird unter den Hilfsmitteln auf den BSI-Webseiten zu IT-Grundschutz ein Foliensatz zur Verfügung gestellt. Dieser kann benutzt werden, um eigene Schulungen hierauf aufzubauen. Alle Lehrinhalte werden in Übersichten und Struktogrammen kurz angeschnitten. Es wird aufgezeigt, welche Inhalte eine Schulung beinhalten sollte, die in die Vorgehensweise IT-Grundschutz und die Anwendung der IT-Grundschutz-Kataloge einführen soll.

Prüffragen:

  • Sind die Sicherheitsverantwortlichen mit der IT -Grundschutz-Methodik vertraut?

  • Werden bei der Planung einer IT -Grundschutz-Schulung die Themen der Schulung vorher festgelegt?

  • Wird in der IT -Grundschutz-Schulung die Vorgehensweise auch anhand von Beispielen geübt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK