Bundesamt für Sicherheit in der Informationstechnik

Kapitel 4: Schutzbedarfsfeststellung

4.1 Überblick

Wie viel Schutz benötigen der betrachtete Informationsverbund und die ihm zugehörigen Objekte?
Wie kommen Sie zu begründeten und nachvollziehbaren Einschätzungen des Schutzbedarfs?
Welche Objekte benötigen mehr Sicherheit, bei welchen genügen elementare Schutzmaßnahmen?

Ziel der Schutzbedarfsfeststellung ist es, diese Fragen zu klären und damit die Auswahl angemessener Sicherheitsmaßnahmen für die einzelnen Objekte des betrachteten Informationsverbundes zu steuern.

Die Schutzbedarfsfeststellung

  • sensibilisiert die Institution in Bezug auf Informationssicherheit,
  • schafft eine einheitliche Sicherheitsdefinition und ein abgestimmtes Sicherheitsverständnis zwischen den Zuständigen,
  • erleichtert die Auswahl der IT-Grundschutz-Maßnahmen und
  • identifiziert Komponenten, für die eventuell höherwertige Maßnahmen erforderlich sind.

Die Entscheidungen zur Schutzbedarfsfeststellung sollten nachvollziehbar dokumentiert werden und die Zustimmung aller Beteiligten finden, insbesondere auch des Managements.

Was gehört zu einer Schutzbedarfsfeststellung?

Schritte bei der Schutzbedarfsfeststellung

Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten:

  1. die auf Ihre Organisation zugeschnittene Definition der Schutzbedarfskategorien "normal", "hoch" und "sehr hoch",
  2. die Feststellung des Schutzbedarfs der Anwendungen, die in der Strukturanalyse erfasst wurden, mit Hilfe der definierten Kategorien,
  3. die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen,
  4. daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und Räume sowie
  5. die Dokumentation und Auswertung der vorgenommenen Einschätzungen.