Hierbei hilft das IT-Grundschutz Kompendium
5.1 IT-Grundschutz-Bausteine
Alle Bausteine sind in gleicher Weise gegliedert:
- Sie beginnen mit einer kurzen Beschreibung und Abgrenzung des behandelten Sachverhalts.
- Es folgt eine Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen.
- Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen:
- vorrangig zu erfüllende Basis-Anforderungen,
- für eine vollständige Umsetzung des IT-Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
- Anforderungen für den erhöhten Schutzbedarf.
- Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
Die Anforderungen beschreiben, was getan werden MUSS oder SOLLTE. In Großbuchstaben gesetzte Verben zeigen dabei die Verbindlichkeit einer Anforderung. Die folgende Tabelle gibt hierzu eine Übersicht:
| Ausdruck | Bedeutung |
|---|---|
| MUSS, DARF NUR | So gekennzeichnete Anforderungen müssen unbedingt erfüllt werden. |
| DARF NICHT, DARF KEIN | Etwas darf in keinem Fall getan werden. |
| SOLLTE | Dieser Ausdruck bedeutet, dass eine Anforderung zwar normalerweise erfüllt werden muss, bei stichhaltigen Gründen aber auch davon abgesehen werden kann. |
| SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
| In den Bausteinen ist aber nur beschrieben, was geschützt werden soll, nicht wie. Die verwendeten Maßnahmen müssen angemessen sein: |
- wirksam sind, also vor den möglichen Gefährdungen schützen und den identifizierten Schutzbedarf abdecken,
- geeignet sind, also tatsächlich umsetzbar sind, ohne die Organisationsabläufe unverhältnismäßig zu behindern oder andere Sicherheitsmaßnahmen auszuhebeln,
- praktikabel sind, also leicht verständlich, einfach anzuwenden und wenig fehleranfällig,
- Akzeptanz finden, also auch barrierefrei sind und niemanden diskriminieren oder beeinträchtigen,
- wirtschaftlich eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
5.2 Schichtenmodell
Die verschiedenen IT-Grundschutz-Bausteine sind in ein Schichtenmodell gegliedert, das wie folgt aufgebaut ist (in Klammern werden exemplarische Bausteine genannt):
5.3 Vorgehen
Bei der Modellierung wählen Sie diejenigen IT-Grundschutz-Bausteine aus, die Sie für die Sicherheit des betrachteten Informationsverbundes benötigen. Sehen Sie sich dazu die Bausteine der einzelnen Schichten an und entscheiden Sie, ob und auf welche Zielobjekte ein Baustein angewendet werden kann.
5.4 Dokumentation
Beispiel
| Baustein | Zielobjekte | Relevanz | Begründung | Ansprechpartner |
|---|---|---|---|---|
| APP.5.2 Microsoft Exchange/Outlook | S004 | Ja | IT-Betrieb | |
| INF.1 Allgemeines Gebäude | GB1, GB2 | Ja | Haustechnik |
5.5 Anforderungen anpassen
Maßnahmen, mit denen eine Anforderung erfüllt wird, müssen angemessen sein. Im Einzelnen bedeutet dies, dass sie
- wirksam sind, also vor den möglichen Gefährdungen schützen und den identifizierten Schutzbedarf abdecken,
- geeignet sind, also tatsächlich umsetzbar sind, ohne die Organisationsabläufe unverhältnismäßig zu behindern oder andere Sicherheitsmaßnahmen auszuhebeln,
- praktikabel sind, also leicht verständlich, einfach anzuwenden und wenig fehleranfällig,
- Akzeptanz finden, also auch barrierefrei sind und niemanden diskriminieren oder beeinträchtigen,
- wirtschaftlich eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.