IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium ist die zweite grundlegende Veröffentlichung des Bundesamtes für Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Rahmen des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es aus Sicht des BSI die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten. Im Fokus des IT-Grundschutz-Kompendiums stehen die IT-Grundschutz-Bausteine. Das IT-Grundschutz-Kompendium hat im Jahr 2018 die IT-Grundschutz-Kataloge abgelöst.
Aufbau des IT-Grundschutz-Kompendiums[Bearbeiten | Quelltext bearbeiten]
Das IT-Grundschutz-Kompendium enthält für unterschiedliche Vorgehensweisen, Komponenten und IT-Systeme Erläuterungen zur Gefährdungslage, Sicherheitsanforderungen sowie weiterführende Informationen. Sie sind jeweils in einem Baustein zusammengefasst sind. Die grundlegende Struktur des IT-Grundschutz-Kompendiums unterteilt die Bausteine in prozess- und systemorientierte Bausteine, zudem sind sie nach Themen in ein Schichtenmodell einsortiert.[1]
Prozess-Bausteine gelten in der Regel für sämtliche oder große Teile eines Informationsverbundes gleichermaßen. System-Bausteine werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.
IT-Grundschutz-Bausteine (Edition 2023)[Bearbeiten | Quelltext bearbeiten]
Prozess-Bausteine[Bearbeiten | Quelltext bearbeiten]
ISMS: Sicherheitsmanagement[Bearbeiten | Quelltext bearbeiten]
- ISMS.1 Sicherheitsmanagement
ORP: Organisation und Personal[Bearbeiten | Quelltext bearbeiten]
- ORP.1 Organisation
- ORP.2 Personal
- ORP.3 Sensibilisierung und Schulung zur Informationssicherheit
- ORP.4 Identitäts- und Berechtigungsmanagement
- ORP.5 Compliance Management (Anforderungsmanagement)
CON: Konzeption und Vorgehensweise[Bearbeiten | Quelltext bearbeiten]
- CON.1 Kryptokonzept
- CON.2 Datenschutz
- CON.3 Datensicherungskonzept
- CON.6 Löschen und Vernichten
- CON.7 Informationssicherheit auf Auslandsreisen
- CON.8 Software-Entwicklung
- CON.9 Informationsaustausch
- CON.10 Entwicklung von Webanwendungen
- CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)
OPS: Betrieb[Bearbeiten | Quelltext bearbeiten]
- OPS.1.1.1 Allgemeiner IT-Betrieb
- OPS.1.1.2 Ordnungsgemäße IT-Administration
- OPS.1.1.3 Patch- und Änderungsmanagement
- OPS.1.1.4 Schutz vor Schadprogrammen
- OPS.1.1.5 Protokollierung
- OPS.1.1.6 Software-Tests und -Freigaben
- OPS.1.1.7 Systemmanagement
- OPS.1.2.2 Archivierung
- OPS.1.2.4 Telearbeit
- OPS.1.2.5 Fernwartung
- OPS.1.2.6 NTP -Zeitsynchronisation
- OPS.2.2 Cloud-Nutzung
- OPS.2.3 Nutzung von Outsourcing
- OPS.3.2 Anbieten von Outsourcing
DER: Detektion und Reaktion[Bearbeiten | Quelltext bearbeiten]
- DER.1 Detektion von sicherheitsrelevanten Ereignissen
- DER.2.1 Behandlung von Sicherheitsvorfällen
- DER.2.2 Vorsorge für die IT-Forensik
- DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
- DER.3.1 Audits und Revisionen
- DER.3.2 Revision auf Basis des Leitfadens IS-Revision
- DER.4 Notfallmanagement
System-Bausteine[Bearbeiten | Quelltext bearbeiten]
APP: Anwendungen[Bearbeiten | Quelltext bearbeiten]
- APP.1.1 Office-Produkte
- APP.1.2 Webbrowser
- APP.1.4 Mobile Anwendung (APPs)
- APP.2.1 Allgemeiner Verzeichnisdienst
- APP.2.2 Active Directory Domain Services
- APP.2.3 OpenLDAP
- APP.3.1 Webanwendungen und Webservices
- APP.3.2 Webserver
- APP.3.3 Fileserver
- APP.3.4 Samba
- APP.3.6 DNS-Server
- APP.4.2 SAP-ERP-System
- APP.4.3 Relationale Datenbanksysteme
- APP.4.4 Kubernetes
- APP.4.6 SAP ABAP-Programmierung
- APP.5.2 Microsoft Exchange und Outlook
- APP.5.3 Allgemeiner E-Mail-Client und -Server
- APP.5.4 Unified Communications und Collaboration
- APP.6 Allgemeine Software
- APP.7 Entwicklung von Individualsoftware
SYS: IT-Systeme[Bearbeiten | Quelltext bearbeiten]
- SYS.1.1 Allgemeiner Server
- SYS.1.2.2 Windows Server 2012
- SYS.1.2.3 Windows Server
- SYS.1.3 Server unter Linux und Unix
- SYS.1.5 Virtualisierung
- SYS.1.6 Containerisierung
- SYS.1.7 IBM Z
- SYS.1.8 Speicherlösungen
- SYS.1.9 Terminalserver
- SYS.2.1 Allgemeiner Client
- SYS.2.2.3 Clients unter Windows
- SYS.2.3 Clients unter Linux und Unix
- SYS.2.4 Clients unter macOS
- SYS.2.5 Client-Virtualisierung
- SYS.2.6 Virtual Desktop Infrastructure
- SYS.3.1 Laptops
- SYS.3.2.1 Allgemeine Smartphones und Tablets
- SYS.3.2.2 Mobile Device Management (MDM)
- SYS.3.2.3 iOS (for Enterprise)
- SYS.3.2.4 Android
- SYS.3.3 Mobiltelefon
- SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
- SYS.4.3 Eingebettete Systeme
- SYS.4.4 Allgemeines IoT-Gerät
- SYS.4.5 Wechseldatenträger
IND: Industrielle IT[Bearbeiten | Quelltext bearbeiten]
- IND.1 Prozessleit- und Automatisierungstechnik
- IND.2.1 Allgemeine ICS-Komponente
- IND.2.2 Speicherprogrammierbare Steuerung (SPS)
- IND.2.3 Sensoren und Aktoren
- IND.2.4 Maschine
- IND.2.7 Safety Instrumented Systems
- IND.3.2 Fernwartung im industriellen Umfeld
NET: Netze und Kommunikation[Bearbeiten | Quelltext bearbeiten]
- NET.1.1 Netzarchitektur und -design
- NET.1.2 Netzmanagement
- NET.2.1 WLAN-Betrieb
- NET.2.2 WLAN-Nutzung
- NET.3.1 Router und Switches
- NET.3.2 Firewall
- NET.3.3 VPN
- NET.3.4 Network Access Control
- NET.4.1 TK-Anlagen
- NET.4.2 VoIP
- NET.4.3 Faxgeräte und Faxserver
INF: Infrastruktur[Bearbeiten | Quelltext bearbeiten]
- INF.1 Allgemeines Gebäude
- INF.2 Rechenzentrum sowie Serverraum
- INF.5 Raum sowie Schrank für technische Infrastruktur
- INF.6 Datenträgerarchiv
- INF.7 Büroarbeitsplatz
- INF.8 Häuslicher Arbeitsplatz
- INF.9 Mobiler Arbeitsplatz
- INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum
- INF.11 Allgemeines Fahrzeug
- INF.12 Verkabelung
- INF.13 Technisches Gebäudemanagement
- INF.14 Gebäudeautomation
Änderungshistorie der Bausteine[Bearbeiten | Quelltext bearbeiten]
Edition 2018[Bearbeiten | Quelltext bearbeiten]
Dies war die erste Edition des IT-Grundschutz-Kompendiums.
Edition 2019[Bearbeiten | Quelltext bearbeiten]
Die folgenden 14 neuen IT-Grundschutz-Bausteine sind hinzugekommen:[2]
- APP.1.4 Mobile Anwendungen (* APPs)
- APP.2.3 OpenLDAP
- APP.4.2 SAP-ERP-System
- APP.4.6 SAP ABAP-Programmierung
- IND.2.7 Safety Instrumented Systems
- INF.6 Datenträgerarchiv
- NET.4.1 TK-Anlagen
- NET.4.2 VoIP
- NET.4.3 Faxgeräte und Faxserver
- OPS.2.2 Cloud-Nutzung
- SYS.1.7 IBM Z-System
- SYS.2.4 Clients unter macOS
- SYS.3.3 Mobiltelefon
- SYS.4.3 Eingebettete Systeme
Edition 2020[Bearbeiten | Quelltext bearbeiten]
Die folgenden IT-Grundschutz-Bausteine sind in der Edition 2020 neu hinzugekommen:[3]
- CON.8 Software-Entwicklung
- INF.5 Raum sowie Schrank für technische Infrastruktur
Edition 2021[Bearbeiten | Quelltext bearbeiten]
Die folgenden IT-Grundschutz-Bausteine sind in der Edition 2021 hinzugekommen, umbenannt oder in eine andere Schicht verschoben worden:[4]
Neue Bausteine:
- CON.10 Entwicklung von Webanwendungen
- INF.11 Allgemeines Fahrzeug
Umbenannte oder verschobene Bausteine:
| Edition 2020 | Edition 2021 |
|---|---|
| APP.5.1 Allgemeine Groupware | APP.5.3 Allgemeiner E-Mail-Client und -Server |
| CON.4 Auswahl und Einsatz von Standard-Software | APP.6 Allgemeine Software |
| CON.5 Entwicklung und Einsatz von Individualsoftware | APP.7 Entwicklung von Individualsoftware |
| IND.1 Betriebs- und Steuerungstechnik | IND.1 Prozessleit- und Automatisierungstechnik |
| INF.3 Elektrotechnische Verkabelung | INF.12 Verkabelung |
| INF.4 IT-Verkabelung | |
| ORP.3 Sensibilisierung und Schulung | ORP.3 Sensibilisierung und Schulung zur Informationssicherheit |
Edition 2022[Bearbeiten | Quelltext bearbeiten]
Die folgenden 7 IT-Grundschutz-Bausteine sind in der Edition 2022 neu hinzugekommen:[5]
- OPS.1.1.7 Systemmanagement
- OPS.1.2.6 NTP-Zeitsynchronisation
- APP.4.4 Kubernetes
- SYS.1.6 Containerisierung
- IND.3.2 Fernwartung im industriellen Umfeld
- INF.13 Technisches Gebäudemanagement
- INF.14 Gebäudeautomation
Edition 2023[Bearbeiten | Quelltext bearbeiten]
Die folgenden IT-Grundschutz-Bausteine sind in der Edition 2023 hinzugekommen oder entfallen:[6]
Neue Bausteine:
- CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)
- OPS.1.1.1 Allgemeiner IT-Betrieb
- OPS.2.3 Nutzung von Outsourcing (dieser Baustein ersetzt OPS.2.1 Outsourcing für Kunden)
- OPS.3.2 Anbieten von Outsourcing (dieser Baustein ersetzt OPS.3.1 Outsourcing für Dienstleister)
- APP.5.4 Unified Communications und Collaboration (UCC)
- SYS.1.2.3 Windows Server
- SYS.1.9 Terminalserver
- SYS.2.5 Client-Virtualisierung
- SYS.2.6 Virtual Desktop Infrastructure
- NET.3.4 Network Access Control
Entfallene Bausteine:
- SYS.2.2.2 Clients unter Windows 8.1: Der Support für das Betriebssystem endete am 10. Januar 2023. Windows 8.1 sollte daher nicht mehr eingesetzt werden.
- OPS.2.1 Outsourcing für Kunden: Der Baustein wird durch OPS.2.3 Nutzung von Outsourcing ersetzt
- OPS.3.1 Outsourcing für Dienstleister: Der Baustein wird durch OPS.3.2 Anbieten von Outsourcing ersetzt
Sicherheits-Zertifizierung[Bearbeiten | Quelltext bearbeiten]
Eine ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz für Organisationen und Unternehmen besteht durch erfolgreiche Umsetzung des IT-Grundschutzes.[7]
Weblinks[Bearbeiten | Quelltext bearbeiten]
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ Edition 2023 des IT-Grundschutz-Kompendiums. S. 35, abgerufen am 4. Januar 2024.
- ↑ Edition 2019 des IT-Grundschutz-Kompendiums. S. 15, abgerufen am 4. Januar 2024.
- ↑ Edition 2020 des IT-Grundschutz-Kompendiums. S. 11, abgerufen am 4. Januar 2024.
- ↑ Edition 2021 des IT-Grundschutz-Kompendiums. S. 11, abgerufen am 4. Januar 2024.
- ↑ Edition 2022 des IT-Grundschutz-Kompendiums. S. 13, abgerufen am 4. Januar 2024.
- ↑ Edition 2023 des IT-Grundschutz-Kompendiums. S. 13, abgerufen am 4. Januar 2024.
- ↑ Zertifizierte Informationssicherheit. BSI, abgerufen am 4. Januar 2024.