Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 3.49 Schulung zur Vorgehensweise nach IT-Grundschutz - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 3.49 Schulung zur Vorgehensweise nach IT-Grundschutz

Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Vorgesetzte

IT-Sicherheitsverantwortliche und Mitglieder des IT-Sicherheitsmanagements müssen die IT-Grundschutzmethodik gut kennen, um sie anwenden zu können. Um sich in die Vorgehensweise nach IT-Grundschutz einzuarbeiten, gibt es verschiedene Möglichkeiten:

Bei der Planung einer neuen IT-Grundschutz-Schulung oder Beurteilung einer extern angebotenen Schulung sollten die folgenden Themen betrachtet werden:

  1. Sensibilisierung für IT-Sicherheit
  2. Was ist ein ISMS (Informationssicherheitsmanagementsystem)?
    Wie wird ein funktionierender IT-Sicherheitsprozess etabliert?
  3. Überblick über das IT-Grundschutzkonzept (Philosophie, Anwendungsgebiet, Struktur)
  4. Erstellung einer IT-Sicherheitsleitlinie
    • Definition von IT-Sicherheitszielen
    • Definition des IT-Verbundes
  5. IT-Sicherheitsmanagement
    • Organisationsstrukturen (Darstellung geeigneter Organisationsstrukturen für das IT-Sicherheitsmanagement)
    • Rollen (IT-Sicherheitsbeauftragte, IT-Sicherheitsmanagement-Team, etc.)
    • Verantwortlichkeiten
  6. IT-Sicherheitskonzept: Typischer Aufbau und Inhalte
  7. Strukturanalyse
    • Erstellung eines Netzplans
    • Gruppenbildung
    • Erhebung der IT-Systeme
    • Erfassung der IT-Anwendungen
  8. Schutzbedarfsfeststellung
    • Vorgehensweise
    • Definition der Schutzbedarfskategorien inklusive individueller Anpassung der Bewertungstabellen
    • Schadensszenarien
    • Schutzbedarfsfeststellung für IT-Anwendungen, IT-Systeme, Kommunikationsverbindungen und IT-Räume
  9. Modellierung nach IT-Grundschutz
    • Überblick über die IT-Grundschutz-Bausteine
    • Schichtenmodell
      • Übergeordnete Aspekte der IT-Sicherheit
      • Sicherheit der Infrastruktur
      • Sicherheit der IT-Systeme
      • Sicherheit im Netz
      • Sicherheit der Anwendungen
    • Prüfung auf Vollständigkeit
    • Lebenszyklusmodell der Maßnahmen
  10. Basissicherheits-Check
    • Darstellung der Vorgehensweise
    • Umsetzungsstatus
  11. Ergänzende Sicherheitsanalyse: Risikoanalyse basierend auf IT- Grundschutz
  12. Realisierung der IT-Sicherheitsmaßnahmen
    • Sichtung aller fehlenden Maßnahmen
    • Konsolidierung der Maßnahmen
    • Kosten und Aufwandsabschätzungen (Budgetierung)
    • Realisierung der Maßnahmen (Umsetzungsreihenfolge, Verantwortliche, Realisierungsplan)
  13. Hilfsmittel zur Arbeit mit den IT-Grundschutz-Katalogen
    Das BSI stellt verschiedene Hilfsmittel zur Verfügung, die die praktische Arbeit mit den IT-Grundschutz-Katalogen erleichtern. Die Folgenden sollten den Anwendern vorgestellt werden:
    • Leitfaden als Motivation für IT-Sicherheit
    • Web-Kurs als Einstieg in die IT-Grundschutz-Vorgehensweise
    • Tabellen und Formblätter als Hilfsmittel bei der Umsetzung
    • Musterrichtlinien und Profile als Beispielanwendungen
    • IT-Grundschutz-Tool als Unterstützung bei der Erstellung, Verwaltung und Fortschreibung von IT-Sicherheitskonzepten dem IT-Grundschutz entsprechend. Das BSI bietet hierfür das IT-Grundschutz-Tool GSTOOL an.
  14. Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz: Überblick Zertifizierungsschema

In einer umfassenden IT-Grundschutz-Schulung sollten die Teilnehmer auch Gelegenheit haben, die dargestellte Vorgehensweise anhand von Beispielen zu üben.

Zur Gestaltung neuer IT-Grundschutz-Schulungen wird unter den Hilfsmitteln auf den BSI-Webseiten zu IT-Grundschutz ein Foliensatz zur Verfügung gestellt. Dieser kann benutzt werden, um eigene Schulungen hierauf aufzubauen. Alle Lehrinhalte werden in Übersichten und Strukturgrammen kurz angeschnitten. Es wird aufgezeigt, welche Inhalte eine Schulung beinhalten sollte, die in die Vorgehensweise IT-Grundschutz und die Anwendung der IT-Grundschutz-Kataloge einführen soll.