Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Bezugsquellen. Dokumententitel: IT-Grundschutz-Kataloge - FAQ zum IT-Grundschutz
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

Die häufigsten Fragen, die der IT-Grundschutz-Hotline gestellt werden
1. Zur Bezugsquelle
2. Zur Registrierung / Mailingliste
3. Zur weiteren Verwendung der IT-Grundschutz-Kataloge
4. Internationales
5. IT-Grundschutz-Zertifikat
Fragen und Antworten
1. Zur Bezugsquelle
- 1.1. Wo kann man die IT-Grundschutz-Kataloge in gedruckter Ausgabe bestellen?
- Antwort: Die IT-Grundschutz-Kataloge können Sie unter folgender Anschrift bestellen:
Bundesanzeiger Verlag
Postfach 10 05 34
50445 Köln
Tel.: 0221 / 97668 - 200
Fax: 0221 / 97668 - 278
Internet: http://www.bundesanzeiger-verlag.de
E-Mail: mailto:vertrieb@bundesanzeiger.de
IT-Grundschutz-Kataloge 2008, ISBN 978-3-88784-915-3
- 1.2. Was kosten die IT-Grundschutz-Kataloge in gedruckter Ausgabe?
- Antwort:
Das Grundwerk (4 Ordner als Loseblatt-Sammlung) kostet 152,00 Euro. Der
Preis für die Ergänzungslieferungen richtet sich nach dem jeweiligen
Umfang der auzutauschenden Seiten und wird vom Bundesanzeiger Verlag
festgelegt.
- 1.3 Ist in der gedruckten Ausgabe auch die CD-ROM enthalten?
- Antwort: Ja, die gedruckte Ausgabe enthält die CD-ROM zum IT-Grundschutz inkl. BSI-Standards 100-1 bis 100-3 als Beilage.
- 1.4 Wie erhalte ich nur die CD-ROM und welche Kosten entstehen mir?
- Antwort:
Eine kostenfreie CD-ROM, auf der u. a. die IT-Grundschutz-Kataloge
gespeichert sind, erhalten Sie gegen Übersendung eines frankierten
Rückumschlags (Format C5, 1,44 Euro) an folgende Adresse:
Bundesamt für Sicherheit in der Informationstechnik
BSI-CD
Postfach 20 03 63
53133 Bonn
- 1.5 Wir hier in Österreich und in der Schweiz haben keine deutschen Briefmarken. Wie erhalten wir die CD-ROM?
- Antwort:
Wir senden Ihnen die IT-Grundschutz-Kataloge auf CD-ROM, ohne dass Sie
uns einen frankierten Rückumschlag übersenden müssen. Senden Sie bitte
eine E-Mail mit Ihrer Postanschrift an oeffentlichkeitsarbeit@bsi.bund.de.
- 1.6 Gibt es eine Möglichkeit, die IT-Grundschutz-Kataloge in gepackter Form aus dem Internet herunterzuladen?
- Antwort: Ja, Sie können die IT-Grundschutz-Kataloge hier als PDF-Datei herunterladen.
- 1.7 Gibt es die IT-Grundschutz-Kataloge auch in englischer Fassung?
- Antwort: Ja, die englische Fassung finden Sie hier.
- 1.8 Gibt es die IT-Grundschutz-Kataloge auch in gedruckter englischer Fassung?
- Antwort: Nein. Aber die IT-Grundschutz-Kataloge auf BSI-CD-ROM enthalten eine englische HTML sowie eine PDF-Version.
Hinweis: Da
die Übersetzung der IT Grundschutz-Kataloge einige Zeit in Anspruch
nimmt, ist das IT-Grundschutz Manual im Allgemeinen eine Version
hinter der aktuellen deutschen Fassung zurück.
- 1.9 Wie lautet die Bezugsquelle für das GSTOOL
- Antwort: Nähere Informationen zum GSTOOL, wie z. B. die Bezugsquelle, finden Sie unter der Internet-Adresse http://www.bsi.bund.de/gstool/index.htm.
2. Zur Registrierung / Mailingliste:
- 2.1 Kann ich mich als Anwender des IT-Grundschutzes registrieren lassen?
- Antwort:
Ja. Anwender, Leser und sonstigen Interessenten des Handbuchs erhalten
die Möglichkeit, sich freiwillig beim BSI registrieren zu lassen. Als
registrierter Interessent werden Sie in unregelmäßigen Abständen
gezielt per E-Mail über aktuelle Neuigkeiten
rund um das Handbuch informiert. Darüber hinaus werden Sie als
registrierter Anwender regelmäßig befragt, welche Themen im Handbuch
als nächstes behandelt werden sollten. Um sich registrieren zu lassen,
rufen Sie die Webseite http://www.bsi.bund.de/gshb/deutsch/etc/registrierung.htm auf.
- 2.2
Wie erhalte ich regelmäßig Informationen per E-Mail rund um das Thema
IT-Grundschutz sowie über sonstige Veröffentlichungen des BSI?
- Antwort: Ja. Sie können sich unter der Internetadresse http://www.bsi.bund.de/gshb/deutsch/etc/registrierung.htm registrieren lassen und erhalten damit regelmäßig Informationen per E-Mail rund um das Thema IT-Grundschutz.
- 2.3
Ich möchte mich nicht registrieren lassen, aber trotzdem regelmäßig
Informationen rund um das Thema IT-Grundschutz sowie über
sonstige Veröffentlichungen des BSI per E-Mail erhalten. Ist das
möglich?
- Antwort: Nein, das ist leider nicht möglich.
- 2.4 Wie erreiche ich das Grundschutz-Team?
- Antwort: Das IT-Grundschutz-Team erreichen Sie tagsüber, während der normalen Bürozeiten unter
Telefon: 0228 99 9582-5369
Telefax: 0228 99 9582-5405
E-Mail unter grundschutz@bsi.bund.de.
- 2.5 Wie lautet Ihre Postanschrift?
- Antwort: Unsere Postanschrift lautet:
Bundesamt für Sicherheit
in der Informationstechnik (BSI)
Referat 114
Postfach 20 03 63
53133 Bonn
3. Zur weiteren Verwendung der IT-Grundschutz-Kataloge
- 3.1 Dürfen die Dateien der CD-ROM in ein Intranet eingestellt werden?
- Antwort: Ja.
- 3.2 Dürfen die Dateien der CD-ROM auf einen eigenen Web-Server eingestellt werden?
- Antwort: Nein. Hierzu ist zunächst eine Rücksprache mit dem BSI erforderlich. Bitte wenden Sie sich an: grundschutz@bsi.bund.de
- 3.3 Dürfen Informationen aus den IT-Grundschutz-Katalogen veröffentlicht werden?
- Antwort:
Ja, aber nur auszugsweise und mit einem entsprechenden Quellenhinweis.
Bitte informieren Sie uns über solche Veröffentlichungen.
- 3.4 Dürfen Informationen aus den IT-Grundschutz-Katalogen für Beratungszwecke genutzt werden?
- Antwort: Ja.
4. Internationales
- 4.1 Wo wird IT-Grundschutz eingesetzt?
- Antwort:
Sowohl im behördlichen Umfeld als auch in privatwirtschaftlichen
Bereich haben sich die IT-Grundschutz-Kataloge als Standardwerk zur
IT-Sicherheit in Deutschland etabliert. Unternehmen aller
Größenordnungen verwenden die IT-Grundschutz-Kataloge als Hilfsmittel
bei der Konzeption, Realisierung und Revision von
Standard-Sicherheitsmaßnahmen. Eine Liste registrierter Anwender, die
einer Veröffentlichung ihrer Institutionsbezeichnung zugestimmt haben,
ist im Internet unter http://www.bsi.bund.de/gshb/deutsch/etc/gshb_reg.htm verfügbar.
- 4.2 Wodurch unterscheidet sich der IT-Grundschutz von ISO 27001/27002 (früher BS 7799 bzw. ISO 17799)?
- Antwort:
Die IT-Grundschutz-Kataloge beschreiben detailliert Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Es umfasst:
- Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf,
- eine Darstellung der pauschal angenommenen Gefährdungslage,
- ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe,
- eine einfache Verfahrensweise zur Ermittlung des erreichten Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs und
- eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten
eines angemessenen Sicherheitsniveaus.
ISO 27002 befasst sich hauptsächlich mit dem letzten Punkt, also dem Aufbau eines Informationssicherheitsmanagements und seiner Verankerung in der Organisation.
Anders als in den IT-Grundschutz-Katalogen finden sich hier keine detaillierten Umsetzungshinweise, sondern übergreifende Anforderungen.
Einen Vergleich der ISO 27001 / ISO 27002 mit der in BSI-Standard 100-2 beschriebenen IT-Grundschutz-Vorgehensweise und den IT-Grundschutz-Katalogen finden Sie hier."
- 4.3 In welcher Beziehung steht IT-Grundschutz zu ISO 27001?
- Antwort: Ende 2005 wurde als ISO/IEC 27001:2005 ein internationaler Standard zur Zertifizierung von Informationssicherheitsmanagementsystemen
verabschiedet. Als Grundlage für dessen Erstellung diente der britische Standard BS 7799:2.
Damit das IT-Grundschutz-Zertifikat des BSI auch ISO 27001 mit abdeckt, wurden Ende 2005 die IT-Grundschutz-Vorgehensweise, das Zertifizierungsschema und die IT-Grundschutz-Kataloge angepasst. Die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz umfasst eine Prüfung des Informationssicherheitsmanagements sowie eine über ISO 27001 hinausgehende Bewertung konkreter Sicherheitsmaßnahmen anhand von IT-Grundschutz.
Einen Vergleich der ISO 27001 / ISO 27002 mit den Vorgaben der BSI-Standards 100-1,
100-2 und 100-3 finden Sie hier.
- 4.4 Wo kann man ISO 27001/27002 beziehen?
- Antwort: Nähere Informationen zu ISO 27001/27002 finden Sie unter http://www.iso.org oder http://www.beuth.de.
- 4.5 Gibt es die ISO-Standards auch auf deutsch?
- Antwort: Eine deutsche Version gibt es, die Übersetzung wird aber nicht von allen gelobt.
- 4.6 Welche Standards beschreiben ein Information Security Management System?
- Antwort: Die BSI-Standards zum Thema Information Security Management System finden Sie hier.
5. IT-Grundschutz-Zertifikat
- 5.1 Kann ich eine Bestätigung erhalten,
wenn ich IT-Grundschutz in meiner Behörde bzw. in meinem
Unternehmen anwende?
- Antwort: Ja. Das BSI
hat gemeinsam mit Interessenten aus der Wirtschaft eine
Zertifizierungsschema für IT-Grundschutz erarbeitet. Voraussetzung für
die Vergabe des IT-Grundschutz-Zertifikats ist eine Überprüfung, ob die
hierfür festgelegten Anforderungen erfüllt werden. Diese Überprüfung
wird von einem lizenzierten IT-Grundschutz-Auditor durchgeführt. Das
Ergebnis der Überprüfung ist ein Auditreport, der dem BSI als
Zertifizierungsstelle vorgelegt wird. Auf der Grundlage des
Auditreports entscheidet die Zertifizierungsstelle über die Vergabe des
IT-Grundschutz-Zertifikats. Alle Informationen zur Zertifizierung
finden Sie unter http://www.bsi.bund.de/gshb/zert/index.htm
- 5.2 Kann ich durch ein Testat die Umsetzung nach IT-Grundschutz dokumentieren?
-
- Antwort:
Ja, um wichtige Meilensteine bei der schrittweisen Umsetzung der
Standard-Sicherheitsmaßnahmen transparent machen zu können, definiert das
BSI weiterhin zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats:
– das Auditor-Testat "IT-Grundschutz Einstiegsstufe" und
– das Auditor-Testat "IT-Grundschutz Aufbaustufe"
Damit bleibt das Qualifizierungsverfahren über "Einstiegstufe" und "Aufbaustufe" weiterhin bestehen, allerdings dürfen die Testate nur von beim
BSI lizenzierten Auditoren vergeben werden.
Voraussetzung für die Vergabe eines Auditor-Testats ist eine Überprüfung
durch einen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor. Zu den
Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von
der Institution erstellten Referenzdokumente.
- 5.3 Warum gibt es drei Stufen der IT-Grundschutz-Qualifizierung?
- Antwort:
Eine umfassende Umsetzung der IT-Grundschutz-Maßnahmen ist in vielen
Fällen mit erheblichem Aufwand verbunden. Die beiden Selbsterklärungen
"Einstiegstufe" und "Aufbaustufe" sollen als Migrationspfad dienen, mit
denen eine Institution dokumentieren kann, dass sie ein
IT-Grundschutz-Zertifikat anstrebt. Diese beiden Selbsterklärungen sind
deshalb nur maximal 2 Jahre gültig und können jeweils nur einmal
vergeben werden.
- 5.4 Wie unterscheidet sich eine IT-Grundschutz-Zertifizierung von einer Zertifizierung nach ISO 27001?
- Antwort: Eine BSI-Studie zu diesem Thema finden Sie hier.
^ zum Seitenanfang
© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved