Definitionen Was ist der IT-Grundschutz?

Redakteur: Julia Mutzbauer

Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Sammlung von Vorgehensweisen, um die IT-Sicherheit von Behörden, Unternehmen und Institutionen zu verbessern. Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen mit behandelt.

Firma zum Thema

IT-Grundschutz: Ein BSI-Konzept zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen
IT-Grundschutz: Ein BSI-Konzept zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen
(© aga7ta – Fotolia)

Der IT-Grundschutz soll dabei helfen, das Niveau der Informationssicherheit in einer Institution oder einem Unternehmen anzuheben und aufrechtzuerhalten. Dazu hat das BSI das IT-Grundschutz-Kompendium veröffentlicht, in dem konkrete Anforderungen definiert sind. Für die Polizeien, als Behörde mit besonderen Anforderungen, hat das BSI ein eigenes Kompendium zum IT-Grundschutz aufgelegt.

Das Handbuch besteht aus den sogenannten IT-Grundschutz-Bausteinen. Dort wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der Bausteine werden mögliche Gefahren erläutert. Im Anschluss geht es um wichtige Sicherheitsanforderungen. Das Kompendium wird jährlich im Februar aktualisiert.

Die Bausteine sind in zehn verschiedene Bereiche aufgeteilt:

  • ISMS: Sicherheitsmanagement
  • ORP: Organisation und Personal
  • CON: Konzeption und Vorgehensweise
  • OPS: Betrieb
  • DER: Detektion und Reaktion
  • APP: Anwendungen
  • SYS: IT-Systeme
  • IND: Industrielle IT
  • NET: Netze und Kommunikation
  • INF: Infrastruktur

Wie einzelne Sicherheitsmaßnahmen durchgeführt werden können, sind in den sogenannten Umsetzungshinweisen zu finden. Diese beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen.

Ein weiterer Bereich, der zum IT-Grundschutz gehört, sind die BSI-Standards. Sie enthalten Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen zu unterschiedlichen Aspekten der Informationssicherheit. Zudem kann eine Institution zum Beispiel mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen.

(ID:47391366)