Aufbau der IT-Grundschutz-Kataloge

Das IT-Grundschutzhandbuch des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist in fünf Bereiche gegliedert, die hier kurz erläutert sind:

Einstieg und Vorgehensweise

Dargestellt wir hier die Konzeption des IT-Grundschutzes. Der Wegweiser zur Nutzung des Handbuchs erläutert den Einstieg ins Handbuch zu ausgewählten Themen und beschreibt die Vorgehensweise zur Erstellung eines Sicherheitskonzepts nach IT-Grundschutz.

Informationssicherheitsmanagement

In diesem Kapitel wird dargestellt, dass die Einzelanalysen und -maßnahmen von einem Planungs- und Lenkungs-System flankiert werden müssen, dem IT-Sicherheitsmanagement-System. Für solche Systeme gibt es unterschiedliche Ansätze; das BSI selbst verweist auf den Standard 100-1 "Managementsysteme für Informationssicherheit (ISMS)" sowie auf den Baustein 1.0 der Grundschutz-Kataloge 

Bausteine

Sie enthalten in einem Schichtenmodell die Gefährdungslage und die Maßnahmenempfehlungen für verschiedene Komponenten, Vorgehensweisen und IT-Systeme, die jeweils in einem Baustein zusammengefasst sind. Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, deren Aufbau im Prinzip gleich ist. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems. Im Anschluss daran wird die Gefährdungslage dargestellt. Diese sind aufgegliedert in die folgenden Kapitel: 

  • B 1: Übergreifende Aspekte der Informationssicherheit
  • B 2: Sicherheit der Infrastruktur
  • B 3: Sicherheit der IT-Systeme
  • B 4: Sicherheit im Netz
  • B 5: Sicherheit in Anwendungen
  • Gefährdungskataloge

Dieser Bereich enthält die Beschreibung der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden.

Die Gefährdungen sind in fünf bzw. sechs Kataloge gruppiert: 

  • G0 – Elementare Gefährdungen
  • G1 - Höhere Gewalt
  • G2 - Organisatorische Mängel
  • G3 - Menschliche Fehlhandlungen
  • G4 - Technisches Versagen
  • G5 - Vorsätzliche Handlungen

 Maßnahmenkataloge

Dieser Teil beschreibt die in den Bausteinen des Handbuchs zitierten IT-Sicherheitsmaßnahmen. Die Maßnahmen sind in sechs Maßnahmenkataloge gruppiert: 

  • M1 - Infrastrukturelle Maßnahmen
  • M2 - Organisatorische Maßnahmen
  • M3 - Personelle Maßnahmen
  • M4 - Maßnahmen im Bereich Hard- und Software
  • M5 - Maßnahmen im Kommunikationsbereich
  • M6 - Notfallvorsorge-Maßnahmen