[PDF] IT-Grundschutz-Kompendium – Zweite Edition Februar 2019

View - Download IT-Grundschutz-Kompendium – Zweite Edition Februar 2019

Previous PDF

Next PDF

4. Auflage

IT-Grundschutz-

Kompendium

4. Au"age

IT-Grundschutz-

Kompendium

. Edition Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte

bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. www.reguvis.de Weitere Informationen finden Sie auch in unserem Themenportal unter www.betrifft-unternehmen.de, E-Mail: wirtschaft@bundesanzeiger.de Bundesamt für Sicherheit in der Informationstechnik, Bonn Internet: www.bsi.bund.de/grundschutz, E-Mail: grundschutz@bsi-bund.de

ISBN (Print): 978-3-8462-0906-6

© 2019 Bundesamt für Sicherheit in der Informationstechnik, Bonn

Alle Rechte vorbehalten. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwertung

außerhalb der Grenzen des Urheberrechtsgesetzes bedarf der vorherigen Zustimmung des Verlags. Dies gilt auch

elektronischen Systemen. Hinsichtlich der in diesem Werk ggf. enthaltenen Texte von Normen weisen wir darauf

hin, dass rechtsverbindlich allein die amtlich verkündeten Texte sind.

Herstellung: Günter Fabritius

Satz: Cicero Computer GmbH, Bonn

Druck und buchbinderische Verarbeitung: Medienhaus Plump GmbH, Rheinbreitbach

Printed in Germany

IT-Grundschutz-Kompendium

Zweite Edition Februar 2019

Liebe Bezieherinnen und Bezieher des IT-Grundschutz-Kompendiums, Sie erhalten heute die zweite Edition des IT-Grundschutz-Kompendiums.

Das IT-Grundschutz-Kompendium wird fortlaufend bedarfsorientiert weiterentwickelt und im Hinblick auf aktuelle

für Sie praxisnahe Empfehlungen und Informationen bereithalten.

... vom Themenkomplex Telekommunikation über Apps bis hin zu aktuellen Business-Anwendungen ... sowie 25 um-

des IT-Grundschutz-Kompendiums immer auf den neuesten Stand. Wir wünschen Ihnen weiterhin erfolgreiches Arbeiten mit dem IT-Grundschutz-Kompendium!

Mit freundlichen Grüßen

Vorwort

Vorwort

Der modernisierte IT-Grundschutz ist in der Praxis angekommen. Ein Jahr nach dem Erscheinen des ersten IT-Grund-

schutz-Kompendiums sind bereits die ersten Zertifikate nach ISO 27001 auf der Basis von IT-Grundschutz erteilt

zwischen auf den modernisierten IT-Grundschutz umgestellt und planen Zertifizierungen.

Informationssicherheit ist die zentrale Voraussetzung für eine erfolgreiche Digitalisierung. Der IT-Grundschutz bie-

Systeme und Netze auf dem Stand der Technik abzusichern. Mit der vorliegenden Edition 2019 des Kompendiums

schaft als auch der Verwaltung praxisnahe Empfehlungen und Informationen bereithalten. Als Ergebnis der konti-

nuierlichen Weiterentwicklung sind zahlreiche neue IT-Grundschutz-Bausteine hinzugekommen ... vom Themen-

komplex Telekommunikation über Apps bis hin zu aktuellen Business-Anwendungen.

Über 800 Millionen Schadprogramme waren 2018 im Umlauf, 16 Millionen Warn-Mails hat das BSI verschickt, um

nen dieses Angebot ... individuell auf ihre Sicherheitsanforderungen angepasst ... nutzen, um das Niveau der Infor-

mationssicherheit auf einem stabilen Level zu halten. Informationssicherheit in Zeiten fortschreitender Digitalisie-

nehmen. Der IT-Grundschutz unterstützt Sie dabei.

1IT-Grundschutz-Kompendium: Stand Februar 2019

Vorwort

2IT-Grundschutz-Kompendium: Stand Februar 2019

Dankesworte

Dankesworte

Für die Mitarbeit an der Edition 2019 des IT-Grundschutz-Kompendiums und die engagierte Unterstützung bei der

Erstellung neuer Bausteine wird an dieser Stelle allen Beteiligten gedankt.

Strategische Ausrichtung und Gesamtverantwortung:

Frau Isabel Münch, BSI

Gesamtkoordination und Chefredaktion:

Herr Holger Schildt, BSI

Management und Controlling:

Herr Alex Essoh, BSI

Herr Florian Hillebrand, BSI

Technische Redaktion:

Herr Ehad Qorri, BSI

Herr Christoph Wiemers, BSI

Frau Katrin Alberts, BSI

Herr Daniel Gilles, BSI

Herr Johannes Oppelt, BSI

Leitung Bausteinerstellung:

Herr Alex Essoh, BSI

Herr Florian Hillebrand, BSI

Herr Birger Klein, BSI

Herr Ehad Qorri, BSI

Herr Holger Schildt, BSI

Herr Christoph Wiemers, BSI

kommentiert und ihr Fachwissen eingebracht. Auch hier sei den Mitwirkenden gedankt. Darüber hinaus sei allen

des IT-Grundschutzes beteiligt haben.

Folgende Institutionen und Personen haben bei der Bausteinerstellung ihr Fachwissen in das IT-Grundschutz-Kom-

pendium einfließen lassen.

1.1 Anwender

Wir danken folgenden IT-Grundschutz-Anwendern:

1IT-Grundschutz-Kompendium: Stand Februar 2019

Dankesworte

Schmeken (ASSETARIS e.K.), Herrn Steffen Schwalm (BearingPoint GmbH), Herrn Thomas Simon (ComConsult Beratung und Planung GmbH), Herrn Roland Schwarz (Bundesdruckerei GmbH), Herrn Dr. Gerhard Weck

(INFODAS GmbH) sowie den Mitgliedern der Arbeitsgruppe Informationssicherheit (AG InfoSic), des IT-Planungs-

Kommentare.

1.2 Unterstützer von Bausteinen

Der IT-Grundschutz wird nicht nur vom BSI oder im Auftrag des BSI weiterentwickelt, sondern auch die Anwender

stehende Texte. Den folgenden Anwendern, die die genannten Bausteine entwickelt oder umfangreich aktualisiert

haben, gilt unser besonderer Dank: rung Frau Anne Kempa (SAP Deutschland SE & Co.KG) für APP.4.2SAP-ERP-System. Herrn Dr. Martin Meints (Dataport) für CON.5Entwicklung und Einsatz von Allgemeinen Anwendungen.

Herrn Rainer Meisriemler (Oracle Deutschland B.V. & Co. KG) für APP.4.3Relationale Datenbanksysteme.

Herrn Andreas Scholtz und Herrn Martin Stolle (mc

2 management consulting GmbH) für SYS.4.1Drucker,Kopierer

1.3 Auftragnehmer

Folgende Auftragnehmer des BSI haben an der Erstellung von Bausteinen für das IT-Grundschutz-Kompendium

mitgewirkt:

ComConsult Beratung und Planung GmbH

DATAKONTEXT GmbH

HiSolutions AG

SecuMedia Verlags-GmbH

1.4 Bundesamt für Sicherheit in der Informationstechnik

In das IT-Grundschutz-Kompendium ist zudem das Fachwissen der folgenden BSI-Mitarbeiterinnen und -Mitarbei-

ter eingeflossen:

Herr Heinrich Altengarten, Herr Dr. Stephan Arlt, Herr Julian Backhaus, Herr Kirsten Beiss, Frau Petra Bottenberg,

Herr Thomas Caspers, Herr Armin Cordel, Herr Markus de Brün, Herr Thorsten Dietrich, Herr Dr. Clemens Doubrava,

Herr Claus Irion, Herr Wilfried Kister, Herr Jens Kluge, Frau Dr. Ulrike Korte, Herr Dr. Robert Krawczyk, Herr Dr. Helge

Kreutzmann, Herr Daniel Loevenich, Herr Jens Mehrfeld, Herr Marc Meyer, Herr Michael Mehrhoff, Herr Andreas

Neth, Herr Dr. Frank Niedermeyer, Herr Dr. Harald Niggemann, Herr Michael Nosbüsch, Herr Detlef Nuß, Herr Mi-

chael Otter, Herr Rudolf Schick, Herr Karl Hubert Schmitz, Herr Arndt Schneider, Herr Carsten Schulz, Herr Jens

Sieberg, Herr Dr. Timo Steffens, Frau Anne-Kathrin Walter, Herr Frank Weber, Herr Maximilian Winkler, Herr Dr.

Herr Kevin Mosser.

2IT-Grundschutz-Kompendium: Stand Februar 2019

Gesamtinhaltsverzeichnis

Gesamtinhaltsverzeichnis

Vorwort

Dankesworte

Inhaltsverzeichnis

Neues im IT-Grundschutz-Kompendium

IT-Grundschutz ... Basis für Informationssicherheit

Schichtenmodell und Modellierung

Rollen

Glossar

€ G01 Feuer

€ G02 Ungünstige klimatische Bedingungen

€ G03 Wasser

€ G04 Verschmutzung, Staub, Korrosion

€ G05 Naturkatastrophen

€ G06 Katastrophen im Umfeld

€ G07 Großereignisse im Umfeld

€ G013 Abfangen kompromittierender Strahlung

€ G018 Fehlplanung oder fehlende Anpassung

€ G019 Offenlegung schützenswerter Informationen

€ G021 Manipulation von Hard- oder Software

€ G022 Manipulation von Informationen

€ G023 Unbefugtes Eindringen in IT-Systeme

€ G027 Ressourcenmangel

€ G028 Software-Schwachstellen oder -Fehler

€ G029 Verstoß gegen Gesetze oder Regelungen

€ G032 Missbrauch von Berechtigungen

€ G033 Personalausfall

€ G034 Anschlag

€ G037 Abstreiten von Handlungen

1IT-Grundschutz-Kompendium: Stand Februar 2019

Gesamtinhaltsverzeichnis

€ G038 Missbrauch personenbezogener Daten

€ G039 Schadprogramme

€ G040 Verhinderung von Diensten (Denial of Service)

€ G041 Sabotage

€ G042 Social Engineering

€ G043 Einspielen von Nachrichten

€ G045 Datenverlust

Prozess-Bausteine

ISMS: Sicherheitsmanagement

€ ISMS.1 Sicherheitsmanagement

ORP: Organisation und Personal

€ ORP.1 Organisation

€ ORP.2 Personal

€ ORP.3 Sensibilisierung und Schulung

€ ORP.5 Compliance Management (Anforderungsmanagement)

CON: Konzepte und Vorgehensweisen

€ CON.1 Kryptokonzept

€ CON.2 Datenschutz

€ CON.3 Datensicherungskonzept

€ CON.4 Auswahl und Einsatz von Standardsoftware € CON.5 Entwicklung und Einsatz von Allgemeinen Anwendungen € CON.7 Informationssicherheit auf Auslandsreisen

OPS: Betrieb

OPS.1 Eigener Betrieb

OPS.1.1 Kern-IT-Betrieb

€ OPS.1.1.3 Patch- und Änderungsmanagement

€ OPS.1.1.4 Schutz vor Schadprogrammen

€ OPS.1.1.5 Protokollierung

€ OPS.1.1.6 Software-Tests und -Freigaben

OPS.1.2 Weiterführende Aufgaben

€ OPS.1.2.2 Archivierung

€ OPS.1.2.4 Telearbeit

OPS.2 Betrieb von Dritten

€ OPS.2.1 Outsourcing für Kunden

€ OPS.2.2 Cloud-Nutzung

€ OPS.2.4 Fernwartung

OPS.3. Betrieb für Dritte

OPS.3.1 Outsourcing für Dienstleister

2IT-Grundschutz-Kompendium: Stand Februar 2019

Gesamtinhaltsverzeichnis

DER: Detektion und Reaktion

DER.1 Detektion von sicherheitsrelevanten Ereignissen

DER.2 Security Incident Management

€ DER.2.2 Vorsorge für die IT-Forensik

DER.3 Sicherheitsprüfungen

€ DER.3.1 Audits und Revisionen

€ DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision

DER.4 Notfallmanagement

System-Bausteine

APP: Anwendungen

APP.1 Client-Anwendungen

€ APP.1.1 Office-Produkte

€ APP.1.2 Web-Browser

€ APP.1.4 Mobile Anwendungen (Apps)

APP.2 Verzeichnisdienst

€ APP.2.1 Allgemeiner Verzeichnisdienst

€ APP.2.2 Active Directory

€ APP.2.3 OpenLDAP

APP.3 Netzbasierte Dienste

€ APP.3.1 Webanwendungen

€ APP.3.2 Webserver

€ APP.3.3 Fileserver

€ APP.3.4 Samba

€ APP.3.6 DNS-Server

APP.4 Business-Anwendungen

€ APP.4.3 Relationale Datenbanksysteme

€ APP.4.6 SAP ABAP-Programmierung

APP.5 E-Mail/Groupware/Kommunikation

€ APP.5.1 Allgemeine Groupware

€ APP.5.2 Microsoft Exchange und Outlook

SYS: IT-Systeme

SYS.1 Server

€ SYS.1.1 Allgemeiner Server

€ SYS.1.2 Windows Server

঄SYS.1.2.2 Windows Server 2012

€ SYS.1.3 Server unter Unix

€ SYS.1.5 Virtualisierung

€ SYS.1.7 IBM Z-System

SYS.2 Desktop-Systeme

€ SYS.2.1 Allgemeiner Client

€ SYS.2.2 Windows-Clients

঄SYS.2.2.2 Clients unter Windows 8.1 ঄SYS.2.2.3 Clients unter Windows 10

€ SYS.2.3 Clients unter Unix

€ SYS.2.4 Clients unter macOS

3IT-Grundschutz-Kompendium: Stand Februar 2019

Gesamtinhaltsverzeichnis

SYS.3 Mobile Devices

€ SYS.3.1 Laptops

€ SYS.3.2 Tablet und Smartphone

঄SYS.3.2.1 Allgemeine Smartphones und Tablets ঄SYS.3.2.2 Mobile Device Management (MDM) ঄SYS.3.2.3 iOS (for Enterprise) ঄SYS.3.2.4 Android

€ SYS.3.3 Mobiltelefon

SYS.4 Sonstige Systeme

quotesdbs_dbs4.pdfusesText_7

[PDF] ITIL® pour la gestion de parc informatique - Support Technique

[PDF] Itinairaire et hebergement dojo Aurillac

[PDF] Itinéraire - Afrique du Sud - Visites Guidées

[PDF] Itinéraire - Challes-les-Eaux - Anciens Et Réunions

[PDF] Itinéraire - Commissariat général aux réfugiés et aux apatrides

[PDF] Itinéraire - Fédération Foi et Partage

[PDF] Itinéraire - Héros du coeur - Anciens Et Réunions

[PDF] itineraire - Hotel Bosquet - Anciens Et Réunions

[PDF] Itinéraire - Hotel Restaurant Kaiserhof in Wesel - Anciens Et Réunions

[PDF] Itinéraire - La Ferme Des Sources

[PDF] Itinéraire - Le hameau des coquelicots - Anciens Et Réunions

[PDF] Itinéraire - Location Hibiscus

[PDF] itinéraire - Printemps - Un Hôtel

[PDF] Itinéraire - SCFP 2000 - Visites Guidées

[PDF] itinéraire - Sensations - Anciens Et Réunions