Problems logging in

IT-Grundschutz

Für Anwender und Interessierte zum BSI-Angebot IT-Grundschutz. Die Gruppe bietet Informationen, Neuigkeiten und Erfahrungsaustausch.

Udo Junk Einsatz von Schwachstellenscanner
Falls jemand weiß ob und wo im Grundschutz der regelmäßige Einsatz von Schwachstellenscannern (wie z. B. OpenVAS, Nessus, Qualys, Rapid7 etc.) verbindlich gefordert wird bin ich für Hinweise dankbar. Das Thema wird zwar an vielen Stellen erwähnt, nach meiner Kenntnis existiert jedoch nirgends eine zwingende "muss" Vorgabe. Ist das korrekt?
Udo Junk
+13 more comments
Last comment:
Only visible to XING members
Ich stimme den Vorrednern zu den Ausführungen von KANN und MUSS zu.
Nach IND.1.A12 des IT-Grundschutzkompendiums SOLLTE die Institution für den sicheren Betrieb einer ICS-Umgebung ein Schwachstellen-Management etablieren. Dabei SOLLTE das Schwachstellenmanagement Lücken in Software, Komponenten, Protokollen und Außenschnittstellen der Umgebung identifizieren und mögliche Handlungserfordernisse und -möglichkeiten (z. B. ein Patchmanagement) ableiten, bewerten und umsetzen. Grundlage dafür SOLLTEN Schwachstellenmeldungen (Advisories) von Herstellern oder öffentlich verfügbare CERT-Meldungen sein.
Falls Sie im Rahmen Ihrer Risikoanalyse und Ihrem Business Continuity Management zum Ergebnis kommen SOLLTEN, dass Sie ein Schwachstellen Management benötigen, so können Sie dies durchaus manuell (u. U. durch Lesen des Quelltexts) durchführen. Aus Gründen der Wirtschaftlichkeit empfehle ich Ihnen jedoch dringendst, dass Sie zur zyklischen Bestandsanalyse, Bewertung, Korrektur und Erfolgsüberprüfung (PDCA) und damit zur Aufrechterhaltung Ihres Schwachstellen Managementsystems automatisierte Werkzeuge einsetzen.
Katharina Thönnes Umfrage zu neuen Bausteinthemen – gestalten Sie den IT-Grundschutz aktiv mit!
Im Februar 2019 erscheint die zweite Edition des IT-Grundschutz-Kompendiums. Mit dieser zweiten Ausgabe werden bereits einige neue Themen aufgenommen, wie
z.B. macOS, mobile Anwendungen und Cloud-Nutzung. Des Weiteren wurden fast
alle IT-Grundschutz-Bausteine der IT-Grundschutz-Kataloge auf den modernisierten IT-Grundschutz migriert und in das IT-Grundschutz-Kompendium integriert. Ziel des IT-Grundschutzes ist es, den Verantwortlichen für Informationssicherheit ein möglichst breites wie aktuelles Portfolio an Themen für die tägliche Berufspraxis anzubieten.
Dazu interessiert uns Ihre Meinung: Für welche Themen fehlen Ihnen
IT-Grundschutz-Bausteine?
Eine erste Abfrage wurde unter den Teilnehmern des 3.IT-Grundschutz-Tages am
30. August 2018 in Köln durchgeführt. Hiermit möchten wir nun allen
Interessierten die Möglichkeit geben, anonym eine Rückmeldung zu
Themenwünschen abzugeben.
Wir laden Sie dazu ein, an der verlinkten Umfrage bis zum 11.11.2018 teilzunehmen. Der
Zeitaufwand beträgt maximal wenige Minuten.
Wir danken Ihnen für die Teilnahme und sind gespannt auf Ihre Rückmeldungen!
Katharina Thönnes Daniel Hoenig
+2 more comments
Last comment:
Katrin Alberts Neues IT-Grundschutz-Profil für Handwerksbetriebe vorgestellt
Auf dem 27. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit wurde heute
ein neues IT-Grundschutz-Profil für Handwerksbetriebe vorgestellt. Dabei
handelt es sich um ein Ergebnis der erfolgreichen Kooperation zwischen dem
Zentralverband des Deutschen Handwerks und dem BSI.
Expertinnen und Experten aus Handwerksorganisationen haben in einer vom BSI
begleiteten Workshop-Reihe ausgehend von den typischen Geschäftsprozessen
Auftragsgewinnung, Angebotserstellung, Auftragsdurchführung und Abrechnung
ein Muster-Sicherheitskonzept entwickelt, das nun als Schablone für
Handwerksbetriebe mit vergleichbaren Rahmenbedingungen dienen kann.
Neben dem IT-Grundschutz-Profil wurde mit dem Routenplaner „Cybersicherheit
für Handwerksbetriebe“ eine praktische Arbeitshilfe erarbeitet, die Schritt
für Schritt durch den Sicherheitsprozess des neuen IT-Grundschutz-Profils führt.
Handwerksbetriebe können aus drei Routen auswählen und ihren individuellen
Sicherheitsprozess nach IT-Grundschutz gestalten. Anschauliche Routenpläne
und zielgruppengerechte Arbeitshilfen führen zu den relevanten
IT-Grundschutz-Bausteinen und den passenden Umsetzungshinweisen im
IT-Grundschutz-Kompendium Edition 2019.
Das IT-Grundschutz-Profil für Handwerksbetriebe und der Routenplaner
„Cybersicherheit für Handwerksbetriebe“ unterstützen bei einer
ressourcenschonenden Auseinandersetzung mit den relevanten Fragen zur
Informationssicherheit. Der Routenplaner richtet sich in erster Linie an
Handwerksbetriebe, kann aber auch als Leitfaden für Beraterinnen und Berater
in Handwerksorganisationen dienen.
Links:
IT-Grundschutz-Profil für Handwerksbetriebe
http://www.bsi.bund.de/profile
Ergänzend zum IT-Grundschutz-Profil für Handwerksbetriebe wurde der Routenplaner „Cyber-Sicherheit für Handwerksbetriebe“ veröffentlicht:
http://www.allianz-fuer-cybersicherheit.de/Routenplaner
Roland Fürbas Grundschutz Katalog im Tabellenformat
Ich bin auf der Suche nach einer Tabelle der aktuellen IT-Grundschutzerhebung als EXCEL-Formular.
Auf der HP des BSI gibt es leider nur die neuen Checklisten (ITGS-Check_APP...), welche sich schwerlich in EINER übersichtlichen Tabelle so formatieren lassen, dass sie die gewohnte Vorgehensweise entsprechen
(b...._formular - IT-Grundschutzerhebung: Formular zu Baustein B ... ) .
Persönlich empfand ich die alte Formatierung viel praktikabler bei der Erfassung der Daten, da sie mehr Aussagekraft hatte und einfach als Checkbox filterbar gemacht werden konnte.
--------------------------------
Maßnahme - BAUSTEIN - entbehrlich - Ja - teilweise - Nein - Umsetzung bis - verantwortlich - Bemerkungen / Begründung für Nicht-Umsetzung - Kostenschätzung
--------------------------------
Aktuell habe ich den Katalog nach den alten Fragen als Excel-Tabelle aufgebaut, jedoch fehlt der Bezug zur aktuellen Nomentklatur (APP.3.3 Fileserver ...).
Gibt es hierzu eine Übersetzungstabelle von ALT auf NEU?
Ich bin ich leider nicht fündig geworden.
Falls jemand ebenfalls an diesem Thema arbeitet, bitte ich um direkten Kontakt via PN.
Gerne biete ich meine Tabelle an. Auch hier bitte direkter Kontakt via PN.
Roland Fürbas Katharina Thönnes
+6 more comments
Last comment:
Katharina Thönnes
Only visible to XING members

>Hallo Frau Thönnes,
>vielen Dank für die Bereitstellung dieser Tabellen.
>Ich möchte an dieser Stelle jedoch noch einmal kurz zwei Unklarheiten meinerseits hinterfragen:
>1. Die Spalte "Bemerkungen / Begründung für Nicht-Umsetzung" suggeriert, dass man nur eine Begründung liefern muss, wenn man die Anforderung nicht als umgesetzt ansieht. Sollte/muss man nicht generell im GSC beschreiben wie die Anforderung umgesetzt wurde, oder warum man diese als entbehrlich ansieht? Ein einfaches "Ja" war damals in den BSC-Listen schon ungern gesehen.
>2. Die Tabelle zielt einzig auf die "Hauptanforderungen" ab. Was ist mit den jeweiligen "Unteranforderungen"? Darf man die Entscheidung auf Hauptanforderungsebene treffen, so wie damals auf „Maßnahmenebene“ (nicht auf Prüffragenebene)?
>Bei dem Typ "Hoch" wäre es sicherlich sinnvoll noch die Schutzziele anzugeben, auf die diese Anforderung laut Kompendium abzielt. Das könnte z.B. die Begründung der Entbehrlichkeit erleichtern.
>Vielen Dank im Voraus für die kurze Aufklärung bzgl. meiner zwei Fragen.
>Mit freundlichen Grüßen
>Maik Gischel
Hallo Herr Gischel,
zu 1.: Die Tabellen dienen als Hilfsmittel bzw. Vorschlag und können natürlich an die eigenen Bedürfnisse angepasst werden. Die Beschriftungen orientieren sich am BSI-Standard 200-2, insbesondere an Kapitel 8.4.3 "Dokumentation der Ergebnisse" beim IT-Grundschutz-Check. Dort heißt es: "Bei Anforderungen, deren Umsetzung entbehrlich erscheint, ist hier die Begründung zu nennen. Bei Anforderungen, die noch nicht oder nur teilweise umgesetzt sind, sollte in diesem Feld dokumentiert werden, welche Maßnahmen noch umgesetzt werden müssen. In dieses Feld sollten auch alle anderen Bemerkungen eingetragen werden, die bei der Beseitigung von Defiziten hilfreich oder im Zusammenhang
mit der Anforderung zu berücksichtigen sind."
Zu 2.: Nach der IT-Grundschutz-Methodik ist eine ("Haupt-")Anforderung
erfüllt, wenn sämtliche Teilanforderungen erfüllt sind. Sie würden in diesem
Fall also für die komplette Anforderung ein "ja" dokumentieren. Sind
Teilanforderungen nicht erfüllt, kann das entsprechend durch "teilweise" und einem Eintrag ins Bemerkungsfeld abgebildet werden.
Der Vorschlag, die Schutzziele in der Tabelle anzugeben, ist gut. Wir werden
eine zeitnahe Umsetzung prüfen.
Viele Grüße
Katharina Thönnes