Basisschulung IT-Grundschutz-Praktiker nach BSI

Das Seminar ermöglicht einen fundierten Überblick über die Inhalte und die Umsetzung der IT-Grundschutzmethodik des BSI (Bundesamtes für Sicherheit in der Informationstechnik). Im Rahmen der Schulung werden die BSI-Standards 200-x, 100-4 sowie die IT-Grundschutz-Methodik erarbeitet. Das Seminar basiert auf dem neuen Curriculum sowie der Qualifizierungsanforderungen des BSI und versetzt Sie in die Lage, die Aufgaben eines Informationssicherheitsbeauftragten (ISB) oder IT-Sicherheitsbeauftragten zu übernehmen. Neben den Standards 200-x und 100-4 fokussiert das Seminar die neuen Bausteine zum IT-Sicherheitsmanagement, IT-Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Sicherheitsanalyse sowie der Risikoanalyse. Das Seminar ist der Einstieg in das offizielle Zertifizierungsprogramm des BSI und entspricht der IT-Grundschutz-Basisschulung.

Seminarinhalte:

Einführung und Grundlagen der IT-Sicherheit und rechtliche Rahmenbedingungen

• Begriffe (Arten und Wichtigkeit von Informationen, Aspekte der Integrität, Verfügbarkeit, Vertraulichkeit usw.)
• Unterschied zwischen IT und OT sowie Security und Safety
• Gesetzliche Grundlagen (BSIG, IT-SiG usw.)

Normen und Standards der Informationssicherheit

• Überblick, Zweck und Struktur über relevante Normen und Richtlinien z.B. ISO 2700x usw.)
• Cobit, ITIL usw.
• IT-Grundschutz-Kompendium
• Branchenspezifische Sicherheitsstandards und IT-Grundschutz-Profile

Einführung IT-Grundschutz

• IT-Grundschutz – Bestandteile
• Sicherheitsprozess
• Rollen, Verantwortung und Aufgaben (Leitung, Informationssicherheitsbeauftragte, ICS-Informationssicherheitsbeauftragte, Information-Management-Team usw.)
• Sicherheitskonzept
• Leitlinien erstellen

IT-Grundschutz-Vorgehensweise (Überblick)

• Leitfragen zur IT-Grundschutz-Absicherung    Basis-Anforderungen
• Standard-Anforderungen
• Anforderungen für den erhöhten Schutzbedarf
• Wahl der Vorgehensweise am Praxisbeispiel

Kompendium (Überblick)

• Aufbau und Anwendung des Kompendiums
• ISMS (Informationssicherheitsmanagementsystem)
• Prozess-Bausteine
• System-Bausteine
• Umsetzungshinweise
• Erstellung eines Bausteins

Umsetzung der IT-Grundschutz-Vorgehensweise

• Netzplan erstellen
• Geschäftsprozess und zugehörige Anwendungen sowie IT-Systeme, Räume erfassen
• Schutzbedarfskategorien, Vorgehen und Vererbung
• Modellierung gemäß IT-Grundschutz (Vorgehen, Dokumentation, Anforderungen anpassen)

IT-Grundschutz-Check

• Was wird geprüft?
• Vorbereitung und Durchführung
• IT-Grundschutz-Check dokumentieren
• Entscheidungskriterien
• Beispiel für die Dokumentation
• Beispiel für die Durchführung

Risikoanalyse

• Die elementaren Gefährdungen sowie andere Gefährdungsübersichten
• Vorgehen bei der Risikobewertung und Risikobehandlung
• Beispiel für die Risikobewertung

Umsetzungsplanung

• Maßnahmenplan entwickeln und dokumentieren, Aufwand schätzen, Umsetzungsreihenfolge und Verantwortlichkeit bestimmen, begleitende Maßnahmen planen
• Aufwände schätzen

Aufrechterhaltung und kontinuierliche Verbesserung

• Leitfragen für die Überprüfung
• Überprüfungsverfahren
• Kennzahlen
• Reifegradmodelle
• Beispiel für die Anwendung eines kontinuierlichen Verbesserungsprozesses (KVP)

Zertifizierung und Erwerb des IT-Grundschutz-Zertifikats auf Basis von ISO-27001

• Arten von Audits z.B. Prozess- und Produkt-Audit
• Grundsätze der Auditierung 1st, 2nd, 3rdParty Auditoren
• Modell der Akkreditierung und Zertifizierung
• Ablauf des BSI-Zertifizierungsprozesses

IT-Grundschutz-Profile

• Aufbau eines Profils
• Erstellung eines Profils
• Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Vorbereitung auf ein Audit

• Planung und Vorbereitung (Rollen und Verantwortlichkeiten, Unabhängigkeit, Auditplan, Checklisten, Kombination von Audits, Synergieeffekte)
• Auditprozess-Aktivitäten (Zusammenstellung eines Teams, Dokumente vorbereiten, Planung des Vor-Ort-Audits, Umgang mit Nichtkonformitäten)
• Berichtswesen (Inhalt und Aufbau eines Berichtes, Genehmigung und Verteilung, Aufbewahrung und Vertraulichkeit)
• Folgemaßnahmen (Vor-Audit, Wiederholungsaudit, Überwachung, Korrekturmaßnahmen)
• Qualifikation von Auditoren (Berufserfahrung, Schulung, persönliche Eigenschaften, Aufrechterhaltung der Qualifikation)

Notfallmanagement

• Prozess (initiieren, analysieren, einführen, üben, verbessern)
• Überblick über den BSI-Standard 100-4
• Notfallmanagement Prozess (initiieren, analysieren, einführen, üben, verbessern)
• Business-Impact-Analyse (BIA)
• Notfälle bewältigen (Umgang mit Sicherheitsvorfällen)
• Vorgehensweise bei Sicherheitsvorfall und Meldeweg erarbeiten

Zusammenfassung und Vorbereitung auf die Prüfung


Zielgruppe:
Chief Security Officer (CSO), Information Security Officer (ISO) oder Chief Information Security Officer (CISO), Informationssicherheitsbeauftragte, Information Security Manager, IT-Sicherheitsbeauftragte, IT-Experten, IT-Sicherheitsinteressierte, IT-Compliance Manager

Voraussetzungen:
Grundlagenwissen zum IT-Grundschutz