Anfang Oktober hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) für das IT-Grundschutz-Kompendium 2020 insgesamt 22 weitere Final Drafts veröffentlicht, darunter u.a. in den wichtigen Bereichen "ORP.4: Identitäts- und Berechtigungsmanagement", "CON.3: Datensicherungskonzept", "Con.6 Löschen und Vernichten", "OP.1.1.4: Schutz vor Schadprogrammen" und "DER.1 Detektion von sicherheitsrelevanten Ereignissen".

Status und neue Struktur

Die Final Drafts sind stabile Versionen, die bereits für Prozesse zur Informationssicherheit herangezogen werden können (siehe BSI, "Erstellung von Bausteinen: Veröffentlichungsworkflow").

Für die kommende Edition 2020 des IT-Grundschutz-Kompendiums wurden die Bausteine auch strukturell überarbeitet. Insbesondere wird schärfer abgegrenzt zwischen „Zuständigkeit" und „Verantwortung" (siehe BSI, "Bausteinstruktur der Edition 2020: Was ist neu?").

Final Draft  Identitäts- und Berechtigungsmanagement

"Ziel des Bausteins ist es, dass Benutzer oder auch IT-Komponenten ausschließlich auf die IT-Ressourcen und Informationen zugreifen können, die sie für ihre Arbeit benötigen und für die sie autorisiert sind, und unautorisierten Benutzern oder IT-Komponenten den Zugriff zu verwehren. Dazu werden Anforderungen formuliert, mit denen Institutionen ein sicheres Identitäts- und Berechtigungsmanagement aufbauen sollten."

Final Draft  Cloud-Nutzung

Der Baustein beschreibt Anforderungen, durch die sich Cloud-Dienste sicher nutzen lassen. Er richtet sich an alle Institutionen, die solche Dienste bereits nutzen oder sie zukünftig einsetzen wollen.

Final Draft  Datensicherungskonzept

"Dieser Baustein zeigt auf, wie Institutionen ein Datensicherungskonzept erstellen können und welche Anforderungen dabei zu beachten sind."

Final Draft  Löschen und Vernichten

"In diesem Baustein wird beschrieben, wie Informationen in Institutionen sicher gelöscht und vernichtet werden können und wie ein entsprechendes Konzept dazu erstellt wird."

Final Draft  Schutz vor Schadprogrammen

"Dieser Baustein beschreibt Anforderungen, die zu erfüllen und umzusetzen sind, um eine Institution effektiv gegen Schadprogramme zu schützen."

Final Draft  Detektion von sicherheitsrelevanten Ereignissen

"Dieser Baustein zeigt einen systematischen Weg auf, wie Informationen gesammelt, korreliert und ausgewertet werden können, um sicherheitsrelevante Ereignisse möglichst vollständig und zeitnah zu detektieren. Die aus der Detektion gewonnenen Erkenntnisse sollen die Fähigkeit von Institutionen verbessern, sicherheitsrelevante Ereignisse zu erkennen und angemessen darauf zu reagieren."

Final Draft  Notfallmanagement

"Ziel dieses Bausteins ist es, Anforderungen zu beschreiben, um die Informationssicherheit in Institutionen selbst in kritischen Situationen zu gewährleisten. Dazu sind die entsprechenden Maßnahmen in ein ganzheitliches Notfallmanagement einzubetten. Zudem sind alle Aspekte zu betrachten, die erforderlich sind, um die Informationssicherheit auch bei Schadensereignissen oder Notfällen aufrechterhalten zu können. Dies reicht von der Planung bis zur Überprüfung aller Prozesse."

Alle Final Drafts

Eine Tabelle mit allen IT-Grundschutz-Bausteinen im Status "Final Draft" pflegt das BSI hier.

Bei allen Final Drafts sind die Texte stabil und werden in die nächste Edition des IT-Grundschutz-Kompendiums aufgenommen.