Mindeststandards (BSI)

Mindeststandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind Sicherheitsstandards für die Informationstechnik der deutschen Bundesverwaltung. Die Mindeststandards stellen jeweils Sicherheitsanforderungen zu einzelnen Themenbereichen auf. Ihr Ziel ist es, so ein einheitliches Mindestniveau für die IT-Sicherheit des Bundes zu etablieren. Die Vorgehensweise zur Berücksichtigung höherer Anforderungen an IT-Systeme beschreiben die IT-Grundschutz-Standards des BSI.[1]

Die Erstellung der Mindeststandards wird im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) § 8 Abs. 1 geregelt.[2]

Über die gesetzliche Grundlage hinaus, verweisen weitere strategische und konzeptionelle Beschlüsse und Strategien der Bundesregierung auf die Mindeststandards des BSI. Der Umsetzungsplan Bund 2017, als Informationssicherheitsleitlinie des Bundes, fordert die Einhaltung der aus den „Mindeststandards resultierenden Anforderungen an die Informationstechnik“. Er gibt außerdem vor, dass Mindeststandards zur Konkretisierung der im IT-Grundschutz beschriebenen Standardabsicherung, zu den Informationssicherheitsanforderungen zum Anschluss an die Netze des Bundes (Nutzerpflichten) und Mindeststandards zur Protokollierung und Detektion von Cyberangriffen zu erarbeiten sind.[3] Die Architekturrichtlinie zur IT des Bundes fordert die Umsetzung der Mindeststandards zu den Themen Cloud-Computing und Protokollierung und Detektion von Cyberangriffen.[4] Der Haushaltsausschuss des Deutschen Bundestages hat in seiner 82. Sitzung u. a. beschlossen, dass ein Mindeststandard für die Sicherheit von Rechenzentren des Bundes festzulegen ist. Auch die Konzeption Zivile Verteidigung erwähnt die Mindeststandards des BSI und beschreibt sie als „maßgeblich“ für die IT-Sicherheit in der Bundesverwaltung.[5]

Standardisierte Vorgehensweise

Die Mindeststandards des BSI werden durch das Referat Mindeststandards Bund erarbeitet.[6] Die Erarbeitung erfolgt anhand eines standardisierten Prozesses. Dieser besteht aus sieben Phasen:[7]

Pre-Alpha (Pre-α)
Identifizierung möglicher Themen
Alpha (α)
Erstellung und Abstimmung eines ersten Entwurfs durch das BSI
Beta (β)
Konsultationsverfahren, bei dem das BSI externe Rückmeldungen von den Ressorts der Bundesministerien und interessiertem Fachpublikum einholt
Release Candidate (RC)
Einarbeitung der Rückmeldungen und Finalisierung des Mindeststandards im BSI
Release
Veröffentlichung
Delta (Δ)
Support und Monitoring während der Betriebsphase des Mindeststandards
Request for Change (RfC)
Änderung oder Aktualisierung eines veröffentlichten Mindeststandards

Veröffentlichte Mindeststandards

Das BSI hat Mindeststandards zu den folgenden Themen veröffentlicht:

  • HV-Benchmark kompakt[8]
  • Mobile Device Management[9]
  • Nutzerpflichten Netze des Bundes[10]
  • Nutzung externer Cloud-Dienste[11]
  • Protokollierung und Detektion von Cyber-Angriffen[12]
  • Schnittstellenkontrollen (eingestellt)[13]
  • Verwendung des TLS-Protokolls[14]
  • Videokonferenzdienste[15]
  • Webbrowser[16]
  • Informationssicherheitsmanagementsystem in der IT-Konsolidierung Bund[17]

Einzelnachweise

  1. Mindeststandards Bund des BSI
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
  3. Umsetzungsplan Bund 2017
  4. Architekturrichtlinie zur IT des Bundes (PDF; 3,4 MB)
  5. Konzeption Zivile Verteidigung (PDF; 726 kB)
  6. Organisationsübersicht des BSI (PDF-Datei)
  7. FAQ - Wie werden Mindeststandards des BSI entwickelt
  8. Mindeststandard des BSI zum HV-Benchmark kompakt
  9. Mindeststandard des BSI für Mobile Device Management
  10. Mindeststandard des BSI zur Nutzung der ressortübergreifenden Kommunikationsnetze des Bundes („Nutzerpflichten NdB“)
  11. Mindeststandard des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste
  12. Mindeststandard des BSI zur Protokollierung und Detektion von Cyberangriffen
  13. Mindeststandard des BSI für Schnittstellenkontrollen
  14. Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS)
  15. Mindeststandard des BSI für Videokonferenzdienste
  16. Mindeststandard des BSI für Webbrowser
  17. Regelungsdokument für das Informationssicherheitsmanagementsystem in der IT-Konsolidierung Bund
Dieser Artikel wurde von Wikipedia herausgegeben. Der Text ist verfügbar unter Creative Commons Attribution-Share Alike 4.0, sofern nicht anders angegeben. Möglicherweise können weitere Bestimmungen für Mediendateien gelten.