Geschrieben am 06.03.2020 von:
Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) war bereits Thema bei „TOM erklärt“. Der IT-Grundschutz ist eine Sammlung von „Best Practices“ zum Aufbau eines IT-Sicherheitsmanagementsystems – wie er strukturiert ist, sehen Sie hier und heute.
Die BSI-Standards 200-1, 200-2, 200-3 und (Überraschung!) 100-4
Die Grundlage des IT-Grundschutzes bilden vier Standards. Dies werden vom BSI wie folgt beschrieben:
BSI-Standard 200-1: Managementsysteme für Informationssicherheit
BSI-Standard 200-2: IT-Grundschutz-Methodik
BSI-Standard 200-3: Risikomanagement
BSI-Standard 100-4: Notfallmanagement
Die BSI-Standards der Reihe 200-x ersetzen seit Oktober 2017 die entsprechenden Standards der Reihe 100-x.
Der BSI-Standard 200-1 enthält allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der BSI-Standard 200-2 bildet die Grundlage für die etablierte BSI-Methodik zum Aufbau eines ISMS. Der BSI-Standard 200-3 bündelt erstmalig alle risikobezogenen Arbeitsschritte, die bei der Umsetzung des IT-Grundschutzes anfallen können. Im BSI-Standard 100-4 sind Vorgaben zum Notfallmanagement enthalten.
Zielsetzungen der BSI-Standards
Im Standard 200-1 wird allgemein beschrieben, wie ein ISMS aufgebaut werden kann. Er ist kompatibel zur ISO Norm 27001. Hier finden sich auch Verweise zu anderen Standards der IT-Sicherheit. Dem Standard 200-1 kann entnommen werden, dass das Herangehen an die IT-Sicherheit prozessorientiert ist.
Im neuen Standard 200-2 sind drei Vorgehensweisen zur Umsetzung des IT-Grundschutzes festgelegt: die Basis-, die Standard- und die Kern-Absicherung. Die Basis-Absicherung ermöglicht die Umsetzung der wichtigsten Sicherheitsanforderungen für alle relevanten Prozesse bzw. Verfahren in einem Unternehmen. Mit der Standard-Absicherung kann eine umfassende und tiefgehende Absicherung aller Unternehmensbereiche erreicht werden. Diese Absicherung entspricht wesentlich dem BSI-Standard 100-2. Sie ist ebenfalls kompatibel zur Zertifizierung nach ISO 27001. Mithilfe der Kern-Absicherung können besonders gefährdete Geschäftsprozesse und Ressourcen vorrangig und zeitnah abgesichert werden.
Im BSI-Standard 200-3 wird aufgezeigt, wie für bestimmte Zielobjekte (wie Anwendungen oder IT-Systeme) eine Risikoanalyse durchgeführt werden kann. Mithilfe dieser Standards benötigt der Anwender einen geringeren Aufwand, um auf Basis der Risikoanalyse ein bestimmtes Sicherheitsniveau zu erreichen. Der Standard 200-3 empfiehlt sich, wenn Unternehmen neben der IT-Grundschutz-Analyse eine Risikoanalyse durchführen wollen, um einen möglichen erhöhten Schutzbedarf zu identifizieren.
Ziel des BSI-Standards 100-4 ist der Aufbau eines Notfallmanagements im Unternehmen, um die Kontinuität eines Geschäftsbetriebs selbst in kritischen Situationen sicherzustellen.
Bedeutung des IT-Grundschutzes für Unternehmen
Der IT-Grundschutz des BSI dient der standardisierten und langfristigen Absicherung von sämtlichen IT-Infrastrukturen. Er ist ein erprobtes Verfahren, welches als Fundament für den Aufbau eines ISMS genutzt werden kann. Gerade in der Phase, in der ein Sicherheit-Managementsystem implementiert wird, ist die Anwendung des IT-Grundschutzes zu empfehlen.