IT-Grundschutz – hier fühlt sich TOM zu Hause


Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) war bereits Thema bei „TOM erklärt“. Der IT-Grundschutz ist eine Sammlung von „Best Practices“ zum Aufbau eines IT-Sicherheitsmanagementsystems – wie er strukturiert ist, sehen Sie hier und heute.

Die BSI-Standards 200-1, 200-2, 200-3 und (Überraschung!) 100-4

Die Grundlage des IT-Grundschutzes bilden vier Standards. Dies werden vom BSI wie folgt beschrieben:

BSI-Standard 200-1: Managementsysteme für Informationssicherheit

BSI-Standard 200-2: IT-Grundschutz-Methodik

BSI-Standard 200-3: Risikomanagement

BSI-Standard 100-4: Notfallmanagement

Die BSI-Standards der Reihe 200-x ersetzen seit Oktober 2017 die entsprechenden Standards der Reihe 100-x.

Der BSI-Standard 200-1 enthält allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der BSI-Standard 200-2 bildet die Grundlage für die etablierte BSI-Methodik zum Aufbau eines ISMS. Der BSI-Standard 200-3 bündelt erstmalig alle risikobezogenen Arbeitsschritte, die bei der Umsetzung des IT-Grundschutzes anfallen können. Im BSI-Standard 100-4 sind Vorgaben zum Notfallmanagement enthalten.

Zielsetzungen der BSI-Standards

Im Standard 200-1 wird allgemein beschrieben, wie ein ISMS aufgebaut werden kann. Er ist kompatibel zur ISO Norm 27001. Hier finden sich auch Verweise zu anderen Standards der IT-Sicherheit. Dem Standard 200-1 kann entnommen werden, dass das Herangehen an die IT-Sicherheit prozessorientiert ist.

Im neuen Standard 200-2 sind drei Vorgehensweisen zur Umsetzung des IT-Grundschutzes festgelegt: die Basis-, die Standard- und die Kern-Absicherung. Die Basis-Absicherung ermöglicht die Umsetzung der wichtigsten Sicherheitsanforderungen für alle relevanten Prozesse bzw. Verfahren in einem Unternehmen. Mit der Standard-Absicherung kann eine umfassende und tiefgehende Absicherung aller Unternehmensbereiche erreicht werden. Diese Absicherung entspricht wesentlich dem BSI-Standard 100-2. Sie ist ebenfalls kompatibel zur Zertifizierung nach ISO 27001. Mithilfe der Kern-Absicherung können besonders gefährdete Geschäftsprozesse und Ressourcen vorrangig und zeitnah abgesichert werden.

Im BSI-Standard 200-3 wird aufgezeigt, wie für bestimmte Zielobjekte (wie Anwendungen oder IT-Systeme) eine Risikoanalyse durchgeführt werden kann. Mithilfe dieser Standards benötigt der Anwender einen geringeren Aufwand, um auf Basis der Risikoanalyse ein bestimmtes Sicherheitsniveau zu erreichen. Der Standard 200-3 empfiehlt sich, wenn Unternehmen neben der IT-Grundschutz-Analyse eine Risikoanalyse durchführen wollen, um einen möglichen erhöhten Schutzbedarf zu identifizieren.

Ziel des BSI-Standards 100-4 ist der Aufbau eines Notfallmanagements im Unternehmen, um die Kontinuität eines Geschäftsbetriebs selbst in kritischen Situationen sicherzustellen.

Bedeutung des IT-Grundschutzes für Unternehmen

Der IT-Grundschutz des BSI dient der standardisierten und langfristigen Absicherung von sämtlichen IT-Infrastrukturen. Er ist ein erprobtes Verfahren, welches als Fundament für den Aufbau eines ISMS genutzt werden kann. Gerade in der Phase, in der ein Sicherheit-Managementsystem implementiert wird, ist die Anwendung des IT-Grundschutzes zu empfehlen.

06.03.2020

zurück zu den News