BSI IT-Grundschutz

Der BSI IT-Grundschutz

BSI IT-Grundschutz

Der moder­ni­sier­te IT-Grund­schutz führt über die nied­rig­schwel­li­ge Basis-Absi­che­rung zu einem zeit­ge­mä­ßen und umfas­sen­den Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem nach Stand der Tech­nik.

Ganzheitlich

Neben tech­ni­schen Aspek­ten wer­den auch infra­struk­tu­rel­le, orga­ni­sa­to­ri­sche und per­so­nel­le The­men betrach­tet. So wird Ihre Orga­ni­sa­ti­on inge­samt in der Brei­te und nicht nur in der IT siche­rer.

Drei Stufen

Über die Basis-Absi­che­rung kann das Schutz­ni­veau suk­zes­si­ve oder am Stück in die Kern- und / oder Stan­dard-Absi­che­rung ange­ho­ben wer­den. Je nach Res­sour­cen Ihrer Orga­ni­sa­ti­on.

Die drei Absicherungsstufen des IT-Grundschutz

Basis

Die Basis-Absi­che­rung dient dem nied­rig­schwel­li­gen Ein­stieg in den IT-Grund­schutz und einer schnel­len Absi­che­rung der Geschäfts­pro­zes­se in der Brei­te der Orga­ni­sa­ti­on.

Kern

Die Kern-Absi­che­rung lenkt die Sicher­heits­maß­nah­men auf die „Kron­ju­we­len“ der Orga­ni­sa­ti­on, also beson­ders wich­ti­ge Geschäfts­pro­zes­se und Assets. Sie zielt damit auf die ver­tief­te Absi­che­rung der kri­tischs­ten Berei­che ab.

Standard

Die Stan­dard-Absi­che­rung sorgt für einen umfas­sen­den Schutz für alle Pro­zes­se und Berei­che Ihrer Orga­ni­sa­ti­on in der Brei­te auf einem nor­ma­len Schutz­ni­veau.

Die IT-Grundschutz-Bausteine

Das IT-Grund­schutz-Kom­pen­di­um ist modu­lar auf­ge­baut. Den Kern bil­den die jeweils rund zehn Sei­ten lan­gen IT-Grund­schutz-Bau­stei­ne, in denen jeweils für einen bestimm­ten Aspekt der Infor­ma­ti­ons­si­cher­heit typi­sche Gefähr­dun­gen und Sicher­heits­an­for­de­run­gen (mög­li­che Maß­nah­men zur Risi­ko­be­sei­ti­gung) beschrie­ben wer­den. Gegen­stand eines Bau­steins kön­nen über­ge­ord­ne­te The­men sein wie das Infor­ma­ti­ons­si­cher­heits- oder Not­fall­ma­nage­ment, aber auch mehr oder weni­ger spe­zi­el­le tech­ni­sche Sys­te­me, die übli­cher­wei­se in Unter­neh­men und Behör­den im Ein­satz sind, etwa Cli­ents und Ser­ver, mobi­le Sys­te­me oder auch indus­tri­el­le Steue­run­gen.

Alle Bau­stei­ne sind in glei­cher Wei­se geglie­dert:

Sie begin­nen mit einer kur­zen Beschrei­bung und Abgren­zung des behan­del­ten Sach­ver­halts. Es folgt eine Dar­stel­lung der spe­zi­fi­schen Gefähr­dungs­la­ge mit Hil­fe exem­pla­ri­scher Gefähr­dun­gen (Risi­ken).

Den Kern bil­den die in drei Grup­pen unter­teil­ten Sicher­heits­an­for­de­run­gen:

  • vor­ran­gig zu erfül­len­de Basis-Anfor­de­run­gen (Basis-Absi­che­rung),
  • für eine voll­stän­di­ge Umset­zung des IT-Grund­schut­zes und eine dem Stand der Tech­nik gemä­ße Sicher­heit zusätz­lich zu erfül­len­de Stan­dard-Anfor­de­run­gen (Stan­dard-Absi­che­rung) sowie
  • Anfor­de­run­gen für den erhöh­ten Schutz­be­darf (Kern-Absi­che­rung).

Den Abschluss bil­den Ver­wei­se auf wei­ter­füh­ren­de Infor­ma­tio­nen sowie eine Kreuz­re­fe­renz­ta­bel­le, in der die Anfor­de­run­gen mit den jeweils zutref­fen­den ele­men­ta­ren Gefähr­dun­gen mit­ein­an­der in Bezug gesetzt wer­den.

Prozessmanagement

Wie alle höhe­ren Nor­men setzt auch der IT-Grund­schutz auf die Absi­che­rung schüt­zens­wer­ter Geschäfts­pro­zes­se. Kann man in der Basis-Absi­che­rung noch den Ein­stieg über gene­ri­sche Pro­zes­se neh­men, sind in der Kern- oder Stan­dard­ab­si­che­rung detail­lier­te Kennt­nis­se und Doku­men­ta­tio­nen der inter­nen Geschäfts­pro­zes­se not­wen­dig. Des­sen soll­te man sich bei der Aus­wahl der Norm für die eige­ne Orga­ni­sa­ti­on bewusst sein. Die Vor­ge­hens­wei­se über Pro­zes­se fin­det sich eben­falls bei CISIS12 und der ISO 27001. Gera­de bei vie­len inter­nen Pro­zes­se ist das durch­aus eine Her­aus­for­de­rung. Von daher soll­te man das The­ma Pro­zess­ma­nage­ment und des­sen Anfor­de­run­gen bei der Aus­wahl des geeig­ne­ten Stan­dards stets im Hin­ter­kopf haben. Auf lan­ge Sicht wird sich die inten­si­ve Beschäf­ti­gung damit nicht ver­mei­den las­sen.

Testat, Zertifikat, Fördermittel-Audit

Testat

Eine erfolg­reich ein­ge­führ­te Basis-Absi­che­rung kann durch ein offi­zi­el­les Tes­tat abge­schlos­sen wer­den. Das Audit wird aus­schließ­lich von BSI IT-Grund­schutz Audi­to­ren durch­ge­führt.

Das Tes­tat ist ein offi­zi­el­ler Nach­wei­se und hat eine Lauf­zeit von 2 Jah­ren. Danach muss es — bei Bedarf — durch ein erneu­tes Audit ver­län­gert wer­den.

Zertifikat

Die Kern- und Basis-Absi­che­rung kön­nen durch ein Zer­ti­fi­kat “ISO 27001 auf Basis IT-Grund­schutz” abge­schlos­sen wer­den.

Das Zer­ti­fi­kat hat eine Lauf­zeit von 3 Jah­ren. Im Abstand von 12 Mona­ten fin­den Über­wa­chungs­au­dits statt, um die kon­ti­nu­ier­li­che Wei­ter­ent­wick­lung des ISMS zu über­prü­fen.

Fördermittel-Audit

Im Rah­men ver­schie­de­ner För­der­pro­gram­me kön­nen die Bera­tungs­kos­ten für die Ein­füh­rung eines ISMS bezu­schusst wer­den.

Für die Abnah­me von För­der­mit­tel-Audits im Rah­men der baye­ri­schen ISMS-För­der­mit­tel­richt­li­nie haben wir in Zusam­men­ar­beit mit dem LSI ein Prüf­sche­ma ent­wi­ckelt.

Informationssicherheit ist Chefsache​

“Ob eine Insti­tu­ti­on ein gutes ISMS ein­führt und kon­ti­nu­ier­lich wei­ter­ent­wi­ckelt, hängt im wesent­li­chen davon ab, wie die obers­te Lei­tungs­ebe­ne ihre Auf­ga­ben und ihre Ver­ant­wor­tung wahr­nimmt. Dies sind ihre wich­tigs­ten Pflich­ten:

  • Sie kennt die Risi­ken bei Ver­let­zung der Infor­ma­ti­ons­si­cher­heit, setzt einen Rah­men und trifft die grund­le­gen­den Ent­schei­dun­gen zum Umgang mit die­sen Risi­ken.
  • Sie initi­iert, steu­ert und kon­trol­liert den Sicher­heits­pro­zess und sorgt dafür, dass Infor­ma­ti­ons­si­cher­heit sich in alle Pro­zes­se und Pro­jek­te der Insti­tu­ti­on inte­griert.
  • Sie stellt erfor­der­li­che Res­sour­cen (Per­so­nal, Bud­get, Zeit) für das Sicher­heits­ma­nage­ment bereit und wägt Auf­wän­de und Ertrag ab.
  • Sie wirkt durch ihr sicher­heits­ge­mä­ßes Ver­hal­ten als Vor­bild.

Die obers­te Lei­tungs­ebe­ne trägt die Gesamt­ver­ant­wor­tung für ein ange­mes­se­nes ISMS. Auch wenn sie ope­ra­ti­ve Auf­ga­ben dele­giert und die Mit­ar­bei­ter zu sicher­heits­be­wuss­tem Ver­hal­ten anhält, ent­bin­det sie dies nicht von der Gesamt­ver­ant­wor­tung.”

Quel­le: BSI IT-Grund­schutz