Der BSI IT-Grundschutz
BSI IT-Grundschutz
Der modernisierte IT-Grundschutz führt über die niedrigschwellige Basis-Absicherung zu einem zeitgemäßen und umfassenden Informationssicherheits-Managementsystem nach Stand der Technik.
Ganzheitlich
Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. So wird Ihre Organisation ingesamt in der Breite und nicht nur in der IT sicherer.
Drei Stufen
Über die Basis-Absicherung kann das Schutzniveau sukzessive oder am Stück in die Kern- und / oder Standard-Absicherung angehoben werden. Je nach Ressourcen Ihrer Organisation.
Basis
Die Basis-Absicherung dient dem niedrigschwelligen Einstieg in den IT-Grundschutz und einer schnellen Absicherung der Geschäftsprozesse in der Breite der Organisation.
Kern
Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die „Kronjuwelen“ der Organisation, also besonders wichtige Geschäftsprozesse und Assets. Sie zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
Standard
Die Standard-Absicherung sorgt für einen umfassenden Schutz für alle Prozesse und Bereiche Ihrer Organisation in der Breite auf einem normalen Schutzniveau.
Die IT-Grundschutz-Bausteine
Das IT-Grundschutz-Kompendium ist modular aufgebaut. Den Kern bilden die jeweils rund zehn Seiten langen IT-Grundschutz-Bausteine, in denen jeweils für einen bestimmten Aspekt der Informationssicherheit typische Gefährdungen und Sicherheitsanforderungen (mögliche Maßnahmen zur Risikobeseitigung) beschrieben werden. Gegenstand eines Bausteins können übergeordnete Themen sein wie das Informationssicherheits- oder Notfallmanagement, aber auch mehr oder weniger spezielle technische Systeme, die üblicherweise in Unternehmen und Behörden im Einsatz sind, etwa Clients und Server, mobile Systeme oder auch industrielle Steuerungen.
Alle Bausteine sind in gleicher Weise gegliedert:
Sie beginnen mit einer kurzen Beschreibung und Abgrenzung des behandelten Sachverhalts. Es folgt eine Darstellung der spezifischen Gefährdungslage mit Hilfe exemplarischer Gefährdungen (Risiken).
Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen:
- vorrangig zu erfüllende Basis-Anforderungen (Basis-Absicherung),
- für eine vollständige Umsetzung des IT-Grundschutzes und eine dem Stand der Technik gemäße Sicherheit zusätzlich zu erfüllende Standard-Anforderungen (Standard-Absicherung) sowie
- Anforderungen für den erhöhten Schutzbedarf (Kern-Absicherung).
Den Abschluss bilden Verweise auf weiterführende Informationen sowie eine Kreuzreferenztabelle, in der die Anforderungen mit den jeweils zutreffenden elementaren Gefährdungen miteinander in Bezug gesetzt werden.
Prozessmanagement
Wie alle höheren Normen setzt auch der IT-Grundschutz auf die Absicherung schützenswerter Geschäftsprozesse. Kann man in der Basis-Absicherung noch den Einstieg über generische Prozesse nehmen, sind in der Kern- oder Standardabsicherung detaillierte Kenntnisse und Dokumentationen der internen Geschäftsprozesse notwendig. Dessen sollte man sich bei der Auswahl der Norm für die eigene Organisation bewusst sein. Die Vorgehensweise über Prozesse findet sich ebenfalls bei CISIS12 und der ISO 27001. Gerade bei vielen internen Prozesse ist das durchaus eine Herausforderung. Von daher sollte man das Thema Prozessmanagement und dessen Anforderungen bei der Auswahl des geeigneten Standards stets im Hinterkopf haben. Auf lange Sicht wird sich die intensive Beschäftigung damit nicht vermeiden lassen.
Testat, Zertifikat, Fördermittel-Audit
Testat
Eine erfolgreich eingeführte Basis-Absicherung kann durch ein offizielles Testat abgeschlossen werden. Das Audit wird ausschließlich von BSI IT-Grundschutz Auditoren durchgeführt.
Das Testat ist ein offizieller Nachweise und hat eine Laufzeit von 2 Jahren. Danach muss es — bei Bedarf — durch ein erneutes Audit verlängert werden.
Zertifikat
Die Kern- und Basis-Absicherung können durch ein Zertifikat “ISO 27001 auf Basis IT-Grundschutz” abgeschlossen werden.
Das Zertifikat hat eine Laufzeit von 3 Jahren. Im Abstand von 12 Monaten finden Überwachungsaudits statt, um die kontinuierliche Weiterentwicklung des ISMS zu überprüfen.
Fördermittel-Audit
Im Rahmen verschiedener Förderprogramme können die Beratungskosten für die Einführung eines ISMS bezuschusst werden.
Für die Abnahme von Fördermittel-Audits im Rahmen der bayerischen ISMS-Fördermittelrichtlinie haben wir in Zusammenarbeit mit dem LSI ein Prüfschema entwickelt.
Informationssicherheit ist Chefsache
“Ob eine Institution ein gutes ISMS einführt und kontinuierlich weiterentwickelt, hängt im wesentlichen davon ab, wie die oberste Leitungsebene ihre Aufgaben und ihre Verantwortung wahrnimmt. Dies sind ihre wichtigsten Pflichten:
- Sie kennt die Risiken bei Verletzung der Informationssicherheit, setzt einen Rahmen und trifft die grundlegenden Entscheidungen zum Umgang mit diesen Risiken.
- Sie initiiert, steuert und kontrolliert den Sicherheitsprozess und sorgt dafür, dass Informationssicherheit sich in alle Prozesse und Projekte der Institution integriert.
- Sie stellt erforderliche Ressourcen (Personal, Budget, Zeit) für das Sicherheitsmanagement bereit und wägt Aufwände und Ertrag ab.
- Sie wirkt durch ihr sicherheitsgemäßes Verhalten als Vorbild.
Die oberste Leitungsebene trägt die Gesamtverantwortung für ein angemessenes ISMS. Auch wenn sie operative Aufgaben delegiert und die Mitarbeiter zu sicherheitsbewusstem Verhalten anhält, entbindet sie dies nicht von der Gesamtverantwortung.”
Quelle: BSI IT-Grundschutz