Die BSI-Standards 100/200.

Schnellere Absicherung mit IT-Grundschutz-Profil.

2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Methodik der BSI Standards 100-x grundlegend in den BSI Standards 200-x überarbeitet, um den Einstieg in den IT-Grundschutz zu erleichtern und den organisationsspezifischen Radius bzw. Wirkungsgrad der Informationssicherheit zu erhöhen.

Neue BSI-Standards 200-1, 200-2, 200-3, 200-4

Die in den BSI-Standards der „Generation 200“ empfohlenen Methoden, Prozesse, Verfahren und Vorgehensweisen zur IT-Grundschutz-Umsetzung sind stärker an den Bedürfnissen des privaten Sektors ausgerichtet. Insbesondere wurden die begrenzten Ressourcen in kleinen und mittleren Organisationen berücksichtigt.

BSI-Standard 200-1 „Managementsysteme für Informationssicherheit (ISMS)“
Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS). Er ist in seiner Struktur kompatibel zur IT-Grundschutz-Vorgehensweise konzipiert und nach der überarbeiteten ISO 27001:2013 ausgerichtet.

BSI-Standard 200-2 „IT-Grundschutz-Methodik“
Die BSI Standard 200-2 bildet die Basis zum Aufbau eines soliden ISMS und bietet mit der Basis-, Kern- und Standard-Absicherung drei verschiedene Vorgehensweisen zur Umsetzung des IT-Grundschutzes.

BSI-Standard 200-3 „Risikomanagement“
Der BSI-Standard 200-3 bündelt alle risikorelevanten Schritte bei der Umsetzung des IT-Grundschutzes. Die bisherige Risikoanalyse des BSI-Standards 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt. Der Aufwand für ein angestrebtes Sicherheitsniveau hat sich dadurch deutlich reduziert.

BSI-Standard 200-4 „Business Continuity Management“
Der modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung zum Aufbau eines Business Continuity Management Systems (BCMS) in der eigenen Institution.

Neues IT-Grundschutz-Kompendium

Im Rahmen der IT-Grundschutz-Modernisierung wurden die BSI IT-Grundschutz-Kataloge aus dem BSI Standard 100 durch das neue IT-Grundschutz-Kompendium abgelöst. Dabei wurden mehrere Prozess- und Organisationsbausteine grundlegend überarbeitet, um Redundanzen aufzulösen und die Anforderungen zu verschlanken. Neu aufgenommen sind IT-Grundschutz-Bausteine für allgemeine Fahrzeuge und zur Entwicklung von Webanwendungen.
Insgesamt wurden 47 Elementare Gefährdungen identifiziert (kompatibel mit vergleichbaren internationalen Katalogen und Standards) und können für die Risikoanalyse herangezogen werden. Das fuentis ISMS unterstützt die Bereitstellung von Prüffragen für die Anforderungen.

fuentis stellt seinen Kunden regelmäßig/jährlich das Update des IT-Grundschutz-Kompendiums automatisch und zeitnah zur Verfügung, im Rahmen des Lizenzvertrages mit dem BSI.

Risikoanalyse und Risikobehandlungsplan in fuentis ISMS
Risikoanalyse und Risikobehandlungsplan in fuentis ISMS

Welche Vorteile bietet die IT-Grundschutz-Modernisierung?

  • Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität)
  • Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge
  • Skalierbarkeit an Größe und Schutzbedarf der Institution
  • Stärkere Betonung der Risikomanagement-Prozesse
  • Integration von industrieller IT und von Detektionsprozessen
  • Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001)
  • Stärkere Berücksichtigung von anwenderspezifischen Anforderungen

Einfache Umsetzung der IT-Grundschutz-Profile

Ein weiterer Kernpunkt im modernisierten IT-Grundschutz ist die Entwicklung von Profilen. Diese IT-Grundschutz-Profile sind als Schablonen zu verstehen, mit denen verschiedene Anwender(-gruppen) selbstständig den IT-Grundschutz auf ihre Bedürfnisse anpassen können.

Beispielsweise ist es denkbar, dass mehrere kleine Institutionen, Kommunalverwaltungen, Krankenhäuser und sogar Betreiber kritischer Infrastrukturen zentral definieren, welche Empfehlungen für sie essenziell, optional oder verzichtbar sind.

Umsetzungsbeispiele:

Was sind die Mindestanforderungen zur Basis-Absicherung für die Kommunalverwaltung?

Dieses IT-Grundschutz-Profil adressiert Verwaltungsbeamte, die für die Umsetzung und Aufrechterhaltung der Informationssicherheit verantwortlich sind und einen leichten, systematischen Einstieg in die Informationssicherheit suchen.

Das Profil basiert auf dem BSI-Standard 200-2 „IT-Grundschutz-Methodik“ und definiert die Mindestsicherheitsmaßnahmen für Kommunalverwaltungen, um gröbste Schwachstellen aufzudecken, zu beseitigen und das Sicherheitsniveau möglichst schnell in der Breite anzuheben.

Was sind die Mindestanforderungen zur Basis-Absicherung für IT-Dienstleister?

Dieses IT-Grundschutz-Profil adressiert große IT-Dienstleister, die z.B. einen Mitarbeiterstamm von mehr als 250 Beschäftigten haben oder über mehr als fünf Standorte verfügen. Unternehmen, die IT-Dienstleistungen für unterschiedliche Kunden realisieren und dabei sicherheitsrelevante Anforderungen zu erfüllen haben.

Das Profil definiert Mindestanforderungen für zukunftsfähiges Informationssicherheits-Management und einen stabilen IT-Betrieb im Rahmen der anforderungsgerechten Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Dem Schutz der auf den IT-Systemen des Dienstleisters gespeicherten und verarbeiteten Kundendaten kommt dabei besondere Bedeutung zu.

Entwicklung branchenspezifischer Profile

Die fuentis AG arbeitet mit ihren Kunden an der Umsetzung von branchenspezifischen Profilen. Bitte sprechen Sie uns sehr gerne an, sofern Sie Interesse, Vorschläge bzw. eigene Vorstellungen hierzu haben.

Basis-, Kern- oder Standard-Absicherung?

Entscheidungshilfe zur Vorgehensweise nach BSI-Standard 200-2

Basis-Absicherung
(+) Aufwand ist verhältnismäßig gering
(+) Schneller Einstieg in die Informationssicherheit
(+) Grundlegende Erst-Absicherung ist kurzfristig realisierbar
(-) Erst-Anforderungen werden lediglich pauschal erfüllt
(-) Niedriges Sicherheitsniveau entspricht eventuell nicht dem Schutzbedarf

Kern-Absicherung
(+) Fokussierung auf existentiell wichtige Aktiva („Kronjuwelen“)
(+) Schnellere Umsetzung als bei Einbeziehung aller Geschäftsprozesse
(-) „Kronjuwelen“ können u.U. nicht isoliert betrachtet werden
(-) „Nicht kritische“ Geschäftsprozesse bleiben zunächst unbeachtet
(-) Übersehene Risiken können sich kumulieren

Standard-Absicherung
(+) Hohes Sicherheitsniveau, spezifisch angepasst an die Geschäftsprozesse
(+) Gleichmäßiges Sicherheitsniveau für die gesamte Organisation
(+) Zertifizierung nach ISO 27001 und Messbarkeit des ISMS ist möglich
(+) Alle notwendigen Ressourcen werden vollständig betrachtet
(-) Bei niedrigem Reifegrad der Informationssicherheit ist der Aufwand höher als bei einer Basis- oder Kern-Absicherung