Modernisier IT-Grundschutz mit Basis-Absicherung

Neue BSI-Standards 200-1, 200-2, 200-3

Mit Wirkung zum Februar 2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Methodik der BSI IT-Grundschutz-Standards in einer ersten Edition grundlegend überarbeitet, um den Einstieg in den IT-Grundschutz zu erleichtern und den organisationsspezifischen Radius bzw. Wirkungsgrad der Informationssicherheit auf modulare Weise flexibel zu erhöhen.

Die in den neuen BSI-Standards der „Generation 200“ empfohlenen Methoden, Prozesse, Verfahren und Vorgehensweisen zur IT-Grundschutz-Umsetzung sind stärker an den Bedürfnissen des privaten Sektors ausgerichtet und wurden insbesondere auch auf die begrenzten Ressourcen in kleinen und mittelständischen Organisationen abgestimmt.

Ziele der IT-Grundschutz-Modernisierung

  • Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität)
  • Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge
  • Skalierbarkeit an Größe und Schutzbedarf der Institution
  • Stärkere Betonung der Risikomanagement-Prozesse
  • Integration von industrieller IT und von Detektionsprozessen
  • Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001)
  • Stärkere Berücksichtigung von anwenderspezifischen Anforderungen
BSI Vergleich
Der BSI-Standard 200 ermöglicht drei unterschiedliche Wege zum IT-Grundschutz; den schnellsten Einstieg bietet die Basis-Absicherung, die Standard-Absicherung umfasst die gesamte Organisation

Modernisierter BSI-Standard - Neue Vorgehensweisen

Das neue Schichtenmodel zur Verschlankung der IT-Grundschutz-Kataloge unterteilt die Bausteine im IT-Grundschutz-Kompendium in Prozess- und Systembausteine.

Eines der weiteren wesentlichen Ziele der IT-Grundschutz-Modernisierung war es, die Möglichkeit einer individuell ausgeprägten Absicherung zu schaffen, je nach Organisationsgröße, Branche und spezifischen Anforderungen. Mit den „Einstiegshilfen“ Basis-Absicherung und Kern-Absicherung bietet der BSI-Standard 200 nun zwei schlanke Alternativen, um das Sicherheitsniveau schneller effektiv zu erhöhen.

Jetzt kostenlosen Demo-Zugang anfordern!

Basis-Absicherung oder Standard? Eine Entscheidungshilfe zur Vorgehensweise nach BSI-Standard 200-2:

Basis-Absicherung

Pro: Der Aufwand einer Basisabsicherung ist verhältnismäßig gering. Sie ermöglicht den schnellen Einstieg in die Informationssicherheit und lässt eine grundlegende Erst-Absicherung kurzfristig realisieren.

Contra: Eine Basisabsicherung erfordert lediglich eine pauschale Erfüllung der Erst-Anforderungen, wodurch ein niedriges Sicherheitsniveau erreicht wird. Eventuell entspricht das erzielbare Sicherheitsniveau nicht dem tatsächlichen Schutzbedarf.

Kern-Absicherung

Pro: Die Kern-Absicherung ermöglicht eine volle Fokussierung auf die Kronjuwelen, also die existentiell wichtigen Aktiva der Organisation. Die Umsetzung erfolgt schneller als bei der Einbeziehung aller Geschäftsprozesse.

Contra: Kronjuwelen können unter Umständen nicht isoliert betrachtet werden, wodurch umfangreichere Anteile der Organisation einbezogen werden müssen. Alle nicht als kritisch eingestuften Geschäftsprozesse bleiben zunächst unbeachtet. Dabei besteht die Gefahr, dass einerseits wichtige Bereiche übersehen und somit gänzlich ungeschützt gelassen werden. Andererseits können kumulierte Risiken übersehen werden.

Standard-Absicherung

Pro: Die Standard-Absicherung bietet ein hohes Sicherheitsniveau, spezifisch angepasst an die vorhandenen Geschäftsprozesse. Es wird ein gleichmäßiges Sicherheitsniveau über die gesamte Organisation erzielt. Das erreichte Sicherheitsniveau ist mit dem anderer Organisationen gut vergleichbar. Eine Zertifizierung nach ISO 27001 und eine Messbarkeit des ISMS ist möglich. Es werden alle notwendigen Ressourcen der Organisation vollständig betrachtet.

Contra: Der Aufwand ist bei einem niedrigen Reifegrad der vorhandenen Informationssicherheit höher als bei den beiden anderen Vorgehensweisen.

Neuausrichtung der IT-Grundschutz-Profile

Ein weiterer Kernpunkt im modernisierten IT-Grundschutz soll die Entwicklung von Profilen werden.

Die modernisierten IT-Grundschutz-Profile sind als Schablonen zu verstehen, mit denen verschiedene Anwender(-gruppen) selbstständig den IT-Grundschutz auf ihre Bedürfnisse anpassen können. Beispielsweise ist es denkbar, dass z. B. mehrere kleine Institutionen, Kommunalverwaltungen, Krankenhäuser und sogar Betreiber kritischer Infrastrukturen zentral definieren, welche Empfehlungen für sie essenziell, optional oder verzichtbar sind.

Die fuentis AG arbeitet mit Ihren Kunden an der Entwicklung von branchenspezifischen Profilen. Bitte sprechen Sie uns sehr gerne an, sofern Sie Interesse, Vorschläge bzw. eigene Vorstellungen hierzu haben.

Impressum

fuentis AG
David-Gilly-Str. 1
14469 Potsdam

Inhaltlich Verantwortlicher gem. § 55 II RStV:
Dr. Simon Woldeab
Tel.: + 49 (331) 885 9211 -0
Fax: + 49 (331) 885 9211 -2

Sitz der Gesellschaft:
David-Gilly-Str. 1 · 14469 Potsdam
Registergericht: Amtsgericht Potsdam: HRB 30493 P
Ust-IdNr: DE313123288

Weitere Standorte:
Esplanade 40 · 20354 Hamburg

Vorstand: Dr. Simon Woldeab
Aufsichtsratsvorsitzender: Dr. Serkan Tavasli

Datenschutzerklärung

Webdesign und Programmierung:
brando Werbeagentur Potsdam