BSI-Standard 100-1, 100-2, 100-3 ...

IT-Grundschutz umsetzen mit fuentis ISMS.

Mit den IT-Grundschutz-Katalogen hat das BSI einen nationalen Standard für Informationssicherheits-Management definiert, der „weitgehende“ Kompatibilität zur internationalen Norm ISO 27001 bietet. Ursprünglich für Ministerien und Behörden konzipiert, hat sich die IT-Grundschutz-Systematik inzwischen in allen Wirtschaftsbranchen etabliert.

Die IT-Grundschutzkataloge der ersten Generation (BSI-Standards 100-1, 100-2, 100-3 und 100-4) enthalten ca. 90 Bausteine und 1.600 Sicherheitsempfehlungen.

Die Umsetzung der IT-Grundschutzkataloge erhöht die Informationssicherheit in Organisationen jedweder Art und Größe systematisch und effektiv. Behörden, Ämter und andere Organisationen des öffentlichen Sektors sind daher zur Anwendung der BSI-Standards verpflichtet.

Zertifizierungen zum Nachweis von IT-Grundschutz-Vorkehrungen erfolgen durch das BSI (ISO 27001-Zertifikat auf der Basis von IT-Grundschutz).

BSI-Standard 100-1 „Managementsysteme für Informationssicherheit“

Der BSI-Standard 100-1 beschreibt allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) und enthält konkrete Anleitungen für die Einrichtung und Anwendung eines Informationssicherheits-Managementsystems. Gleichwohl lassen die Vorgaben genügend Raum, um das ISMS auf organisationsspezifische Geschäftsprozesse abzustimmen.

BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise“

Der BSI-Standard 100-2 fokussiert weniger auf Prozesse als viel mehr auf die Umsetzung des IT-Grundschutzes. Der 100-2 beschreibt den schrittweisen Aufbau eines ISMS in der Praxis und erläutert detailliert, wie angemessene Sicherheitsmaßnahmen für typische IT-Umgebungen ermittelt und realisiert werden können. Berücksichtigt werden dabei technische, organisatorische und infrastrukturelle Aspekte, ergänzt um detaillierte Gefährdungs- und Maßnahmenkataloge für Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. (Allerdings sind die Maßnahmen teilweise redundant, produktbezogen und abhängig von spezifischen Produktversionen, wie z.B. „Windows 7“). Hinweise zur Aufrechterhaltung der Informationssicherheit und zur laufenden Weiterentwicklung des ISMS runden den BSI-Standard 100-2 ab.

BSI-Standard 100-3 „Risikoanalyse auf Basis IT-Grundschutz“

Der BSI-Standard 100-3 beschreibt eine wirksame Methodik zur Durchführung von Risikoanalysen, die auf ein bestehendes ISMS und IT-Grundschutzkonzept gemäß BSI-Standard 100-1 bzw. 100-2 aufbauen. Die in den IT-Grundschutzkatalogen beschriebenen Gefährdungen werden dabei als Hilfsmittel für eine vereinfachte Analyse von Risiken für die Informationsverarbeitung verwendet.

BSI-Standard 100-4 „Notfallmanagement“

Der BSI-Standard 100-4 beschreibt die Einrichtung eines wirksamen Notfallmanagementsystems, um Organisationen auf Notfälle und Krisen vorzubereiten und die Kontinuität des Geschäftsbetriebs in solchen Fällen sicherzustellen. Gleichwohl der Installation und Anwendung eines Notfallmanagements innerhalb des IT-Grundschutzkompendiums ein optionaler Stellenwert zugewiesen wird, ist sie in Organisationen mit kritischen Infrastrukturen fester Bestandteil eines erfolgreichen, ganzheitlichen Sicherheitsmanagements.

Die wichtigsten Notfallmanagement-Funktionen des fuentis BCMS Moduls für effektives Business Continuity Management erfahren Sie hier.

Abb.: Aufbau der BSI IT-Grundschutzstruktur am Beispiel BSI-Standard 100

Struktur der BSI IT-Grundschutz-Systematik

Die Maßnahmen und Empfehlungen der IT-Grundschutzkataloge basieren auf generischen Risikoanalysen für die jeweiligen Bausteine, die bereits vom BSI durchgeführt worden sind; auf vorherige Risikoanalysen für jedes einzelne Objekt mit „normalem“ Schutzbedarf kann also verzichtet werden. Im Unterschied zu anderen Standards wie ISO 27001 lassen sich konkrete Schutzmaßnahmen somit schneller und effizienter umsetzen.

Umsetzung des IT-Grundschutzes per GSTOOL

Unterstützung bei der Umsetzung des IT-Grundschutzes leisten IT-gestützte Grundschutz-Werkzeuge, sie sogenannten GSTOOLs. Das BSI empfiehlt explizit bei der Auswahl eines GSTOOLs darauf zu achten, dass es sich im Einsatz auf die Rahmenbedingungen und spezifischen Anforderungen einer Organisation anpassen lässt - das GSTOOL sollte sich der Organisation anpassen, nicht umgekehrt.

fuentis stellt als Lizenznehmer des BSI ein effektives GSTOOL zur Verfügung - integriert in das fuentis ISMS Modul für umfassendes Informationssicherheitsmanagement - mit dem sich auch komplexe und außergewöhnliche Informationsverbünde, Prozesse und Anforderungen einer Organisation flexibel abbilden und umsetzen lassen.

Dies gilt auch für den Fall, dass die Umsetzung des IT-Grundschutzes zunächst nur partiell erfolgen soll, in einem Informationsverbund oder nur für bestimmte Geschäftsprozesse einer Organisation.

Abb.: Umsetzung des IT-Grundschutzes mit fuentis ISMS: Aktuelle Statusübersicht aller Maßnahmen und Behandlung von Gefährdungen innerhalb der relevanten Bausteine aus dem IT-Grundschutz-Katalog

Wie sind die Schritte zur Erstellung eines Sicherheitskonzeptes gemäß BSI-Standard?

  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Grundschutzanalyse, Modellierung und Basis-Sicherheitscheck
  • Ergänzende Sicherheits- und Risikoanalyse
  • Maßnahmenplanung und -umsetzung
  • Audit
© 2024 fuentis AG Datenschutzerklärung Impressum
fuentis AG • David-Gilly-Str. 1 • 14469 Potsdam
+ 49 (331) 885 9211 -0