HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003ISO/IEC 27006ISO/IEC 27007ISO/IEC 27013ISO/IEC TR 27008IT-GSSektorspezifische ISMSSicherheitsmaßnahmen und MonitoringRisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

IT-GS

IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nachgeordnete Behörde des Bundesministeriums des Innern, bietet bereits seit 1994 das IT-Grundschutzhandbuch (IT-GSHB) an, welches detailliert IT-Sicherheitsmaßnahmen aus verschiedenen Bereichen (Technik, Organisation, Infrastruktur und Personal) sowie Anforderungen an das IT-Sicherheitsmanagement beschreibt. Damit auch der internationale Standard für Informationssicherheits-Managementsysteme abdeckt werden kann, wurde das Vorgehen nach IT-Grundschutz im Jahr 2006 an die ISO/IEC 27001 angepasst. Es ist vollständig kompatibel zur ISO/IEC 27001 und berücksichtigt weiterhin die Empfehlungen der ISO/IEC 27002. Die empfohlene Vorgehensweise bei der Umsetzung von IT-Grundschutz wird nun in so genannten BSI-Standards beschrieben, wobei Bausteine, Gefährdungen und Sicherheitsmaßnahmen aus dem IT-Grundschutzhandbuch weiterhin in den IT-Grundschutz-Katalogen verfügbar sind:

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit [BSI1]
  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise [BSI2]
  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz [BSI3]
  • IT-Grundschutz-Kataloge [GS-KAT]

Darüber hinaus werden eine Schulung (Web-Kurs) für einen kompakten Einstieg in die Materie und ein Leitfaden mit einem allgemein verständlichen Überblick über wichtige IT-Sicherheitsmaßnahmen angeboten. Zur Unterstützung der Dokumentation eines IT- Sicherheitskonzeptes werden diverse Tools angeboten, zum Beispiel das GSTOOL(3) des BSI, das die IT-Grundschutz-Methodik unterstützt.

Inhalt und Anwendungsbereich

In den Dokumenten wird beschrieben, mit welchen Methoden Informationssicherheit in einem Unternehmen generell initiiert und gesteuert werden kann. Dieses Rahmenwerk kann auf die individuellen Belange eines Unternehmens angepasst werden, so dass ein effektives Informationssicherheits-Managementsystem aufgebaut werden kann. Dies schließt Kataloge mit bewährten Vorgehensweisen (best practices) und präzisen Umsetzungshilfen mit ein.

Der zentrale Anwendungsbereich des IT-Grundschutzes ist ein IT-Verbund. Hierunter ist das Zusammenspiel von organisatorischen, personellen, infrastrukturellen und technischen Komponenten zu verstehen, die zur Umsetzung von Geschäftsprozessen erforderlich sind. Die Definition eines IT-Verbunds wird demnach durch einen konkreten Bezug zu den Anforderungen eines Unternehmens abgegrenzt und erfolgt auf Basis einer Untersuchung und Bewertung der Risiken durch die verantwortliche Leitungsebene.

Methodik

Die Erstellung der IT-Sicherheitskonzeption ist eine der zentralen Aufgaben des IT-Sicherheitsmanagements. Es müssen die erforderlichen IT-Sicherheitsmaßnahmen identifiziert und in einem Konzept dokumentiert werden. Um den unterschiedlichen Anwendungsszenarien in den Unternehmen gerecht zu werden, erfolgt eine strukturierte Vorgehensweise nach dem Baukastenprinzip. Zu übergeordneten Themen, wie unter anderem dem Sicherheitsmanagement, Notfallvorsorge sowie typischen Bereichen des technischen IT-Einsatzes sind Bausteine verfügbar, die Gefährdungen und Maßnahmenempfehlungen zusammenfassen. Im Rahmen der Erstellung eines IT-Sicherheitskonzeptes wird die Umsetzung der folgenden Schritte empfohlen:

  • IT-Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung des IT-Verbunds (Auswahl der Maßnahmen, Soll-Ist-Vergleich)
  • Ergänzende Sicherheitsanalyse
  • Konsolidierung und Umsetzung der Maßnahmen
  • Audit / Aufrechterhaltung u. Verbesserung

Zertifizierung

Seit Anfang des Jahres 2006 können ISO/IEC 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Diese Zertifizierung umfasst eine Prüfung des IT-Sicherheitsmanagements sowie eine darüber hinausgehende Bewertung konkreter IT-Sicherheitsmaßnahmen anhand von IT-Grundschutz und bietet durch diese Kombination einen nachvollziehbareren Überblick über die eingesetzten Maßnahmen als eine reine ISO-Zertifizierung.

Um Unternehmen einen Migrationspfad anzubieten und wichtige Meilensteine bei der schrittweisen Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen zu können, werden weiterhin zwei Vorstufen des eigentlichen IT-Grundschutz-Zertifikats definiert:

  • das Auditor-Testat "IT-Grundschutz Einstiegsstufe" und
  • das Auditor-Testat "IT-Grundschutz Aufbaustufe"

Damit bleibt das Qualifizierungsverfahren über "Einstiegstufe" und "Aufbaustufe" weiterhin bestehen, allerdings dürfen die Testate nur von beim BSI lizenzierten Auditoren vergeben werden. Voraussetzung für die Vergabe eines ISO 27001 Zertifikats ist eine Überprüfung durch einen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor. Die Aufgaben eines ISO 27001-Grundschutz-Auditors umfassen eine Sichtung der von der Organisation erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Für die Vergabe eines ISO 27001-Zertifikats muss dieser Audit-Report zur Überprüfung dem BSI vorgelegt werden. Auf Grundlage des Audit-Reports und des Zertifizierungsschemas [BSI-ZERT] wird entschieden, ob ein Zertifikat ausgestellt werden kann oder nicht.

Weitere Anmerkungen

Das frühere IT-Grundschutz-Zertifizierungsverfahren ist inzwischen durch das Zertifizie-rungsverfahren für ISO-27001-Zertifikate auf der Basis von IT-Grundschutz abgelöst worden.

3. GSTOOL -  Das BSI Tool zum IT-Grundschutz: www.bsi.bund.de/gstool/index.htm

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite