PDF Drucken E-Mail

BSI IT-Grundschutz

Die IT-Grundschutz-Methodik stellt einen anerkannten Standard für IT-Sicherheit dar. Die folgenden BSI-Standards, die den ISO-Standards 13335, 17799 und 27001 entsprechen, sind die Basis für die IT-Grundschutz-Methodik:

BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO/IEC 27001. Das BSI stellt den Inhalt dieses ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können und so eine didaktische Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist.

 

BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz
Dieser Standard beschreibt Schritt für Schritt, wie IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie ein IT-Sicherheitskonzept in der Praxis erstellt werden kann, wie angemessene IT-Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des IT-Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die IT-Sicherheit im laufenden Betrieb aufrecht erhalten und verbessert werden kann, wird beantwortet.

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grund-schutz-Vorgehensweise wiederverwendet. Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet.

Die BSI IT-Grundschutz-Vorgehensweise muss als kontinuierlicher IT-Sicherheitsprozess verstanden werden. Dazu sind folgende Schritte auszuführen:

 

  • Einführung eines IT-Sicherheitsmanagementsystems (ISMS)
  • Strukturanalyse: Analyse und Dokumentation der Struktur der vorliegenden Informationstechnik
  • Schutzbedarfsfeststellung
  • Modellierung: Abbildung der IT-Zielobjekte durch die Bausteine der IT-Gundschutzkataloge
  • Basissicherheitscheck: Soll/Ist-Vergleich
  • Optional: Ergänzende SIcherheitsanalyse und Risikoanalyse
  • Realisierungsplanung
  • Optional: Zertifizierung

Dieser Prozess muss kontinuierlich durchgeführt werden um das einmal erreichte Sicherheitsniveau nicht zu gefährden. Und hierfür bieten wir spezielle Dienstelistungen an. Der Umfang richtet sich nach den Vorgaben der zu beratenden Organisation: von der Unterstützung in einzelnen Projektphasen bis hin zur gesamten Projektleitung. Die folgende Auflistung zeigt typische von uns angebotene Unterstützungsmöglichkeiten im Projektverlauf:

Baustein A: Einführung des IT-Sicherheitsmagamentsystems

  • Etablierung des IT-Sicherheitsmanagement-Teams
  • Erstellung einer Sicherheitsleitlinie
  • Kick-off Veranstaltung mit Führungskreis
  • ...

Baustein B: Strukturanalyse

  • Festlegung des Informationsverbundes
  • Erfassung der IT-Zielobjekte
  • Vor-Ort-Begehung
  • Verknüpfung der IT-Zielobjekte
  • Einsatz des GSTOOL
  • ...

Baustein C: Schutzbedarfsfeststellung

  • Anpassung des Schutzbedarfskategorien an die Organisation
  • Durchführung der Interviews zur Schutzbedarfsfeststellung
  • Vererbung des Schutzbedarfs im Informationsverbund
  • ...

Baustein D: Modellierung

  • Überprüfung und Anpassung der Modellierung
  • Erstellen eigener Bausteine
  • Gruppierung und Referenzierung von IT-Zielobjekten
  • ...

Baustein E: Basissicherheitscheck

  • Organisation der Ist/Soll-Analyse
  • Durchführung von Interviews mit Fachverantwortlichen
  • ...

Baustein F: Ergänzende Sicherheitsanalyse und Risikoanalyse

  • Durchführung von ergänzenden Sicherheitsanalysen
  • Risikoanalyse
  • ...

Baustein G: Realisierungsplanung

  • Priorisierung der Umsetzungsreihenfolge
  • Kostenermittlung der ausstehenden Maßnahmen
  • Revisionsarbeiten
  • ...

Baustein H:  Zertifizierung

  • Vorbereitung zur ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
  • ...


Wir bieten Consulting bei der Durchführung einzelnen Bausteine bis hin zur kompletten Projektleitung und Durchführung an. Durchgeführt werden die Arbeiten von erfahrenen IT Security-Consultants.

Falls Sie an einer Beratung Interesse haben, so schreben Sie uns einfach eine E-Mail, oder rufen uns an!