ISMS nach IT-Grundschutz

Mit dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit Jahren einen Standard zur Informationssicherheit, welcher sich in Unternehmen und öffentlichen Stellen etabliert hat. Im Fokus des Standards steht dabei ein Informationssicherheits-Managementsystem (ISMS).

IT-Grundschutz ist eine vom BSI entwickelte Methode, um Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die Standards BSI 100-1 bis 100-4 ermöglichen es, ein zu ISO 27001 auf der Basis von IT-Grundschutz konformes Informationssicherheits-Managementsystem (ISMS) zu etablieren:

BSI 100-1: Managementsysteme für Informationssicherheit (ISMS)
BSI 100-2: IT-Grundschutz-Vorgehensweise
BSI 100-3: Risikoanalyse
BSI 100-4: Notfall-Management

Darüber hinaus bieten die sehr umfangreichen IT-Grundschutzkataloge einen Maßnahmenkatalog für die grundlegende Absicherung eines Informationsverbundes.

Zunächst wird im Rahmen einer Strukturanalyse, einer Schutzbedarfsfeststellung sowie einer Modellierung der IT-Grundschutz-Bausteine der zu betrachtende Informationsverbund umfangreich dokumentiert. Danach werden in einem Basis-Sicherheitscheck die Ist-Situation gegen die IT-Grundschutz-Kataloge geprüft und der über einen Grundschutz hinausgehende Schutzbedarf analysiert.

Häufig gestellte Fragen (FAQ)

Warum sollten Sie ein ISMS nach IT-Grundschutz aufbauen?

Ein ISMS nach IT-Grundschutz vereint die Anforderungen aus der ISO 27001 mit den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik. Dadurch wird eine hohe Akzeptanz insbesondere bei Behörden erreicht.

Wozu benötigen Sie eine Strukturanalyse?

Im Rahmen der Strukturanalyse erfolgt zunächst eine genaue Definition des Informationsverbunds. Ein Informationsverbund muss eine sinnvolle Mindestgröße haben. Es ist grundsätzlich empfehlenswert, das gesamte Unternehmen in die Analyse der IT-Sicherheit einzubeziehen. Bei größeren Unternehmen empfiehlt es sich jedoch, sich zunächst nur auf Teilbereiche oder die IT-Infrastruktur zu konzentrieren. Die gewählten Teilbereiche sollten gut abgrenzbar und wesentliche Aufgaben und Geschäftsprozesse des Unternehmens abbilden.

Ziel der Strukturanalyse ist es dann, genaue Kenntnis über den definierten Informationsverbund einschließlich der technischen Systeme zu bekommen:

Beschreibung wichtiger Informationen, Geschäftsprozesse und Anwendungen
Netzplan mit den eingesetzten IT-Systemen, Kommunikationsverbindungen und externen Schnittstellen
Liste der vorhandenen IT-Systeme (Clients, Server, Netzkopplungselemente usw.)
Beschreibung der räumlichen Gegebenheiten (Liegenschaften, Gebäude, Räume)

Warum sollten Sie den Schutzbedarf feststellen?

Im Rahmen der Schutzbedarfsfeststellung werden zunächst für die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität die Schutzbedarfskategorien normal, hoch und sehr hoch formuliert, wenn möglich werden Kennzahlen definiert. Auf der Grundlage dieser Schutzbedarfskategorien werden den Anwendungen Schutzbedarfe zugeordnet, die sich auf die beteiligten IT-Systeme und anschließend auf die Kommunikationsverbindungen und Räume auswirken.

Wie erfolgt die Modellierung der Grundschutzbausteine?

Im Rahmen der Modellierung wird der durch die Strukturanalyse definierte und im Detail beschriebene Informationsverbund mit Hilfe der Grundschutz-Bausteine nachgebildet („modelliert“). Die Zusammenstellung der einzelnen Bausteine (einschließlich der zugeordneten Zielobjekte) richtet sich dabei auch nach dem jeweiligen Schutzbedarf.

Was enthält der Basis-Sicherheitscheck?

Beim Basis-Sicherheitscheck wird der im Rahmen der Modellierung ermittelte Maßstab angewendet: Jede Maßnahme, die in den anzuwendenden Bausteinen empfohlen wird, wird dahingehend geprüft, ob sie auf das jeweilige Zielobjekt anwendbar ist und ob die Maßnahme vollständig, teilweise oder überhaupt nicht umgesetzt ist.

Warum benötigen Sie ergänzende Sicherheits- und Risikoanalysen?

Die Grundschutz-Bausteine und die dort empfohlenen Maßnahmen sind auf ein Sicherheitsniveau ausgerichtet, das zumindest für den normalen Schutzbedarf angemessen ist – daher auch der Begriff „Grundschutz“. Sind Zielobjekte mit hohem oder sehr hohem Schutzbedarf angegeben, muss im Rahmen der ergänzenden Sicherheitsanalyse geprüft werden, ob eine weitere Risikoanalyse durchgeführt werden muss.

Wie sieht die Weiterentwicklung des IT-Grundschutzes aus?

Während das strukturierte, wenn auch umfangreiche Vorgehen nach IT-Grundschutz von einigen Anwendern durchaus positiv bewertet wird, hat die Komplexität der Bausteine einen kaum noch zu verwaltenden Umfang erreicht. Dies führt zum einen dazu, dass einzelne Maßnahmen bis hin zu ganzen Bausteinen veraltet sind. Zum anderen müssen gewaltige Ressourcen bereitgestellt werden, um die Umsetzung der Maßnahmen dauerhaft und regelmäßig zu prüfen und zu dokumentieren.

Aus diesem Grund wird vom BSI an einer grundlegenden Umstrukturierung des IT-Grundschutzes gearbeitet. Insbesondere sollen Bausteine auf wesentliche Maßnahmen beschränkt werden. Weiterhin werden Alternativen zum hier beschriebenen Vorgehen geprüft, die das klassische, aber umfangreiche Vorgehensmodell ersetzen oder ergänzen können.

Warum sollten Sie uns für diese Aufgabe auswählen?

Unsere IT-Experten sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für ISO 27001 auf der Basis von IT-Grundschutz anerkannt und bei der datenschutz cert GmbH als ISO 27001-Auditor lizensiert. Dies stellt sicher, dass wir uns beim Aufbau eines ISMS nach dem IT-Grundschutz an den gängigen Standards orientieren. Des Weiteren verfügen wir über jahrelange Erfahrungen in diesem Bereich.