IT-Sicherheit auf Basis des BSI IT-Grundschutzes

BSI IT-Grundschutz (konform zu ISO 27001)

Seit einigen Jahren haben sich im Bereich der IT-Sicherheit verschiedene Standards und Zertifizierungen etabliert. In Deutschland ist das IT-Grundschutzkonzept des Bundesamtes für Sicherheit in der Informationstechnik (BSI) das verbreitetste Rahmenwerk. Ende 2005 wurde dieses Rahmenwerk umgestaltet, um es konform zur neuen internationalen Norm ISO 27001 zu gestalten.

Neben den bisher bestehenden Gefährdungs- und Maßnahmenkatalogen wurden in diesem Zusammenhang 4 BSI-Standards definiert:

  • BSI 100-1: Managementsysteme für Informations-Sicherheit (ISMS)

  • BSI 100-2: IT-Grundschutz-Vorgehensweise

  • BSI 100-3: Risikoanalyse

  • BSI 100-4: Notfall-Management


Vorgehensweise nach IT-Grundschutz

Die Umsetzung des IT-Grundschutzes kennzeichnet sich durch 6 Schritte:

Strukturanalyse der IT

Im ersten Schritt wird die Struktur der vorhandenen Informationstechnologie analysiert und dokumentiert, um in den späteren Schritten auf dieses Basis das Sicherheitskonzept zu entwickeln und die Modellierung nach IT-Grundschutz durchzuführen. Neben der physischen Infrastruktur, der Netzwerkinfrastruktur, der Systeme und Anwendungen werden auch die organisatorischen und personellen Rahmenbedingungen betrachtet.

Feststellung des Schutzbedarfs

Ausgehend von der Netzwerkinfrastruktur, den Systemen und Anwendungen sowie der physischen Infrastruktur wird der jeweilige Schutzbedarf der Teilbereiche ermittelt (normal, hoch, sehr hoch). Die Ermittlung erfolgt dabei getrennt für die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität.

Modellierung des IT Verbundes

Auf Basis der IT-Strukturanalyse wird im dritten Schritt der betrachtete IT-Verbund basierend auf den einzelnen Bausteinen des IT-Grundschutzes modelliert. Dabei werden alle Komponenten des IT-Verbundes schrittweise abgebildet.

Basis Sicherheitscheck & ergänzende Sicherheitsanalyse

Im Basis-Sicherheitscheck wird basierend auf dem IT-Grundschutzhandbuch eine Überprüfung des IT-Sicherheitsniveaus durchgeführt. Anhand eines Soll-/Ist-Vergleichs werden vorhandene Schwachstellen identifiziert und vorhandene Optimierungsmöglichkeiten für das Sicherheitsniveau der betrachteten IT-Umgebung aufgezeigt.

Sofern im Rahmen der Schutzbedarfsfeststellung Bereiche mit hohem oder sehr hohem Schutzbedarf festgestellt wurden, ist eine ergänzende Sicherheitsanalyse erforderlich.

Realisierung der Maßnahmen

Basierend auf den Erkenntnissen der vorausgegangenen Schritte erfolgt eine Realisierung der festgelegten Maßnahmen um ein angemessenes und einheitliches Sicherheitsniveau für den IT-Verbund zu erzielen.

Auditierung

Sobald auf Basis der vorausgegangenen Schritte ein angemessenes und dokumentiertes Sicherheitsniveau erreicht werden konnte, kann eine Auditierung der IT-Sicherheit gemäß ISO 27001 auf Basis des IT-Grundschutzes erfolgen. Das Audit wird durch lizenzierte Auditoren durchgeführt und der Auditbericht anschließend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert.


Unterstützung durch die Nemesis Consulting GmbH

Sie möchten Ihre IT-Sicherheit nach BSI IT-Grundschutz konform zur ISO 27001 umsetzen? Gerne unterstützen wir Sie durch Schulungen, Beratungen, Übernahme von Teilaufgaben oder der vollständigen Umsetzung der oben aufgeführten Realisierungsschritte.