BSI IT-Grundschutz

_DSF0642Die IT-Grundschutz-Methodik stellt einen anerkannten Standard für IT-Sicherheit dar. Die folgenden BSI-Standards, die den ISO-Standards 13335, 17799 und 27001 entsprechen, sind die Basis für die IT-Grundschutz-Methodik:

BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)

Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO/IEC 27001. Das BSI stellt den Inhalt dieses ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können und so eine didaktische Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist.

BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz

Dieser Standard beschreibt Schritt für Schritt, wie IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie ein IT-Sicherheitskonzept in der Praxis erstellt werden kann, wie angemessene IT-Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des IT-Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die IT-Sicherheit im laufenden Betrieb aufrechterhalten und verbessert werden kann, wird beantwortet.

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grund-schutz-Vorgehensweise wiederverwendet. Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Die BSI IT-Grundschutz-Vorgehensweise muss als kontinuierlicher IT-Sicherheitsprozess verstanden werden. Dazu sind folgende Schritte auszuführen:
Einführung eines IT-Sicherheitsmanagementsystems (ISMS)
Strukturanalyse: Analyse und Dokumentation der Struktur der vorliegenden Informationstechnik
Schutzbedarfsfeststellung
Modellierung: Abbildung der IT-Zielobjekte durch die Bausteine der IT-Gundschutzkataloge
Basissicherheitscheck: Soll/Ist-Vergleich
Optional: Ergänzende Sicherheitsanalyse und Risikoanalyse
Realisierungsplanung
Optional: Zertifizierung
Dieser Prozess muss kontinuierlich durchgeführt werden um das einmal erreichte Sicherheitsniveau nicht zu gefährden. Und hierfür bieten wir spezielle Dienstleistungen an. Der Umfang richtet sich nach den Vorgaben der zu beratenden Organisation: von der Unterstützung in einzelnen Projektphasen bis hin zur gesamten Projektleitung. Die folgende Auflistung zeigt typische von uns angebotene Unterstützungsmöglichkeiten im Projektverlauf:

Baustein A: Einführung des IT-Sicherheitsmanagamentsystems

Etablierung des IT-Sicherheitsmanagement-Teams
Erstellung einer Sicherheitsleitlinie
Kick-off Veranstaltung unter Einbezug des Führungskreises

Baustein B: Strukturanalyse

Festlegung des Informationsverbundes
Erfassung der IT-Zielobjekte
Vor-Ort-Begehung
Verknüpfung der IT-Zielobjekte
Einsatz des GSTOOL

Baustein C: Schutzbedarfsfeststellung

Anpassung des Schutzbedarfskategorien an die Organisation
Durchführung der Interviews zur Schutzbedarfsfeststellung
Vererbung des Schutzbedarfs im Informationsverbund

Baustein D: Modellierung

Überprüfung und Anpassung der Modellierung
Erstellen eigener Bausteine
Gruppierung und Referenzierung von IT-Zielobjekten…

Baustein E: Basissicherheitscheck

Organisation der Ist/Soll-Analyse
Durchführung von Interviews mit Fachverantwortlichen

Baustein F: Ergänzende Sicherheitsanalyse und Risikoanalyse

Durchführung von ergänzenden Sicherheitsanalysen
Risikoanalyse

Baustein G: Realisierungsplanung

Priorisierung der Umsetzungsreihenfolge
Kostenermittlung der ausstehenden Maßnahmen
Revisionsarbeiten

Baustein H: Zertifizierung

Vorbereitung zur ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Wir bieten Consulting bei der Durchführung einzelner Bausteine bis hin zur kompletten Projektleitung und Durchführung an. Durchgeführt werden die Arbeiten von erfahrenen IT Security-Consultants.

KONTAKT