BSI IT-Grundschutz

BSI IT-Grundschutz

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI)

Der IT-Grundschutz ist eine Methodik, um ein Informationssicherheitsmanagementsystem (kurz ISMS) in einer Organisation jeder Größe und Branche einzuführen und zu betreiben. Ziel ist es, die Informationssicherheit zu erhöhen und somit für schützenswerte Informationen die Eintrittswahrscheinlichkeit von Risiken zu senken und potentielle Schäden zu minimieren.

Bewährter Standard für Informationssicherheit

1992 erschien das „IT-Sicherheitshandbuch“, ein Leitfaden für Risikoanalysen als Grundlage des heutigen IT-Grundschutzes. Über die Jahre wurden die Systematik und Kataloge kontinuierlich weiterentwickelt und angepasst. Nachdem der IT-Grundschutz-Katalog (100-x) in 2016 einen Umfang von über 5.000 Seiten erreicht hat, ging 2017 der Nachfolger 200-x an den Start. Das sog. „Kompendium“ ist deutlich weniger umfangreich und soll es auch kleineren Organisationen erleichtern, mittels des IT-Grundschutzes in das Thema Informationssicherheit einzusteigen. Mit dem Wechsel fand auch eine Modernisierung der Inhalte statt.

IT-Grundschutz: Falsche Bezeichnung. Korrekt: Informationssicherheit-Grundschutz

Die Bezeichnung IT-Grundschutz verleitet dazu, diesen Standard als Konzept für IT-Sicherheit zu verstehen oder gar IT-Sicherheit und Informationssicherheit gleichzusetzen. Schaut man sich den BSI IT-Grundschutz jedoch näher an, stellt man sehr schnell fest, es geht um weit mehr. IT-Sicherheit ist ein wichtiger Bestandteil, aber der IT-Grundschutz umfasst technische UND organisatorische Sicherheit, digitale und analoge Sicherheit, organisationsumspannend. Salopp: Mit der Installation einer Firewall und eines Virenscanner ist es halt nicht getan.

Tresor Sicherheit

Das Prinzip des IT-Grundschutz als Standard für Informationssicherheit

Durch Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das

  • für den normalen Schutzbedarf angemessen und ausreichend ist,
  • als Basis für IT-Anwendungen mit höchstem Schutzbedarf dienen kann.

Diesen „Trick“ der Standardisierung nutzt man u.a. zur

  • Reduktion des Aufwands im Informationssicherheitsprozeß durch Bündelung und Wiederverwendung der Vorgehensweisen
  • Identifikation von Standard-Gefährdungen und Maßnahmen für typische Prozesse und Systeme
  • zur Überprüfung vorhandener und Einführung benötigter organisatorischer, personeller, infrastruktureller und technischer Schutzmaßnahmen. Vorteil: Der IT-Grundschutz bringt im Vergleich zu anderen Standards für Informationssicherheit gleich eine sehr große Auswahl an konkreten Schutzmaßnahmen mit.

Unsere IT-Grundschutz-Leistungen

  • Aufklärung und Information der Leitungsebene über die Notwendigkeit von Informationssicherheit
  • Einführung und Einweisung in die IT-Grundschutz-Systematik
  • Mitarbeitersensibilisierungen, Schulungen und Workshops
  • Unterstützung bei der Einführung der Standards 200-2, 200-3 und 100-4 (Notfallmanagement)
  • Hilfe bei den Dokumentationsanforderungen sowie Prüfung vorhandener Schutzmaßnahmen auf Wirksamkeit
  • Unterstützung bei der Entwicklung und Einführung konkreter zusätzlicher bzw. fehlender technischer und organisatorischer Schutzmaßnahmen
  • Intensive Standortbegehungen mit ausführlichen Schwachstellenberichten
  • Vorbereitung auf und Begleitung von Zertifizierungen
  • Ausbildung bzw. Weiterbildung des Informationssicherheitsbeauftragten (training on the job oder Individualseminar)
  • Übernahme der Tätigkeit des externen Informationssicherheitsbeauftragten (in Kleinorganisationen)