IT-Sicherheitsmanagement

Der IT-Grundschutz nach BSI

Der IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) beschreibt detailliert Standard-Sicherheitsmaßnahmen, die praktisch in bestehenden IT-Systemen anwendbar sind. Nach einer ersten Revision im Jahre 2005 steht 2016/2017 eine erneute Modernisierung an, die insbesondere kleinen und mittleren Unternehmen den Aufbau eines IT-Sicherheitsmanagements erleichtern soll.&nb

  • Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf
  • eine Darstellung der pauschal angenommenen Gefährdungslage
  • ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe
  • eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-Sicherheitsniveaus
  • eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs

Im aktuellen Stand umfasst der IT-Grundschutz nach BSI folgende Kernelemente:

Die Struktur und eine Übersicht über die Inhalte des IT-Grundschutzhandbuchs finden Sie hier.

Organisation, die die IT-Grundschutz-Vorgehensweise umsetzen, möchten dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hat das BSI ein Zertifizierungsschema für IT-Grundschutz erarbeitet. Damit das IT-Grundschutz-Zertifikat des BSI darüber hinaus künftig auch die Anforderungen der internationalen Zertifizierungsnorm ISO 27001 mit erfüllt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema. Seit Anfang des Jahres 2006 können daher auch ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Diese Option ist besonders für international tätige Institutionen von Interesse.

zum Seitenanfang

Die ISO 27001 - IT-Sicherheitsmanagement

Die Herstellung und Aufrechterhaltung einer umfassenden Informationssicherheit in einer Organisation ist ein globaler Prozess. Diesen Ansatz verfolgt die Norm ISO 27001 mit der Einführung eines systematischen Managements der Informationssicherheit in der Organisation, das auch zertifizierbar ist. Ein nach ISO 27001 aufgebautes Informationssicherheits-Managementsystem (ISMS) bietet eine Grundlage zur Identifikation und Beherrschung spezifischer IT-Risiken sowie zur Sicherstellung der benötigten Zuverlässigkeit von IT-Systemen.

 Die Erstversion, ISO/IEC 27001:2005, basiert auf dem britischen Standard BS 7799-2:2002 hervor und liegt seit September 2008 auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht und seit März 2015 ist die finale Version der DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.

Die ISO 27001 beruht auf zwei Hauptbestandteilen:

  • Die Beschreibung der Anforderungen an ein ISMS
  • Die Beschreibung der detaillierten Maßnahmen im Anhang 

Als Teil eines Managementsystemansatzes zur Entwicklung, Umsetzung und Verbesserung der Wirksamkeit des Informationssicherheits-Managementsystems einer Organisation wendet die ISO 27001 das bekannte PDCA-Modell an: PDCA:  Plan-Do-Check-Act -"Planen­-Durchführen-Prüfen-Handeln".

Die ISO 27001 ist mit anderen Management-Standards wie der ISO 9001:2015 (Qualitäts-Mgt.) und der ISO 14001:2015 (Umwelt-Mgt.) harmonisiert. Dadurch ist es möglich, konsistente und integrierte Management-Systeme zu implementieren. Gemeinsame Grundlage ist die sog. High Level Structure - HLS.

Einheitlich für alle Normen mit der High Level Structure ist folgende Reihe von Abschnitten:

  • Anwendungsbereich
  • Normative Verweisungen
  • Begriffe
  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Die Maßnahmenziele und Maßnahmen im Anhang der ISO 27001 sind normativ und daher nicht einfach nur Ratschläge zur Umsetzung und Anleitungen für allgemein anerkannte Verfahren, um die die aufgeführten Maßnahmen unterstützen. Sie leiten sich ab aus den Abschnitten 5 – 18 der ISO 27002 (IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheitsmanagement) und müssen angewendet werden.

Die Zertifizierung eines ISMS einer Organisation soll nachweisen, dass die zertifizierte Organisation ein System zum Management von Informationssicherheit wirksam eingeführt und umgesetzt hat, welches die Ansprüche von Standards oder normativen Dokumenten erfüllt.

Das Inhaltsverzeichnis der ISO 27001 finden Sie hier.

zum Seitenanfang

Nutzen eines ISMS

Durch IT-Sicherheitsmanagement sollen Informationen und Daten vor dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden.

Vertraulichkeit:
Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzer.

Integrität:
Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.

Verfügbarkeit:
Vermeidung einer nicht annehmbaren Verzögerung bei der Durchführung eines berechtigten Zugriffs auf Informationen.

Mit IT-Sicherheitsmanagement können Sie:

  • die Leistungsfähigkeit Ihrer Sicherheitsprozesse ermitteln
  • generelle Sicherheitsschwachstellen innerhalb Ihrer Organisation aufdecken
  • präventiv Schäden verhindern
  • Risiken im eigenen Unternehmen reduzieren
  • als IT-Dienstleister  oder Softwarehersteller Ihren Kunden die erwartete Sicherheit für Daten und Informationen geben
  • die Verfügbarkeit Ihrer IT-Systeme erhöhen
  • Fehler und Störungen und deren Kosten reduziere
  • Ihr Rating gegenüber Banken und Versicherungen durch Nachweis zertifizierter Sicherheit verbessern

zum Seitenanfang

News

weitere News