Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt Vorgehensweisen, die der Identifizierung und Umsetzung von Maßnahmen zur IT-Sicherheit dienen. Ziel ist dabei, ein ausreichendes und zugleich angemessenes Schutzniveau der IT-Systeme zu erreichen. Die technischen Sicherheitsmaßnahmen sowie infrastrukturelle, personelle und organisatorische Maßnahmen sind im sogenannten IT-Grundschutz-Katalog zusammengefasst.
Der IT-Grundschutz-Katalog
Um den BSI-Standard umzusetzen, müssen eine Reihe von Maßnahmen eingeleitet werden. Das Bundesamt für Sicherheit in der Informationstechnik hat dafür den IT-Grundschutz-Katalog zusammengestellt. Er besteht aus zwei Teilen, dem Katalog IT Grundschutz International und dem IT-Grundschutz-Katalog mit den Punkten:
- Allgemeines (Vorwort, Neues, Einstiegskapitel und Modellierung)
- Bausteine
- Gefährdungskataloge
- Maßnahmenkataloge
- Rollendefinitionen
- Glossar und Index A bis Z
Insgesamt besteht die Dokumentensammlung aus mehr als 4.800 Seiten und dient sowohl Behörden als auch Unternehmen als Grundlage für die Zertifizierung nach IT Grundschutz. Mit der Zertifizierung weisen die Unternehmen und Ämter nach, dass sie für die Absicherung ihrer IT-Systeme gegen Bedrohungen umfangreiche Maßnahmen ergriffen haben.
Ansprüche des Standarddatenschutzmodells (SDM)
Gemäß BSI erhebt das Standarddatenschutzmodell (SDM) folgende Ansprüche:
- Überführung datenschutzrechtlicher Anforderungen in einen Gewährleistungszielkatalog
- Aufspaltung der Verfahren in Daten, IT-Systeme und Prozesse
- Einordnung von Daten in die Schutzbedarfsstufen sehr hoch, hoch und normal, ergänzt um die Betrachtung auf Prozess- und IT-System-Ebene
- Ableitung eines standardisierten Schutzmaßnahmenkatalogs
Die wichtigsten Bausteine des BSI-Standards
Erfahrungsgemäß ist es so gut wie unmöglich, ohne funktionelles Informationssicherheitsmanagement ein angemessenes Sicherheitsniveau zu erreichen. Der IT-Grundschutz-Katalog betrachtet die für eine funktionierende Sicherheit nötigen Aspekte und beschreibt die dafür nötigen Komponenten und Vorgehensweisen.
Im IT-Grundschutz-Schichtmodell sind die Bausteine Infrastruktursicherheit, IT-Systeme-Sicherheit, Sicherheit im Netz und in den Anwendungen sowie übergreifende Aspekte der Informationssicherheit zusammengefasst.
Zum Gefährdungskatalog gehören elementare Gefährdungen, höhere Gewalt, Mängel in der Organisation, menschliches Fehlverhalten, technisches Versagen und vorsätzliche Handlungen.
Der Maßnahmenkatalog setzt sich zusammen aus den sechs Punkten Hard- und Software, Infrastruktur, Kommunikation, Notfallversorgung, Organisation und Personal.
BSI-Standard und Basis-Sicherheitscheck
Beim Basis-Sicherheitscheck handelt es sich um ein Organisationsinstrument, welches eine schnelle Sichtung über das Sicherheitsniveau im IT-Bereich erlaubt. Es ist die Ermittlung des Status quo mittels Interviews eines nach dem IT Grundschutz geformten Informationsbundes, bezogen auf den Grad der Umsetzung der Sicherheitsmaßnahmen gemäß dem IT-Grundschutz-Katalog. Durch das Interview ergibt sich eine Zusammenfassung aller Vorkehrungen mit einem Umsetzungsstatus, der mit ja, teilweise, nein und entbehrlich erfasst wird.
Noch nicht oder erst zum Teil umgesetzte Vorhaben kommen ans Licht und legen Verbesserungsmöglichkeiten bei der Sicherheit offen. Somit gibt der Basis-Sicherheitscheck nicht nur Auskunft über noch fehlende Maßnahmen im Rahmen eines Soll-Ist-Vergleichs, sondern zeigt auch auf, welche weiteren Schritte zwingend notwendig sind, um einen Grundschutz bei der IT-Sicherheit zu erreichen.
Allerdings genügt der Basis-Sicherheitscheck lediglich bei niedrigem bis mittlerem Schutzbedarf, was auf rund 80 Prozent der IT-Systeme zutrifft. Systeme, die einen sehr hohen Schutzbedarf aufweisen, benötigen auf Risikoanalysen aufbauende Sicherheitskonzepte, wie beispielsweise die ISO/IEC 27001. Für diese IT-Systeme stellt das Bundesamt für Sicherheit in der Informationstechnik Kreuzreferenztabellen zur Verfügung, die speziell für die Risikoanalyse mit hohem und sehr hohem Schutzbedarf entwickelt wurden.
BSI-Standards im Überblick
Das Bundesamt für Sicherheit in der Informationstechnik gibt neben dem IT-Grundschutz-Katalog spezielle BSI-Standards heraus. Sie enthalten Empfehlungen zu Verfahren, Methoden, Prozessen, Maßnahmen und Vorgehensweisen bezüglich der Informationssicherheit:
- BSI-Standard 100-1 ISMS (Managementsysteme für Informationssicherheit)
Der zum ISO-Standard 27001 vollständig kompatible BSI-Standard 100-1 definiert die allgemeinen Anforderungen an ein ISMS.
- BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise
Die IT-Grundschutz-Vorgehensweise beschreibt in einzelnen Schritten den Aufbau und die Anwendung eines ISMS.
- BSI-Standard 100-3 Risikoanalysen basierend auf IT-Grundschutz
- BSI-Standard 100-4 Notfallmanagement
Aufbau einer Systematik, um den Geschäftsbetrieb mit einem Notfallmanagement aufrechtzuerhalten.
- BSI-Standard 200-1 Managementsysteme für Informationssicherheit
Definition der allgemeinen ISMS-Anforderungen.
- BSI-Standard 200-2 IT-Grundschutz-Vorgehensweise
Umsetzung des IT Grundschutz mittels Basis-Absicherung als Einstieg zur Initiierung eines Managementsystems für Informationssicherheit.