apsec Tipps & Tricks zum BSI IT-Grundschutz 200-x

Das Bundesamt für Sicherheit in der Informationstechnik wird im Oktober zur it-sa 2017 seine Neuerungen im BSI IT-Grundschutz offiziell veröffentlichen.

 

Applied Security GmbH

Großwallstadt, 26.09.2017

 

Die bereits veröffentlichten Entwürfe der neuen Standards zeigen die grundlegenden Änderungen auf, die die neuen Standards mit sich bringen.

Diese Neuerungen beinhalten nicht nur die Namensänderung der bekannten Standards 100-1 bis 100-3 zu 200-1 bis 200-3, sondern auch Grundsätzliches wie beispielweise die neuen Vorgehensweisen:

Basis-Absicherung

Die Basis-Absicherung verfolgt das Ziel, eine breite, grundlegende Erst-Absicherung über alle Geschäftsprozesse bzw. Fachverfahren eines Unternehmens als Einstieg in den IT-Grundschutz zu erlangen. Dies ermöglicht auch kleineren Unternehmen die Umsetzung eines Informationssicherheitsmanagementsystems, in dem alle essentiellen Anforderungen umgesetzt worden sind.

Kern-Absicherung

Während bei der Basis- und Standard-Absicherung der Geltungsbereich häufig das gesamte Unternehmen umfasst, wird sich bei der Kern-Absicherung auf einige herausragende, besonders geschäftskritische Aktiva (sogenannte Kronjuwelen) konzentriert. So kann in einem ersten Schritt zunächst der kritischste Geschäftsprozess abgesichert werden, um in weiteren Schritten wahlweise die nächsten kritischen Geschäftsprozesse abzusichern oder für alle Bereiche der Institution die Basis- oder Standard-Absicherung zu beginnen.

Standard-Absicherung

Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise. Mit ihr kann ein Unternehmen umfassend und tiefgehend abgesichert werden. Dies sollte grundsätzlich das Ziel jeglicher Anwendung des IT-Grundschutzes sein, auch wenn zuvor eine der beiden bereits genannten anderen Vorgehensweisen gewählt wurde.

IT-Grundschutz-Profile

Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess). Es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z. B. Strukturanalyse, Schutzbedarfsfestellung, Modellierung) und eine Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Unternehmen adaptiert werden kann. Dadurch können Bausteine, Maßnahmen und Gefährdungen für die Anwendung nach Einsatzgebieten – beispielsweise Krankenhäuser, Energienetzbetreiber oder Betreiber kritischer Infrastrukturen – gruppiert werden.



Neuer Kommentar