BSI Standards 100-1 bis 100-3 & 200-1 bis 200-3 – Unterstützung der Grundschutzmethodik

Die BSI-Standards 100-x und 200-x des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschreiben zusammen mit den IT-Grundschutz-Katalogen eine Vorgehensweise zur Erstellung eines IT-Sicherheitskonzepts. Es handelt sich hierbei um eine Empfehlung zur Umsetzung von Standard-Maßnahmen zum Schutz der Informationstechnik.

SAVe bietet dem Anwender eine komfortable und leicht bedienbare Oberfläche, grundlegende Kenntnisse sowohl der in den BSI-Standards 100-x sowie 200-x beschriebenen Methodik als auch der Inhalte der IT-Grund­schutz-Kataloge für eine effiziente Nutzung sind dennoch vorteilhaft.

Alle fachlichen Funktionen für die Erstellung eines IT-Sicher­heitskonzepts sind mit den Arbeitsschritten

  • Erfassung / Analyse der IT-Strukturen,
  • Schutzbedarfsfeststellung,
  • Modellierung,
  • Soll-Ist-Vergleich im Rahmen eines Basis-Sicherheitschecks,
  • optionale ergänzende Sicherheitsanalyse und Risikoanalyse,
  • Berichtserstellung

hinterlegt.

Auf der Grundlage einer vorhandenen externen Systembeschreibung oder eines Netzplanes werden die Informationen, Anwendungen, IT-Systeme, Netze, Räume und Gebäude (alle Zielobjekte) erfasst.

SAVe unterstützt dabei die Bildung von Kategorien für eine vereinfachte strukturierte Betrachtung gleichartiger Zielobjekte.

 

Die Bestimmung des Schutzbedarfs kann parallel zur Erfassung der Zielobjekte erfolgen. Eine enorme Vereinfachung wird dem Anwender in SAVe über die automatische Schutzbedarfsvererbung.

Mit der automatischen /  manuellen Modellierung werden für die betrachteten Informationsverbünde Gruppen und dazu passende Grundschutz-Bausteine angelegt.

Die Aufteilung in mehrere Gruppen kann beispielweise unter dem Aspekt erfolgen, ob eine Gruppe von Bausteinen globale Gültigkeit besitzt, ob sie an bestimmte Liegenschaften gebunden ist oder ob unterschiedliche Zuständigkeiten bestehen und damit verschiedene Sachbearbeiter Zugriff auf die Daten des Modells benötigen.

Mit der Modellierung nach IT-Grundschutz ist die Basis für einen Soll-Ist-Vergleich gelegt, in dem für jede relevante Maßnahme der Umsetzungsstatus (umgesetzt, teilweise umgesetzt, nicht umgesetzt, entbehrlich) ermittelt und zugeordnet wird.

Für jede Maßnahme können Kosten, Aufwand, Termine und Verantwortlichkeiten zur Umsetzung eingetragen werden. Angaben zur Zertifikatsstufe, in die die Maßnahme eingeordnet ist, werden angezeigt.

Zur gezielten Maßnahmenauswahl, beispielsweise aus einem Bündel substituierbarer Maßnahmen, die gleiche Bedrohungen abdecken, stellt SAVe umfangreiche Querbeziehungen zwischen Bausteinen, Gefährdungen und Maßnahmen dar. Des weiteren können Veränderungen der Datenbestände (z.B. für Wiederholungsprüfungen) problemlos erfasst und dargestellt werden.

Darüber hinaus unterstützt SAVe die Vorgehensweise zur Risikoanalyse, die das BSI im Standard 100-3 als Ergänzung zum Grundschutz empfiehlt. Dabei werden alle Gefährdungen identifiziert, die nicht in ausreichendem Umfang durch die Maßnahmen des Grundschutzes abgedeckt sind und die sich auf solche Zielobjekte beziehen, für die ein erhöhter Schutzbedarf festgestellt wurde und/oder die nicht durch einen der Bausteine des Grundschutzes adäquat beschrieben werden können. Im Rahmen einer ergänzenden Sicherheitsanalyse wird für diese Zielobjekte festgelegt, ob sie einer solchen Risikoanalyse zu unterziehen sind oder ob darauf verzichtet werden kann. Für die aus solchen Gefährdungen erwachsenden Risiken ist festzulegen, ob sie abzuwehren bzw. zu vermeiden sind oder akzeptiert werden müssen.

Über das Standardberichtswesen wird für jeden ausgewählten Grundschutzbaustein angegeben, ob die Anforderungen zum Erwerb des ISO 27001-Zertifikats auf der Basis von IT-Grundschutz für diesen Baustein erfüllt sind oder ob die Einstiegs- bzw. Aufbaustufe des Zertifikats erreicht wird.

Durch Definition eigener Berichte und durch die Möglichkeit der gezielten Übertragung von Modellinhalten in existierende Dokumente lassen sich maßgeschneiderte IT-Sicherheits­konzepte erzeugen, die in vorgegebene Dokumentenstrukturen zu integrieren sind.

Machen Sie sich selbst ein Bild: Testversion SAVe