Der BSI-Grundschutz mit seinen IT-Grunschutzkatalogen kann als deutschem Äquivalent zu der ISO 27000-Reihe gesehen werden. Auch hier werden Empfehlungen von Standardsicherheitsmaßnahmen vermittelt, um damit ein für den normalen Schutzbedarf angemessenes und ausreichendes Sicherheitsniveau für IT-Systeme zu erreichen. Aufgebaut ist der BSI-Grundschutz über ein Baukastenprinzip, wobei die wichtigsten Bestandteile die Gefährdungs- und Maßnahmenkataloge sind.
IT-Sicherheitsprozess nach BSI Grundschutzkataloge
Initiierung des IT-Sicherheitsprozesses
Die Initiierung des IT-Sicherheitsprozesses findet auf der strategischen Ebene statt, wird also von der Unternehmensleitung vorangetrieben. In diesen Schritt gehören unter anderem die Erstellung einer Sicherheitsleitlinie und die Einrichtung eines IT-Sicherheitsmanagements.
Erstellen eines IT-Sicherheitskonzeptes
Das Erstellen eines IT-Sicherheitskonzeptes findet man auf der taktischen Ebene. Zur Entwicklung des IT-Sicherheitskonzeptes zählen unter anderem folgende Schritte:
- IT-Strukturanalyse: Anhand eines Netzplans wird der schützende IT-Verbund (Infrastruktur, Anwendungen, Netze, organisatorische und personelle Rahmenbedingungen etc.) ermittelt
- Schutzbedarfsfeststellung: Es werden kritische IT-Anwendungen, Systeme und Räume identifiziert und bewertet. Es gibt drei Schutzbedarfskategorien: normal, hoch und sehr hoch. Die Schutzbedarfsfeststellung erfolgt für jedes Schutzziel separat.
- IT-Grundschutzanalyse: Ermittlung der notwendigen Sicherheitsmaßnahmen und inwiefern evtl. schon Maßnahmen umgesetzt wurden. IT-Grundschutzkataloge setzen sich aus den fünf Bausteinen: Übergreifende Aspekte, Infrastruktur, Netze, IT-Systeme und IT-Anwendungen zusammen.
Folgende Gefährdungskataloge und Maßnahmenkataloge findet man im BSI-Grundschutz wieder:
Gefährdungskataloge
- Elementare Gefährdungen: z.B. Feuer, Wasser
- Höhere Gewalt: z.B. Kabelbrand, Blitz
- Organisatorische Mängel: z.B. fehlende Regelungen, unzureichende Kontrollen
- Menschliches Fehlverhalten: z.B. Gefährdung durch Reinigungspersonal
- Technisches Versagen: z.B. Defekte Datenträger
- Vorsätzliche Handlungen: z.B. Manipulation oder Zerstörung von IT-Geräten, Unbefugtes Eindringen in Gebäude
Maßnahmenkataloge
- Infrastruktur: z.B. Regelungen für Zutritt zu Verteilern
- Organisation: z.B. Regelungen für Wartungs- und Reparaturarbeiten
- Personal: z.B. geregelte Einarbeitung von neuen Mitarbeitern
- Software und Hardware: z.B. Passwortschutz für IT-Systemen, Bildschirmsperre
- Kommunikation, z.B. Netzverwaltung, regelmäßige Sicherheitschecks des Netztes
- Notfallvorsorge, z.B. Brandschutzübungen
Umsetzung
Die Umsetzung findet sich schließlich auf der operativen Ebene wieder. Hierunter fällt die Realisierung der notwenigen Maßnahmen, die Notfallvorsorge und auch die Kommunikation, Sensibilisierung und Schulung der Mitarbeiter.
Die Umsetzungsphase sieht dabei folgenden Realisierungsplan vor:
Aufrechterhaltung im laufenden Betrieb
Wie auch die Umsetzung, ist auch die Phase der Aufrechterhaltung im laufenden Betrieb auf der operativen Ebene einzuordnen.
Unterschied zwischen BSI Grundschutz und ISO 27000 Reihe
In ihrer grundsätzlichen Ausrichtung ähneln sich der BSI-Grundschutz und die ISO 27000 Reihe sehr stark. Beide Ansätze versuchen ein allgemeines, standardisiertes Sicherheitsniveau zu erreichen. Im Gegensatz zur ISO 27000 Reihe ist der BSI Grundschutz hier aber viel konkreter, dass macht die Umsetzung zum einen einfacher, da man lediglich den Vorgaben Folge leisten muss, zum anderen ist der Grundschutz so aber auch recht starr und teilweise zu konkret, was wiederum gegen eine einfache Umsetzung spricht. Teilweise sind die BSI Maßnahmenkataloge auch oft nicht aktuell. Dafür werden deutsche Besonderheiten, insbesondere das deutsche Recht berücksichtigt.
Quellen und Verweise
Keine Kommentare:
Kommentar veröffentlichen