BSI IT-Grundschutz
Der IT-Grundschutz ist ein Best Practice Modell des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die Initiierung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines Informationssicherheitsmanagementsystems (ISMS).
Die Umsetzung und Aufrechterhaltung eines ISMS auf Basis von IT-Grundschutz ist derzeit für deutsche Behörden weitestgehend obligatorisch. Der Nachweis der Umsetzung und Aufrechterhaltung eines ISMS kann durch ein "Zertifikat gemäß ISO/IEC 27001 (dem normativen internationalen Standard für ISMS) auf der Basis von IT-Grundschutz" erbracht werden.
Der IT-Grundschutz unterstützt durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen den Aufbau eines Standard-Sicherheitsniveaus, welches darüber hinaus für spezifische Organisationsanforderungen anpassbar und ausbaufähig ist.
Als weitergehende Unterstützung zum Aufbau eines ISMS bietet das BSI zudem die sogenannten IT-Grundschutz-Standards. Die BSI-Standards 200-1 "Managementsysteme für Informationssicherheit" und 200-2 "IT-Grundschutz-Methodik" stellen die Anforderungen und die Vorgehensweise zum Aufbau eines ISMS auf Basis von IT-Grundschutz dar. Ergänzend existieren die IT-Grundschutz-Standards 200-3 "Risikoanalyse auf Basis von IT-Grundschutz" und 100-4 "Notfallmanagement / BCM", um eine ganzheitliche und risikoorientierte Betrachtung des Informationsverbundes sicherzustellen.
Einen weiteren praktischen Mehrwert des BSI bietet das IT-Grundschutz-Kompendium. Hiermit lässt sich insbesondere die sog. "Modellierung eines Informationsverbunds" durchführen, was die Entwicklung des IT-Sicherheitskonzepts sowie die Erstellung eines Plans zur Umsetzung erforderlicher Maßnahmen unterstützt. Darüber hinaus beinhalten die einzelnen Bausteine typische Gefährdungspotentiale für Komponenten des Informationsverbunds und beschreiben Anforderungen an die Umsetzung von Maßnahmen zur Erreichung eines avisierten Sicherheitsniveaus im Rahmen der Basis-, Standard- und Kern-Absicherung.
Des Weiteren sind über das IT-Grundschutz-Kompendium des BSI hinaus u. a. zusätzliche Anforderungen, die sich aus den "Technischen Richtlinien (TR)" sowie den "Schutzprofilen nach Common Criteria für IT-Produkte" ergeben, zu beachten.
Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.