Bundesamt für Sicherheit in der Informationstechnik

IT-Grundschutz – Das Original in der Informationssicherheit

Der IT-Grundschutz des BSI ist eine bewährte Methodik, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Dabei ist der IT-Grundschutz durch seine Kompatibilität zu ISO 27001 auch international angesehen.

Stets aktuell – Neuerungen im IT-Grundschutz

Der IT-Grundschutz ist bereits seit 20 Jahren aus dem Alltag gelebter Informationssicherheit bei vielen Verantwortlichen nicht mehr wegzudenken. Nach kontinuierlichen Anpassungen im Lauf der Zeit wurden im Herbst 2017 die Ergebnisse einer grundlegenden Modernisierung der IT-Grundschutz-Methodik vorgestellt.

Der IT-Grundschutz wurde komplett auf den Prüfstand gestellt: Inhalte sind stärker fokussiert und verschlankt, neue Themen und Aspekte sind aufgenommen worden. Im neuen Angebot des IT-Grundschutzes gibt es auch speziell für kleine und mittelständische Unternehmen, die meist ein eher begrenztes Budget für Fragen der Informationssicherheit haben, hilfreiche Publikationen. Ziel ist es, dass Verantwortliche für Informationssicherheit in Unternehmen jeder Größenordnung das Sicherheitsniveau realistisch einschätzen und die notwendigen Maßnahmen zur Absicherung umsetzen können. Ob Einsteiger oder Profi in Informationssicherheit: Der IT-Grundschutz liefert für jedes Bedürfnis die passende Lösung.

Die BSI-Standards – Fundament für die Informationssicherheit

Die BSI-Standards enthalten Methoden und Vorgehensweisen zu den unterschiedlichsten Themen aus dem Bereich der Informationssicherheit. Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Mit dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik kann ein solides ISMS aufgebautwerden. Dabei steht mit der Standard-Absicherung die bewährte IT-Grundschutz-Vorgehensweise zur Verfügung. Sie wird ergänzt durch die Basis-Absicherung, die eine grundlegende Erst-Absicherung in der Breite ermöglicht, sowie durch die Kern-Absicherung, die sich dem Schutz der besonders schützenswerten Daten einer Institution widmet. Der BSI-Standard 200-3 zum Risikomanagement enthält alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes.

Webseite der BSI-Standards

IT-Grundschutz-Kompendium – Arbeitswerkzeug für jedes Thema

Das IT-Grundschutz-Kompendium enthält die IT-Grundschutz-Bausteine, in denen jeweils Gefährdungen und Sicherheitsanforderungen für ein Thema der Informationssicherheit übersichtlich auf rund zehn Seiten erläutert werden. Mit den Bausteinen erhalten Anwender konkrete Empfehlungen zur Umsetzung der IT-Grundschutz-Methodik. Die IT-Grundschutz-Bausteine sind in Prozess- und System-Bausteine aufgeteilt und in insgesamt zehn Schichten untergliedert. Das IT-Grundschutz-Kompendium erscheint ab 2018 jährlich in einer aktualisierten Edition.

Webseite des IT-Grundschutz-Kompendiums

Nachweis über die Umsetzung

Unternehmen und Behörden, die ihre erfolgreichen Aktivitäten zur Erhöhung der Informationssicherheit nachweisen möchten, bietet das BSI zwei Möglichkeiten an: die Testierung nach der Basis-Absicherung und die Zertifizierung der Standard- bzw. Kern-Absicherung.

Bei der Basis-Absicherung steht die Umsetzung der Basis-Anforderungen des IT-Grundschutz-Kompendiums im Fokus der Sicherheitsbetrachtungen. Die Basis-Absicherung lässt sich mit einem relativ geringem finanziellen, personellen und zeitlichen Aufwand umsetzen und eignet sich dadurch auch gut für KMU oder kleinere Kommunen, die ihre ersten Schritte zur ganzheitlichen Informationssicherheit gehen wollen. Der Erwerb eines Testats nach der Basis-Absicherung bescheinigt die erfolgreiche Umsetzung der Basis-Anforderungen und hat so nicht nur positive Effekte für die internen Systeme und Prozesse, sondern auch in der Außendarstellung ist der Nachweis von Vorteil.

Sollen im ersten Schritt nur die wichtigsten Geschäftsprozesse bzw. Fachaufgaben geschützt werden, bietet sich die Kern-Absicherung des IT-Grundschutzes an. Um in einer Institution Informationssicherheit ganzheitlich nach dem Stand der Technik umzusetzen, sollte die Standard-Absicherung umgesetzt werden. Während die Basis-Absicherung einen schnellen Einstieg und eine grundlegende Absicherung in der Breite ermöglicht, stellt die Kern-Absicherung für einen Teilbereich einen umfassenden Schutz in der Tiefe dar. Als Nachweis zur Erfüllung der Standard- bzw. Kern-Absicherung kann ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz beim BSI beantragt werden .

Weitere Angebote zum IT-Grundschutz

Der IT-Grundschutz-Newsletter informiert über Entwicklungen beim IT-Grundschutz sowie weitere interessante Themen und Veranstaltungen rund um das Thema Informationssicherheit. Sie können das Angebot hier [Link] abonnieren.

XING:

Fachlicher Austausch und Networking rund um den IT-Grundschutz

Twitter:

Alle aktuellen Neuigkeiten zum IT-Grundschutz

Veranstaltungen:

IT-Grundschutz-Tage, Messe-Beteiligungen uvm.