Bundesamt für Sicherheit in der Informationstechnik

Tools zur Unterstützung des Grundschutzprozesses

Um IT-Grundschutz in einer Institution umzusetzen, können verschiedenste Werkzeuge hilfreich sein. Durch den Einsatz geeigneter Tools kann die Arbeit des Sicherheitsmanagements erleichtert werden. In den verschiedenen Phasen des ISM-Prozesses können dabei Werkzeuge unterschiedlicher Art zum Einsatz kommen. Die Auflistung ist beispielhaft und erhebt keinen Anspruch auf Vollständigkeit. Vorschläge für Ergänzungen schicken Sie bitte an grundschutz@bsi.bund.de.

Konzeption, Umsetzung und Optimierung des Sicherheitsmanagements

Zur Konzeption, Umsetzung und Optimierung des Sicherheitsmanagements sind eine Vielzahl von Dokumenten wie Sicherheits-Leitlinien, -Richtlinien und Arbeitsanweisungen zu erstellen, aktuell zu halten und zu verwalten. Wenn die Zertifizierung des ISMS ansteht, sind dafür die aktuellen Dokumente vorzulegen und Referenzdokumente in festgelegter Form zu erstellen. Hierbei können hilfreich sein:

  • Dokumentenmanagementsysteme
  • GSTOOL zur Verwaltung von Sicherheitsvorgaben und zur Erzeugung der Referenzdokumente

Strukturanalyse

Für die Erstellung eines Sicherheitskonzepts und insbesondere für die Anwendung der IT-Grundschutz-Kataloge ist es erforderlich, das Zusammenspiel der Geschäftsprozesse, der Anwendungen und der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.

Je nach Bereich, der erfasst werden soll, gibt es verschiedene Werkzeuge, auf die hierfür zurückgegriffen werden kann. Infrage kommen beispielsweise:

Risikoanalyse

Bei der Erstellung von Sicherheitskonzepten kann es für verschiedene Aspekte erforderlich sein, eine Risikoanalyse durchzuführen. Ob eine Risikoanalyse erforderlich ist, wird bei der sogenannten ergänzenden Sicherheitsanalyse entschieden. In Betracht kommen hier Zielobjekte, welche einen hohen oder sehr hohen Schutzbedarf aufweisen, wenn besondere Einsatzbedingungen vorliegen oder wenn Komponenten verwendet werden, die nicht mit den existierenden Bausteinen der IT-Grundschutz-Kataloge abgebildet werden können.

Risikoanalysen nach ISO 27005, BSI 100-3 oder anderen Verfahren können beispielsweise durch folgende Tools unterstützt werden:

  • Tabellenkalkulation
  • GSTOOL, diverse lizensierte Tools
  • risk2value, easy2comply, consult2comply RAP, Modulo Risk Manager, chaRMe, EBIOS, Mehari, SOMAP, RM Studio, realISMS etc.

Maßnahmen-Umsetzung

Um den Status der Maßnahmen-Umsetzung überprüfen und festzustellen, welche Standard-Sicherheitsmaßnahmen ausreichend oder nur unzureichend umgesetzt sind, sollte ein Basis-Sicherheitscheck durchgeführt werden. Hierbei sollten u.a. die relevanten Ansprechpartner und die erzielten Ergebnisse des Soll-Ist-Vergleichs einschließlich der erhobenen Begründungen dokumentiert werden.

Dies wird beispielsweise durch folgende Tools unterstützt:


Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK