Was ist der BSI IT-Grundschutz?
Der IT-Grundschutz ist ein Verfahren, das 1994 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Leben gerufen wurde. Er definiert ein Verfahren zur Festlegung von Sicherheitsmaßnahmen in der Informationstechnik und deren Umsetzung.
Ziel des IT-Grundschutzes ist es, den Anwendern eine flexible und modulare Lösung an die Hand zu geben, die es ihnen ermöglicht, die Sicherheit der Informationstechnik in der Privatwirtschaft und in der öffentlichen Verwaltung zu maximieren. Die neueste Version geht zudem stärker auf die Anforderungen und Bedürfnisse insbesondere von kleinen und mittleren Unternehmen ein.
Anleitung für Informationssicherheit
Der vom Bundesamt für Informationssicherheit herausgegebene Katalog zeigt auf möglichst effiziente und methodische Weise auf, wie man vorgehen muss, um eine angemessene Datensicherheit zu gewährleisten. Dies erfordert den Einsatz eines Informationssicherheitsmanagementsystems (ISMS), das auf der weltweit anerkannten Norm ISO 27001 basiert. Organisationen, die nach ISO 27001 zertifiziert sind, sind verpflichtet, ein IT-Grundschutzsystem zu verwenden, während andere Unternehmen es auf freiwilliger Basis einsetzen können.
Grundlage
Die folgenden vier Kriterien dienen als Grundlage für dieses System:
1. Managementsysteme für den Schutz sensibler Informationen
2. Standardarbeitsanweisungen für die Sicherheit der IT
3. eine Risikoanalyse, die auf den grundlegendsten Aspekten des IT-Schutzes basiert
4. Notfallmanagement
Das BSI gibt ein Konzept von Sicherheitsmaßnahmen für verschiedene Betriebsumgebungen vor, das sich an diesen Standards orientiert. Dieses Konzept wird im Zusammenhang mit dem IT-Grundschutz-Katalog vorgestellt. Es sind genügend Vorkehrungen vorhanden, die zu einem sicheren Umgang mit Informationen beitragen. Die Implementierung ist modular aufgebaut, wobei jedes Modul die typischen Geschäftsabläufe in einer Organisation widerspiegelt.
Aspekte der IT-Sicherheit
Grundlegende Aspekte der IT-Sicherheit des Unternehmens, dargestellt anhand von Beispielen
Unternehmen, die sich an die Norm ISO 27001 halten, finden einen Weg, diese in die grundlegenden Aspekte der IT-Sicherheit zu integrieren. Aber auch nicht zertifizierte Unternehmen können von der Umsetzung dieser Änderungen profitieren. Die Dokumentation ist um Module herum aufgebaut, die Risikoszenarien und Empfehlungen für Gegenmaßnahmen enthalten. Diese Module sind sehr detailliert und decken aufgrund ihres umfassenden Charakters ein breites Spektrum von Sachverhalten ab.
Der Katalog ist eine wichtige Wissensquelle für Informationssicherheitsbeauftragte, Administratoren und IT-Manager, da er unter anderem eine große Anzahl von Vertragsmustern enthält. Es wurden zwei konkrete Beispiele ausgewählt. Es gibt aber noch weitere hilfreiche Dokumente und Werkzeuge, wie z.B. Tools, Formulare und Checklisten, Beispiele und Muster, Hilfsmittel, Studien und Dokumentationen, Informationen für Sicherheitsbeauftragte und noch mehr interessante Tipps und Informationen. Diese sind alle im Internet zu finden.
Datenträger
Verfahren für die Beseitigung von Datenträgern
Alle veralteten Datenträger mit sensiblen Daten müssen unbedingt so entsorgt werden, dass Unbefugte keinen Zugriff auf die Daten haben. Für den Fall, dass ein Entsorgungsunternehmen mit der Beseitigung dieser Datenträger beauftragt wird, finden sich im IT-Grundschutz zwei Vertragsbeispiele.
Personalthemen
Musterarbeitsvertrag für die Position des IT-Sicherheitsbeauftragten
Ein IT-Sicherheitsbeauftragter muss in einem Unternehmen oder einer Behörde bestellt werden, wenn bestimmte Voraussetzungen erfüllt sind. Diese Bedingungen können entweder freiwillig oder obligatorisch sein. In Deutschland sind zum Beispiel die Bundesbehörden verpflichtet, diese Anforderung zu erfüllen. Zum Zeitpunkt der Ernennung müssen die Verantwortlichkeiten und Befugnisse im Vertrag sehr genau festgelegt werden. Aus diesem Grund gibt es ein gleichnamiges Dokument im IT-Grundschutz.
Standard-Schutzmaßnahmen für Computer und die effektivste Methode, sie einzusetzen
Beim IT-Grundschutz handelt es sich um Bausteine und Vorkehrungen, die aufeinander aufbauen sollen. Dank der Standards verfügt die Organisation nun über einen methodischen Rahmen, dem sie bei der Umsetzung des Informationssicherheitsmanagementsystems folgen kann. Die folgende Methode hat sich in der Praxis als erfolgreich erwiesen:
Viel Schritte für Informationssicherheit
- Erster Schritt: Sensibilisierung der Mitarbeiter
Während das Sicherheitsverfahren noch in Gang gesetzt wird, werden gleichzeitig die Grundlagen für die nachfolgenden, unerlässlichen Verfahren geschaffen. Das Unternehmen ist dafür verantwortlich, die notwendigen finanziellen Mittel bereitzustellen, damit die Mitarbeiter an den durchzuführenden Verfahren teilnehmen können. - Der zweite Schritt ist die Entwicklung von Sicherheitskonzepten.
In der zweiten Phase geht es darum, die grundlegenden Schutzkategorien und Bauelemente, die sich aus der Studie ergeben haben, in die Praxis umzusetzen. Der im Vorfeld ermittelte Schutzbedarf bestimmt die notwendigen Maßnahmen. - Schritt 3: Durchführung einer ersten Inspektion der Sicherheitsmerkmale.
Der nächste Schritt der grundlegenden Sicherheitsbewertung besteht darin, festzustellen, inwieweit die Sicherheitsvorkehrungen umgesetzt wurden. Darüber hinaus wird eine Sicherheitsanalyse durchgeführt, die eine eingehendere Prüfung der wichtigsten Systeme und Komponenten ermöglicht. Schwachstellen werden identifiziert und in die allgemeine Sicherheitsstrategie einbezogen. Möglicherweise werden als direkte Folge bestimmter Ereignisse zusätzliche Sicherheitsvorkehrungen getroffen. - Schritt 4: Aufrechterhaltung der Informationssicherheit bei laufendem Betrieb
Auch wenn nur die grundlegendste Form des IT-Schutzes eingerichtet wurde, muss die Informationssicherheit im laufenden Betrieb regelmäßig überprüft und kontrolliert werden. Dies bedeutet, dass kontinuierlich Analysen durchgeführt und die Geschäftsabläufe geändert oder verbessert werden müssen.
Grundlegende Sicherheit der Informationstechnologie
Eine nützliche Wissensgrundlage auch für Unternehmen, die nicht ISO-zertifiziert sind
Unternehmen, die eine ISO-Zertifizierung anstreben, müssen ein gewisses Mindestmaß an IT-Sicherheit umsetzen. Um ein hohes Maß an Informationssicherheit zu gewährleisten, wird bei dieser Methode ein strukturierter Ansatz verfolgt. Für öffentliche Einrichtungen ist ein grundlegendes Niveau der IT-Sicherheit sogar gesetzlich vorgeschrieben. Das vom BSI erarbeitete Konzept ist nicht nur ein Einführungsvorschlag und eine Wissensbasis für Anwender, die ohne Kostenaufwand genutzt werden kann, denn die begleitende Dokumentation ist umfangreich und gründlich.