Unterschiedliche Institutionen haben auch unterschiedliche Voraussetzungen und Ausgangspunkte für eine ganzheitliche Umsetzung von Informationssicherheit. So haben insbesondere kleinere und mittelgroße Institutionen oft nicht die personellen und finanziellen Ressourcen für eine umfassende Absicherung in einem Schritt. Für sie kann es daher zielführender sein, sich zunächst auf die Umsetzung elementarer Sicherheitsmaßnahmen oder die gezielte Absicherung besonders schützenswerter Bereiche zu konzentrieren. Die im BSI-Standard 200-2 beschriebene IT-Grundschutz-Methodik sieht daher drei Varianten vor, mit denen eine Institution ein ihren Anforderungen und Gegebenheiten gemäßes Sicherheitsniveau erreichen kann:

• Die Basis-Absicherung bietet einen einfachen Einstieg in das systematische Management der Informationssicherheit und zeigt, wie eine Institution ohne differenzierte Bewertungen des Schutzbedarfs und ergänzende Risikoanalysen ihr Sicherheitsniveau durch die Erfüllung besonders wichtiger Basis-Anforderungen signifikant erhöhen kann. Wenn Sie genauer wissen möchten, wie es geht: Der Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In drei Schritten zur Informationssicherheit liefert einen kompakten und übersichtlichen Einstieg in das besonders für kleine und mittlere Unternehmen und Behörden interessante Vorgehen.
• Mit Hilfe der Standard-Absicherung kann eine Institution ausgehend von einer systematischen Erfassung der verschiedenen Komponenten, die im Sicherheitskonzept zu berücksichtigen sind, und der Bewertung ihres Schutzbedarfs mit Hilfe des IT-Grundschutz-Kompendiums und mit in Einzelfällen zusätzlich erforderlichen Risikoanalysen eine umfassende Absicherung erreichen.
• Die Kern-Absicherung umfasst alle Schritte der Standard-Absicherung, konzentriert sich dabei aber auf ausgewählte, besonders wichtige Bereiche (die „Kronjuwelen“) einer Institution.

Gliederung

Die Entscheidung für eine dieser Vorgehensweisen und ihre Anwendung setzt voraus, dass eine Institution gewisse organisatorische Grundlagen geschaffen hat. Was dazu gehört, erfahren Sie in diesem Kurs in der Lektion 2: Warum Sicherheitsmanagement?

In darauf folgenden Lektionen lernen Sie detailliert die einzelnen Schritte bei der Standard-Absicherung gemäß IT-Grundschutz kennen:

• Lektion 3: Strukturanalyse,
• Lektion 4: Schutzbedarfsfeststellung,
• Lektion 5: Modellierung gemäß IT-Grundschutz,
• Lektion 6: IT-Grundschutz-Check,
• Lektion 7: Risikoanalyse und
• Lektion 8: Umsetzungsplanung.

Sicherheit ist kein einmal herzustellender Zustand, sondern ein kontinuierlicher Prozess, bei dem einmal getroffene Entscheidungen und umgesetzte Maßnahmen immer wieder auf ihre Angemessenheit und Wirksamkeit geprüft und an neue Gegebenheiten angepasst werden müssen. In der abschließenden Lektion 9: Aufrechterhaltung und Verbesserung lernen Sie Verfahren kennen, mit denen Sie für ein nachhaltig gutes Sicherheitsniveau in Ihrer Einrichtung sorgen können. Dort erfahren Sie auch mehr zur Zertifizierung gemäß ISO 27001 auf der Basis von IT-Grundschutz.

Das Beispielunternehmen RECPLAST GmbH

Die einzelnen Schritte der IT-Grundschutz-Methodik werden mithilfe eines durchgängig verwendeten Beispiels veranschaulicht. Es handelt sich dabei um das fiktive Unternehmen RECPLAST GmbH, das auch in den BSI-Standards als Beispiel dient. Dort wie auch im Kurs werden Ihnen Auszüge aus den Ergebnisdokumenten der verschiedenen Phasen der IT-Grundschutz-Methodik vorgestellt. Eine umfassende Darstellung finden Sie in einem eigenem PDF-Dokument.

Zu den verwendeten Piktogrammen

In diesem Kurs dienen die folgenden Piktogramme zur Hervorhebung von Textpassagen:

Merksätze, Empfehlungen oder aus anderen Gründen besonders wichtige Textteile sind durch ein Ausrufezeichen hervorgehoben.

Hinweise auf vertiefende oder ergänzende Informationen in den grundlegenden Dokumenten zum IT-Grundschutz oder in anderen Quellen werden durch ein Buch illustriert.

Dieses Symbol kennzeichnet Fragen und Übungen, mit denen Sie Ihr neu erworbenes Wissen zum IT-Grundschutz überprüfen können.

Dieses Symbol kennzeichnet Abschnitte, in denen auf das in diesem Kurs durchgängig verwendete (fiktive) Beispielunternehmen, die RECPLAST GmbH, eingegangen wird.

Hinweis zum Sprachgebrauch

Aus Gründen der Lesbarkeit wird auf die gleichzeitige Verwendung weiblicher und männlicher Sprachformen verzichtet. Alle Angaben beziehen sich auf Angehörige beider Geschlechter.