Das Angebot des BSI zum IT-Grundschutz besteht aus einer Reihe von Einzelkomponenten. Den Kern bilden

• die BSI-Standards zum IT-Grundschutz mit Empfehlungen für den organisatorischen Rahmen und das methodische Vorgehen zur Gewährleistung von Informationssicherheit sowie
• das IT-Grundschutz-Kompendium, mit dem die in den BSI-Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können.

In diesem Kurs werden Sie diese Veröffentlichungen genauer kennenlernen und erfahren, welche Hilfestellungen sie Ihnen bei der Steuerung der Informationssicherheit in Ihrer Institution im Einzelnen geben. Nachfolgend einige grundlegende Informationen zur Einordnung dieser und weiterer Dokumente und Hilfsmittel zum IT-Grundschutz.

Die BSI-Standards zum IT-Grundschutz

Der BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) beschreibt, welche grundlegenden Anforderungen ein Managementsystem für Informationssicherheit erfüllen muss, welche Komponenten es enthält und welche Aufgaben zu bewältigen sind. Die Darstellung orientiert sich an den Vorgaben der Norm ISO 27001 und weiterer aktueller internationaler Standards zur Informationssicherheit.

Der BSI-Standard 200-2: IT-Grundschutz-Methodik bietet methodische Hilfestellungen zur schrittweisen Einführung eines ISMS in einer Institution an und beschreibt effiziente Verfahren, um die allgemeinen Anforderungen des BSI-Standards 200-1 und der zugrunde liegenden Norm ISO/IEC 27001 zu konkretisieren.

In dem BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz ist ein gegenüber anderen Methoden vereinfachtes Verfahren zur Risikoanalyse beschrieben. Diese Methode ist dann wichtig und hilfreich, wenn Komponenten abzusichern sind, bei denen fraglich ist, ob die Erfüllung von Basis- und Standard-Anforderungen für eine ausreichende Sicherheit genügt.

Das IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium ist ein modular aufgebautes umfangreiches Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit. Es besteht aus den IT-Grundschutz-Bausteinen, die in zehn thematische Schichten eingeordnet sind und jeweils unterschiedliche Aspekte betrachten.

Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug. Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben. Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.

Der große Vorteil, den Sie als Anwender des IT-Grundschutz-Kompendiums haben: Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen. Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.

Die Anforderungen in den Bausteine beschreiben, was für eine angemessene Sicherheit getan werden sollte. Wie dies erfolgen kann oder sollte, ist in ergänzenden Umsetzungshinweisen beschrieben, die das BSI für die meisten Bausteine veröffentlicht.

Weitere Veröffentlichungen und Hilfsmittel

Darüber hinaus bietet das BSI weitere Dokumente, Werkzeuge und Hilfsmittel an, die dabei unterstützen ein angemessenes Sicherheitsniveau umzusetzen. Hier sind die IT-Grundschutz-Profile zu nennen, Musterlösungen für ausgewählte Anwendungsbereiche, die Unternehmen oder Behörden einer Branche als Schablone für die Entwicklung ihrer Sicherheitskonzepte verwenden können. Ebenso die ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz, mit der eine Institution belegen kann, dass ihr Umgang mit Informationssicherheit sowie die umgesetzten technischen und organisatorischen Maßnahmen anerkannten Standards entsprechen.

Die Webseiten des BSI zum Thema IT-Grundschutz informieren umfassend über diese und weitere nützliche Angebote. Sie finden dort ebenfalls elektronische Versionen der BSI-Standards und des IT-Grundschutz-Kompendiums sowie Hinweise zum Bezug der gedruckten Fassungen dieser Dokumente.

Zur Unterstützung der IT-Grundschutz-Methodik gibt es auch von unterschiedlichen Herstellern eine Reihe an Software-Tools. Der Einsatz eines solchen Werkzeugs ist zweckmäßig und ab einer gewissen Größe der Institution auch anzuraten. Im Informationsangebot des BSI finden Sie auch hierzu eine Übersicht und weitere Hinweise.

Wenn Sie zeitnah über den IT-Grundschutz auf dem Laufenden bleiben möchten, können Sie sich beim BSI für den Bezug des IT-Grundschutz-Newsletters registrieren lassen (zur Registrierung).