BSI-Standards
BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben.
Einerseits dienen BSI-Standards zur fachlichen Unterstützung von Anwendern der Informationstechnik. Behörden und Unternehmen können die Empfehlungen des BSI nutzen und an ihre eigenen Anforderungen anpassen. Dies erleichtert die sichere Nutzung von Informationstechnik, da auf bewährte Methoden, Prozesse oder Verfahren zurückgegriffen werden kann. Auch Hersteller von Informationstechnik oder Dienstleister können auf die Empfehlungen des BSI zurückgreifen, um ihre Angebote sicherer zu machen. Andererseits dienen BSI-Standards auch dazu, bewährte Herangehensweisen in ihrem Zusammenwirken darzustellen. BSI-Standards sind zitierfähig, so dass auf diese Weise ein Beitrag zur Vereinheitlichung der Fachbegriffe geleistet wird.
BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard 27001 und berücksichtigt weiterhin die Empfehlungen der anderen ISO-Standards der ISO 2700x-Familie wie beispielsweise ISO 27002 (früher ISO 17799). Er bietet Lesern eine leicht verständliche und systematische Einführung und Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten.
Das BSI stellt den Inhalt dieser ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können und so eine didaktischere Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist. Durch die einheitlichen Überschriften in beiden Dokumenten ist eine Orientierung für die Leser sehr einfach möglich.
Download des BSI-Standards 100-1: Managementsysteme für Informationssicherheit (ISMS) (PDF)
BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
Die IT-Grundschutz-Vorgehensweise beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben werden kann. Die Aufgaben des Sicherheitsmanagements und der Aufbau von Organisationsstrukturen für Informationssicherheit sind dabei wichtige Themen. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie ein Sicherheitskonzept in der Praxis erstellt werden kann, wie angemessene Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die Informationssicherheit im laufenden Betrieb aufrecht erhalten und verbessert werden kann, wird beantwortet.
IT-Grundschutz interpretiert damit die sehr allgemein gehaltenen Anforderungen der ISO-Standards der 2700x-Reihe und hilft den Anwendern in der Praxis bei der Umsetzung mit vielen Hinweisen, Hintergrundinformationen und Beispielen. Im Zusammenspiel mit den IT-Grundschutz-Katalogen wird in der IT-Grundschutz-Vorgehensweise nicht nur erklärt, was gemacht werden sollte, sondern es werden auch konkrete Hinweise gegeben, wie eine Umsetzung (auch auf technischer Ebene) aussehen kann. Ein Vorgehen nach IT-Grundschutz ist somit eine erprobte und effiziente Möglichkeit, allen Anforderungen der oben genannten ISO-Standards nachzukommen.
Download des BSI-Standards 100-2: IT-Grundschutz-Vorgehensweise (ISMS) (PDF)
BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
Die IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen Geschäftsprozessen und Informationsverbünden sind. Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grundschutz-Vorgehensweise wiederverwendet.
Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz-Maßnahmen arbeiten und möglichst nahtlos eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Hierfür kann es verschiedene Gründe geben:
- Die Sicherheitsanforderungen des Unternehmens bzw. der Behörde gehen teilweise deutlich über das normale Maß hinaus (hoher oder sehr hoher Schutzbedarf).
- Die Institution betreibt wichtige Anwendungen oder Komponenten, die (noch) nicht in den IT-Grundschutz-Katalogen des BSI behandelt werden.
- Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung) betrieben, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik (Sicherheitsverantwortliche und -beauftragte) als auch an Berater und Experten. Häufig ist es allerdings empfehlenswert, bei der Durchführung von Risikoanalysen auf Expertensachverstand zurückzugreifen.
Download des BSI-Standards 100-3: Risikoanalyse auf der Basis von IT-Grundschutz (PDF)
BSI-Standard 100-4 Notfallmanagement
Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement aufzubauen, um auf Notfälle und Krisen adäquat vorbereitet zu sein und effizient reagieren zu können. Ziel eines Notfallmanagements ist es, die Ausfallsicherheit zu erhöhen und die wichtigen Geschäftsprozesse in einem Notfall schnell wieder aufnehmen zu können, um den Schaden für die Behörde oder das Unternehmen zu minimieren.
Der nächste Entwurf des BSI-Standards 100-4 Notfallmanagement steht nun allen Interessenten zum Download zur Verfügung. Für fachliche Kommentierung wären wir dankbar. Tragen Sie zur Optimierung bei und senden Sie Ihre Kommentare und Anregungen zum neuen Standard bis 15. September 2008 an die E-Mail-Adresse grundschutz@bsi.bund.de.
Aufruf: Um praxisgerechte Hilfsmittel der Öffentlichkeit kostenlos bereitstellen zu können, suchen wir Vorlagen und Beispiele, die beim Aufbau eines Notfallmanagements genutzt werden können. Haben Sie beispielsweise Templates für die Durchführung einer BIA oder einer Risikoanalyse oder auch ein Beispiel für eine Leitlinie für das Notfallmanagement (auch Business Continuity Management genannt) und sind bereit, diese zur Veröffentlichung zur Verfügung zu stellen, dann senden Sie diese bitte an grundschutz@bsi.bund.de.
Download dritter Entwurf des BSI-Standards 100-4 (PDF)