BSI 2.0: Ausblick auf die neuen BSI-Standards

Wie wir im Juli in unserem Blog angekündigt haben, präsentiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Oktober auf der it-sa 2017 den neuen BSI-Standard. Seit rund vier Jahren arbeitet man gemeinsam mit Anwendern an einer Neukonzeption des IT-Grundschutz-Katalog und der IT-Grundschutz-Standards.

Für erste Neuigkeiten müssen Sie aber gar nicht bis Oktober warten, denn wir stellen sie hier vor. Was wird sich mit Blick auf Ihre IT-Sicherheit ändern und was bleibt gleich? Wir listen es Ihnen auf.

BSI-Standard 200-1 zu Managementsystemen für Informationssicherheit

Der im Rahmen der IT-Grundschutz-Modernisierung aktualisierte BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002.

Grafik zum IT-Grundschutz

Vorgehensweise nach IT-Grundschutz – Bildquelle: BSI

Die leicht verständliche und systematische Anleitung zum Aufbau eines ISMS ist dabei unabhängig von der eingesetzten Methode. Die Struktur des Standards 200-1 ist so konzipiert, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist.

Im Hinblick auf die fachliche Auseinandersetzung mit der gesamten IT-Grundschutz-Methodik ist der aktualisierte BSI-Standard 200-1 am BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise ausgerichtet sowie an der überarbeiteten ISO 27001:2013. Aufgrund der ähnlichen Struktur der beiden Standards 200-1 und 200-2 können Anwender sich gut in beiden Dokumenten zurechtfinden.

BSI-Standard 200-2 zur IT-Grundschutz-Vorgehensweise

Der neue Standard bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:

  1. Die Basis-Absicherung liefert einen Einstieg zur Initiierung eines ISMS.
  2. Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Diese Absicherung entspricht weiterhin dem BSI-Standard 100-2 und ist kompatibel zur ISO 27001-Zertifizierung.
  3. Die Kern-Absicherung ist eine Vorgehensweise zum Einstieg in ein ISMS, bei der zunächst ein kleiner Teil des größeren Informationsverbundes betrachtet wird.

Fahrplan Modernisierung BSI-GrundschutzVerantwortliche für Informationssicherheit können mit dem Standard 200-2 sowie den erforderlichen Bausteinen aus dem IT-Grundschutz-Kompendium ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern. Die beiden verschlankten und modularen Vorgehensweisen Basis- und Kernabsicherung erleichtern den Einstieg in die Thematik.

Der Leitfaden zur Basis-Absicherung nach IT-Grundschutz „In 3 Schritten zur Informationssicherheit“ liefert einen kompakten und übersichtlichen Einstieg zum Aufbau eines ISMS in einer Institution.

Er ist besonders für kleine mittelständische Unternehmen und Behörden geeignet, die sich zum ersten Mal mit grundlegenden Fragen zur Informationssicherheit befassen wollen.

Basierend auf dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik sind in dem Leitfaden die elementaren Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus erläutert.

BSI-Standard 200-3 (Risikomanagement)

Der BSI-Standard 200-3 zum Thema Risikomanagement liegt bereits als Community Draft vor. In ihm sind erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dargestellt. Der Vorteil für die Anwender ist ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen.

Der Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse anschließen möchten. Die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt.Logo neam IT-Services mit Slogan

Der neue Standard wurde zunächst als Community Draft veröffentlicht, damit die IT-Grundschutz-Community Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen kann.

Sie wünschen weitere Informationen und eine ausführliche Beratung, wie Sie am geschicktesten vorgehen sollen? Dann kontaktieren Sie uns, wir helfen Ihnen sehr gerne bei Ihrer Zertifizierung nach dem neuen BSI-Standard.

Beratungsgespräch

Möchten Sie uns etwas im Vorfeld mitteilen?