Mit den Standards des BSI erhalten Sie neben der Vorgehensweise zur Erlangung und Aufrechterhaltung eines geplanten Sicherheitsniveaus auch konkrete, detaillierte Maßnahmenempfehlungen, was genau wie umgesetzt werden sollte. Nutzen Sie die Grundschutzkataloge als „roten Faden“ durch das Thema Informationssicherheit in Ihrem Unternehmen. Zudem geben Ihnen die IT-Grundschutz Kompendien Hilfestellung bei der Priorisierung der Anforderungsrealisierung in allen Bereichen der Informationsverarbeitung (Organisation, Personal, Infrastruktur und Technik). So gelangen Sie zielgerichtet zu einem ISMS nach BSI 200-1. Wir verfügen über 25 Jahre Erfahrung im ISMS-Aufbau und haben bereits eine dreistellige Anzahl an Projekten erfolgreich umgesetzt.
neam IT-Services GmbH
Nutzen Sie unseren „Best Practice“-Ansatz in Verbindung des IT-Grundschutz des BSI zum Aufbau eines Informationssicherheits-Managementsystems (ISMS). Wir definieren mit Ihnen Sicherheitsmaßnahmen und beugen bestehenden Gefährdungen vor.
Es werden somit nicht nur die Geschäftsprozesse in Verbindung der ISO 27001 betrachtet, sondern der Schutz wird an technischen Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik ausgerichtet. Ihre Organisation behält somit die Gefährdungen im Blick und senkt die Auswirkungen von IT-Sicherheitsvorfällen.
Schaffen Sie einen Nachweis einer ganzheitlichen Informationssicherheit gegenüber Kunden und Geschäftspartnern.
Nutzen Sie im Rahmen unserer Beratung unser ISMS-Toolkit mit umfangreichen Vorlagen zur Dokumentationsunterstützung.
Durch konkrete Maßnahmen, Prozesse und Werkzeuge ist ein ISMS belegbar. Die Zielausrichtung von ISO 27001 und IT-Grundschutz sind miteinander vergleichbar: Beide Maßnahmen werden zur Sicherung sensibler Daten in Unternehmen, Institutionen und Organisationen eingesetzt. Die Maßnahmenkataloge unterscheiden sich jedoch in Methodik und Umfang. Die ISO 27001 ist im Vergleich zum IT-Grundschutz deutlich abstrakter, kürzer und damit weniger konkret formuliert. Der IT-Grundschutz des BSI ist dagegen weitaus detaillierter und präziser hinsichtlich technischer Fragen formuliert.
Diese Unterschiede zeigen sich auch deutlich im Umfang der beiden Dokumente: Während ISO 27001 lediglich knapp 30 Seiten lang ist, wird der IT-Grundschutz auf insgesamt über 5000 Seiten dargestellt. Zusammengefasst deckt eine Zertifizierung auf Basis des IT-Grundschutzes die Anforderungen an die ISO 27001 komplett ab und ist somit ein wirklicher Mehrwert zum Schutz ihres Unternehmens.
Durch konkrete Maßnahmen, Prozesse und Werkzeuge ist ein ISMS belegbar und somit ein wirklicher Mehrwert zum Schutz ihres Unternehmens.
Der IT-Grundschutz ist eine Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik. Ziel ist es ein mittleres, angemessenes und ausreichendes Schutzniveau der IT-Systeme zu erreichen. Zum Erreichen dieses Ziels empfiehlt das durch das BSI herausgegebene IT-Grundschutz-Kompendium technische, infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen.
Behörden und Unternehmen können ihr systematisches Vorgehen bei der Absicherung ihrer IT-Systeme gegen Gefährdungen der IT-Sicherheit mit Hilfe des ISO/IEC 27001-Zertifikats auf Basis von IT-Grundschutz nachweisen.
Eine Information beschreibt einen Datensatz der zur Bearbeitung und/oder Wertschöpfung innerhalb eines Prozesses verwendet wird. Zwar richtet sich die Einrichtung eines ISMS vor allem auf den Schutz digitaler Datenübertragung, -speicherung und -verarbeitung, jedoch werden innerhalb der Interviews auch analoge Optionen wie Mündliches oder Papierform in Betracht gezogen, um einen umfassenden Überblick zu bekommen und mögliche Schwachstellen aufdecken zu können.
Informationen zu digitalisieren, macht die Arbeit mit ihnen schneller und einfacher. Allerdings bedeutet das auch neuen Gefährdungen ausgesetzt zu sein. Um Unternehmen und Behörden eine praktische Herangehensweise für einen mittleren Grundschutz mit einheitlichem nachvollziehbarem Standard an die Hand zu geben, wurde das BSI damit beauftragt den internationalen Standard ISO/IEC 27001 auszuarbeiten und zu erweitern. Außerdem sollen Unternehmen und Behörden zentral und zuverlässig über neue Gefährdungen und deren Lösungen informiert werden. Der Verlust, die Manipulation oder der Diebstahl von Informationen kann so schwerwiegend sein, dass auch für gesamtgesellschaftlich bedeutende Strukturen eine Gefahr für deren Existenz besteht. Diese Gefährdungen sichtbar und behandelbar zu machen, ist eine der Aufgaben des Bundesamtes für Informationssicherheit.
Ein Prozess ist eine Handlung, die zu einem Ergebnis führt. In der IT werden in einem Prozess immer Informationen gespeichert, weitergeleitet oder verarbeitet. Entsprechend werden diese auf Integrität, Vertraulichkeit und Verfügbarkeit geprüft.
Mit Vertraulichkeit bezeichnet man die Gewährleistung, dass lediglich die für einen Prozess vorgesehenen Akteure Zugriff auf bestimmte Informationen haben. Ist die Vertraulichkeit von Informationen gebrochen oder gefährdet, kann dies geschäftsbedrohende Ausmaße annehmen. Dies ist im Rahmen einer Schutzbedarfsfeststellung zu evaluieren.
Mit Verfügbarkeit ist die die ununterbrochene Abrufbarkeit von Informationen oder Prozesses gemeint, welcher zur Verarbeitung oder Speicherung von Informationen benötigt wird. Ein Bruch der Verfügbarkeit liegt vor, sobald zu einem gegebenen Zeitpunkt nicht mehr auf Prozesse oder Informationen zugegriffen werden kann. Je nach Dauer dieser Unterbrechung kann dies geschäftskritische Ausmaße annehmen. Dies ist im Rahmen einer Schutzbedarfsfeststellung zu evaluieren.
Integrität beschreibt die Unversehrtheit von Informationen durch Dritte oder Fehler. Ist die Integrität von Informationen gefährdet, kann dies unter Umständen Geschäftsbedrohende Ausmaße annehmen. Dies ist im Rahmen einer Schutzbedarfsfeststellung zu evaluieren.
Innerhalb des Grundschutzchecks wird ein Soll-Ist-Vergleich zwischen vom BSI vorgegebenen Anforderungen und deren Umsetzungsstatus für Bausteine des modellierten Geltungsbereichs durchgeführt. Es handelt sich zwar um eine Momentaufnahme, jedoch ist die Umsetzung ein Teil des Prozesses zur Einführung eines ISMS. Erst wenn alle Teilanforderungen bearbeitet und entweder umgesetzt oder (wenn möglich) als entbehrlich eingestuft wurden, kann der Prozess abgeschlossen werden.
Die Welt der IT ist einer steten Entwicklung unterzogen. Geschäftsprozesse ändern sich oder neue Angriffsvektoren können sich eröffnen. Ein ISMS ist daher nie für die Ewigkeit sondern muss einer regelmäßigen Evaluation unterzogen werden. Nach Abschluss eines Sicherheitskonzepts dürfen 2 Jahre vergehen, ehe dieses erneut evaluiert und auf Aktualität geprüft werden muss. Nach 3 Jahren nach ihrer letzten ISMS-Version sollte die Aktuelle Version ihres ISMS vorliegen.
Der Vorschlag zu einer Zertifizierung erfolgt durch einen externen Auditor, welcher das installierte ISMS auf seinen Bestand gegenüber den BSI-Vorgaben überprüft. Dieses Audit wird auch durch die Überprüfung vor Ort geschehen. Die Zertifizierung erfolgt auf Basis des Vorschlags durch den Auditor.
Ein Auditor überprüft ein ISMS auf dessen vollständige Umsetzung und schlägt dieses dann dem BSI zur Zertifizierung vor. Der Auditor darf hier zwar eine Empfehlung aussprechen, er zertifiziert jedoch nicht selbst. Kommentare zum Umsetzungsstatus zur Begegnung mit elementaren Gefährdungen sollten daher stets gut begründet sein, um eine ggf. benötigte Zertifizierung nicht zu gefährden und dadurch zusätzliche Kosten zu verursachen.
Bei der Modellierung werden die in der Strukturanalyse erarbeiteten Infrastrukturen, Räume, Systeme, Netzwerke, Prozesse und Applikationen gruppiert und verknüpft. Außerdem werden mit ihnen die elementaren Gefährdungen nach Grundschutzkompendium vereinigt. Die Basis für einen Soll-Ist-Vergleich im Grundschutzcheck ist damit gelegt.
In der Strukturanalyse werden alle Infrastrukturen, Räume, Netzwerke, Server, Systeme, Applikationen und Prozesse gemäß Geltungsbereich aufgenommen. Unter eng begrenzten Bedingungen dürfen Komponenten auch gruppiert werden. Diese werden im Grundschutzcheck dann nicht jeweils einzeln geprüft sondern stichpunktartig.
Das BSI unterscheidet zum aktuellen Zeitpunkt 47 elementare Gefährdungen, welche für einzelne Bausteine eines modellierten Geltungsbereichs angewendet werden können. Damit wird ein Großteil der möglichen Gefährdungen für die Informationssicherheit abgedeckt. Die Zuordnung ermöglicht es sich ihrer bewusst zu werden und den Geltungsbereich eines ISMS dahingehend absichern zu können. Nicht immer sind alle Gefährdungen für einen Baustein von Bedeutung. Das IT-Grundschutzkompendium des BSI liefert unter anderem eine Zuordnung der jeweils relevanten Gefährdungen zu den einzelnen Bausteinen. Beispielhaft seien hier „Feuer“, „Ausspähen durch Dritte“ oder „Schadprogramme“ erwähnt.
Die Risikoeinschätzung vergegenwärtigt den Wert eines Bausteins durch eine Einordnung in seinen möglichen Schaden bei einem Ausfall und der möglichen Häufigkeit eines Vorfalls. Aus dieser Kreuzreferenz ergibt sich das erwartete Risiko eines Bausteins.
Mithilfe eines Informationssicherheitsmanagementsystems werden Regeln und Methoden definiert, um die Informationssicherheit innerhalb eines Unternehmens oder Organisation zu gewährleisten. Während die ISO/IEC27001 lediglich einen Überblick über zu erreichende Schutzniveaus liefert, bietet das BSI mit ihrem darauf basierenden IT-Grundschutz einen umfassenderen und detaillierteren Blick auf das Thema. Dabei werden Risiken konkret identifizierbar und beherrschbar dargestellt. Ein ISMS ist in regelmäßiger Evaluation und wird vom Informationssicherheitsbeauftragten auf dessen Umsetzungsstatus geprüft und aktuell gehalten.
Um frühzeitig planen zu können, erhalten Sie anbei unser Schulungsprogramm für 2022/2023. Hier finden Sie unsere Updates für Ihr Know-how zu den Themen BSI | IT-Notfallmanagement, BSI | Vorfall Experte, ISO | 27001 kompakt, TecWorkshops | Microsoft 365 Security.
Als Mitglied einer White-Hat Hacker Gruppe wurden Sie beauftragt, einen Penetrationstest in einem Unternehmen durchzuführen. Ihre Aufgabe ist es, die Zielperson zu identifizieren, sich Zugang zum Netzwerk zu verschaffen und die geheimen Unterlagen zu entwenden. Anschließend helfen Sie dabei, mögliche Maßnahmen zur Sicherung des Netzwerkes durchzusetzen.
