von Vasi und Nils, 05.07.2022

Das Informationssicherheitsmanagementsystem (ISMS) ist die Umsetzung einzelner technischen und organisatorischen Maßnahmen zum Schutz der Informationssicherheit eines Unternehmens. Diese Maßnahmen werden zielgerichtet gesteuert und überwacht. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt der IT-Grundschutz, welche Anforderungen erfüllt sein müssen, damit kostengünstige und angemessene Sicherheitsniveaus für verschiedene Einsatzbereiche im Unternehmen erreicht werden können. Dazu muss gesagt sein, dass viele moderne Unternehmen darauf vertrauen, dass der IT-Grundschutz durch die Cloud Dienstleister gegeben ist. Da wir als Intellity GmbH nur in der Cloud arbeiten, vertrauen wir auf den OnPrem IT-Grundschutz von Microsoft.

Das BSI hat für die Realisierung des IT-Grundschutzes in Unternehmen 3 Standards herausgegeben: 

BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS): Beschreibt die Anforderungen und die Aufgaben, die ein ISMS erfüllen muss. Darüber hinaus werden Komponente eines ISMS vorgestellt  

BSI-Standard 200-2: IT-Grundschutz-Methodik: Die schrittweise Einführung eines ISMS und gibt Hinweise zur Umsetzung des BSI-Standards 200-1 

BSI-Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz: Ein Verfahren zur Risikoanalyse, mit denen besonders schützenswerte Komponenten bewertet werden können.   

Es gibt das BSI-Grundschutz-Kompendium, welches die elementaren Gefährdungen wie Feuer oder Naturkatastrophen beschreibt und Bausteine für die Absicherung verschiedener Unternehmensbereiche zusammenfasst. Das BSI-Standard 200-2 bietet 3 Varianten an, mit denen Unternehmen ein für sie angemessenes Sicherheitsniveau schrittweise erreichen kann. Diese lauten: 

Basis-Absicherung: Erfüllung grundlegender Basisanforderungen an die Informationssicherheit. 

Standard-Absicherung: Systematische Erfassung verschiedener Komponenten des Unternehmens.  

Kern-Absicherung: Diese Variante konzentriert sich auf die Absicherung besonders wichtiger und kritischer Bereiche eines Unternehmens. 

Es wird Unternehmen empfohlen, Standard-Absicherungen, die im Rahmen des IT-Grundschutzes des BSIs beschrieben werden, umzusetzen. Die Realisierung der Standard-Absicherung lässt sich in einem PDCA-Lebenszyklus einordnen. Zum Erreichen der Standard-Absicherung sind 9 Schritte vorgesehen: 

1. Festlegung des Geltungsbereiches: Es werden die Geltungsbereiche bestimmt, bei denen die Standard-Absicherung durchzuführen ist. 

2. Strukturanalyse: Es wird ein IST-Zustand für einen Geltungsbereich erfasst. Es wird geschaut, welche Komponente im Geltungsbereich existieren und wie sie aus der Sicht der Informationssicherheit zusammengefasst werden. 

3. Schutzbedarfsfeststellung: Für alle Komponenten der Strukturanalyse wird im Rahmen der Schutzbedarfsfeststellung beschlossen, welche CIA-Schutzziele bestimmt werden. 

4. Modellierung: Es werden Sicherheitsanforderungen auf Grundlage der Schutzbedarfsfeststellung ausgewählt, die für die Komponenten umzusetzen sind. 

5. IT-Grundschutz-Check (Teil 1): Soll-Ist-Vergleich zwischen den noch umzusetzenden und den bereits umgesetzten Sicherheitsanforderungen. 

6. Konsolidierung: Es wird nachgeschaut, welche Sicherheitsanforderungen umzusetzen sind. 

7. IT-Grundschutz-Check (Teil 2): Zweiter Soll-Ist-Vergleich soll überprüfen, welche Maßnahmen noch umzusetzen sind, um die Sicherheitsanforderungen zu realisieren. 

8. Realisierung der Maßnahmen: Maßnahmen gemäß einer Priorisierung umzusetzen. 

9. Aufrechterhalten und verbessern: Überprüfung der umgesetzten Maßnahmen in regelmäßigen Abständen.