IT-Grundschutz

Mit der zunehmenden Bedeutung und Verflechtung der Informationstechnologie für nahezu alle Dienstleistungs- und Produktionsprozesse besteht eine hohe Abhängigkeit vom zuverlässigen und unterbrechungsarmen Betrieb dieser Systeme. Ebenso bedingen die über offene Netze zugreifbaren Daten und Informationen die Gewährleistung und das Management von IT-Sicherheit und Datenschutz. Nachlässigkeiten und Verstöße hierbei sind keine Kavaliersdelikte und werden als Organisationsverschulden mit direkter Verantwortlichkeit des Managements entsprechend strafrechtlich gewürdigt.

Wie diesen Problemen vorgebeugt oder aus dem Weg gegangen werden kann, wird in unterschiedlichen Standards für das Management von Informationssystemen beschrieben. Die Vorteile bei der Anwendung von Standards liegen mit ihren zielgerichteten Empfehlungen und arbeitsökonomischen Vorgehensweisen auf der Hand.

Eine managementgetriebene und prozessorientierten Vorgehensweise wird mit der Norm ISO/IEC 17799 vorgestellt, die auf dem britischen Standard BS 7799 basiert. Weiterhin gibt es seit über einem Jahrzehnt konkrete, auf die real vorhandenen Systemlandschaften abgebildete, standardisierte IT-Sicherheitsempfehlungen. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz-Methodik hat sich zu dem Standard in Deutschland entwickelt. Eine methodische Beschreibung findet sich im BSI-Standard 100-2.

Die jährlich aktualisierten IT-Grundschutz-Kataloge erfassen hierzu kontinuierlich neue Gefährdungen des modernen IT- und TK-Betriebs beschreiben Standard-Maßnahmenempfehlungen zur geeigneten Abwehr dieser Risiken bei normalen Schutzanforderungen. Diese werden in so genannten Bausteinen zusammengefasst, die die Gesamtheit personeller, organisatorischer, infrastruktureller und technischer Aspekte abdecken.

Sie bilden darüber hinaus eine Einstiegsbasis für höhere Schutzanforderungen. Eine Methodik hierzu hat das BSI im Standard 100-3 "Risikoanalyse auf der Basis von IT-Grundschutz" vorgestellt. Darüber hinaus bieten einige die Möglichkeit, die geleisteten Anstrengungen zu auditieren und zu dokumentieren. Informationen zum Zertifizierungsstandard ISO 27001 auf der Basis von IT-Grundschutz haben wir auf einer separaten Seite zusammengestellt.

INFODAS berät bereits seit 1995 Kunden auf Basis der IT-Grundschutz-Methodik und arbeitet als Partner des BSI aktiv an der Weiterentwicklung der IT-Grundschutz-Kataloge mit.