Kategorie-Archiv: ISO 27001 / IT-Grundschutz

IT-Grundschutz



Seit Juni 2007 bin ich Auditteamleiter für ISO 27001-Audits auf Basis IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik lizenziert (Lizenz-Nummer BSI-IGL-0150-2012).

Der IT-Grundschutz des BSI definiert den Aufbau eines ISMS gemäss dem „Plan-Do-Check-Act“ Zyklus. Er liefert ausserdem einen modularen Ansatz, um alle organisatorischen, infrastrukturellen, personellen und technischen Komponenten zu modellieren, die zur Abwickung eines IT-gestützten Geschäftsprozesses notwendig sind (IT-Verbund). Anhand dieser Modellierung werden diesem IT-Verbund bereits vordefinierte Gefährdungen zu geordnet und gleichzeitig Massnahmen bestimmt, die zu deren Bekämpfung erforderlich sind.

Dieser Ansatz macht eine zeitaufwändige und fehlerträchtige Risikoanalyse mit der Betrachtung von Eintrittswahrscheinlichkeiten und Schadenshöhen überflüssig und implementiert eine Basissicherheit, die für die Befriedigung normaler Schutzbedarfsanforderungen genügt. Für hohe und sehr hohe Anforderungen bietet diese Basissicherheit eine solide Grundlage für weitergehende Analysen und zusätzliche Massnahmen.

Der Inhalt des IT-Grundschutzes ist in den folgenden Dokumenten niedergelegt:

  1. BSI Standard 100-1: Allgemeine Beschreibung des Ansatzes „ISO 27001 auf Basis IT-Grundschutz“
  2. BSI Standard 100-2: IT-Grundschutz Methodik (Zertifizierbar)
  3. BSI Standard 100-3: Risikoanalyse auf Basis IT-Grundschutz
  4. BSI Standard 100-4: Notfallvorsorge
  5. IT-Grundschutzkataloge: Bausteinkatalog zur Modellierung von IT-Verbünden, Gefährdungskatalog und Massnahmenkatalog.

Es ist möglich, das ISMS für einen IT-Verbund vor diesem Hintergrund auditieren und zertifizieren zu lassen. Das BSI bietet hierzu drei Stufen an und unterscheidet Massnahmen des Grundschutzkatalogs in drei Siegelstufen:

  1. Auditortestat Eingangsstufe: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A.
  2. Auditortestat Ausbaustufe: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A und B.
  3. Zertifikat“ISO 27001 auf Basis IT-Grundschutz“: Bestätigung der Umsetzung der Massnahmen der Siegelstufe A, B und C.

Das Audit wird immer durch einen unabhängigen Auditor durchgeführt, dieser legt die Prüfergebnisse in einem Auditreport nieder. Das BSI prüft und bestätigt in jedem Fall die Abgrenzung des IT-Verbunds, bei Zertifikaten zusätzlich den vollständigen Auditreport.

Informationssicherheitsrevision Revision und -beratung


IS-Revision und IS-Beratung

 

Die Informationssicherheitsrevision (IS-Revision) untersucht regelmässig die Lage der Informationssicherheit einer Organisation. Grundlage des Verfahrens ist der IT-Grundschutz des BSI. Im Gegensatz zu einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist für eine erfolgreiche IS-Revision jedoch keine vollständige Umsetzung des IT-Grundschutzes erforderlich.
Die Durchführung von IS-Revisionen ist für Bundesbehörden durch den Umsetzungsplan Bund (UP Bund) verpflich-tend und muss alle zwei Jahre geschehen. Der UP Bund beschreibt, wie die Vorgaben des nationalen Plans für den Schutz von Informationsinfrastrukturen (NPSI) in Bundesbehörden umzusetzen sind.
Folgende Arten von IS-Revisionen sind möglich:

  1. IS-Kurzrevision
    Die IS-Kurzrevision verschafft dem IS-Management mit wenig Aufwand einen Überblick über den Sicherheitsstatus beim Auftraggeber. Betrachtet werden Aspekte aus dem IT-Grundschutz, die eine wesentliche Grundlage für Informationssicherheit bilden und sich aufgrund von Erfahrungswerten als problembehaftet erwiesen haben (z. B. Sicherheitsorganisation, Umgang mit mobilen Datenträgern). Die IS-Kurzrevision betrachtet dabei die gesamte Institution.
  2. IS-Querschnittsrevision
    Eine IS-Querschnittsrevision betrachtet nach einem risikobasierten Ansatz wichtige Teile der IT-Struktur einer Organisation. Grundlage der Prüfung sind die jeweiligen Bausteine der IT-Grundschutzkataloge. Dieses Vorgehen schafft einen vollständigen Überblick zur Sicherheitslage in den relevanten Bereichen einer Organisation. Es setzt eine begonnene IT-Sicherheitskonzeption nach BSI Standard 100-2 voraus, da die Referenzdokumente zur IT-Struktur, dem Schutzbedarf und der Modellierung des Informationsverbunds vor Beginn der Prüfung vorliegen müssen.
  3. IS-Partialrevision

    Eine IS-Partialrevision beschränkt sich auf einen speziellen Ausschnitt der Institution. Die Prüftiefe ist wesentlich größer als bei der IS-Kurzrevision. Sie ist prädestiniert für die IS-Revision von kritischen Geschäftsprozessen. Da sich eine IS-Partialrevision auf bestimmte IT-Verfahren beschränkt, werden auch nur die damit verbundenen Systeme und die hierfür anzuwendenden Bausteine des IT-Grundschutzes betrachtet. Abhängig vom definierten Prüfumfang kann bei einer IS-Partialrevision eine stichprobenbasierte Prüfung oder eine vollständige Prüfung aller zutreffenden Maßnahmen sinnvoll sein. Darüber hinaus gelten die gleichen Regelungen und Abläufe wie bei der IS-Querschnittsrevision.

Ich führe IS-Revisionen in allen drei Kategorien durch, je nach Prüfgegenstand auch gemeinsam mit technischen Experten. Die Ergebnisse werden in der seitens des BSI vorgegebenen Form dokumentiert und auf Wunsch in Form von zielgruppenorientierten Workshops erläutert.