BIC BSI Grundschutz: Der fachliche Hintergrund

BIC BSI Grundschutz wurde auf Basis des IT-Grundschutz Kompendiums nach BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelt und kann bei der Einführung und Inbetriebnahme eines Informationssicherheits-Management-Systems eingesetzt werden. Der IT-Grundschutz wurde so konzipiert, dass er in sämtlichen Branchen und Behörden einsetzbar ist. Dieser deckt typische Sicherheitsanforderungen und Gefährdungen mit den Empfehlungen des Bundesamtes ab. Der IT-Grundschutzansatz eignet sich für Unternehmen jeder Größe. Er ist durch seine vorgefertigten Bausteine und Umsetzungshinweise leicht verständlich, sofort einsetzbar und unterstützt Ihre IT-Sicherheit nachhaltig. Maßgeblich für die Umsetzung von BIC BSI Grundschutz war die praktische Erfahrung aus zahlreichen Implementierungsprojekten. 

Unsere Lösung orientiert sich an folgendem, grundsätzlichen Ablauf:

Erstellen Sie eine Strukturanalyse und bilden Sie Ihre Vermögenswerte ab

Die einzelnen Bausteine des BSI IT-Grundschutzes behandeln alle relevanten Themengebiete der Informationssicherheit. Sie sind in Anwendungen, IT-Systeme, Industrielle IT, Netze und Kommunikation, Infrastruktur, Sicherheitsmanagement, Organisation und Personal, Konzeption und Vorgehensweise, Detektion und Reaktion sowie Betrieb gegliedert und decken somit alle typischen Geschäftsprozesse und Anwendungen ab. Anhand dieser Bausteine, die in BIC BSI Grundschutz enthalten sind, können Sie ihre eigenen Vermögenswerte identifizieren und den einzelnen Bausteinen zuweisen.   

Führen Sie eine Schutzbedarfs-Feststellung Ihrer Vermögenswerte durch

An den identifizierten Vermögenswerten kann dem BSI IT-Grundschutzes entsprechend eine Schutzbedarfsfeststellung hinsichtlich ihrer Informationssicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit hinterlegt werden. Zweck der Schutzbedarfsfeststellung ist die Ermittlung der Angemessenheit des Schutzes für die Informationen bzw. die eingesetzte Informationstechnik. 

Bewerten Sie die Sicherheitsanforderungen des BSI IT-Grundschutzes

Der Kontrollkatalog, aus dem BSI IT-Grundschutz als „Sicherheitsanforderungen“ bekannt, ist in BIC BSI Grundschutz in allen drei Schutzniveaus (Basis, Standard und erhöhter Schutzbedarf) inklusive ihrer Beschreibungen für die Erarbeitung Ihres Sicherheitskonzeptes enthalten. Diese Sicherheitsanforderungen wurden bereits an die jeweiligen Bausteine und somit an Ihre relevanten Assets aufgrund der Empfehlungen nach BSI Gesetz gemappt. Die in den IT-Grundschutz Katalogen empfohlenen Maßnahmen werden an dieser Stelle mit den in Ihrem Unternehmen bereits umgesetzten Maßnahmen verglichen und anhand ihres Umsetzungsstatus bewertet. Die empfohlenen Sicherheitsanforderungen können dementsprechend sinngemäß umgesetzt, Abweichung dokumentiert und für Zertifizierungen, beispielsweise nach ISO 27001, nachvollziehbar dargestellt werden. 

Erstellen und bewerten Sie Ihre zusätzlichen Risiken und Maßnahmen

Sollten Sie die Sicherheitsanforderungen entsprechend BSI Grundschutz nicht oder ungenügend erfüllen, haben Sie die Möglichkeit Risiken zu erstellen und diese anhand ihrer Eintrittswahrscheinlichkeit und ihrer Schadensauswirkung zu bewerten. Sie können zwischen qualitativer und quantitativer Bewertung wählen, BIC BSI Grundschutz bietet Ihnen beide Möglichkeiten.   

Die Elementaren Gefährdungen laut BSI Gesetz, welche als Risikokatalog in BIC BSI Grundschutz enthalten sind, wurden anhand der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik auf die zutreffenden Sicherheitsanforderungen gemappt und ermöglicht Ihnen somit, je nach Gefährdungslage und Anforderung, Risiken im richtigen Kontext zu erstellen.  

An diesen Risiken besteht in weiterer Folge die Möglichkeit Maßnahmen zu erstellen, welche im Umsetzungsgrad und anhand ihrer Kosten, Verpflichtungen, Schadens- und Eintrittswahrscheinlichkeitsreduktion dokumentiert und nachverfolgt werden können.

Automatische Berechnung des Erfüllungsgrades der Annex A, ISO/IEC 27001:2013

Der BSI IT-Grundschutz orientiert sich in seinen Umsetzungshinweisen und dem Aufbau stark an ISO/IEC 27001:2013, folglich kann in BIC BSI Grundschutz ein Mapping zwischen den Anforderungen aus dem BSI-Gesetz und dem Maßnahmenkatalog aus Annex A des Standards gemacht werden. Durch die Bewertung der BSI IT-Grundschutz Sicherheitsanforderungen erfolgt anhand des Mappings eine automatische Berechnung des Erfüllungsgrades der Maßnahmen aus Annex A des ISO 27001. Diese Auflistung der Erfüllungsgrade des Annex A steht Ihnen zusätzlich als ausdruckbarer Management Bericht zur Verfügung. 

Behalten Sie den Überblick mit Dashboards und Reports

Die Erfüllungsgrade der jeweiligen BSI-Grundschutz Sicherheitsanforderungen nach Bausteinen – und somit Ihren Assets zugewiesen – werden aufgelistet. Sie sind im Dashboard ersichtlich und Sie können benutzerdefiniert navigieren. Durch einen Klick in die unterschiedlichen Umsetzungsstatus werden Sie sofort ins Control-Assessment geleitet und können Ihre Bewertungen weiter vornehmen. Dies bietet den Vorteil, dass Sie jederzeit über den Erfüllungsgrad und Ausfüllungsgrad informiert sind und somit das Reporting ans Management bzw. an Auditoren vereinfacht wird.