Unternehmensberatung UG
(haftungsbeschränkt)
Artikelsuche 
> Nachrichtenticker
> Archiv
  GRATIS Online Buchhaltung   GRATIS Online Organisation
  Dienstleistungen
  IT-Audit
  International Standards on Auditing-ISA Adaption
.
 IT-Sicherheit
 
.
 BSI
  IT-Rechtsprechung
  COSO
  COBIT
  ITIL
  ERP
  IT-News
  IAS/IFRS
  Archiv
  Glossar
  Registrierung
  Sitemap
  Impressum
  Haftungsausschluss
 

Newsletter

Bitte melden Sie sich bei unserem Newsletter an.
Email:
anmelden
abmelden
 
Datum: 07.02.2012 > Login > Registrierung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet bereits seit vielen Jahren Informationen und Hilfestellungen rund um das Thema IT-Sicherheit: Die IT-Grundschutz-Kataloge des BSI sind inzwischen zum umfassendsten Standardwerk zur IT-Sicherheit geworden. Es dient zahlreichen Unternehmen und Behörden als wichtiges Fundament eigener Maßnahmenkataloge. Analog zur Entwicklung in der Informationstechnik wurden die IT-Grundschutz-Kataloge komplexer und umfassender. Besonders kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten wünschen sich deshalb einen leicht überschaubaren Einstieg in die Thematik.

Der IT-Sicherheit-Leitfaden greift diesen Wunsch auf: Er gibt einen kompakten und allgemeinverständlichen Überblick über die wichtigsten IT-Sicherheitsmaßnahmen. Im Mittelpunkt stehen organisatorische Maßnahmen und die Veranschaulichung von Gefahren durch Praxisbeispiele. Auf technische Details wird bewusst verzichtet.

Fazit: Wer die Empfehlungen aus diesem Leitfaden IT-Sicherheit konsequent umsetzt oder sich bei der Gestaltung von Serviceverträgen mit IT-Dienstleistern daran orientiert, legt bereits ein solides Fundament für ein vertrauenswürdiges IT-Sicherheitsniveau.
(Quelle: BSI)

Überblick BSI-Standards
BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben.
Einerseits dienen BSI-Standards zur fachlichen Unterstützung von Anwendern der Informationstechnik. Behörden und Unternehmen können die Empfehlungen des BSI nutzen und an ihre eigenen Anforderungen anpassen. Dies erleichtert die sichere Nutzung von Informationstechnik, da auf bewährte Methoden, Prozesse oder Verfahren zurückgegriffen werden kann. Auch Hersteller von Informationstechnik oder Dienstleister können auf die Empfehlungen des BSI zurückgreifen, um ihre Angebote sicherer zu machen. Andererseits dienen BSI-Standards auch dazu, bewährte Herangehensweisen in ihrem Zusammenwirken darzustellen. BSI-Standards sind zitierfähig, so dass auf diese Weise ein Beitrag zur Vereinheitlichung der Fachbegriffe geleistet wird.

BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard 27001 und berücksichtigt weiterhin die Empfehlungen der anderen ISO-Standards der ISO 2700x-Familie wie beispielsweise ISO 27002 (früher ISO 17799). Er bietet Lesern eine leicht verständliche und systematische Einführung und Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten.
Das BSI stellt den Inhalt dieser ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können und so eine didaktischere Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist. Durch die einheitlichen Überschriften in beiden Dokumenten ist eine Orientierung für die Leser sehr einfach möglich.

BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
Die IT-Grundschutz-Vorgehensweise beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben werden kann. Die Aufgaben des Sicherheitsmanagements und der Aufbau von Organisationsstrukturen für Informationssicherheit sind dabei wichtige Themen. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie ein Sicherheitskonzept in der Praxis erstellt werden kann, wie angemessene Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die Informationssicherheit im laufenden Betrieb aufrecht erhalten und verbessert werden kann, wird beantwortet.
IT-Grundschutz interpretiert damit die sehr allgemein gehaltenen Anforderungen der ISO-Standards der 2700x-Reihe und hilft den Anwendern in der Praxis bei der Umsetzung mit vielen Hinweisen, Hintergrundinformationen und Beispielen. Im Zusammenspiel mit den IT-Grundschutz-Katalogen wird in der IT-Grundschutz-Vorgehensweise nicht nur erklärt, was gemacht werden sollte, sondern es werden auch konkrete Hinweise gegeben, wie eine Umsetzung (auch auf technischer Ebene) aussehen kann. Ein Vorgehen nach IT-Grundschutz ist somit eine erprobte und effiziente Möglichkeit, allen Anforderungen der oben genannten ISO-Standards nachzukommen.

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
Die IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen Geschäftsprozessen und Informationsverbünden sind. Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grundschutz-Vorgehensweise wiederverwendet.
Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz-Maßnahmen arbeiten und möglichst nahtlos eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Hierfür kann es verschiedene Gründe geben:
  • Die Sicherheitsanforderungen des Unternehmens bzw. der Behörde gehen teilweise deutlich über das normale Maß hinaus (hoher oder sehr hoher Schutzbedarf).
  • Die Institution betreibt wichtige Anwendungen oder Komponenten, die (noch) nicht in den IT-Grundschutz-Katalogen des BSI behandelt werden.
  • Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung) betrieben, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik (Sicherheitsverantwortliche und -beauftragte) als auch an Berater und Experten. Häufig ist es allerdings empfehlenswert, bei der Durchführung von Risikoanalysen auf Expertensachverstand zurückzugreifen.

BSI-Standard 100-4 Notfall-Management
Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, um bei Notfällen der verschiedensten Art adäquat und effizient reagieren und die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können.
Der Entwurf des Diskussionspapiers des BSI-Standards 100-4 zum Notfallmanagement wurde überarbeitet und steht nun in einer weiteren Entwurfsversion allen Interessenten zum Download zur Verfügung. Wir wären dankbar, wenn Sie Ihre Kommentare und Anregungen zum neuen Standard bis Ende April an die E-Mail-Adresse gshb@bsi.bund.de senden.


 

Aktuelle Meldungen

EU-Datenschutz: Gütesiegel für Suchmaschine

Umsetzung des Datenschutzes im Internet: Suchmaschine Ixquick ist in Compliance mit europäischem Datenschutzrecht... ... mehr

Bundeskabinett beschließt Reformgesetz zu Auskunfteien

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit fordert noch mehr Transparenz... ... mehr

SOX und die 8. EU-Richtlinie als Chance nutzen

Die EU-Mitgliedstaaten haben "Euro-SOX" in das jeweilige Landesrecht umzusetzen bzw. bereits schon umgesetzt. Immer noch besteht für europäische Unternehmen akuter... ... mehr

Compliance: EuroSOX als Chance

IT-Abteilungen können die EU-Richtlinien für die Abschlussprüfung und die Unternehmensberichterstattung nutzen, um ihre IT-Governance zu verbessern... ... mehr

Outsourcing: Risikopotentiale und mangelndes Risikobewußtsein

Unternehmen erkennen Risiken beim IT-Outsourcing erst im Nachhinein: Palette der Risiken reicht vom Datendiebstahl bis zu Urheberrechtsfragen .... ... mehr

Malware-Trends - Die grössten Bedrohungen für 2008

Als Anbieter einer gehosteten Web-Filtering-Lösung analysiert ScanSafe monatlich mehr als 7 Milliarden Web-Anfragen. Nun steuern Sicherheitsexperten einen Ausblick auf die Bedrohungen für das Jahr 2008 bei.. ... mehr

Datenschutz bei Internet-Gesundheitsakten fraglich

Die Möglichkeit, im Internet Gesundheitsakten zu führen, schätzt Bundesdatenschützer Peter Schaar als risikoreich ein... ... mehr

ISO führt Security-Risk-Management-Standard ein

Ein von der International Organization for Standardization (ISO) veröffentlichter Leitfaden soll Unternehmen Hilfestellung im anhaltenden Kampf gegen Sicherheitsbedrohungen leisten... ... mehr

Oracle reagiert auf schwere Sicherheitslücke

Sicherheitslücke betrifft Kombination aus Weblogic und Apache... ... mehr

Saarland: Eindringen in Wohnungen für heimliche Online-Durchsuchungen

Der saarländische Innenminister Klaus Meiser arbeitet an einer Novelle des Polizeigesetzes, die eine Befugnis für heimliche Online-Durchsuchungen enthalten soll. Dabei... ... mehr

GRATIS Online Buchhaltung  |  GRATIS Online Organisation  |