Was ist BSI-Grundschutz?

BSI-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik ursprünglich zur Umsetzung in Behörden und Verwaltungen entwickelter Standard eines angemessenen Informationssicherheits-Managements. Der Standard ist weltweit einmalig und mittlerweile allgemein anerkannt. Im Folgenden die wichtigsten Dokumente des BSI-Grundschutzes:

  • BSI-Standard 100-1 (Managementsysteme für Informationssicherheit (ISMS): Dieser Standard definiert allgemeine Anforderungen an ein ISMS und ist kompatibel zum ISO-Standard 27001.
  • BSI-Standard 100-2 (IT-Grundschutz-Vorgehensweise): Dieser Standard beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit aufgebaut und betrieben werden kann. Außerdem wird ausführlich beschrieben, wie ein Sicherheitskonzept in der Praxis erstellt werden kann.
  • BSI-Standard 100-3 (Risikoanalyse auf der Basis von IT-Grundschutz): Dieser Standard beschreibt, wie ein über das normale Maß hinausgehendes Sicherheitsniveau in den Bereichen Organisation, Personal, Infrastruktur und Technik erreicht werden kann.
  • BSI-Standard 100-4 (Notfallmanagement): Dieser Standard beschreibt, wie ein Notfallmanagement in einer Behörde oder einem Unternehmen systematisch aufgebaut werden kann, um die Kontinuität des Geschäftsbetriebs sicherzustellen.
  • IT-Grundschutz-Kataloge: Als Dokumentensammlung enthalten sie beispielhaft Bausteine, Gefährdungen und Maßnahmen, die den einzelnen zu betrachtenden Objekten zuzuordnen sind. Dabei werden fünf Schichten berücksichtigt:
    • Schicht 1: Übergreifende Sicherheitsaspekte (z.B.: Sicherheitsmanagement, Organisation, Datensicherungskonzept, Antiviren-Konzept, etc.)
    • Schicht 2: Baulich-technische Gegebenheiten (z.B.: Gebäude, Serverraum, Schutzschränke, Häuslicher Arbeitsplatz, etc.)
    • Schicht 3: IT-Systeme (z.B.: TK-Anlage, Laptop, Client unter Windows XP, etc.)
    • Schicht 4: Netze (z.B.: Heterogene Netze, WLAN, Remote Access, VPN, etc.)
    • Schicht 5: Anwendungen (z.B.: E-Mail, Webserver, Faxserver, Datenbanken, etc.)

Im Gegensatz zur ISO/IEC 27001 werden vom BSI-Grundschutz detaillierte Vorgaben bis auf Konfigurationsebene gemacht. Die standardkonforme Umsetzung der Informationssicherheit kann vom BSI nach einem Audit im Rahmen eines ISO/IEC 27001-Zertifkats auf Basis von IT-Grundschutz zertifiziert werden, das die Vorzüge des BSI-Grundschutzes mit denen der ISO-Norm verknüpft.