Änderungen bei IT-Grundschutz: Folgen für die Zertifizierung
Unternehmen mit einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz sollten die Änderungen im IT-Grundschutz berücksichtigen und eine Migration durchführen.
„Der IT-Grundschutz des BSI ist eine seit Jahren etablierte erfolgreiche Marke. Mit der Modernisierung haben wir den IT-Grundschutz flexibler und zukunftsfähig gemacht. Wenn wir es mit der Digitalisierung ernst meinen, dann ist Informationssicherheit eine wesentliche Voraussetzung für deren Erfolg. Der IT-Grundschutz ist der Weg in eine sichere Digitalisierung für Unternehmen und Behörden aller Größen“, so Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Ein zentrales Ergebnis der Modernisierung ist die Umstellung der früheren IT-Grundschutz-Kataloge auf das neue IT-Grundschutz-Kompendium, so das BSI. Aktuell enthält das IT-Grundschutz-Kompendium 80 modernisierte Bausteine und dient als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz.
Unternehmen, die sich nach ISO 27001 auf Basis IT-Grundschutz zertifizieren lassen wollen, machen dies direkt auf Basis des modernisierten IT-Grundschutz. Doch was bedeutet die Modernisierung des IT-Grundschutz für Unternehmen, die bereits nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert sind?
Modernisierter IT-Grundschutz für bereits zertifizierte Unternehmen
Die Folgen der Modernisierung des IT-Grundschutz waren unter anderem Gegenstand des ersten IT-Grundschutz-Tages 2018. Das Motto lautete „Modernisierter IT-Grundschutz: Wie komme ich von alt zu neu?“. Dabei ging es um das Vorgehen und die Möglichkeiten, um bestehende Informationssicherheits-Management-Systeme (ISMS) auf den modernisierten IT-Grundschutz zu migrieren.
Das BSI bietet hierfür eine „Anleitung zur Migration von Sicherheitskonzepten“ und Migrationstabellen. Diese sollten betroffene Unternehmen bald zur Hand nehmen, denn der einhellige Tenor der Referenten auf der Veranstaltung war, dass die IT-Grundschutz-Anwender möglichst bald mit der Migration beginnen sollten, wie das BSI berichtete.
Wer sein Sicherheitskonzept nach dem „alten“ IT-Grundschutz, also nach den BSI-Standards 100-1,-2,-3 und dem IT-Grundschutz-Katalog, aufgebaut hat, sollte sich somit an die Migration auf den „neuen“ IT-Grundschutz, also nach den BSI-Standards 200-1,-2 und -3 und der ersten Edition des IT-Grundschutz-Kompendiums, machen. Hinweise zu den Übergangsfristen hat das BSI bereits veröffentlicht.
Grundsätzliche Änderungen beachten
Für die anstehende Migration gibt es vom BSI eine Reihe von Hilfsmitteln, darunter auch eine Zuordnungstabelle ISO zum modernisierten IT-Grundschutz sowie Migrationstabellen zu den aus den IT-Grundschutz-Katalogen überführten Bausteinen des IT-Grundschutz-Kompendiums.
Bevor man sich jedoch an die genauen Zuordnungen und die einzelnen Migrationsschritte macht, lohnt es sich, die grundsätzlichen Änderungen anzusehen, also das Konzept des neuen IT-Grundschutzes nachzuvollziehen, da dann die Migration leichter und letztlich auch logischer erscheint:
- Grundsätzlich sind es nun die Geschäftsprozesse, die den Ausgangspunkt der Sicherheitskonzeption bilden. Zuerst sind deshalb die zentralen Geschäftsprozesse zu erfassen und zu dokumentieren. Ausgehend von jedem Geschäftsprozess werden dann die damit zusammenhängenden Anwendungen und die damit verarbeiteten Informationen identifiziert. Darüber hinaus sind in der Strukturanalyse die relevanten Dienstleister mit anzugeben.
- Der Schutzbedarf wird für die Geschäftsprozesse und nicht wie bisher für die Anwendungen festgelegt.
- Es werden im neuen IT-Grundschutz keine Sicherheitsmaßnahmen beschrieben, sondern lediglich Anforderungen formuliert.
- Die ergänzende Sicherheitsanalyse entfällt im modernisierten IT-Grundschutz. Stattdessen wird eine Risikoanalyse für IT-Systeme und Anwendungen durchgeführt, die einen höheren Schutzbedarf aufweisen, mit den bestehenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet werden können oder in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.
- Eine mögliche Vorgehensweise zur Analyse und Behandlung von Risiken wird im BSI-Standard 200-3 beschrieben.
Migration nicht als reine Änderung der Dokumentation begreifen
Abschließend sei gesagt, dass Unternehmen diese Umstellungsarbeiten nicht so verstehen sollten, dass sie nun ihre bestehende Dokumentation mit gewissem Aufwand in eine neue Form bringen. Vielmehr ist es so, dass sich die Herangehensweise an IT-Sicherheit verändert, ja verändern muss, um mit der dynamischen Entwicklung der IT, aber auch der IT-Bedrohungen Schritt zu halten.
Zudem ist die Migration auf den „neuen“ IT-Grundschutz nicht nur wichtig für das Thema der Zertifizierung nach ISO 27001, sondern die Migration bietet eine gute und wichtige Gelegenheit, das IT-Sicherheitskonzept einer grundlegenden Prüfung und Aktualisierung zu unterziehen. Die Aufwände für die Migration lohnen sich also mehrfach, was sicherlich zur dafür notwendigen Motivation im Unternehmen beiträgt.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!