Unternehmen profitieren vor allem in Sachen Informationssicherheit vom IT-Grundschutz. Mit den Vorgaben und Maßnahmen reduzieren Unternehmen bei der Umsetzung Risiken und schaffen zusätzlich eine bewährte Form, um Mitarbeiter in Sicherheitsfragen zu sensibilisieren. Zusätzlich bietet die nachweisbare Erfüllung des Grundschutzes für Unternehmen eine Außenwirkung für Kunden und potenzielle Kunden.
Weitere Vorteile sind beispielsweise:
• Kosteneffizienter Ansatz durch vordefinierte Gefährdungen, wodurch eine detaillierte Risikoanalyse entfällt.
• Der Grundschutz wird kontinuierlich aktualisiert und erweitert. Unternehmen profitieren durch vorhandenes Wissen und Strukturen bei der Anpassung.
Voraussetzung für die Zertifizierung ist die Erfüllung der Anforderungen. Ob dies gegeben ist, wird durch einen Grundschutz-Auditor bestätigt. Dieser sichtet die Referenzdokumente, führt eine Prüfung vor Ort durch und erstellt einen Audit-Report. Alle Informationen finden Sie auf der Webseite des BSI. Als Vorstufen sind ebenfalls die Auditor-Testate „Einstiegsstufe“ und „Aufbaustufe“ für Unternehmen denkbar, um vor der eigentlichen Zertifizierung zu sehen, ob der eingeschlagene Weg zum IT-Grundschutz zielführend ist.
Unternehmen könnten intern die Zertifizierung durch fachkundiges Personal vorbereiten. Darüber hinaus lassen sich Firmen beauftragen, die einzelne Bereiche oder den gesamten Prozess als Dienstleistung anbieten.
IT-Grundschutz bezeichnet zunächst einmal eine Vorgehensweise mit Blick auf unternehmenseigene Informationstechnik. Dabei werden Sicherheitsmaßnahmen identifiziert und umgesetzt, um die definierten sicherheitsrelevanten Aspekte in Unternehmen zu gewährleisten.
Entwickelt wurden die mit dem IT-Grundschutz verbundenen Bereiche, Standards und Kataloge vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Besonderheit liegt bei diesem IT-Sicherheitskonzept darin, dass es auf eine detaillierte Risikoanalyse verzichtet. Vielmehr wird von ganz pauschalen Gefährdungen ausgegangen. Daraus resultiert eine IT-Grundschutz-Vorgehensweise, die sich möglichst standardisiert anwenden lässt.
Vor dem Hintergrund des IT-Grundschutzes in Unternehmen hat das BSI vier Standards gesetzt. Der Standard zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist mit 100-1 bezeichnet. Die Vorgehensweise nach IT-Grundschutz hat die Kennung 100-2 und die Erstellung einer Risikoanalyse für hohen und sehr hohen Schutzbedarf ist im Standard 100-3 festgeschrieben. Der BSI-Standard 100-4 bezeichnet Notfallmanagement.
Grundsätzlich ist die ISO 27001 oder auch DIN ISO/IEC 27001 eine eigenständige internationale Norm. Sie ist in vier einleitende Kapitel, sieben Hauptartikel mit den Normanforderungen und einen normativen Anhang A gegliedert. Die unmittelbare Verbindung von ISO 27001 und IT-Grundschutz liegt in der Zertifizierung. Unternehmen haben zwei Möglichkeiten, ein Zertifikat zu erlangen. Entweder durch eine Zertifizierung nach ISO/IEC 27001 oder mit dem ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz.
In Unternehmen nimmt der Anteil von Informationstechnologien immer weiter zu. Dies geht zwar nicht zwangsläufig mit einem größeren Sicherheitsrisiko einher. Doch zeigt sich, dass gerade in Sachen Sicherheit die Aspekte IT-Schutz und Sicherheits-Bewusstsein der Mitarbeiter eine wichtige Säule für IT-Sicherheit innerhalb von Unternehmen sind. Daher sehen wir in den Zertifizierungen nach ISO/IEC 27001 und in dem ISO/IEC 27001-Zertifikat nach IT-Grundschutz eine geeignete Option für Unternehmen, der Informationstechnologie und deren Sicherheit einen adäquaten Stellenwert beizumessen.
Der Baustein-Katalog ist das zentrale Element des IT-Grundschutzes und ist in einem Schichtenmodell aufgebaut. Die erste Schicht behandelt übergeordnete Aspekte der IT-Sicherheit wie beispielsweise Personal, Management oder Outsourcing. Die zweite Schicht orientiert sich an der Sicherheit der Infrastruktur, was bauliche Aspekte in Verbindung mit IT betrifft. Als dritte Schicht ist in diesem Katalog die Sicherheit der IT-Systeme beschrieben, zu denen Server, Telefonanlagen, Faxgeräte und Clients gehören. Die Sicherheit im Netz bildet die vierte Schicht und die fünfte umfasst die Anwendungsebene, die u. a. E-Mails, Webserver, Software und Datenbankmanagementsysteme, wenn diese sicherheitsrelevant sind.
Für jede Schicht und jeden Baustein innerhalb der Schicht sind im Baustein-Katalog Erläuterungen vorhanden, die den Lebenszyklus des jeweiligen Bereichs abdecken: Planung und Konzeption, Beschaffung (wenn nötig), Umsetzung, Betrieb, Aussonderung (wenn nötig) und Notfallvorsorge.
Nach der Einführung der einzelnen Ebenen und Maßnahmen erfolgt die Zusammenfassung mit der Struktur des Maßnahmen-Katalogs und der Klassifizierung der jeweiligen Aspekte in die Kategorien A, B, C, Z und W. A steht für den Einstieg in die jeweilige Thematik, B für eine Erweiterung selbiger, C ist dann notwendig für die Zertifizierung des IT-Grundschutzes. Die Kategorie Z stellt weitere Maßnahmen dar und W sind Maßnahmen, die Hintergrundwissen zum jeweiligen Thema liefern.
Das Baustein-Prinzip klingt erst einmal kompliziert. Doch auf diese Weise lassen sich anschaulich und standardisiert die unterschiedlichen Bausteine für sich und ganzheitlich betrachten sowie behandeln.
Dawico bietet branchenübergreifend IT-Consulting, IT-Lösungen, IT-Projekte, IT-Sicherheit und modernes Webhosting an. Wir verstehen, dass jedes Unternehmen unterschiedliche Anforderungen hat und bieten maßgeschneiderte IT-Optimierungslösungen für nachhaltigen Erfolg. Kontaktieren Sie uns für eine individuelle Beratung.
Dawico ist Ihr kompetenter Partner für professionelles IT-Consulting. Wir bieten maßgeschneiderte IT-Lösungen für Unternehmen und legen großen Wert auf eine gründliche Analyse des Ist-Zustands und die Berücksichtigung der Unternehmensstrategie. Unsere Experten beraten Sie bei der Implementierung einer effizienten, sicheren und modernen IT-Infrastruktur. Dabei achten wir darauf, technologische Entwicklungen und die zunehmende Digitalisierung sinnvoll mit Ihrem individuellen Bedarf zu verknüpfen. Mit unserem hochwertigen IT-Service stellen wir sicher, dass Ihr Unternehmen optimal aufgestellt ist.
Dawico ist Ihr Experte, wenn es darum geht, die EDV-Lösungen Ihres Unternehmens zu optimieren. Wir verstehen, wie wichtig eine maßgeschneiderte EDV-Infrastruktur ist, um effizientes und sicheres Arbeiten zu ermöglichen. Unser Ziel ist es, das volle Potenzial Ihrer Geschäftsprozesse auszuschöpfen und somit langfristigen Unternehmenserfolg zu gewährleisten. Kontaktieren Sie uns jetzt, um mehr über unsere Dienstleistungen zu erfahren.
Dawico ist ein führender Anbieter von Colocation und Server Housing mit langjähriger Erfahrung. Unsere Kunden profitieren von modernster IT-Technik und transparenten Kosten. Unsere hochsicheren Rechenzentren in Berlin und Frankfurt erfüllen höchste Standards in Sachen Datensicherheit und Gebäudetechnik. Entdecken Sie die Vorteile der neuesten Generation von Colocation-Lösungen und lassen Sie sich von unserem Expertenteam umfassend beraten. Erfahren Sie mehr über unsere maßgeschneiderten Rechenzentrums-Konzepte und finden Sie die optimale Lösung für Ihr Unternehmen.
Die Gefährdungs-Kataloge nehmen das Schichtenprinzip des Baustein-Katalogs auf und sind in Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen aufgeteilt. Der Mehrwert dieser Kataloge liegt nicht darin, dass das Wissen unbedingt für den IT-Grundschutz notwendig ist. Vielmehr fördert es bei allen Beteiligten das Verständnis über notwendige Maßnahmen und fördert die Wachsamkeit in Unternehmen.
In den Maßnahmen-Katalogen sind die notwendigen Maßnahmen für den IT-Grundschutz zusammengefasst. Auch hierbei wird wieder mit Schichten gearbeitet: Infrastruktur, Organisation, Personal, Hardware/Software, Kommunikation und Notfallvorsorge.
Vorgehensweise beim IT-Grundschutz
Die Vorgehensweise für den IT-Grundschutz umfasst acht Schritte, die nacheinander durchlaufen werden müssen. Diese sind:
• Definition des Informationsverbundes
• Durchführung einer IT-Strukturanalyse
• Durchführung einer Schutzbedarfsfeststellung
• Modellierung
• Durchführung eines Basis-Sicherheitschecks
• Durchführung einer ergänzenden Sicherheitsanalyse (evtl. anschließende Risikoanalyse)
• Konsolidierung der Maßnahmen
• Umsetzung der IT-Grundschutzmaßnahmen
