Inhaltsverzeichnis

Vorgehensweise

Überblick

Die Konzeption und Planung des Sicherheitsprozesses und die Erstellung des Sicherheitskonzept umfasst nach [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S.21ff die nachfolgenden Schritte:

  • Ermittlung von Rahmenbedingungen
  • Formulierung von allgemeinen Informationssicherheitszielen
  • Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse
  • Ersterfassung der Prozesse, Anwendungen und IT-Systeme
  • Entscheidung für Vorgehensweise
  • Erstellung einer Leitlinie zur Informationssicherheit

Erstellung einer Sicherheitskonzeption ist abhängig vom angestrebten Absicherungsniveau auf Basis einer durchgeführten Ersterfassung. Unterschieden werden [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 28:

  • Basis-Absicherung: zur grundlegenden Absicherung und dient (vor allem für kleiner Unternehmen) einem ersten Einstieg in den Sicherheitsprozess
  • Kern-Absicherung: weitere Einstiegsvorgehensweise zum Schutz der essenziellen Geschäftsprozesse und Ressourcen durch Fokussierung auf die „Kronjuwelen“
  • Standard-Absicherung: entspricht der bewährten IT-Grundschutz-Vorgehensweise und sollte als mittelfristiges Ziel ein vollständiges Sicherheitskonzept umfassen

Die Vor- und Nachteile sind in [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 32 zusammengetragen.

Vorgehensweise Basis-Absicherung

Die Schritte zur Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Basis-Absicherung ist in Kapitel 6. [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 61ff. definiert und umfasst die folgenden Schritte:

  • Festlegung des Geltungsbereichs
  • Auswahl und Priorisierung relevanter Bausteine aus dem IT-Grundschutz-Kompendium
  • IT-Grundschutz-Check bzgl. Basisanforderungen
  • Realisierung der Maßnahmen
  • Auswahl der folgenden Vorgehensweise: entweder Kern- oder Standardabsicherung

Vorgehensweise Kern-Absicherung

Die Schritte zur Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Kern-Absicherung ist in Kapitel 7. [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 68ff. definiert und umfasst die folgenden Schritte:

  • „Festlegung des Geltungsbereichs für die Kern-Absicherung
  • Identifikation und Festlegung der kritischen Assets (Kronjuwelen)
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung: Auswahlund Anpassung von Anforderungen
  • IT-Grundschutz-Check
  • Risikoanalyse und weiterführende Sicherheitsmaßnahmen
  • Umsetzung und weitere Schritte“ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 69

Vorgehensweise Standard-Absicherung

Die Schritte zur Erstellung einer Sicherheitskonzeption nach der Vorgehensweise Standard-Absicherung ist in Kapitel 8. [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 76ff. definiert und umfasst die folgenden Schritte:

  • Festlegung des Geltungsbereichs
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Auswahl von Anforderungen und Anpassung von Maßnahmen (Modellierung)
  • IT-Grundschutz-Check
  • Risikoanalyse
  • Reihenfolge der Bearbeitung [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 76ff.