Der neue IT-Grundschutz und die ISO 2700x

Posted onAutorTobiasSchreib einen Kommentar

Seit Okto­ber 2017 hat das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) die ursprüng­li­chen Standards:

  • 100–1 „Manage­ment­sys­te­me für Informationssicherheit“
  • 100–2 „IT-Grund­schutz Vor­ge­hens­wei­se“ und
  • 100–3 „Risi­ko­ana­ly­se auf der Basis von IT-Grundschutz“

durch die neu­en Standards:

  • 200–1 „Manage­ment­sys­te­me für Informationssicherheit“
  • 200–2 „IT-Grund­schutz Metho­dik“ und
  • 200–3 „Risi­ko­ma­nage­ment“

abge­löst. Der Stan­dard 100–4 „Not­fall­ma­nage­ment“ bleibt vor­erst unver­än­dert bestehen. Dazu ist mir noch kei­ne Ablö­se­pla­nung bekannt.

Um auch den Schul­ter­schluss zur ISO Norm der IT-Sicher­heit: Rei­he 2700x zu schlie­ßen inter­pre­tiert der Stan­dard 200–2 die Maß­nah­men und Anfor­de­run­gen der Norm. Im Detail wer­den ISO 27001 „IT-Sicher­heits­ver­fah­ren – Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­te­me – Anfor­de­run­gen“ und ISO 27002 „IT-Sicher­heits­ver­fah­ren – Leit­fa­den für das Infor­ma­ti­ons­si­cher­heits-Manage­ment“ betrach­tet. Anwen­dern soll damit Hil­fe­stel­lung zur Erfül­lung der Norm gege­ben wer­den (vgl. IT-Grund­schutz-News­let­ter /​05 – April 2018). Zur Arbeits­er­leich­te­rung hat das BSI dafür eine Zuord­nungs­ta­bel­le raus­ge­bracht (BSI Down­load­be­reich). In die­ser wer­den zu Anfor­de­run­gen aus den Nor­men Bau­stei­ne des IT-Grund­schut­zes gegen­über­ge­stellt. Klei­ner Wer­muts­trop­fen: es sind noch nicht alle Bau­stei­ne im IT-Grund­schutz fina­li­siert. Das könn­te zu Lücken im Abgleich bzw. zu Mehr­ar­beit bei der Umset­zung füh­ren. Die­se Bau­stei­ne sind jedoch gekenn­zeich­net. Lei­der ist auch ein älte­rer Stand der Nor­men (2013) ein­ge­ar­bei­tet wor­den. Zumin­dest für die ISO 27001, die zuletzt im Juni 2017 aktua­li­siert wur­de kann das zu Unter­schie­den füh­ren. (Die ISO 27002 wur­de zuletzt im Okto­ber 2013 aktua­li­siert.) Ob und wie das BSI Aktua­li­sie­run­gen der Nor­men in die Zuord­nungs­ta­bel­le ein­flie­ßen lässt ist mir nicht bekannt. Der Bedarf ist auf jeden Fall da.

Schluss­end­lich ist die­se Annäh­rung bzw. Zuord­nung der Stan­dards an die Nor­men sinn­voll und not­wen­dig. Für die täg­li­che Arbeit, in der Umset­zung von IT-Sicher­heit ist die Zuord­nungs­ta­bel­le eine ech­te Hil­fe und spart Zeit. Im Bera­tungs­all­tag ist genau das Gold wert.

Check this: Requip

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert