Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: BSI 200-1: Änderungen, Anwendungsmöglichkeiten

Ausgangslage Der Beitrag basiert auf dem Vergleich der folgenden Dokumente:

• BSI-Standard 100-1, Version 1.5 vom Mai 2008 (Erstausgabe Version 1.0: Dezember 2005)
• BSI-Standard 200-1, Version 1.0, Community Draft vom Oktober 2017

Grundsätzlich sind beide Dokumente gleich aufgebaut, wobei die Version 200-1 um 9 Seiten auf 46 Seiten gewachsen ist In der Einleitung vom BSI-Standard 200-1 sind unter der Versionshistorie die folgenden Punkte aufgeführt: Version CD 1.0: Aktualisierung basierend auf BSI-Standard 100-1

• Anpassungen an Fortschreibung der ISO-Standards
• Anpassungen an BSI-Standard 200-2 (IT-Grundschutz-Methodik)

Version V1.0: Anwender-Kommentare eingearbeitet

• im Wesentlichen sprachliche Präzisierungen
• Unterscheidung zwischen Norm und Standard

Bezug zu den ISO-Normen Neu wird von ISO-Normen und nicht mehr von ISO-Standards gesprochen. International werden diese Normen allerdings als Standards bezeichnet. Die ISO-Norm 27‘000 wird laufend weiterentwickelt. Der neue BSI-Standard 200-1 wurde auch hinsichtlich der ISO-Norm 27001:2013 angepasst und überarbeitet. Im neuen BSI 200-1 gibt es Ergänzungen um die ISO-Normen 27‘004 (Monitoring, measerement, analysis and evaluation), 27‘009 (Sector-specific application of ISO 27‘001 – Requirements) und den sektorspezifischen Normen 27‘010 – 27‘019. Auch im Bereich Risikomanagement erfolgt der Bezug zur entsprechenden ISO-Norm 31‘000. Anpassungen im BSI-Standard 200-1 An mehreren Stellen wird verstärkt auf die Bedeutung der Leitungsebene im Sicherheitsprozess eingegangen; „Informationssicherheit ist Chefsache!“ Dies wird neu auch im Umgang mit den Risiken hervorgehoben, bei welchen die Leitungsebene als Entscheidende Instanz hervorgehoben wird. Weiter wird dies im ergänzten direkten Adressatenkreis des Dokuments sichtbar, bei welchem neu Führungskräfte und Projektmanager aufgeführt sind, um auch auf dieser Ebene das Informationssicherheitsmanagement entsprechend zu verankern. Der Bezug der Sicherheitsstrategie zu den Geschäftszielen sowie die klare Zuweisung von Zuständigkeiten und Befugnissen auf operativer Seite müssen klar geregelt sein und die interne Kommunikation soll mehr Gewicht erhalten. Die Formulierung von Sicherheitszielen und der Leitlinie zur Informationssicherheit wurden inhaltlich noch einmal ausgebaut. So sind bei der Erstellung der Sicherheitsstrategie der Bezug zum Unternehmen und bei der Sicherheitsleitlinie die Aussagen wesentlich umfassender. Im neuen Kapitel „Zertifizierung des ISMS“ werden die Chancen der Einführung eines ISMS für die interne und externe Kommunikation aus Qualitäts- und Compliance-Gründen aufgezeigt. Erfolgskontrolle und die kontinuierliche Verbesserung werden mehrfach erwähnt und erhalten im Sicherheitsprozess einen eigenen Abschnitt. Im Kapitel Anwendungsweise werden neu die Bereiche Industrial Control Systems (ICS) sowie der Bereich Internet of Things (IoT) einzeln aufgeführt. Das Aktionsfeld der klassischen IT-Sicherheit wird unter dem Begriff „Cyber-Sicherheit“ auf den gesamten Cyber-Raum ausgeweitet, welcher sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik mit einschliesst. Bei der Sicherheitskonzeption wurde speziell der Bereich der Modellierung durch die neue Unterscheidung von Prozess- und Systembausteinen erweitert. Der Aufbau ist neu wie folgt: Prozess-Bausteine

• Sicherheitsmanagement
• Organisation & Personal
• Konzept & Vorgehensweise
• Betrieb
• Detektion & Reaktion

Systembausteine

• Industrielle IT
• Anwendungen
• IT-Systeme
• Netze & Kommunikation
• Infrastruktur

Bei der Einführung vom IT-Grundschutz wird unterschieden zwischen einer „Basis-Absicherung“ und einer „Standard-Absicherung“, zudem werden die umzusetzenden Massnahmen auch in Bezug zur Unternehmensgrösse gesetzt. Im Kapitel Sicherheitskonzept ist der Umgang mit Risiken wesentlich umfassender beschrieben. Bei der Klassifizierung von Risiken werden zudem neue Begriffe verwendet. Eintrittswahrscheinlichkeit: selten, mittel, häufig, sehr häufig Potentielle Schadenshöhe: vernachlässigbar, begrenzt, beträchtlich, existenzbedrohend Die Begriffe im Umgang mit Risiken sind neu reduzieren (alt vermindern), vermeiden, transferieren (alt übertragen) und akzeptieren. Die Auswahl der Sicherheitsmassnahmen wurde um die folgenden Themen erweitert:

• Identitäts- und Berechtigungsmanagement
• Compliance
• Detektion von Sicherheitsvorfällen
• Sicherheitsüberprüfungen
• Löschen und Vernichten von Daten

Wichtige Begriffsänderungen Im BSI 200 wird die Bezeichnung von einzelnen Begriffen geändert. Unter anderem sind dies: bisher: IT-Grundschutz Vorgehensweise                   neu:  IT-Grundschutz Methodik bisher: IT-Grundschutz Katalog                                  neu:  IT-Grundschutz Kompendium bisher: Massnahmen  (im Sicherheitskonzept)          neu:  Risikobehandlung  

---

Blogpost wurde erstellt von Patrick Hauser im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.