Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: BSI 200-2

Der neue BSI-Standard 200-2 beschreibt, wie sein Vorgänger, die bewährte BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Dieser Blogbeitrag zeigt die grössten und wichtigsten Neuerungen auf. IT-Grundschutz-Abstufungen Neu wird die Vorgehensweise bei der Erstellung einer Sicherheitskonzeption in drei verschiedenen Abstufungen behandelt:

• Kern-Absicherung: Über die Kern-Absicherung kann eine Institution als Einstieg in den IT-Grundschutz bzw. den Sicherheitsprozess zunächst besonders gefährdete oder wichtige Geschäftsprozesse und Assets (Kronjuwelen) vorrangig absichern. Eine Zertifizierung nach ISO 27001 ist für den betrachteten abgegrenzten Informationsverbund grundsätzlich möglich.
• Basis-Absicherung: Die Basis-Absicherung verfolgt das Ziel, als Einstieg in den IT-Grundschutz zunächst zeitnah eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse bzw. Fachverfahren einer Institution zu erlangen. Dabei sind kleinere Sicherheitsvorfälle tolerierbar. Werden existenzbedrohenden Risiken innerhalb des Verbundes vermutet, muss eine andere Vorgehensweise (Kern- oder Standard-Absicherung) gewählt werden.
• Standard-Absicherung: Die Standard-Absicherung entspricht der klassischen IT-Grundschutz-Vorgehensweise, bietet einen umfassenden und tiefen Schutz und sollte grundsätzlich das Ziel jeglicher Anwendung des IT-Grundschutzes sein, auch wenn zuvor zunächst eine der beiden bereits genannten anderen Vorgehensweisen gewählt wurde.

Es kann auch sinnvoll sein, Sicherheitskonzeptionen für mehrere kleinere Bereiche zu entwickeln. Dies kann beispielsweise der Fall sein, wenn der Aufwand für eine Gesamtabsicherung im ersten Schritt als zu hoch eingeschätzt wird und bestimmte Geschäftsprozesse priorisiert behandelt werden müssen. Hierfür könnten beispielsweise Bereiche identifiziert werden, für die parallel oder nacheinander Basis-, Standard- bzw. Kern-Absicherungen durchgeführt werden. IS-Organisation Auch der Bereich «Aufbau der IS-Organisation» wurde optimiert. Hierzu zählt eine kleine, aber wichtige Änderung der Begrifflichkeit zum IT-Sicherheitsbeauftragten (IT-SiBe), der  neu Informationssicherheitsbeauftragter (ISB) genannt wird. Der Hintergrund dafür ist, dass der IT-Grundschutz sich eben nicht nur mit der IT-Sicherheit, sondern mit der Informationssicherheit im Allgemeinen umfassend befasst. Ferner hat auch eine neue Organisationsstruktur für Unternehmen mit Produktions- und Fertigungsanlagen Einzug in den Standard gehalten, die speziell die dort eingesetzten Industrial Control Systems (ICS) behandelt. Aus Grundschutzkatalog wird IT-Grundschutz-Kompendium Der bisherige IT-Grundschutzkatalog wurde umbenannt in IT-Grundschutz-Kompendium. Die darin befindlichen Bausteine haben nun innerhalb der Bezeichnung einen Bezug zur jeweiligen betreffenden Schicht. Zertifizierung Die Gültigkeit der ISO 270001 Zertifizierung auf der Basis IT-Grundschutz nach dem alten Standard ist nach der Publikation des BSI 200 weiterhin gültig und läuft wie gehabt nach drei Jahren ab.  Seit dem 15.10.2017 besteht die Möglichkeit, sich nach dem neuen Standard zertifizieren zu lassen. Die Anmeldung zur Re-Zertifizierung nach dem alten Standard ist noch bis 30.09.2018 möglich, gleiches gilt auch für eine aktuell laufende Zertifizierung, sofern noch keine Anmeldung getätigt wurde. Resümee Der neue Standard bringt viele sinnvolle Neuerungen mit sich. Die Modernisierung bezieht nicht nur neuere Technologien (Cloud, Internet of Things) ein, sondern schafft auch ein besseres und gleiches Verständnis durch neue Bezeichnungen und Begrifflichkeiten. Die grösste und aus meiner persönlichen Sicht sinnvollste Neuerung ist die Unterteilung der Vorgehensweise (Basis-, Kern- oder Standard-Absicherung), die einen schnelleren und einfacheren Einstieg in den Sicherheitsprozess ermöglicht.

---

Blogpost wurde erstellt von Florian Kiefer im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.