Bei der Umsetzung von IT-Grundschutz in Unternehmen und Behörden helfen die BSI-Standards und die IT-Grundschutzprofile. Diese Instrumente können auch dabei unterstützen, den IT-Grundschutz zusätzlich auf den OT-Bereich zu übertragen, so weit dies möglich ist. Gerade bei den IT-Grundschutzprofilen finden sich Mustervorgehensweisen, die bei der systematischen Absicherung von Anlagen und Maschinen helfen können.
Unterstützung bei der Umsetzung von IT-Grundschutz
BSI-Standards
Die sogenannten BSI-Standards liefern Empfehlungen zu Methoden, Prozessen und Verfahren sowie beispielhafte Vorgehensweisen und Maßnahmen zu verschiedenen Aspekten der Informationssicherheit.
Die neuen BSI-Standards werden mit 200-1, 200-2, 200-3 und 200-4 identifiziert, sie lösen die älteren BSI-Standards der Reihe 100-x ab:
BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). BSI-Standard 200-2 ist die Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS). Dazu gehören drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes.
BSI-Standard 200-3 beschreibt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Der Standard hilft dabei, eine Risikoanalyse an eine IT-Grundschutz-Analyse anzuschließen.
BSI-Standard 200-4 gibt eine Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Unter Business Continuity Management (BCM) versteht man einen Prozess, der Unterbrechungen des IT-Betriebs minimieren soll. Das BSI erklärt dazu: Der BSI-Standard 200-4 BCM hilft, sich bestmöglich auf Schadensereignisse jeglicher Art vorzubereiten und trägt somit zu ganzheitlicher organisatorischer Resilienz bei.
IT-Grundschutz-Profile
Ein IT-Grundschutz-Profil kann als ein Muster-Sicherheitskonzept verstanden werden, das als Schablone dient und bei vergleichbaren Rahmenbedingungen dabei helfen soll, den IT-Grundschutz in geeigneter Weise zu implementieren.
IT-Grundschutz-Profile werden für bestimmte Anwendungsfälle erstellt, als Musterszenarien für bestimmte Einsatzfälle der IT. Mit den IT-Grundschutz-Profilen soll sich der zeitliche und personelle Aufwand deutlich reduzieren, indem sie dabei helfen, die Sicherheitsbetrachtungen auf die individuellen Rahmenbedingungen zu übertragen.
In jedem IT-Grundschutz-Profil werden die Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich beschrieben, dazu gehören die Durchführung einer verallgemeinerten Strukturanalyse, die Schutzbedarfsfeststellung und Modellierung für diesen Bereich, die Auswahl und Anpassung von umzusetzenden IT-Grundschutz-Bausteinen sowie die Beschreibung spezifischer Sicherheitsanforderungen und -maßnahmen.
Veröffentlicht zum Beispiel ein Maschinenhersteller ein IT-Grundschutz-Profil, so besteht für eine große Anzahl weiterer Betriebe die Möglichkeit, auch ihre IT, ihre OT und ihr Informationsmanagement auf dieser Basis abzusichern.
Beispiel IT-Grundschutz-Profil „Chemie“
Das Bundesamt für Sicherheit in der Informationstechnik hat zusammen mit einer Arbeitsgruppe aus Expertinnen und Experten das IT-Grundschutz-Profil „Chemie“ erarbeitet. Das IT-Grundschutz-Profil soll den Betreibern von Chemieanlagen dabei helfen, den IT-Grundschutz umzusetzen, um die Funktion der eingesetzten Sicherheitseinrichtungen und Systeme zu gewährleisten. Alle interessierten Betreibenden von Chemieanlagen sollen so in die Lage versetzt werden, mit Hilfe eines Musters die Informationssicherheit zu erhöhen und eine Mindestabsicherung beim Betrieb von Chemieanlagen zu erreichen.
Dabei wird zwischen verschiedenen Modellarchitekturen unterschieden, aus denen jeweils zweckmäßige Maßnahmen abgeleitet werden, um das Risiko von Cyber-Angriffen zu reduzieren. Das IT-Grundschutz-Profil ergänzt die verfahrenstechnischen Gefahrenanalysen und Schutzkonzepte, die Anforderungen zum Schutz der Funktion von Sicherheitseinrichtungen vor IT-Gefährdungen auflisten.
Weiterführende Links
BSI (Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Home/home_node.html
IT-Grundschutzprofile des BSI
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Profile/it-grundschutz-profile_node.html