Neue Grundschutz-Generation Vom IT-Grundschutzhandbuch zu den BSI-Standards für das IT-SicherheitsmanagementNeue Grundschutz-Generation Vom IT-Grundschutzhandbuch zu den BSI-Standards für das IT-SicherheitsmanagementNach vielen Ankündigungen, Vorträgen und Diskussionen mit Anwendern über die Umstrukturierungen beim IT-Grundschutz ist es jetzt soweit: Die IT-Grundschutz-Methodik, der Aufbau der IT-Grundschutz-Bausteine, die Beschreibung des IT-Sicherheitsmanagements, die darauf aufbauende IT-Grundschutz-Zertifizierung und nicht zuletzt die neuen BSI-Standards zum Informationssicherheitsmanagement wurden grundlegend überarbeitet und unter anderem auch den neuen ISO-Standards zum Informationssicherheitsmanagement angepasst.
Beim IT-Grundschutz stand von Anfang an im Vordergrund, Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise zu geben, mit dem Ziel, die Einstiegshürde in den IT-Sicherheitsprozess so niedrig wie möglich zu halten und hochkomplexe Vorgehensweisen zu vermeiden. Dadurch hat IT-Grundschutz sich bei einem breiten Publikum als Standard für IT-Sicherheit etabliert. Erklärtes Ziel des BSI ist zudem, den IT-Grundschutz einerseits mit anderen internationalen Standards zur IT-Sicherheit zu konsolidieren und andererseits den Anwendern weiterhin die bewährten Grundlagen hierzu zur Verfügung zu stellen.
Daher ist nicht nur das IT-Grundschutzhandbuch (GSHB) mit der Ausgabe 2005 in verschiedenen Bereichen umstrukturiert worden, sondern zusätzlich wurde eine BSI-Standardreihe zum Informationssicherheitsmanagement aufgebaut. Beim GSHB selbst ist eine augenfällige Änderung, dass die Beschreibung der IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge jetzt getrennt vorliegen. Außerdem wurden noch eine Vielzahl kleinerer und größerer Änderungen aufgrund der Diskussionen mit Anwendern im In- und Ausland vorgenommen.
In der internationalen Standardisierungsorganisation ISO gab es in den letzten Jahren eine Vielzahl von Diskussion um die Weiterentwicklung der Standards rund um das IT-Sicherheitsmanagement (vgl. Kasten). Hierzu gehört nicht nur die Überarbeitung der Standards ISO 13335 und ISO 17799, sondern auch die Frage der Zertifizierung von Informationssicherheitsmanagement-Systemen.
Die Überarbeitung des Standards ISO 17799 ist mittlerweile als ISO/IEC 17799:2005 verabschiedet worden. Außerdem sollen 2006 alle Standards zu Sicherheitsmanagement in einer 27000-Serie zusammengefasst werden, in Analogie zu anderen Managementsystemen wie zum Beispiel ISO 9000. Insbesondere diente der britische Standard BS 7799:2 als Grundlage für einen ISO-Standard zur Zertifizierung, der im Oktober 2005 als ISO 27001 "Information technology – Security techniques – Information security management systems – Requirements" verabschiedet wurde. Die Aufnahme von ISO/IEC 17799:2005 in die 27000er-Serie soll im Frühjahr 2007 erfolgen. Ein entsprechendes Vorwort in ISO/IEC 17799:2005 weist jetzt schon darauf hin.
Das BSI hat 2002 die Zertifizierung von Geschäftsprozessen und IT-Verbünden auf der Basis von IT-Grundschutz etabliert. Allen IT-Grundschutz-Anwendern soll es möglich sein, sich auch weiterhin die sorgfältige Umsetzung von IT-Grundschutz mit einem entsprechenden Zertifikat bestätigen zu lassen. Damit das IT-Grundschutz-Zertifikat aber auch die internationale Norm ISO 27001 mit abdeckt, wurden sowohl die IT-Grundschutz-Vorgehensweise als auch das Zertifizierungsschema und die IT-Grundschutz-Kataloge angepasst.
Eine IT-Grundschutz-Zertifizierung – oder jetzt genauer: ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz – umfasst sowohl eine Prüfung des IT-Sicherheitsmanagements als auch der konkreten IT-Sicherheitsmaßnahmen auf der Basis von IT-Grundschutz. Die Lizenzierung von IT-Grundschutz-Auditoren wurde ebenfalls geändert, sodass vom BSI lizenzierte Auditoren alle Anforderungen erfüllen, welche die ISO an Auditoren für ein Informationssicherheitsmanagement-System stellt.
----------Anfang Textkasten----------
Der Standard ISO 13335 "Management of information and communications technology security" (früher "Guidelines on the Management of IT Security") versteht sich als allgemeine Leitlinie für die Initiierung und Umsetzung des IT-Sicherheitsmanagement-Prozesses. Er gibt Anleitungen, jedoch keine Lösungen zum Management von IT-Sicherheit. Der Standard stellt ein Basiswerk auf diesem Gebiet dar und ist Ausgangs- oder Referenzpunkt für eine Reihe von Dokumenten zum IT-Sicherheitsmanagement. Der Standard besteht derzeit aus folgenden Teilen:
Die früheren Teile 3 und 4 sind in den jetzigen Teilen 1 und 2 aufgegangen. Der Standard ISO 13335-2 enthält verschiedene Methoden zur Risikoanalyse. Eine Zertifizierung ist nicht vorgesehen.
Das Ziel von ISO 17799 "Information technology – Code of practice for information security management" ist die Definition eines Rahmenwerks für das IT-Sicherheitsmanagement. ISO 17799 befasst sich daher hauptsächlich mit den erforderlichen Schritten, um ein funktionierendes IT-Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen IT-Sicherheitsmaßnahmen (Controls) werden kurz auf den circa 100 Seiten des Standards angerissen (s. a. S. 13). Die Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technische Hinweise. Ihre Umsetzung ist eine von vielen Möglichkeiten, die Anforderungen des ISO-Standards 27001 zu erfüllen.
In der überarbeiteten Fassung, die 2005 verabschiedet und publiziert wurde, ist neben den bisherigen zehn Abschnitten ein weiterer zur Behandlung von IT-Sicherheitsvorfällen (Incident Handling) hinzugefügt worden. Die anderen Abschnitte beschäftigen sich mit dem Bereichen Sicherheitspolitik, Organisation der Sicherheit, Einstufung und Kontrolle der Werte, personelle Sicherheit, physische und umgebungsbezogene Sicherheit, Management der Kommunikation und des Betriebs, Zugangskontrollen, Systementwicklung und Wartung, Management des kontinuierlichen Geschäftsbetriebs und die Einhaltung von gesetzlichen und vertraglichen Verpflichtungen; auch diese wurden überarbeitet, diverse IT-Sicherheitsmaßnahmen hinzugefügt, andere gestrichen oder angepasst.
Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierungen sind in den letzten Jahren zahlreiche Anleitungen, Standards und nationale Normen zur IT-Sicherheit entstanden. So entstand ISO/IEC 27001 "Information technology – Security techniques – Information security management systems requirements specification", der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht. ISO 27001 gibt auf circa 10 Seiten allgemeine Empfehlungen. In einem normativen Anhang wird auf die Controls aus ISO/IEC 17799 verwiesen. Die Leser erhalten aber keine Hilfe für die praktische Umsetzung.
Die Nummerierung dieses Standards wurde mehrfach geändert, um mit der jetzigen Wahl auch auf die Verwandtschaft mit den bekannten Standards zum Qualitätsmanagement ISO 9001ff. hinzuweisen. Dies bedeutet aber auch, dass dieselben Schwächen, wie sie seit langem bei ISO 9001 diskutiert werden, ebenfalls bei ISO 27001 vorhanden sind. Der Haupt-Kritikpunkt ist dabei vor allem die Konzentration auf die Überprüfung, ob bestimmte Prozesse innerhalb einer Institution etabliert worden sind, und nicht darauf, inwieweit damit ein optimales Ergebnis zu erzielen ist.
----------Ende Textkasten----------
Das BSI hat darüber hinaus damit begonnen, eine Schriftenreihe mit Standards zu verschiedenen Bereichen der Informationssicherheit aufzubauen. Hierzu gehören auch die folgenden BSI-Standards zum Thema IT-Sicherheitsmanagement (ab Mitte Dezember verfügbar über ![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/gshb/):
Zudem ist das Prüfungsschema für IT-Grundschutz-Zertifizierungen sowie das Lizenzierungsschema für Auditoren im Dokument "ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz" beschrieben. Und der Baustein B 1.0 "IT-Sicherheitsmanagement" der IT-Grundschutz-Kataloge wurde angepasst, um eine noch bessere Kompatibilität mit anderen internationalen Standards zu erreichen (zur Gliederung der BSI-Dokumente s. a. Abb. 1).
![[Illustration]](05-6-006-1.jpg)
Abbildung 1: Übersicht über BSI-Publikationen zum IT-Sicherheitsmanagement
BSI-Standard 100-1 definiert allgemeine Anforderungen an ein Informationssicherheitsmanagement-System (ISMS). Er ist vollständig kompatibel zum ISO-Standard 27001 und berücksichtigt weiterhin die Empfehlungen der ISO-Standards 13335 und 17799. Er bietet Lesern eine leicht verständliche und systematische Anleitung, unabhängig davon, mit welcher Methode sie die Anforderungen umsetzen möchten.
Das BSI stellt den Inhalt dieser ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können, und so eine didaktischere Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist. Durch die einheitlichen Überschriften in beiden Dokumenten ist eine Orientierung für den Leser sehr einfach möglich.
Die IT-Grundschutz-Vorgehensweise beschreibt Schritt für Schritt, wie ein IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Die Aufgaben des IT-Sicherheitsmanagements und der Aufbau einer IT-Sicherheitsorganisation sind dabei wichtige Themen. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie man ein IT-Sicherheitskonzept in der Praxis erstellen sowie angemessene IT-Sicherheitsmaßnahmen auswählen kann und was bei der Umsetzung des IT-Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie IT-Sicherheit im laufenden Betrieb aufrechterhalten und verbessert werden kann, wird beantwortet.
IT-Grundschutz interpretiert damit die sehr allgemein gehaltenen Anforderungen der ISO-Standards 13335, 17799 und 27001 (vgl. Kasten) und hilft Anwendern in der Praxis bei der Umsetzung mit vielen Hinweisen, Hintergrund-Know-how und Beispielen. Die IT-Grundschutz-Kataloge erklären nicht nur, was gemacht werden sollte, sondern geben sehr konkrete Hinweise, wie eine Umsetzung (auch auf technischer Ebene) aussehen kann. Ein Vorgehen nach IT-Grundschutz ist somit eine erprobte und effiziente Möglichkeit, allen Anforderungen der genannten ISO-Standards nachzukommen.
Das BSI hat eine Methodik zur Risikoanalyse auf der Basis des IT-Grundschutzes erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit dem IT-Grundschutz arbeiten und möglichst nahtlos eine ergänzende Sicherheitsanalyse an die IT-Grundschutz-Analyse anschließen möchten.
Das BSI zertifiziert IT-Verbünde und Informationssicherheits-Managementsysteme von Unternehmen und Behörden. Die BSI-Zertifizierung umfasst sowohl eine Prüfung des ISMS als auch die Prüfung der konkreten IT-Sicherheitsmaßnahmen auf der Basis von IT-Grundschutz. Die BSI-Zertifizierung beinhaltet dabei immer eine offizielle ISO-Zertifizierung nach ISO 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung. Die wesentlichen Anforderungen zur Prüfung des IT-Sicherheitsmanagements im Rahmen eines Audits ergeben sich aus den Maßnahmen des Grundschutz-Bausteins B 1.0 "IT-Sicherheitsmanagement". Die Maßnahmen dieses Bausteins sind so geschrieben, dass die wesentlichen Anforderungen des BSI ISMS-Standards sofort identifiziert werden können.
Zur Anpassung an ISO 27001 wurden natürlich auch am Zertifizierungsschema für IT-Verbünde und am Lizenzierungsschema Anpassungen vorgenommen (siehe [6]). Auf die durchgeführten Änderungen wird ein Beitrag in <kes> 2006#1 vertiefend eingehen.
Da die Beschreibung der IT-Grundschutz-Vorgehensweise in ein separates Dokument ausgelagert wurde, sind die einführenden Kapitel in die IT-Grundschutz-Kataloge gestrafft worden. Sie umfassen jetzt im Wesentlichen neben einer Einführung einen Kurzüberblick über die Anwendungsweise der IT-Grundschutz-Kataloge und die Modellierungshinweise.
Darüber hinaus wurden die Grundschutz-Bausteine an das Schichtenmodell des IT-Grundschutzhandbuchs angepasst (vgl. Abb. 2), die Baustein-Beschreibungen aktualisiert sowie in eine einheitliche Form gebracht. Das Schichtenmodell dient dabei dazu,
![[Schicht 1: übergreifende Aspekte, Schicht 2: Infrastruktur, Schicht 3: IT-Systeme, Schicht 4: Netze, Schicht 5: IT-Anwendungen]](05-6-006-2.jpg)
Abbildung 2: Schichtenmodell des IT-Grundschutzes
Die einzelnen Schichten sind so gewählt, dass auch die Zuständigkeiten für die betrachteten Aspekte gebündelt sind. Schicht 1 betrifft Grundsatzfragen des IT-Einsatzes, Schicht 2 den Bereich der Haustechnik, Schicht 3 die Ebene der Administratoren und IT-Benutzer, Schicht 4 die Netz- und Systemadministratoren und Schicht 5 schließlich die IT-Anwendungsverantwortlichen und -betreiber.
Aufgrund der Aufteilung der Sicherheitsaspekte in Schichten können Einzelaspekte in resultierenden IT-Sicherheitskonzepten leichter aktualisiert und erweitert werden, ohne andere Schichten umfangreich zu tangieren.
Jeder Baustein ist einer Schicht zugeordnet. Diese Zuordnung spiegelt sich jetzt auch in der Gliederung der IT-Grundschutz-Kataloge wider. Jeder Baustein gibt für das betrachtete Themengebiet zudem vor der Aufzählung der umzusetzenden Maßnahmen eine Übersicht in Form eines "Lebenszyklus", der aufgezeigt, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck ausgeführt werden sollen. Als Lebenszyklus-Phasen sind Planung und Konzeption, Beschaffung (wo sinnvoll), Umsetzung, Betrieb, Aussonderung beziehungsweise Außerbetriebnahme (soweit erforderlich) und Notfallvorsorge definiert.
In jedem Baustein werden die empfohlenen Maßnahmen zum Schluss als Maßnahmenliste aufgeführt. Hierbei war bisher jeder Maßnahme bausteinabhängig eine Priorität zugewiesen, um die Bearbeitungsreihenfolge zu verdeutlichen. Da sich dies aber nun durch die Lebenszyklus-Einordnung ergibt, steht an dieser Stelle jetzt die Kategorisierung der Maßnahmen für die Grundschutz-Zertifizierung.
Die Baustein-Struktur des IT-Grundschutzhandbuchs will überdies Redundanzen in den Bausteinen weitgehend vermeiden. In der Vergangenheit wurden einige Maßnahmen (z. B. M 3.4 "Schulung vor Programmnutzung") von vielen Bausteinen parallel referenziert, um die unterschiedlichen Sichtweisen bei den verschiedenen Anwendergruppen hervorzuheben (z. B. bei IT-Sicherheitsmanagement und Benutzern). Da dies aber bei Audits und Basis-Sicherheitschecks zu redundanten Fragen und damit Verzögerungen führt, wurden möglichst viele dieser Redundanzen beseitigt.
Die Version 2005 der IT-Grundschutz-Kataloge enthält neben etlichen Änderungen die zusätzlichen Bausteine
Außerdem wurden einige Bausteine grundlegend überarbeitet, wozu vor allem der Baustein IT-Sicherheitsmanagement gehört, da hier auf die Entwicklungen im internationalen Bereich eingegangen wurde. Daneben wurden auch die Bausteine Organisation, Personal, allgemeiner Server, allgemeiner Client und Laptop stark überarbeitet.
Die IT-Grundschutz-Kataloge sind in gedruckter Form beim Bundesanzeiger Verlag oder über den Buchhandel zu beziehen; in elektronischer Form (Word, PDF und HTML) stehen sie und andere Dokumente rund um den IT-Grundschutz auf der BSI-CD und den BSI-Webseiten zur Verfügung ( www.bsi.bund.de/gshb/).
![[Screenshot GSTOOL]](05-6-006-3.jpg)
Abbildung 3: Für Anfang 2006 ist das Release der Version 4.0 des BSI-Software-Tools zum IT-Grundschutz (GSTOOL) vorgesehen.
Auch zukünftig wird es rund um den Themenbereich IT-Grundschutz kleinere und größere Änderungen und Anpassungen geben, um eine einfache, aber dennoch breite Anwendung zu ermöglichen. Eine kontinuierliche Anpassung und Weiterentwicklung gewährleistet, dass Grundschutz-Anwender stets ein aktuellen Herausforderungen angemessenes Sicherheitsniveau erreichen können. Hierzu werden IT-Grundschutz-Kataloge und zugehörige Dokumente und Werkzeuge weiterhin kontinuierlich überarbeitet und durch neue Bausteine ergänzt, um den aktuellen Entwicklungen der Informationstechnik Rechnung zu tragen und neue Anwendungsgebiete zu erschließen.
Dazu gehören auch Erweiterungen des BSI-Tools zur Umsetzungsplanung und -darstellung von IT-Grundschutzmaßnahmen "GSTOOL" – hierzu wurde im November 2005 das offizielle Servicepack 2 zum GSTOOL 3.1 veröffentlicht. Mit der neuen Version der IT-Grundschutz-Kataloge wird Anfang 2006 auch die neue Version 4.0 des GSTOOLs veröffentlicht.
Seit Mitte 2004 steht übrigens auch eine englischsprachige Version des GSTOOLs zur Verfügung, um der Verbreitung des IT-Grundschutz im internationalen Bereich Rechnung zu tragen. Für den kurzen, prägnanten Einstieg in die Vorgehensweise nach IT-Grundschutz und die Handhabung des GSTOOLs hat das BSI zudem die HTML-Schulungen "Webkurs IT-Grundschutz" und "Webkurs GSTOOL" entwickelt.
Nicht zuletzt sind weitere Anpassungen zu erwarten, um eine noch bessere Kompatibilität mit internationalen Standards zu erreichen. Auch diese entwickeln sich weiter und neue Normen etablieren sich. Damit IT-Grundschutz-Anwender hier auch Werke wie beispielsweise ITIL umsetzen können, wird das BSI auch zukünftig entsprechende Hilfestellungen anbieten.
Isabel Münch ist Referatsleiterin "Systemsicherheit und IT-Grundschutz" beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
www.bsi.bund.de/gshb/ www.bsi.bund.de/literat/sichhandbuch/sichhandbuch.zip www.iso.org www.ogc.gov.uk/index.asp?id=2261 www.oecd.org/sti/security-privacy www.bsi.bund.de/gshb/zert/
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#6, Seite 6
| 