Migration auf den modernisierten IT-Grundschutz : Anleitung für einen reibungslosen Übergang
Das BSI veröffentlicht Migrationstabellen und eine Anleitung, um IT-Grundschutz-Anwendern den Übergang vom klassischen auf den modernisierten IT-Grundschutz zu vereinfachen.
Von Alex Essoh und Birger Klein, BSI
Das BSI hat zur Sicherheitsmesse it-sa in Nürnberg im Oktober 2017 den modernisierten IT-Grundschutz vorgestellt. Die Inhalte der bewährten BSI-Methodik zur Erhöhung der Informationssicherheit in einer Institution stehen Anwendern nun verschlankt und übersichtlicher zur Verfügung: Im IT-Grundschutz-Kompendium als Nachfolger zu den IT-Grundschutz-Katalogen bilden die Basis- und Standard-Anforderungen den Stand der Technik für ein einzelnes Thema ab.
Die Umstellung vom bisherigen auf den modernisierten IT-Grundschutz wirkt sich dabei auch auf bestehende Sicherheitskonzepte und Zertifizierungsprozesse aus. Um den Anwendern bei diesem Prozess einen reibungslosen Übergang zu ermöglichen, hat das BSI nun eine „Anleitung zur Migration von Sicherheitskonzepten“ und sogenannte Migrationstabellen zum Wechsel vom „alten“ auf den neuen IT-Grundschutz veröffentlicht.
Die Anleitung richtet sich vorrangig an Institutionen, die bereits ein IT-Grundschutz-konformes Managementsystem für Informationssicherheit (ISMS) betreiben und es auf den nun modernisierten IT-Grundschutz umstellen wollen. Dabei wird die Standard-Absicherung als Vorgehensweise vorausgesetzt. Institutionen, die ihren Geltungsbereich einschränken und für ihr bisheriges ISMS eine Kern-Absicherung durchführen wollen, können die Anleitung entsprechend adaptieren. Eine weitere Veröffentlichung auf der BSI-Webseite in der Rubrik „IT-Grundschutz“ informiert über Übergangsfristen und Migration im Rahmen der Zertifizierung.
Neuerungen und Unterschiede
Bereits bestehende ISMS, die noch auf den früheren BSI-Standards 100-1, 100-2 und 100-3 sowie den IT-Grundschutz-Katalogen aufgebaut sind, können anhand der Anleitung und Migrationstabellen vereinfacht auf den neuen IT-Grundschutz migriert werden. Basis dafür bilden die neuen BSI-Standards 200-1, 200-2, 200-3 und die erste Edition des IT-Grundschutz-Kompendiums, das als Nachfolger der IT-Grundschutz-Kataloge im Februar 2018 erschienen ist. Das IT-Grundschutz-Kompendium kann bereits als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz herangezogen werden.
Bevor die Verantwortlichen in einer Institution das Thema Migration angehen, sollten sie sich zunächst mit dem modernisierten IT-Grundschutz vertraut machen – besonders mit dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik und der Struktur des IT-Grundschutz-Kompendiums. Die „Anleitung zur Migration von Sicherheitskonzepten“ setzt an diesem Punkt an und erläutert zunächst die wesentlichen Unterschiede zwischen den BSI-Standards sowie die Neuerungen. Anschließend wird dargelegt, wie ein bestehendes Sicherheitskonzept auf den modernisierten IT-Grundschutz migriert werden kann. Dabei werden alle Phasen der IT-Grundschutz-Methodik erfasst: von der Strukturanalyse über Schutzbedarfsfeststellung, Modellierung und IT-Grundschutz-Check bis hin zur Risikoanalyse. Jede Phase endet mit Aktionspunkten, damit die Anwender ihr Vorgehen gut planen und strukturieren können.
Schnelle Orientierung
Die Migrationstabellen stellen ein spezifisches Arbeitsinstrument bei der Arbeit mit den modernisierten IT-Grundschutz-Bausteinen dar. Bislang wurden in den Bausteinen Sicherheits-Maßnahmen vorgegeben, im modernisierten IT-Grundschutz hingegen sind Anforderungen formuliert. Anhand der Migrationstabellen lässt sich ein Mapping von neuen Anforderungen auf die früheren Maßnahmen vornehmen. Damit kann eine Institution zunächst feststellen, welche bisherigen Maßnahmen einer Anforderung zugeordnet sind und zugleich prüfen, ob diese bislang realisierten Maßnahmen hinreichend sind, um der jeweils neuen Anforderung zu genügen. Dabei hilft eine Bewertung in der Migrationstabelle, die angibt, inwieweit eine Anforderung bereits erfüllt ist.
Lohnender Aufwand
Um die Migration auf den modernisierten IT-Grundschutz zu erleichtern, empfiehlt es sich, grundsätzlich schrittweise vorzugehen. Dadurch kann sich zunächst ein „Mischbetrieb“ ergeben, bevor die Migration mittelfristig komplett vollzogen ist.
Für die Anwender bedeutet die Umstellung auf den modernisierten IT-Grundschutz sicherlich einen Mehraufwand, allerdings ist es ein Aufwand, der sich lohnt: Die Modernisierung des IT-Grundschutzes bietet jeder Institution die Chance, ihre Sicherheitskonzeption einer gründlichen Revision zu unterziehen und die bereits umgesetzten Sicherheitsmaßnahmen kritisch zu hinterfragen. Und das ist wiederum ein wichtiger Beitrag, um die Informationssicherheit kontinuierlich aufrechtzuerhalten und zu verbessern – ganz im Sinne des IT-Grundschutzes.
Literatur
[1] BSI, IT-Grundschutz-Kompendium – Anleitung zur Migration, März 2018, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/Migrationsleitfaden/Anleitung_zur_Migration_node.html
[2] BSI, IT-Grundschutz-Kompendium – 1. Edition 2018, Februar 2018, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html
[3] BSI, BSI-Standards 200-x, Oktober 2017, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html