Rund 100 verschiedene Bausteine, mehr als 1.600 Empfehlungen und umzusetzende Maßnahmen auf über 5.000 Seiten. Der bis dato gültige IT-Grundschutzkatalog in der 15. Ergänzungslieferung (EL) 2016 scheint nicht nur inhaltlich stellenweise in die Jahre gekommen zu sein, sondern offenbart sich dem Anwender ebenso in einer Komplexität, die kaum zu bändigen scheint. Doch was ist der IT-Grundschutzkatalog überhaupt?
Der IT-Grundschutz wurde 1994 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als eine modulare und flexible Methode ins Leben gerufen, durch die Behörden und Unternehmen einen Einstieg in die Welt der Informationssicherheit erhalten sollten. Seit den 1990er Jahren nahm die Komplexität des IT-Grundschutzes stetig zu, sodass die Anwendung vor allem für kleinere und mittelständische Unternehmen kaum möglich war.
Eine nun überarbeitete Fassung soll genau diese Unübersichtlichkeit und mangelnde Anwendbarkeit beseitigen.
Der überarbeitete IT-Grundschutz, welcher ab den 01.02.2018 als Prüfungsgrundlage für Zertifizierungen nach ISO 27001 auf IT-Grundschutz-Basis gilt, löst die vorherigen IT-Grundschutz-Kataloge ab und nennt sich nun IT-Grundschutz-Kompendium. Zu diesem Kompendium, gehören ebenso noch die neuen BSI-Standards 200-1, 200-2, 200-3 sowie ein Leitfaden zur Basisabsicherung. Ab Q1 2018 folgen darüber hinaus neue Migrationstabellen, die dem Anwender aufzeigen, wo welche Maßnahme wiederzufinden ist.
Die „alte Welt“ des IT-Grundschutzes und die damit verbundene 15. Ergänzungslieferung kann maximal noch bis zum 30.09.2021 noch als Prüfgrundlage für Zertifizierungen herangezogen werden, so dass Anwender eine ausreichende Übergangsfrist haben.
Entgegen der 15. Ergänzungslieferung der IT-Grundschutz-Kataloge, wurde das IT-Grundschutzkompendium nun auf 763 Seiten und 80 Bausteine verkürzt. Jeder dieser Bausteine umfasst ca. 10 Seiten:
- eine Beschreibung (Einleitung, Zielsetzung, Abgrenzungen, Verantwortliche),
- die Darstellung der spezifischen Gefährdungslage,
- sowie die spezifischen Anforderungen für den Baustein. Diese Anforderungen unterteilen sich in Basis-Anforderungen, Standard-Anforderungen sowie Anforderungen bei erhöhtem Schutzbedarf.
Die Neufassung kann auf der Website des BSI kostenlos heruntergeladen werden.
Jörg Mohr
4. November 2017 @ 15:13
„sodass die Anwendung vor allem für kleinere und mittelständische Unternehmen kaum möglich war“ – na ja, das galt eigentlich nur für diejenigen, die die Methodik nicht verstanden haben und meinten, jeden einzelnen Satz umsetzen zu müssen bzw. jede Prüffrage mit „ja“ beantworten zu müssen.
Ich warte nur auf den Moment, in dem diese Leute nun am neuen Grundschutz bemängeln, dass er zu „unkonkret“ ist und man nicht weiß, was man genau tun soll.