opus i BSI - IT-Grundschutz unterstützt Sie beim Aufbau und dem Betrieb eines Informationssicherheits- Managementsystem (ISMS) nach den Vorgaben der BSI-Standards 100-1 bis 100-3

Optimieren Sie Ihre IT-Sicherheits- Management-Tätigkeiten

Der BSI - IT-Grundschutz ist ein fertig vorbereitetes ISMS. Sie müssen nur noch die Werte kennen, die Sie schützen möchten!
Wenn Sie mit opus i die Anforderungen des BSI - IT-Grundschutzes managen, stellt Ihnen opus i AUTOMATISCH alle wirkenden Risiken, die notwendigen Maßnahmen und sogar den  Risikobehandlungsplan zusammen.
 

IT-Sicherheitsgesetz?

Kommen Sie wegen des IT-Sicher- heitsgesetzes zu uns und möchten den IT-Grundschutz (ISO-27001) einsetzen?
Mit opus i bearbeiten Sie genau die im Gesetz niedergelegten Forderungen schnell, wissensunterstützt und zu einem fantastischen Preis. Kurz: lassen Sie sich bitte keine grauen Haare darüber wachsen. Schauen wir es uns doch gemeinsam an:  Online- Präsentation     Weitere Info

opus i deckt die Forderungen des IT-Grundschutzes aus den BSI-Standard 100-1, 100-2 und 100-3 vollständig ab. Ganz unten können Sie sich einen vollständigen Eindruck zu den Funktionalitäten verschaffen. Wir möchten Ihnen hier an dieser Stelle zeigen, wie einfach das Erstellen eines ISMS nach IT-Grundschutz ist.

Viele Administratoren, IT-Sicherheitsverantwortliche, IT-Leiter oder Datenschutzbeauftragte glauben, dass der Aufbau eines IT-Sicherheitskonzeptes kompliziert ist und tiefgehende IT-Sicherheitskenntnisse notwendig sind. Das ist bei weitem nicht der Fall, denn der IT-Grundschutz basiert auf der Verwendung von Bausteinen mit denen Sie die Grundlage zur automatischen Erstellung des Konzeptes legen. Sie müssen lediglich die richtigen Bausteine richtig aufeinandersetzen und wir sind davon überzeugt, dass Sie das können - opus i hilft Ihnen dabei. Beginnen wir:

Erfassen der Team-Mitglieder (Mitarbeiter, evtl. auch externe Personen)

Ein ISMS, also ein Informationssicherheitsmanagementsystem, funktioniert nur, wenn es von einem Team erstellt, gepflegt und gelebt wird. Die Teammitglieder haben bestimmte Kenntnisse und werden im Rahmen ihrer Kenntnisse als Maßnahmeninitiierer (Arbeitsauftrag zur Implementierung auslösen) und Maßnahmenimplementierer (Maßnahmenbearbeiter) eingesetzt.
Wir würden also im ersten Schritt die Mitglieder des ISMS-Teams im Stammdatenordner (Ressourcenordner, Werteordner) erfassen und zum Beispiel gleich die Kommunikationsdaten (Telefon, Fax, Emailadresse,...) eintragen.

Rollenzuordnung

Im IT-Grundschutz gibt es mehr als 1300 Maßnahmen, die helfen sollen die Eintrittswahrscheinlichkeiten von Gefahren (eine Gefahr besteht aus einem Risiko und einer vorhandenen Schwachstelle) zu reduzieren. Glücklicherweise hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gleich zu jeder Maßnahme vermerkt, wer die Maßnahme initiieren und implementieren soll. Das BSI untergliedert die Zuständigkeiten in "Rollen", von denen es ca. 80 gibt: Administrator, Leitung der Stelle, Datenschutzbeauftragter, Leitung IT, usw.
In opus i werden nun die Rollen an die Teammitglieder per Dialogfenster und Mausklick verteilt, bis alle Rollen zugeordnet sind. Teammitglieder besitzen oft mehrere Rollen. opus i zeigt Ihnen auf, welche Rollen noch nicht zugeordnet sind.

Erfassen der Werte

Mit Hilfe des ISMS möchten wir unsere Werte vor Schäden (Datendiebstahl, Ausfall des Helpdeskteams, unbefugte Kenntnisnahme von Daten, usw.) schützen. Damit diese Werte vollumfänglich geschützt werden können, müssen alle Objekte (im IT-Grundschutz sprechen wir von Zielobjekten) bekannt sein und in opus i erfasst werden. Bitte nicht wundern, aber zu den Werten zählen auch Gebäude, Räume, externe Dienstleister oder z.B. Multifunktionsgeräte, denn die genannten Objekte sind notwendig um z.B. die Fachaufgabe "Beantragung von EU-Mitteln" ausführen zu können. Sie erfassen nun also alle im Scope (Betrachtungs-/Anwendungsbereich) involvierten Objekte. Aber wir erfassen nicht 200 PCs sondern bilden vorab Gruppen von PCs und reduzieren dadurch 200 PCs auf 4, 6 oder ein wenig mehr Gruppen und halten dadurch den Erfassungs- und Pflegeaufwand niedrig. Dasselbe gilt für die anderen Objektarten, also z.B. für Server oder virtuelle Server. Die Gruppenbildung kann nach verschiedenen Kriterien vorgenommen werden: installierte Betriebssysteme, PC-Konfiguration, nach unterschiedlichen Schutzbedarfen, nach Verwendung in Prozessen oder Fachaufgaben, usw. Das ist nicht schwierig. Objekte, also Zielobjekte, die in der Regel immer zu erfassen sind, können sein: Gebäude, Räume, das oder die Netzwerke, Netzwerkelemente wir Switches und Router, Server, virtuelle Server, PCs und endlich das, was geschützt werden soll, die Anwendungssysteme und deren Daten. In opus i erfassen wir diese Objekte über die rechte Maustaste und den entsprechenden Erfassungsdialog innerhalb der in opus i bereitgestellten "Stammdatenordnern" für Gebäude, Räume, PCs usw.

Zuordnen des Schutzbedarfs

Im IT-Grundschutz müssen wir für die Anwendungen und deren Daten den Schutzbedarf für Vertraulichkeit, Integrität und Verfügbarkeit (VIV) ermitteln und dokumentieren. Für die restlichen Objekte müssen wir dies NICHT tun. Lediglich beim "Netzwerk" müssen wir festlegen, ob es ein Außennetzwerk ist (in der Regel JA) oder ein Innennetzwerk (in der Regel NEIN). Jetzt, im nächsten Schritt Modellieren wir; wir ordnen allen erfassten Objekten (also den Gebäuden, den Räumen, den PCs, usw.) die im IT-Grundschutz vorgesehenen Bausteine zu:

Modellieren der Objekte

Sie müssen nicht wissen, welche Bausteine wohin zugeordnet werden, das weiß opus i. Sie öffnen per Doppelklick den Bearbeitungsdialog eines jeden Objektes und setzen dort in der angebotenen Eigenschaftenliste mit der Maus bei den richtigen Objekteigenschaften ein Häkchen. Sind mehr als eine Eigenschaft möglich, setzen Sie mehrere Häkchen. opus i ordnet aufgrund der Häkchen (also der Objekteigenschaften) die richtigen Bausteine dem Objekt zu. Beispiele: ein PC kann die Eigenschaft "Netzwerk-PC mit Windows 7", ein Server kann die Eigenschaften "Server mit Windows 2008 + Virtualisierung" haben; eine Anwendung hat sehr oft die Eigenschaft "Datenbankanwendung".
Jetzt haben wir lediglich noch einen Schritt zu machen damit "Ihr ISMS steht" - wir verknüpfen die erfassten Objekte aus den Stammdatenordnern miteinander - wir bilden den sogenannten IT-Verbund.

IT-Verbund herstellen

Wir bauen nun den IT-Verbund auf, indem wir die Objekte aus den Stammdaten-Ordnern in den IT-Verbund einbringen. Dazu werden die verschiedenen Objekte realitätsnah in den IT-Verbund hineinreferenziert, wie hier im Bild dargestellt.
Durch den Aufbau des IT-Verbundes haben wir auch gleichzeitig die Abhängigkeit der Objekte untereinander festgelegt. Im Bild ist z.B. zu sehen, dass die Anwendung "A01 Anwendung Servermonitoring" sowohl mit einem PC in der IT-Abteilung, als auch mit einem Server im Rechenzentrum "verknüpft" ist.
Mit Hilfe des IT-Verbundes können wir jetzt den Schutzbedarf der Anwendungen auf die beteiligten Objekte übertragen. Dies geschieht per Mausklick über ein Popup-Menü, das auf dem obersten IT-Verbund-Objekt aufgerufen werden kann.

Mit diesen sechs Schritten:

erfassen der Teammitglieder, Rollenzuordnung, Erfassen der Werte, Zuordnen des Schutzbedarfes, Modellieren der Objekte und Herstellen des IT-Verbundes haben Sie Ihr IT-Sicherheitskonzept (Ihr ISMS) erstellt. Dieses IT-Sicherheitskonzept ist kein Dokument sondern besteht aus der Summe der im IT-Verbund wirkenden Risiken und der im IT-Verbund gelisteten Maßnahmen.
Unsere Aufgabe besteht jetzt darin jedes IT-Verbundobjekt zu öffnen (Doppelklick mit der Maus) und die im Objekt aufgelisteten Maßnahmen zu bearbeiten. Eine Maßnahme kann z.B. heißen "Geschlossene Fenster und Türen". Welche Forderungen diese Maßnahmen an Sie stellt, steht in der Maßnahmenbeschreibung, die Sie mit Mausdoppelklick auf die Maßnahmenbezeichnung öffnen und einsehen können.

Das weitere Vorgehen

Zuerst schauen Sie sich alle IT-Sicherheitsmaßnahmen im IT-Verbund an und prüfen, ob die Maßnahmen bereits bei Ihnen im Hause realisiert (implementiert) sind. Diese Maßnahmen kennzeichnen Sie als “umgesetzt”. Das BSI bezeichnet diese Istaufnahme als Basissicherheitscheck.
Bei den verbleibenden Maßnahmen entscheiden Sie, welche Maßnahmen in welcher Reihenfolge umgesetzt werden. Einfach gesprochen: ab jetzt ist es eine reine Fleißaufgabe.

Das Zertifikat nach IT-Grundschutz auf Basis der ISO 27001 erhalten

Wenn Sie sich zertifizieren lassen möchten, sind weitere Schritte notwendig. Wir werden dazu Videoclips in YouTube einstellen und darin diese Schritte erklären. Vorab vielen Dank für Ihre Aufmerksamkeit.

Studie der CSC: GSTool-Alternativen (klein)


Rufen Sie uns an: 06858 637 0 oder schreiben Sie an
Link

Software für IT-Sicherheitsmanagement (Klick > Home)

Software für Datenschutz-, IT-Sicherheits- und Qualitätsmanagement

Home        Kontakt     Datenschutz     Impressum     English     Russian     中文(简体)    عربي

kronsoft                          | ReferenzenPresseAuszeichnungenPartnerSitemapKundenbereichDownloads  |       Version 20171118

kronsoft - like us on Facebook
kronsoft - follow us onTwitter
Fussbild-Abstandshalter
Keine Cookies auf unseren Seiten