Suche |  Sitemap | Impressum

VZM Fokus Leistungspektrum   ► Spektrum   ► Corporate Security   ► Analysen   ► IT & TK        ▪ Penetrationstest        ▪ Grundschutz        ▪ Telekommunikation        ▪ Sicherheitsbeauftragte   ► Datenschutz   ► Informationsschutz   ► Revision   ► Business Continuity   ► Krisenmanagement   ► Leitstellen   ► Objektsicherung   ► Objektschutz Presse Messen & Veranstaltungen Kontakt English

VON ZUR MÜHLEN-Gruppe:

RZ-Plan ® SIMEDIA Sicherheits-Berater TeMedia Verlag

 

IT-Grundschutz-Zertifikat

Qualifizierung / Zertifizierung nach IT-Grundschutz BSI

Der Nachweis der IT-Sicherheit von Unternehmen gegenüber Dritten durch ein anerkanntes Zertifikat wird zunehmend an Bedeutung gewinnen. Es ist sinnvoll, ein angemessenes konsistentes Schutzniveau auch extern nachvollziehbar belegen zu können. Zum Beispiel in den Bereichen E-Business und E-Commerce wird damit eine in Zukunft vielleicht sogar unverzichtbare Vertrauensbasis im Verhältnis zwischen Kunden, Lieferanten und Partnern geschaffen.

Aber auch rechtliche Vorschriften wie das KonTraG oder Abkommen wie das für die Finanzwelt sehr bedeutsame Basel II fordern explizit das Management operationeller Risiken. Das bedeutet für den IT-Bereich der Unternehmen, die Angemessenheit, die Umsetzung und die Handhabung der Sicherheitsmaßnahmen nachweisen zu können.

Im Qualitäts- und Umweltmanagement werden entsprechende Nachweise seit Jahren durch die Vergabe von Zertifikaten nach einer erfolgreichen Auditierung geführt. Analog dazu ist das Sicherheitszertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf Basis des allgemein anerkannten IT-Grundschutzhand-buches zu sehen.

Für einen ausgewählten, sinnvoll abzugrenzenden, in sich weitgehend abgeschlossenen und damit autarken Bereich, einen sog. IT-Verbund, auf den beispielsweise Geschäftsprozesse wie E-Business und E-Commerce angewiesen sind, kann eine solche Zertifizierung ausgerichtet sein. Ein Prüfschema schreibt die dafür verbindliche Vorgehensweise fest. Zu unterscheiden ist zwischen einer Selbster-klärung, die gegenüber dem BSI abgegeben wird, und dem IT-Grundschutz-Zertifikat, das zwingend die Prüfung durch einen beim BSI hierfür lizenzierten Auditor voraussetzt. Dieser Auditor darf weder dem geprüften Unternehmen angehören noch darf er in den letzten zwei Jahren vor der Prüfung beratend im Umfeld des Prüfgegenstandes tätig gewesen sein.

Die VZM GmbH kann Sie also entweder bei der Vorbereitung einer Selbsterklärung oder eines Audits unterstützen oder aber die Prüfung durch einen lizenzierten Auditor zur Erlangung des IT-Grundschutz-Zertifikates durchführen.

Vorbereitung einer Selbsterklärung oder eines Audits

Zunächst einmal muss der Gegenstand der Untersuchung sinnvoll abgegrenzt werden. IT- Systeme untersucht werden. Sinnvoll ist, z.B. ein separates B2B-Zugangsnetz mit den darin stationierten Servern und deren technischer und organisatorischer Umgebung zu betrachten. Für diese Schnittstelle zu Netzen anderer Unternehmen können Sie zielgruppenorientiert nachweisen, dass ein angemessener Sicherheits-Standard etabliert wurde.

Das BSI fordert für den Audit die inhaltlich und formal festgeschriebene Anfertigung von vier Referenzdokumenten:

• Die IT-Strukturanalyse liefert die detaillierte technische und logische Beschreibung des Untersuchungsfeldes.
  
  Hier werden Hard- und Software, die umgebende Infrastruktur und das organisatorische Umfeld dokumentiert. In diesem Schritt wird die Vollständigkeit und Konsistenz der Untersuchung nachgewiesen.  
   
• Die Schutzbedarfsfeststellung dokumentiert und begründet für Anwendungen, Systeme, Räume und Kommunikationsverbindungen angesichts der Gefährdungen und den daraus resultierenden Risiken den jeweiligen Schutzbedarf.  
   
• Die Modellierung des IT-Verbundes liefert die Zuordnung zwischen den Bausteinen des Grundschutzhandbuches und den Prüfungsobjekten. Insbesondere können zur Vereinfachung der Prüfung in diesem Schritt Gruppen von gleichartigen Komponenten gebildet werden.  
   
• Die IT Grundschutz-Erhebung prüft den Umsetzungsgrad aller Maßnahmen, die das IT-Grundschutzhandbuch für die zu betrachtenden Prüfobjekte vorsieht, und dokumentiert die Resultate der Prüfung.

VZM hat an der Entwicklung des Prüfkatalogs für diese Audits mitgewirkt und Teile des IT-Grundschutzhandbuches im Auftrag des BSI erarbeitet. VZM unterstützt Sie bei der Realisierung des für eine Selbsterklärung oder einen Audit erforderlichen Maßnahmenkatalogs oder prüft im Vorfeld, ob ein angemessenes konsistentes Sicherheitsniveau besteht, und erarbeitet die notwendigen Referenzdokumente für Sie oder mit Ihnen gemeinsam.

Durchführung eines Audits

IT-Grundschutz-Audits werden von lizenzierten Auditoren durchgeführt. Ähnlich wie bei öffentlich bestellten Sachverständigen ist diese Lizenz an die Person gebunden. Selbstverständlich kann die VZM GmbH einen lizenzierten Auditor aus den eigenen Reihen zur Verfügung stellen.