Suchen

Vorbericht zum BSI & ISO Campus 2014 – Tag 1 Unterschiede zwischen IT-Grundschutz und ISO 27001

Autor / Redakteur: Markus a Campo* / Stephan Augsten

Wer ein IT-Sicherheits- und Notfallmanagement etablieren möchte, hat die Qual der Wahl: Eine Zertifizierung ist entweder nach BSI IT-Grundschutz oder nach dem internationalen Standard ISO 27001 möglich. Um diesem Umstand Rechnung zu tragen, wurde der ursprüngliche BSI Campus der Vogel IT-Akademie um die ISO-Normen erweitert.

Firma zum Thema

Wer ein Managementsystem für Informationssicherheit umsetzen möchte, kann zwischen BSI und ISO-Standard wählen.
Wer ein Managementsystem für Informationssicherheit umsetzen möchte, kann zwischen BSI und ISO-Standard wählen.
(Bild: Archiv)

Es gibt gute Gründe dafür, dass die Vogel IT-Akademie in diesem Jahr zum BSI & ISO Campus 2014 einlädt. Sicherheit kann nun einmal nach der bewährten, vom BSI entwickelten Vorgehensweise IT-Grundschutz, aber auch nach Standards der ISO-Familie eingeführt und kontrolliert werden.

Dabei sind die beiden Möglichkeiten von ihrem Grundansatz her kompatibel. Mit beiden wird ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS) betrieben, mit dem Risiken im Bereich der Informationssicherheit ermittelt und durch geeignete Maßnahmen auf ein akzeptables Maß reduziert werden.

Zertifizierungen sind nach beiden Standards möglich, wobei eine Zertifizierung nach BSI-Grundschutz auch die Umsetzung der international anerkannten Norm ISO 27001 umfasst. Die für eine Zertifizierung erforderlichen Vorgehensweisen sowie die Referenzdokumente unterscheiden sich allerdings erheblich, sodass schon frühzeitig geklärt werden muss, welcher Standard für die eigene Organisation infrage kommt.

Risikoanalyse als Bestandteil von ISO 27001

Wollen Unternehmen und Behörden ein ISMS einführen, müssen sie sich für einen der Standards entscheiden. Behörden orientieren sich meist am BSI-Grundschutz, während Unternehmen die freie Wahl haben. Egal, für welchen Standard man sich entscheidet, ein Blick auf den anderen Standard lohnt in jedem Fall.

Ein ISMS nach ISO 27001 ist mehr am Management der Informationssicherheit interessiert, wohingegen in den BSI-Grundschutzkatalogen detaillierte Vorgehensweise zur Minimierung von Risiken beschrieben werden. Der jeweils andere Standard kann gut als Inspirationsquelle für die eigene Arbeit hinzugezogen werden.

Ein wesentlicher Bestandteil eines ISMS nach ISO 27001 ist die Risikoanalyse und -bewertung, wohingegen eine Risikoanalyse beim BSI-Grundschutz nur in besonderen Fällen erforderlich ist. Innerhalb der ISO-27001-Familie wird zur Risikoanalyse auf die Norm ISO 27005 und andere Normen verwiesen.

Das BSI hat mit dem Standard BSI 100-3 eine eigene, am Grundschutz orientierte Vorgehensweise entwickelt. Ein Vergleich der verschiedenen Verfahren zeigt ihre Stärken und Schwächen und hilft, bei einer eigenen Risikoanalyse Synergieeffekte zu nutzen.

Jeweils eigene Audit-Vorgaben

Dr. Markus a Campo: Trainer am ersten Tag des BSI & ISO Campus 2014.
Dr. Markus a Campo: Trainer am ersten Tag des BSI & ISO Campus 2014.
(Archiv)
Unabhängig von einer Zertifizierung ist es sinnvoll, die eigene Sicherheit in regelmäßigen Abständen zu überprüfen. Diese internen Audits dienen dazu, Qualität und Stand der Umsetzung des ISMS mit Sinne einer kontinuierlichen Verbesserung zu erfassen und so aufzubereiten, dass die Leitungsebene Korrektur- und Vorbeugungsmaßnahmen in die Wege leiten kann.

Audits müssen gut vorbereitet und strukturiert durchgeführt werden. Hilfestellungen geben dabei die ISO-Norm 19011 und die vom BSI veröffentlichen Vorgehensweisen und Audit-Dokumente. Die Grundstruktur der Audits mit Dokumentenstudium und anschließender Vorbereitung und Durchführung des Vor-Ort-Audits ist gleich, allerdings bieten beide Standard Vor- und Nachteile.

Security-Insider: Weshalb ist es sinnvoll sich mit den BSI-Standards und zusätzlich den entsprechenden ISO-Norman zu beschäftigen?

Dr. Markus a Campo: Zur Einführung und Umsetzung von Informationssicherheit reicht prinzipiell die Vorgehensweise nach IT-Grundschutz (BSI) oder den ISO-Normen aus. Beide Werke unterscheiden sich nicht so sehr in ihren Zielen und prinzipiellen Vorgehensweisen, im Detail gibt es aber große Unterschiede. So beschäftigen sich die ISO-Standards mehr mit dem Management der Informationssicherheit (ISMS), die BSI-Vorgaben gehen dagegen sehr in Einzelheiten. Eine Betrachtung beider Standards hilft bei der Auswahl der für die eigene Organisation besten Vorgaben und hilft bei der Umsetzung.

Security-Insider: Hilft dieser Vergleich zwischen den Standards auch, wenn ich mein ISMS schon eingeführt habe.

a Campo: Ja, dann vor allem unter dem Gesichtspunkt der regelmäßigen Prüfung der Umsetzung des ISMS. Selbst wenn ich noch nicht zertifiziert bin oder das auch gar nicht anstrebe, sind interne Audits erforderlich, um den Zustand meines ISMS zu kontrollieren und Verbesserungen auszuarbeiten. Und gerade bei internen Audits lassen sich BSI- und ISO-Vorgaben sehr gut kombinieren und zu Synergieeffekten nutzen.

Security-Insider: Wie sieht es denn bei der Risikoanalyse aus? Die benötige ich bei einer Vorgehensweise nach IT-Grundschutz doch nicht.

a Campo: Bei einer Vorgehensweise nach IT-Grundschutz benötige ich die Risikoanalyse nur in bestimmten Fällen, etwa wenn kein passender BSI-Baustein zur Verfügung steht oder ich höhere Anforderungen an die Informationssicherheit habe. Die ISO 27001 verlangt immer eine Risikoanalyse und schlägt dazu die ISO 27005 vor. Das ist aber nur ein Vorschlag, keine Verpflichtung. Es ist möglich, sich für die Risikoanalyse in der ISO 27001 vom BSI-Grundschutz inspirieren zu lassen und umgekehrt.

Security-Insider: Die ISO 27001 ist wenig konkret, wenn es um die Angabe detaillierter Maßnahmen zur Sicherheit geht. Wie können mir da die BSI-Grundschutzkataloge weiterhelfen?

a Campo: Die Maßnahmen zur Vergrößerung der Informationssicherheit gehen in der ISO 27001 nicht sehr ins Detail. Da geht die ISO 27002 mit ihren Best-Practices-Ansätzen etwas mehr in die Tiefe. Allerdings ist es sehr empfehlenswert, sich bei der Formulierung von konkreten Vorgaben von den BSI-Grundschutzkatalogen und den anderen relevanten BSI-Dokumenten inspirieren zu lassen.

Security-Insider: Was ist der besondere Vorteil des BSI & ISO Campus?

a Campo: Beide Referenten kennen sich in der Theorie gut aus und haben darüber hinaus jahrelange Praxiserfahrung mit der Umsetzung der beiden Normen. Dieses Know-how ist Grundlage des BSI & ISO Campus 2014 , so dass die Inhalte beider Tage unmittelbar in die eigene Arbeit einfließen können.

* Markus a Campo studierte Technische Informatik an der RWTH Aachen und promovierte dort 1991. Seit 1997 arbeitet er als Berater, Autor und Schulungsreferent mit dem Schwerpunkt IT-Sicherheit. Seine Themen sind: Netzwerksicherheit allgemein, Security-Audits, IT-Forensik, Smartphones, Sicherheit von Web-Applikationen sowie die Standards BSI-Grundschutzkataloge und ISO 27001. Er ist von der IHK Aachen öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor »Systeme und Anwendungen der Informationsverarbeitung, insbesondere im Bereich IT-Sicherheit«. Außerdem ist er zertifizierter ISO 27001 Lead Auditor.

(ID:42944845)