Suchen

Definition IT-Grundschutz BSI-Standard 200-2 Was ist der BSI-Standard 200-2?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Neben den Standards 200-1 und 200-3 ist der BSI-Standard 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert Methoden des Aufbaus, der Überprüfung und der Erweiterung eines Informations­sicherheits­management­systems (ISMS). Es stehen verschiedene Vorgehensweisen für die Basis-, Standard- oder Kern-Absicherung zur Verfügung. Der Standard ist kompatibel zur Zertifizierung nach ISO 27001. 2017 löste 200-2 den BSI-Standard 100-2 ab.

Der BSI-Standard 200-2 ist ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI.
Der BSI-Standard 200-2 ist ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI.
(Bild: Bundesamt für Sicherheit in der Informationstechnik (BSI))

Beim BSI-Standard 200-2 und den Standards 200-1 und 200-3 handelt es sich um elementare Bestandteile der IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Titel des Standards lautet "IT-Grundschutz-Methodik". Er stellt Grundlagen der Methodik zum Aufbau eines Information Security Management Systems (ISMS - Informations­sicherheits­management­system) zur Verfügung. Inhalt sind verschiedene Vorgehensweisen zur Umsetzung des IT-Grundschutzes in einer Institution wie einem Unternehmen oder einer Behörde. Die Standards 200-1 und 200-2 besitzen eine ähnliche Struktur und ermöglichen ein schnelles Abgleichen von Inhalten.

Der IT-Grundschutz lässt sich über eine Basis-Absicherung, Standard-Absicherung und Kern-Absicherung realisieren. Für kleinere und mittlere Unternehmen (KMU) eignen sich besonders die Basis- oder die Kern-Absicherung. In großen Teilen besteht Kompatibilität zum ISO-Standard 27001. Mithilfe des BSI-Standards 200-2 lässt sich ein ISMS nicht nur aufbauen, sondern auch überprüfen oder erweitern. Vom Standard adressiert werden Verantwortliche für die Informationssicherheit, Sicherheitsberater, Sicherheitsexperten, Sicherheitsbeauftragte, Führungskräfte und Projektleiter. Im Zuge einer Modernisierung der IT-Grundschutzmethodik des BSI löste der Standard 200-2 den älteren Standard 100-2 ab.

Zielsetzung und Inhalt des BSI-Standards 200-2

Ein zentrales Ziel des IT-Grundschutzes ist es, den Aufwand zum Aufbau und Betrieb eines Informationssicherheitsmanagements zu reduzieren. Es werden alle Bereiche einer Institution betrachtet und entsprechende Methoden bereitgestellt, um ein gewisses Niveau der IT-Sicherheit zu erreichen. Für den normalen Schutzbedarf ist die sogenannte Standard-Absicherung ausreichend. Das Sicherheitsniveau einer Basis-Absicherung liegt unter dem der Standard-Absicherung, bietet aber eine gute Grundlage für den Einstieg in das Informationssicherheitsmanagement. Besonders kritische und schützenswerte Geschäftsprozesse oder Informationen erreichen mit der Kern-Absicherung das benötigte hohe Sicherheitsniveau. Die Methodik des BSI-Standards 200-2 kann an die verschiedenen Anforderungen und Gegebenheiten unterschiedlich großer Institutionen angepasst werden. Inhalte des Standards sind unter anderem:

  • notwendige Schritte zur Einführung eines ISMS
  • Erstellung eines Sicherheitskonzepts
  • Initiierung eines Informationssicherheitsprozesses
  • Aufbau geeigneter Organisationsstrukturen
  • Erstellen der notwendigen Dokumentationen
  • Vorgehensweisen für die Basis-, Standard- und Kern-Absicherung
  • IT-Grundschutz-Check
  • Umsetzung von Sicherheitsmaßnahmen
  • notwendige Schritte und Bedingungen für eine Zertifizierung

Kurzer Rückblick auf 100-2

In seinen Grundzügen wurde der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik bereits im Jahr 1994 eingeführt. Im Rahmen einer Modernisierung erfolgte eine Überarbeitung der drei aus dem Jahr 2008 stammenden BSI-Standards 100-1, 100-2 und 100-3. Die Nachfolgestandards erhielten 200er-Nummern und erschienen im Jahr 2017. Im Gegensatz zum alten Standard 100-2 ist beim Nachfolgestandard 200-2 die Wahl drei verschiedener Vorgehensweisen (Basis-Absicherung, Kern-Absicherung, Standard-Absicherung) möglich. Der im alten Standard verwendete Begriff Basis-Sicherheitscheck wurde durch IT-Grundschutz-Check ersetzt. Weitere Anpassungen sind unter anderem:

  • Berücksichtigung Virtualisierung, Internet der Dinge (IoT) und Cloud Computing
  • erweitertes Schichtenmodell
  • neue Bausteine

(ID:46298748)

Über den Autor