Definition IT-Grundschutz BSI-Standard 200-2

Was ist der BSI-Standard 200-2?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der BSI-Standard 200-2 ist ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI.
Der BSI-Standard 200-2 ist ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. (Bild: Bundesamt für Sicherheit in der Informationstechnik (BSI))

Neben den Standards 200-1 und 200-3 ist der BSI-Standard 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert Methoden des Aufbaus, der Überprüfung und der Erweiterung eines Informations­sicherheits­management­systems (ISMS). Es stehen verschiedene Vorgehensweisen für die Basis-, Standard- oder Kern-Absicherung zur Verfügung. Der Standard ist kompatibel zur Zertifizierung nach ISO 27001. 2017 löste 200-2 den BSI-Standard 100-2 ab.

Beim BSI-Standard 200-2 und den Standards 200-1 und 200-3 handelt es sich um elementare Bestandteile der IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Titel des Standards lautet "IT-Grundschutz-Methodik". Er stellt Grundlagen der Methodik zum Aufbau eines Information Security Management Systems (ISMS - Informations­sicherheits­management­system) zur Verfügung. Inhalt sind verschiedene Vorgehensweisen zur Umsetzung des IT-Grundschutzes in einer Institution wie einem Unternehmen oder einer Behörde. Die Standards 200-1 und 200-2 besitzen eine ähnliche Struktur und ermöglichen ein schnelles Abgleichen von Inhalten.

Der IT-Grundschutz lässt sich über eine Basis-Absicherung, Standard-Absicherung und Kern-Absicherung realisieren. Für kleinere und mittlere Unternehmen (KMU) eignen sich besonders die Basis- oder die Kern-Absicherung. In großen Teilen besteht Kompatibilität zum ISO-Standard 27001. Mithilfe des BSI-Standards 200-2 lässt sich ein ISMS nicht nur aufbauen, sondern auch überprüfen oder erweitern. Vom Standard adressiert werden Verantwortliche für die Informationssicherheit, Sicherheitsberater, Sicherheitsexperten, Sicherheitsbeauftragte, Führungskräfte und Projektleiter. Im Zuge einer Modernisierung der IT-Grundschutzmethodik des BSI löste der Standard 200-2 den älteren Standard 100-2 ab.

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

11.11.19 - Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Zielsetzung und Inhalt des BSI-Standards 200-2

Ein zentrales Ziel des IT-Grundschutzes ist es, den Aufwand zum Aufbau und Betrieb eines Informationssicherheitsmanagements zu reduzieren. Es werden alle Bereiche einer Institution betrachtet und entsprechende Methoden bereitgestellt, um ein gewisses Niveau der IT-Sicherheit zu erreichen. Für den normalen Schutzbedarf ist die sogenannte Standard-Absicherung ausreichend. Das Sicherheitsniveau einer Basis-Absicherung liegt unter dem der Standard-Absicherung, bietet aber eine gute Grundlage für den Einstieg in das Informationssicherheitsmanagement. Besonders kritische und schützenswerte Geschäftsprozesse oder Informationen erreichen mit der Kern-Absicherung das benötigte hohe Sicherheitsniveau. Die Methodik des BSI-Standards 200-2 kann an die verschiedenen Anforderungen und Gegebenheiten unterschiedlich großer Institutionen angepasst werden. Inhalte des Standards sind unter anderem:

  • notwendige Schritte zur Einführung eines ISMS
  • Erstellung eines Sicherheitskonzepts
  • Initiierung eines Informationssicherheitsprozesses
  • Aufbau geeigneter Organisationsstrukturen
  • Erstellen der notwendigen Dokumentationen
  • Vorgehensweisen für die Basis-, Standard- und Kern-Absicherung
  • IT-Grundschutz-Check
  • Umsetzung von Sicherheitsmaßnahmen
  • notwendige Schritte und Bedingungen für eine Zertifizierung

Kurzer Rückblick auf 100-2

In seinen Grundzügen wurde der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik bereits im Jahr 1994 eingeführt. Im Rahmen einer Modernisierung erfolgte eine Überarbeitung der drei aus dem Jahr 2008 stammenden BSI-Standards 100-1, 100-2 und 100-3. Die Nachfolgestandards erhielten 200er-Nummern und erschienen im Jahr 2017. Im Gegensatz zum alten Standard 100-2 ist beim Nachfolgestandard 200-2 die Wahl drei verschiedener Vorgehensweisen (Basis-Absicherung, Kern-Absicherung, Standard-Absicherung) möglich. Der im alten Standard verwendete Begriff Basis-Sicherheitscheck wurde durch IT-Grundschutz-Check ersetzt. Weitere Anpassungen sind unter anderem:

  • Berücksichtigung Virtualisierung, Internet der Dinge (IoT) und Cloud Computing
  • erweitertes Schichtenmodell
  • neue Bausteine

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist der BSI-Standard 200-3?

Definition IT-Grundschutz BSI-Standard 200-3

Was ist der BSI-Standard 200-3?

Der BSI-Standard 200-3 ist neben den Standards 200-1 und 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Inhalt des Standards sind Vorgehens­weisen zur Durchführung von Risikoanalysen zur Sicherstellung des IT-Grundschutzes. Der Standard stellt sämtliche risikobezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes gebündelt dar. Im Jahr 2017 löste der Standard 200-3 den vorherigen Standard 100-3 ab. lesen

Was ist der BSI-Standard 200-1?

Definition IT-Grundschutz BSI-Standard 200-1

Was ist der BSI-Standard 200-1?

Der BSI-Standard 200-1 ist neben den Standards 200-2 und 200-3 ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert die allgemeinen Anforderungen an Information Security Management Systeme (ISMS - Managementsysteme für Informations­sicherheit) und ist kompatibel zum ISO-Standard 27001. Ziel des BSI-Standards ist es, Geschäftsprozesse von Unternehmen und Behörden sicherer zu gestalten und Daten zu schützen. Der BSI-Standard 200-1 löste 2017 den BSI-Standard 100-1 ab. lesen

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Weiterentwicklung des BSI-Standards 200-4

Schritt für Schritt zum Business Continuity Management

Weiterentwicklung des BSI-Standards 200-4

Notfallmanagement und regelmäßige Übungen sind noch nicht überall Standard, so ein Ergebnis der Cyber-Sicherheitsumfrage des BSI (Bundesamt für Sicherheit in der Informations­technik). Dies soll durch den geplanten BSI-Standard 200-4 anders werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle. lesen

Unternehmen fühlen sich Cyber-Kriminellen ausgeliefert

Symantec High Alert-Studie

Unternehmen fühlen sich Cyber-Kriminellen ausgeliefert

Eine von Symantec in Auftrag gegebene Studie zeichnet ein düsteres Bild hinsichtlich der Belastung und den Fähigkeiten von IT-Security-Teams in Unternehmen. Die Ergebnisse zeigen, in welch einer erschreckenden Lage sich Unternehmen bereits befinden. Ein Teufelskreis aus Überlastung und Stress verhindert die Weiterentwicklung beruflicher Fähigkeiten und Entscheidungsfindungen. lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Was ist ein Remote Access Trojaner (RAT)?

Definition Remote Access Trojaner / RAT

Was ist ein Remote Access Trojaner (RAT)?

Ein Remote Access Trojaner(abgekürzt RAT) ist eine Schadsoftware, die eine vom Anwender unbemerkte Fernsteuerung und administrative Kontrolle eines fremden Rechners ermöglicht. Die Manipulationsmöglichkeiten eins RATs sind vielfältig und reichen vom Ausspähen von Passwörtern über das Stehlen von Daten bis zur unbemerkten Nutzung der Webcam oder des Mikrofons. lesen

IT-Sicherheit überfordert Security-Entscheider

Symantec Seurity-Studie

IT-Sicherheit überfordert Security-Entscheider

Eine neue Studie zeigt, wie Regulierungen, wachsende Bedrohungen und technologische Komplexität zunehmend die Cyber-Security-Entscheider in Deutschland, Frankreich und Großbritannien überfordert. Vier von fünf (82 Prozent) Security-Experten aus diesen Ländern geben an, sich ausgebrannt zu fühlen. 63 Prozent denken bereits darüber nach, die Branche zu wechseln oder ihrem aktuellen Arbeitgeber zu kündigen (64 Prozent). lesen

KAS-44 hilft beim Schutz von industriellen Anlagen

Kritische Systeme effektiv schützen

KAS-44 hilft beim Schutz von industriellen Anlagen

Für Unternehmen die kritische Infrastrukturen betreiben ist der Schutz vor Hackern und Co. von größter Bedeutung. Die Kommission für Anlagensicherheit (KAS) hat deshalb Leitsätze zur Prävention von Cyber-Angriffen formuliert. Das Merkblatt KAS-44 konkretisiert die Anforderungen der IT-Security für jene Betriebe, die unter die Störfallverordnung fallen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46298748 / Definitionen)