Definition IT-Grundschutz BSI-Standard 200-3

Was ist der BSI-Standard 200-3?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der BSI-Standard 200-3 beschreibt das Risikomanagement als Bestandteil der IT-Grundschutz-Methodik des BSI.
Der BSI-Standard 200-3 beschreibt das Risikomanagement als Bestandteil der IT-Grundschutz-Methodik des BSI. (Bild: Bundesamt für Sicherheit in der Informationstechnik (BSI))

Der BSI-Standard 200-3 ist neben den Standards 200-1 und 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Inhalt des Standards sind Vorgehens­weisen zur Durchführung von Risikoanalysen zur Sicherstellung des IT-Grundschutzes. Der Standard stellt sämtliche risikobezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes gebündelt dar. Im Jahr 2017 löste der Standard 200-3 den vorherigen Standard 100-3 ab.

Der Titel des BSI-Standard 200-3 lautet „Risikoanalyse auf Basis von IT-Grundschutz“. Zusammen mit den BSI-Standards 200-1 und 200-2 bildet er die Basiselemente der IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Standard richtet sich an Institutionen wie Unternehmen oder Behörden. Inhalte sind unter anderem Vorgehensweisen zur Erstellung und Durchführung von Risikoanalysen aufbauend auf einer IT-Grundschutzerhebung. Sämtliche auf Risiken bezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes stellt der BSI-Standard gebündelt dar.

Einsetzen lässt sich 200-3, wenn Institutionen wie Behörden oder Unternehmen bereits mit der Methodik des IT-Grundschutzes arbeiten und zusätzlich zur IT-Grundschutz-Analyse eine Risikoanalyse durchführen möchten. Aufbauend auf dem BSI-Sicherheitskonzept und dem IT-Grundschutz-Kompendium stellt 200-3 eine in Einzelschritten ausführbare Risikoanalyse dar. Das Dokument adressiert Verantwortliche der Informationssicherheit, Führungskräfte, Projektleiter, Sicherheitsberater, Sicherheitsexperten und Sicherheitsbeauftragte. Im Zuge einer Modernisierung der IT-Grundschutz-Methodik des BSI löste der Standard 200-3 den älteren Standard 100-3 ab. Unter anderem wurde mit der Überarbeitung ein vereinfachtes Gefährdungsmodell eingeführt. Im Anhang des Standards ist ein direkter Bezug zur ISO-Norm ISO/IEC 31000 hergestellt.

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

11.11.19 - Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Zielsetzung und Inhalt des BSI-Standards 200-3

Zielsetzung des BSI-Standards 200-3 ist es, ein möglichst einfach anzuwendendes und anerkanntes Verfahren bereitzustellen, mit dem sich Risiken der Informationssicherheit leicht erkennen, bewerten und steuern lassen. Relevant sind Risikoanalysen vor allem für IT-Objekte, die einen hohen Schutzbedarf haben und deren Vertraulichkeit, Integrität oder Verfügbarkeit sichergestellt sein muss. Der BSI-Standard 200-3 beschreibt die schrittweise Durchführung einer Risikoanalyse. Folgende grundlegende Schritte werden vorgeschlagen:

  • 1. Vorbereitung der Risikoanalyse
  • 2. Erstellung einer Übersicht mit möglichen Gefährdungen
  • 3. Erweiterung der Übersicht mit zusätzlichen Gefährdungen
  • 4. Einstufung der Risiken
  • 5. Behandlung der Risiken
  • 6. Beobachtung der Risiken
  • 7. Konsolidierung mit dem Sicherheitskonzept
  • 8. Rückführung der Ergebnisse in den Sicherheitsprozess

Der komplette Prozess der Risikoanalyse ist ein elementarer Bestandteil des Informationssicherheitsmanagements. Die Ermittlung der einzelnen Risiken erfolgt, indem die Häufigkeit des Eintretens der Risiken und die Höhe der durch die Risiken im Schadensfall verursachten Schäden bewertet werden. Zur Risikobehandlung werden verschiedene Sicherheitsmaßnahmen getroffen, deren Wirksamkeit sich durch vergleichende Analysen prüfen lässt.

Kurzer Rückblick auf 100-3

In seinen Grundzügen besteht die Methodik des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik bereits seit dem Jahr 1994. Im Rahmen einer Modernisierung erfolgte im Jahr 2017 eine Überarbeitung der drei aus dem Jahr 2008 stammenden BSI-Standards 100-1, 100-2 und 100-3. Die aktualisierten Standards erhielten 200er-Nummern und wurden 2017 veröffentlicht. Neu in 200-3 ist die Bündelung sämtlicher risikobezogener Arbeitsschritte und Aspekte des Risikomanagements in einem Dokument. Zudem wurde ein vereinfachtes Gefährdungsmodell eingeführt. Insgesamt fasste die Überarbeitung 450 einzelne, spezifische Gefährdungen aus den Gefährdungskatalogen in 46 elementaren Gefährdungen zusammen. Die Elementargefährdungen sind kompatibel mit vergleichbaren internationalen Standards und sowohl produkt- als auch technikneutral.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Einführung eines Informations­sicherheits­management­systems

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

Keine Organisation kann es sich heute noch leisten, den Schutz ihrer digitalen Werte und der IT-Infrastruktur zu vernachlässigen. Aber: Ein Informations­sicherheits­management­system (ISMS) zu implementieren, ist aufwändig. Unternehmen können aber mit dem nötigen Know-how bei der Einführung eines ISMS Zeit, Kosten und Nerven sparen. lesen

Was ist der BSI-Standard 200-2?

Definition IT-Grundschutz BSI-Standard 200-2

Was ist der BSI-Standard 200-2?

Neben den Standards 200-1 und 200-3 ist der BSI-Standard 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert Methoden des Aufbaus, der Überprüfung und der Erweiterung eines Informations­sicherheits­management­systems (ISMS). Es stehen verschiedene Vorgehensweisen für die Basis-, Standard- oder Kern-Absicherung zur Verfügung. Der Standard ist kompatibel zur Zertifizierung nach ISO 27001. 2017 löste 200-2 den BSI-Standard 100-2 ab. lesen

Was ist der BSI-Standard 200-1?

Definition IT-Grundschutz BSI-Standard 200-1

Was ist der BSI-Standard 200-1?

Der BSI-Standard 200-1 ist neben den Standards 200-2 und 200-3 ein elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Er definiert die allgemeinen Anforderungen an Information Security Management Systeme (ISMS - Managementsysteme für Informations­sicherheit) und ist kompatibel zum ISO-Standard 27001. Ziel des BSI-Standards ist es, Geschäftsprozesse von Unternehmen und Behörden sicherer zu gestalten und Daten zu schützen. Der BSI-Standard 200-1 löste 2017 den BSI-Standard 100-1 ab. lesen

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Unternehmen fühlen sich Cyber-Kriminellen ausgeliefert

Symantec High Alert-Studie

Unternehmen fühlen sich Cyber-Kriminellen ausgeliefert

Eine von Symantec in Auftrag gegebene Studie zeichnet ein düsteres Bild hinsichtlich der Belastung und den Fähigkeiten von IT-Security-Teams in Unternehmen. Die Ergebnisse zeigen, in welch einer erschreckenden Lage sich Unternehmen bereits befinden. Ein Teufelskreis aus Überlastung und Stress verhindert die Weiterentwicklung beruflicher Fähigkeiten und Entscheidungsfindungen. lesen

BSI warnt erneut vor Windows-Schwachstelle Bluekeep

Warnung vor wurmartigen Angriffen

BSI warnt erneut vor Windows-Schwachstelle Bluekeep

Wurmartige Cyber-Angriffe mit WannaCry und NotPetya haben im Jahr 2017 weltweit Millionenschäden verursacht. Ein vergleichbares Szenario ermöglicht die kritische Schwachstelle Bluekeep, die im Remote-Desktop-Protocol-Dienst (RDP) von Microsoft-Windows enthalten ist. Jetzt sei die Entwicklung von Exploits für die Schwachstelle in Arbeit, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Wurmkur für Windows XP bis Server 2008

BSI und Infoblox warnen vor neuem WannaCry

Wurmkur für Windows XP bis Server 2008

Aus Sorge vor einer erneuten Wurmepidemie hat Microsoft die eigentlich nicht mehr gepflegten Windows-Versionen XP und Server 2003 mit einem Patch versorgt – und damit womöglich eine Neuauflage des WannaCry-Angriffes verhindert. lesen

Wichtige Windows-Updates sogar für Windows XP

Microsoft Patchday Mai 2019

Wichtige Windows-Updates sogar für Windows XP

Microsoft hat am Patchday im Mai 2019 für alle unterstützten Windows-Systeme Updates zur Verfügung gestellt. Dieses Mal wurde auch ein Update für Windows XP, Vista und Windows Server 2003 bereitgestellt. Die neue Seitenkanal-Malware ZombieLoad steht im Mai im Fokus der Updates. Wir geben einen Überblick. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46298770 / Definitionen)