Suchen

Definition IT-Grundschutz BSI-Standard 200-3 Was ist der BSI-Standard 200-3?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Der BSI-Standard 200-3 ist neben den Standards 200-1 und 200-2 elementarer Bestandteil der IT-Grundschutz-Methodik des BSI. Inhalt des Standards sind Vorgehens­weisen zur Durchführung von Risikoanalysen zur Sicherstellung des IT-Grundschutzes. Der Standard stellt sämtliche risikobezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes gebündelt dar. Im Jahr 2017 löste der Standard 200-3 den vorherigen Standard 100-3 ab.

Der BSI-Standard 200-3 beschreibt das Risikomanagement als Bestandteil der IT-Grundschutz-Methodik des BSI.
Der BSI-Standard 200-3 beschreibt das Risikomanagement als Bestandteil der IT-Grundschutz-Methodik des BSI.
(Bild: Bundesamt für Sicherheit in der Informationstechnik (BSI))

Der Titel des BSI-Standard 200-3 lautet „Risikoanalyse auf Basis von IT-Grundschutz“. Zusammen mit den BSI-Standards 200-1 und 200-2 bildet er die Basiselemente der IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Standard richtet sich an Institutionen wie Unternehmen oder Behörden. Inhalte sind unter anderem Vorgehensweisen zur Erstellung und Durchführung von Risikoanalysen aufbauend auf einer IT-Grundschutzerhebung. Sämtliche auf Risiken bezogene Arbeitsschritte zur Umsetzung des IT-Grundschutzes stellt der BSI-Standard gebündelt dar.

Einsetzen lässt sich 200-3, wenn Institutionen wie Behörden oder Unternehmen bereits mit der Methodik des IT-Grundschutzes arbeiten und zusätzlich zur IT-Grundschutz-Analyse eine Risikoanalyse durchführen möchten. Aufbauend auf dem BSI-Sicherheitskonzept und dem IT-Grundschutz-Kompendium stellt 200-3 eine in Einzelschritten ausführbare Risikoanalyse dar. Das Dokument adressiert Verantwortliche der Informationssicherheit, Führungskräfte, Projektleiter, Sicherheitsberater, Sicherheitsexperten und Sicherheitsbeauftragte. Im Zuge einer Modernisierung der IT-Grundschutz-Methodik des BSI löste der Standard 200-3 den älteren Standard 100-3 ab. Unter anderem wurde mit der Überarbeitung ein vereinfachtes Gefährdungsmodell eingeführt. Im Anhang des Standards ist ein direkter Bezug zur ISO-Norm ISO/IEC 31000 hergestellt.

Zielsetzung und Inhalt des BSI-Standards 200-3

Zielsetzung des BSI-Standards 200-3 ist es, ein möglichst einfach anzuwendendes und anerkanntes Verfahren bereitzustellen, mit dem sich Risiken der Informationssicherheit leicht erkennen, bewerten und steuern lassen. Relevant sind Risikoanalysen vor allem für IT-Objekte, die einen hohen Schutzbedarf haben und deren Vertraulichkeit, Integrität oder Verfügbarkeit sichergestellt sein muss. Der BSI-Standard 200-3 beschreibt die schrittweise Durchführung einer Risikoanalyse. Folgende grundlegende Schritte werden vorgeschlagen:

  • 1. Vorbereitung der Risikoanalyse
  • 2. Erstellung einer Übersicht mit möglichen Gefährdungen
  • 3. Erweiterung der Übersicht mit zusätzlichen Gefährdungen
  • 4. Einstufung der Risiken
  • 5. Behandlung der Risiken
  • 6. Beobachtung der Risiken
  • 7. Konsolidierung mit dem Sicherheitskonzept
  • 8. Rückführung der Ergebnisse in den Sicherheitsprozess

Der komplette Prozess der Risikoanalyse ist ein elementarer Bestandteil des Informationssicherheitsmanagements. Die Ermittlung der einzelnen Risiken erfolgt, indem die Häufigkeit des Eintretens der Risiken und die Höhe der durch die Risiken im Schadensfall verursachten Schäden bewertet werden. Zur Risikobehandlung werden verschiedene Sicherheitsmaßnahmen getroffen, deren Wirksamkeit sich durch vergleichende Analysen prüfen lässt.

Kurzer Rückblick auf 100-3

In seinen Grundzügen besteht die Methodik des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik bereits seit dem Jahr 1994. Im Rahmen einer Modernisierung erfolgte im Jahr 2017 eine Überarbeitung der drei aus dem Jahr 2008 stammenden BSI-Standards 100-1, 100-2 und 100-3. Die aktualisierten Standards erhielten 200er-Nummern und wurden 2017 veröffentlicht. Neu in 200-3 ist die Bündelung sämtlicher risikobezogener Arbeitsschritte und Aspekte des Risikomanagements in einem Dokument. Zudem wurde ein vereinfachtes Gefährdungsmodell eingeführt. Insgesamt fasste die Überarbeitung 450 einzelne, spezifische Gefährdungen aus den Gefährdungskatalogen in 46 elementaren Gefährdungen zusammen. Die Elementargefährdungen sind kompatibel mit vergleichbaren internationalen Standards und sowohl produkt- als auch technikneutral.

(ID:46298770)

Über den Autor