kronsoft IT-Grundschutz - Software und Tools für Datenschutz, BSI IT-Grundschutz und ISO 27001

Direkt zum Seiteninhalt
opus i BSI - IT-Grundschutz unterstützt Sie beim Aufbau und dem Betrieb eines Informationssicherheits- Managementsystem (ISMS) nach den Vorgaben der BSI-Standards 200-1 bis 200-3. Der ältere Standard 100-x wird weiterhin vorgehalten.
Optimieren Sie Ihre IT-Sicherheits-Management-Tätigkeiten
Der BSI - IT-Grundschutz ist ein fertig vorbereitetes ISMS. Sie müssen nur noch die Werte kennen, die Sie schützen möchten!
Wenn Sie mit opus i die Anforderungen des BSI - IT-Grundschutzes managen, stellt Ihnen opus i AUTOMATISCH alle wirkenden Risiken, die notwendigen Anforderungen und Maßnahmen sowie den  Risikobehandlungsplan (200-3) zusammen.
opus i übernimmt Ihre GSTOOL-Daten!

IT-Sicherheitsgesetz?
Kommen Sie wegen des IT-Sicherheitsgesetzes zu uns und möchten den IT-Grundschutz (ISO27001) einsetzen?
Mit opus i bearbeiten Sie genau die im Gesetz niedergelegten Forderungen schnell, wissensunterstützt und zu einem fantastischen Preis. Kurz: lassen Sie sich bitte keine grauen Haare darüber wachsen.

opus i deckt die Forderungen des IT-Grundschutzes aus den BSI-Standard 200-1, 200-2 und 200-3 vollständig ab. Ganz unten können Sie sich einen vollständigen Eindruck zu den Funktionalitäten verschaffen. Wir möchten Ihnen hier an dieser Stelle zeigen, wie einfach das Erstellen eines ISMS nach IT-Grundschutz ist.
Viele Administratoren, IT-Sicherheitsverantwortliche, IT-Leiter oder Datenschutzbeauftragte glauben, dass der Aufbau eines IT-Sicherheitskonzeptes kompliziert ist und tiefgehende IT-Sicherheitskenntnisse notwendig sind. Das ist bei weitem nicht der Fall, denn der IT-Grundschutz basiert auf der Verwendung von Bausteinen mit denen Sie die Grundlage zur automatischen Erstellung des Konzeptes legen. Sie müssen lediglich die richtigen Bausteine richtig aufeinandersetzen und wir sind davon überzeugt, dass Sie das können - opus i hilft Ihnen dabei. Beginnen wir:

Erfassen der Team-Mitglieder (Mitarbeiter, evtl. auch externe Personen)
Ein ISMS, also ein Informationssicherheitsmanagementsystem, funktioniert nur, wenn es von einem Team erstellt, gepflegt und gelebt wird. Die Teammitglieder haben bestimmte Kenntnisse und werden im Rahmen ihrer Kenntnisse als Maßnahmeninitiierer (Arbeitsauftrag zur Implementierung auslösen) und Maßnahmenimplementierer (Maßnahmenbearbeiter) eingesetzt.
Wir würden also im ersten Schritt die Mitglieder des ISMS-Teams im Stammdatenordner erfassen und zum Beispiel gleich die Kommunikationsdaten (Telefon, Fax, Emailadresse,...) eintragen.

Rollenzuordnung
Im IT-Grundschutz gibt es Anforderungen und Maßnahmen, die helfen sollen die Eintrittswahrscheinlichkeiten von Gefahren (eine Gefahr besteht aus einem Risiko und einer vorhandenen Schwachstelle) zu reduzieren. Glücklicherweise hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gleich zu jeder Anforderung vermerkt, wer die Anforderung initiieren und implementieren soll. Das BSI untergliedert die Zuständigkeiten in "Rollen", von denen es ca. 80 gibt: Administrator, Leitung der Stelle, Datenschutzbeauftragter, Leitung IT, usw.

Erfassen der Werte
Mit Hilfe des ISMS möchten wir unsere Werte vor Schäden (Datendiebstahl, Ausfall des Helpdeskteams, unbefugte Kenntnisnahme von Daten, usw.) schützen. Damit diese Werte vollumfänglich geschützt werden können, müssen alle Objekte (im IT-Grundschutz sprechen wir von Zielobjekten) bekannt sein und in opus i erfasst werden. Bitte nicht wundern, aber zu den Werten zählen auch Gebäude, Räume, externe Dienstleister oder z.B. Multifunktionsgeräte, denn die genannten Objekte sind notwendig um z.B. die Fachaufgabe "Beantragung von EU-Mitteln" ausführen zu können. Sie erfassen nun also alle im Scope (Betrachtungs-/Anwendungsbereich) involvierten Objekte. Aber wir erfassen nicht 200 PCs sondern bilden vorab Gruppen von PCs und reduzieren dadurch 200 PCs auf 4, 6 oder ein wenig mehr Gruppen und halten dadurch den Erfassungs- und Pflegeaufwand niedrig. Dasselbe gilt für die anderen Objektarten, also z.B. für Server oder virtuelle Server. Die Gruppenbildung kann nach verschiedenen Kriterien vorgenommen werden: installierte Betriebssysteme, PC-Konfiguration, nach unterschiedlichen Schutzbedarfen, nach Verwendung in Prozessen oder Fachaufgaben, usw. Das ist nicht schwierig. Objekte, also Zielobjekte, die in der Regel immer zu erfassen sind, können sein: Gebäude, Räume, das oder die Netzwerke, Netzwerkelemente wir Switches und Router, Server, virtuelle Server, PCs und endlich das, was geschützt werden soll, die Anwendungssysteme und deren Daten. In opus i erfassen wir diese Objekte über die rechte Maustaste und den entsprechenden Erfassungsdialog innerhalb der in opus i bereitgestellten "Stammdatenordnern" für Gebäude, Räume, PCs usw.

Zuordnen des Schutzbedarfs
Im IT-Grundschutz müssen wir für die Anwendungen und deren Daten den Schutzbedarf für Vertraulichkeit, Integrität und Verfügbarkeit (VIV) ermitteln und dokumentieren. Für die restlichen Objekte müssen wir dies NICHT tun. Lediglich beim "Netzwerk" müssen wir festlegen, ob es ein Außennetzwerk ist (in der Regel JA) oder ein Innennetzwerk (in der Regel NEIN). Jetzt, im nächsten Schritt Modellieren wir; wir ordnen allen erfassten Objekten (also den Gebäuden, den Räumen, den PCs, usw.) die im IT-Grundschutz vorgesehenen Bausteine zu:

Modellieren der Objekte
Sie müssen nicht wissen, welche Bausteine wohin zugeordnet werden, das weiß opus i. Sie öffnen per Doppelklick den Bearbeitungsdialog eines jeden Ziel-Objektes und setzen dort in der angebotenen Eigenschaftenliste mit der Maus bei den richtigen Objekteigenschaften ein Häkchen. Sind mehr als eine Eigenschaft möglich, setzen Sie mehrere Häkchen. opus i ordnet aufgrund der Häkchen (also der Objekteigenschaften) die richtigen Bausteine dem Objekt zu. Beispiele: ein PC kann die Eigenschaft "Netzwerk-PC mit Windows 7", ein Server kann die Eigenschaften "Server mit Windows 2008 + Virtualisierung" haben; eine Anwendung hat sehr oft die Eigenschaft "Datenbankanwendung".
Jetzt haben wir lediglich noch einen Schritt zu machen damit "Ihr ISMS steht" - wir verknüpfen die erfassten Objekte aus den Stammdatenordnern miteinander - wir bilden den sogenannten IT-Verbund.

IT-Verbund herstellen
Wir bauen nun den IT-Verbund auf, indem wir die Objekte aus den Stammdaten-Ordnern in den IT-Verbund einbringen. Dazu werden die verschiedenen Objekte realitätsnah in den IT-Verbund hineinreferenziert, wie hier im Bild dargestellt.
Durch den Aufbau des IT-Verbundes haben wir auch gleichzeitig die Abhängigkeit der Objekte untereinander festgelegt. Im Bild ist z.B. zu sehen, dass die Anwendung "A01 Anwendung Servermonitoring" sowohl mit einem PC in der IT-Abteilung, als auch mit einem Server im Rechenzentrum "verknüpft" ist.
Mit Hilfe des IT-Verbundes können wir jetzt den Schutzbedarf der Anwendungen auf die beteiligten Objekte übertragen. Dies geschieht per Mausklick über ein Popup-Menü, das auf dem obersten IT-Verbund-Objekt aufgerufen werden kann.

Mit diesen fünf Schritten:
erfassen der Teammitglieder, Erfassen der Werte, Zuordnen des Schutzbedarfes, Modellieren der Objekte und Herstellen des IT-Verbundes haben Sie Ihr IT-Sicherheitskonzept (Ihr ISMS) erstellt. Dieses IT-Sicherheitskonzept ist kein Dokument sondern besteht aus der Summe der im IT-Verbund wirkenden Risiken und der im IT-Verbund gelisteten Anforderungen und Maßnahmen.
Unsere Aufgabe besteht jetzt darin jedes IT-Verbundobjekt zu öffnen (Doppelklick mit der Maus) und die im Objekt aufgelisteten Anforderungen und Maßnahmen zu bearbeiten. Eine Anforderung kann z.B. heißen "Geschlossene Fenster und Türen". Welche Forderungen diese Maßnahmen an Sie stellt, steht in der Anforderungsbeschreibung, die Sie mit rechtem Mausklick einsehen können.

Das weitere Vorgehen
Zuerst schauen Sie sich alle IT-Sicherheitsanforderungen im IT-Verbund an und prüfen, ob die Anforderungen bereits bei Ihnen im Hause realisiert (implementiert) sind. Diese Anforderungen kennzeichnen Sie als “umgesetzt”. Das BSI bezeichnet diese Istaufnahme als Basissicherheitscheck.
Bei den verbleibenden Anforderungen entscheiden Sie, welche Anforderung in welcher Reihenfolge umgesetzt werden. Einfach gesprochen: ab jetzt ist es eine reine Fleißaufgabe.

Das Zertifikat nach IT-Grundschutz auf Basis der ISO 27001 erhalten
Die vom BSI geforderten Reports A.0 bis A.6 sind in opus i enthalten.
kronsoft ist seit 2001 dabei.

Wir erhielten den Lizenzvertrag am 31.05.2001 und können auf 20 Jahre Erfahrung zurückgreifen.
Lizenznehmer IT-Grundschutz
kronsoft e.K.   -   Schillerstraße 10   -   Deutschland   -   66564 Ottweiler/Saar   -   Telefon: +49 6858 6370  -   Kontakt
Zurück zum Seiteninhalt