IT-Grundschutz unter Berücksichtigung der BSI-Standards und dem IT-Grundschutz-Kompendium
Mehr zum Thema: Internetrecht, Computerrecht, IT-Grundschutz, Outsourcing, BSI-Standarts, Software, Outsourcing-VerträgeEin Überblick und eine Einordnung von Outsourcing-Verträgen
Der IT-Grundschutz besteht aus den BSI-Standards und dem IT-Grundschutz-Kompendium. Die BSI-Standards 200–1, 200–2 und 200–3 haben die bisherigen Versionen der Reihe 100-x seit Oktober 2017 abgelöst.
Die BSI-Standards beschreiben die konzeptionelle Vorgehensweise zur Etablierung, den Betrieb und der Fortschreibung eines Managementsystems für Informationssicherheit. Folgende Standards sind definiert:
seit 2022
20354 Hamburg
Tel: 040 948 53 559
Web: https://www.vertragsrecht-hamburg-anwalt.de/
E-Mail:
• BSI-Standard 200–1 führt allgemein in den Standard ein. Es werden die Begrifflichkeit des Sicherheitsprozesses und der Sicherheitskonzeption dargestellt und es findet ein Kompatibilitätsvergleich zu den bestehenden internationalen Normen der ISO 270xx statt.
• BSI-Standard 200–2 liefert die Beschreibung zur Initialisierung, des Aufbaus und des Betriebs eines Informationssicherheit Management Systems (ISMS) in der Praxis. Die Beschreibungen orientieren sich hierbei an einer pragmatischen und methodischen Vorgehensweise, um ein messbares und reproduzierbares Sicherheitsniveau zu erreichen. Unterstützt wird der Prozess durch das IT-Grundschutz-Kompendium, welches vorformulierte Anforderungen und Gefährdungen als Ergebnis einer Best-Practice-Analyse enthält.
• BSI-Standard 200–3 enthält eine Methodik zur Risikoanalyse. Diese orientiert sich an gängigen Risikobewertungsmethoden und -metriken, wie z.B. der ISO 27005. In der Praxis liefert der Grundschutz allerdings ein vereinfachtes Verfahren der Durchführung.
• BSI-Standard 100–4 widmet sich dem Aufbau und Betrieb eines Notfallmanagements zur Erhaltung der Geschäftsprozesse nach einem IT-Unfall.
Das IT-Grundschutz-Kompendium löst die IT-Grundschutzkataloge ab und dient seit dem 1. Februar 2018 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis des IT-Grundschutzes. Die jeweiligen Bausteine liefern die Anforderungen und Gefährdungen zu allen relevanten Aspekten der IT Sicherheit. Es wird hierbei zwischen Prozess-Bausteinen (z.B. Organisation und Personal, Betrieb und Detektion und Reaktion) sowie System-Bausteinen (z.B. IT-Systeme, industrielle IT und Netzwerke) unterschieden. Das IT-Grundschutz-Kompendium wird regelmäßig fortgeschrieben, um Schritt zu halten mit dem sich permanent veränderndem Stand der Technik.
Besonders Relevant ist der Baustein "Nutzung von Outsourcing" des IT-Grundschutz-Kompendiums, da die meisten Unternehmen ihre Software von dritter Seite beziehen. OPS.2.3.A4 sieht insoweit vor, dass einheitliche Grundanforderungen an Outsourcing-Verträge entwickelt werden müssen. Diese Grundanforderungen müssen Aspekte der Informationssicherheit, einen Zustimmungsvorbehalt bei Weiterverlagerungen sowie ein Recht auf Prüfung, Revision und Audit beinhalten. Bei der Entwicklung der Grundanforderungen sollten die Resultate der risikoorientierten Betrachtung sowie Eignungsanforderungen an Anbietende von Outsourcing mit einfließen. Mit den Anbietenden von Outsourcing sollte zudem eine Verschwiegenheitserklärung zum Schutz von sensiblen Daten vereinbart werden. Die Grundanforderungen müssen in Vereinbarungen und Verträgen einheitlich umgesetzt werden. Auf Basis der Grundanforderungen sollte eine einheitliche Vertragsvorlage erstellt und für alle Outsourcing-Vorhaben genutzt werden.
Rechtsanwältin
https://www.vertragsrecht-hamburg-anwalt.de/
Tel.: +49 (0)40 948 53 559