Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen des 3. IT-Grundschutz-Tages den neuen BSI-Standard in Form eines Entwurfs vorgestellt. Der Standard 200-3 basiert dabei auf dem IT-Grundschutz und noch können Anwender Ideen zur Weiterentwicklung einbringen.
STANDARD 200-3
Der Standard kann als Weiterentwicklung des alten BSI-Standard 100-3 gesehen werden. Die Risikoanalyse daraus wurde dazu in ein simplifiziertes Gefährdungsmodell übernommen. Der Standard fasst dabei alle risikorelevanten Arbeitsschritte in einem Dokument zusammen. Der Vorteil des neuen Standards: Erreichen des Sicherheitsniveaus mit erheblich weniger Aufwand als früher.
COMMUNITY DRAFT
Der neue Standard wurde dazu erst mal als Community Draft veröffentlicht. So können auch Anwender ihre Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen. Der Standard macht vor allem dann Sinn, wenn Unternehmen oder Behörden schon erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anhängen wollen.
WICHTIGE GRUNDLAGE
Hierzu erklärt Arne Schönbohm, Präsident des BSI in einer Pressemeldung: „Infolge der Digitalisierung nimmt die Komplexität der IT und damit auch die Abhängigkeit von Staat, Wirtschaft und Gesellschaft von IT stetig zu. Cyber-Sicherheit und ein umfassendes Risikomanagement sind entscheidende Kriterien für eine erfolgreiche Digitalisierung, insbesondere in Verwaltung und Wirtschaft. Der IT-Grundschutz und der neue BSI-Standard zum Risikomanagement sind eine wichtige Grundlage, um Gefährdungspotentiale zu untersuchen, realistisch zu bewerten und mögliche Risiken angemessen zu behandeln. Dazu gehört, einen soliden Prozess zur Risikoentscheidung aufzusetzen.“