Security is a process!

BSI IT-Grundschutz
mit unseren
ISMS-Frameworks

IT-Grundschutz Tool:
Unsere modularen ISMS-Frameworks

CycleSEC verwendet bei der ISMS-Implementierung nach BSI-IT-Grundschutz seine eigenentwickelte Struktur aus ISMS-Frameworks und Compliance-Mappings.

Die Steuerung aller Anforderungen aus BSI IT-Grundschutz erfolgt dabei in einem dediziert hierfür entwickelten Framework, dass alle Anforderungen aus dem BSI-Standard 200-2 und dem IT-Grundschutz-Kompendium berücksichtigt. Es besteht aus den folgenden Bestandteilen:

ISO/IEC 27001 auf Basis von IT-Grundschutz: Die CycleSEC ISMS-Frameworks machen gängige Grundschutz-Tools überflüssig.

Risiko-Management: Das Risiko-Framework enthält bereits vorbereitete Risiko-Assessments für die 47 elementaren Gefährdungen des BSI-IT-Grundschutzes.

Informationsverbund: Es steht eine App zur Modellierung des Informationsverbunds zur Verfügung.

Schutzbedarfsfeststellung: Die Schutzbedarfsfeststellung erfolgt direkt in der App für die Objekte des Informationsverbunds.

IT-Grundschutz-Kompendium: Alle Bausteine und Anforderungen sind bereits berücksichtigt.

IT-Grundschutz-Check zum ISMS: Für die prozessorientierten Bausteine und Anforderungen sind bereits IT-Grundschutz-Checks angelegt und vorausgefüllt.

IT-Grundschutz-Check für IT-Systeme: Für die systemorientierten Bausteine stehen Vorlagen für alle Anforderungen zur Verfügung, die auf die Objekte des Informationsverbunds angewendet werden sollen.

Compliance-Mappings: Zur Unterstützung des IT-Grundschutz-Checks stehen im Compliance-Framework unsere bewährten Compliance-Mappings zur Verfügung.

Staatlicher Geheimschutz: Die CycleSEC ISMS-Frameworks berücksichtigen bereits die Anlage 4 zum Geheimschutzhandbuch – GHB: VS-NfD-Merkblatt mit Stand 07/2023

IT-Grundschutz Tool in einer modernen Web-Oberfläche

Neben einer individuellen Implementierung bieten wir zur Implementierung eines ISMS nach ISO/IEC 27001 eine vollständige ISMS-Dokumentation in XWiki. Das Second Generation Wiki XWiki ist eine Plattform zum Wissensmanagement. Als Confluence-Alternative haben wir mit XWiki in unseren Kundenprojekten sehr gute Erfahrungen gemacht. Darüber hinaus wird XWiki in der Open CoDE-Plattform der Öffentlichen Verwaltung für Projekte im Wissensmanagement empfohlen.

Die Umsetzung des IT-Grundschutzes erfolgt in des CycleSEC ISMS-Frameworks übersichtlich im vollständig integrierten BSI-Framework und in den Mappings zum BSI IT-Grundschutz. Das BSI-Framework enthält den Import der aktuellsten IT-Grundschutz-Bausteine des Grundschutz-Kompendiums und mehrere Apps für die Modellierung des Informationsverbunds, die Schutzbedarfsfeststellung und den IT-Grundschutz-Check. Hierfür liefern die Mappings zum BSI IT-Grundschutz die Bewertungsgrundlage. Der IT-Grundschutz-Check ist für die prozessorientierten Bausteine bereits vorausgefüllt und voll in die ISMS-Frameworks integriert.

4300+

Seiten zum IT-Grundschutz

1000+

weitere Seiten im ISMS

6500+

Verknüpfungen

100+

Vorlagen und Beispiele

40+

Apps und Tools

Die vorhandene Struktur aus über 4300 CMS-Seiten erleichtert Ihnen den Einstieg in eine ISMS-Implementierung nach BSI IT-Grundschutz, ohne dass Sie die Flexibilität eines CSM verlieren. Über 6500 interne Verknüpfungen bringen Sie schnell an die gewünschte Stelle Ihres ISMS.

Als Basistechnologie nutzen wir das 2nd-Generation-Wiki XWiki in Kombination mit einigen freien Erweiterungen (Plugins). 1st-Generation-Wikis werden für die gemeinsame Arbeit an einem Content-Pool verwendet. 2nd-Generation-Wikis (auch bekannt als strukturierte und Anwendungs-Wikis) können zur Erstellung kollaborativer Webanwendungen wie den CycleSEC ISMS-Frameworks verwendet werden. 

Als Skriptsprache kommt ausschließlich Velocity zum Einsatz. Velocity ist eine Template-Engine, die von der Apache Software Foundation entwickelt wurde. Die Velocity Template Language (VTL) ist keine eigenständige Programmiersprache. Sie dient der Erstellung von Templates, die für dynamische Ausgaben mit Daten gefüllt werden können. Velocity erfüllt alle Anforderungen, die für eine ISMS-Implementierung benötigt werden, ist aus Sicherheitsaspekten aber weniger kritisch als die Verwendung von Groovy oder Java, die einen deutlich größeren Funktionsumfang liefern.

Im Gegensatz zu herkömmlichen IT-Grundschutz-Tools bietet der mit den CycleSEC ISMS-Frameworks verfolgte Ansatz vor allem Flexibilität und die Vorzüge einer modernen Weboberfläche. Während marktübliche Tools meist proprietäre Client-Software oder Web-Anwendungen sind, bieten Ihnen die CycleSEC ISMS-Frameworks einen Ansatz, den Sie nach Ihren eigenen Bedürfnissen anpassen und fortentwickeln können. Mit der Beauftragung erhalten Sie hierfür ein nicht ausschließliches, dauerhaftes und unkündbares Nutzungsrecht* für unsere ISMS-Frameworks.

Die Dokumentation eines ISMS mit nicht enden wollenden Tabellen und unübersichtlichen Ordnerstrukturen ist mit den CycleSEC-Frameworks Geschichte.

Fünf wichtige BSI-Anforderungen an ein IT-Grundschutz Tool

Im Folgenden stellen wir für den BSI IT-Grundschutz wichtige Bestandteile der ISMS-Frameworks vor.

BSI IT-Grundschutz Kompendium

Das IT-Grundschutz-Kompendium formuliert Sicherheitsanforderungen nach dem Stand der Technik in prozess- und systemorientierten Kategorien. Die CycleSEC ISMS-Frameworks enthalten das IT-Grundschutz-Kompendium in der Edition 2023 mit allen Bausteinen und Anforderungen. Im Compliance-Framework finden sich bereits vorgefertigte Mappings zu allen Anforderungen aus den prozessorientierten Bausteinen. Die Bausteine des IT-Grundschutz Kompendiums werden in der BSI-Asset-Management-App den jeweiligen Objekten des Informationsverbunds zugeordnet auf die sie angewendet werden sollen.

Modellierung des Informationsverbunds

Der Informationsverbund gemäß BSI IT-Grundschutz stellt den Geltungsbereich des ISMS dar. Er kann in mehreren tabellarischen Übersichten angezeigt und ausgewertet werden, die für den jeweiligen Objekttyp alle geforderten Tabellenspalten enthalten. Weitere Ansichten auf die Daten der BSI-Asset-Management-App können jederzeit manuell angelegt und an die eigenen Projektbedürfnisse angepasst werden. In einer tabellarischen Auswertung liefern verschieden Sichten eine Übersicht zu den Objekten Informationsverbund:

Anwendungen (A)

Gebäude und Räume (G)

Personelle Ressourcen (HR)

IT-Systeme (IT)

Netzwerke (N)

Geschäftsprozesse (P)

Die Liste der Objekttypen ist dabei frei konfigurierbar und kann je nach Projekterfordernissen angepasst werden

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung gemäß BSI IT-Grundschutz ist ein Prozess zur Ermittlung des notwendigen Schutzes im Informationsverbund basierend auf einer angemessenen Vertraulichkeit, Integrität und Verfügbarkeit. In unserer BSI-Asset-Management-App können alle Informationen zum Schutzbedarf erfasst und in mehreren tabellarischen Übersichten ausgewertet werden. Wie überall in unseren ISMS-Frameworks lassen sich die Übersichten und Auswertungen mit allen Möglichkeiten des genutzten CMS XWiki frei konfigurieren.

In der Standardkonfiguration ist die Implementierung der ISMS-Dokumentation in einer XWiki-Infrastruktur bereits als Beispiel für einen Informationsverbund modelliert.

IT-Grundschutz-Check und Umsetzung

Der IT-Grundschutz-Check und die Umsetzungsplanung für die Sicherheitsanforderungen des IT-Grundschutz-Kompendiums werden in der IT-Grundschutz-Check-App im Asset-Framework durchgeführt. Zur Erleichterung des Einstiegs wurden bereits alle IT-Grundschutz-Check-Sheets für die Anforderungen der prozessorientierten Bausteine angelegt. Diese sind bezüglich des Erfüllungsgrads der Anforderungen durch die CycleSEC ISMS-Frameworks bereits vorausgefüllt.

Für die systemorientierten Bausteine existieren vorbereitete Vorlagen, die nach ihrer Auswahl den jeweiligen Objekten im Informationsverbund zugewiesen werden können. Die Umsetzungsplanung erfolg ebenfalls in der IT-Grundschutz-Check-App. Sie enthält bereits zahlreiche grafische Übersichten zum Stand der Umsetzung der Bausteine, die mit wenig Aufwand erweitert und angepasst werden können. Auf diese Weise erhalten Sie komfortabel und schnell einen Überblick über Ihr ISMS.

Umfangreiche Änderungen an den Datenbeständen der Apps können skript-basiert auf den gesamten Datenbestand angewendet werden. Das ist z.B. dann hilfreich, wenn Sie einen neuen Umsetzungstermin für alle Maßnahmen eines Bausteins oder sogar aller Bausteine setzen wollen. Im ISMS-Team-Framework findet man für diese Aufgaben Skriptvorlagen, die schnell an die eigenen Bedürfnisse angepasst werden können.

Unsere Veröffentlichungen zum Thema

ISMS mit DIN EN ISO/IEC 27001 betreiben und verbessern

Erschienen im Beuth Verlag, herausgegeben vom DIN

Autoren: Dr. Wolfgang Böhmer, Prof. Dr. Knut Haufe, Sebastian Klipper (CycleSEC), Dr. Thomas Lohre, Prof. Dr. Rainer Rumpel, Dipl.-Inf. Bernhard C. Witt

Buch beim Verlag ansehen…

Al­les be­ginnt mit ei­nem Satz – CMS- und Ticket-Systeme als ISMS-Tools

Fachartikel zu unseren Frameworks in der Zeitschrift <kes>

Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick (jeweils CycleSEC)

Artikel in der <kes> ansehen…

Die CycleSEC-Frameworks in der Fachzeitschrift <kes>

Beitrag in unserem Blog

Autor: Sebastian Klipper (CycleSEC)

Beitrag in unserem Blog lesen…

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen