IT-Grundschutz – kostenlose Software für sicherheitsbewusste Organisationen.

In der Pressemitteilung vom 19.09.2013 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass die weitere Entwicklung des GS-Tools in der Version 5.0 eingestellt ist. In einer weiteren Pressemitteilung Nr. 01/2014 vom 17.01.2014 teilte es weiterhin mit, dass der Support der aktuellen Version des GS-Tools 4.8 voraussichtlich bis Ende 2016 angeboten wird. Eine Weiterentwicklung der Version 4.8 ist nicht geplant. (Quelle: BSI)

Die GRC Partner GmbH bietet das DocSetMinder® Modul „IT-Grundschutz“ für die unmittelbaren Bundes-, Landes- und Kommunalverwaltungen der Bundesrepublik Deutschland kostenlos an. Das gilt ebenfalls für gemeinnützige Vereine (gemäß §52 der Abgabenordnung (AO)), Forschungsinstitute, Hochschulen und Schulen. Es handelt sich dabei um eine kostenlose Softwareüberlassung (vgl. EVB-IT zeitlich unbefristete Überlassung von Standardsoftware). Die Softwarewartung (vgl. EVB-IT Pflegevertrag S) sowie weitere Module aus dem Produktportfolio des DocSetMinder® sind weiterhin für die genannten Organisationen kostenpflichtig, allerdings stark rabattiert. Es handelt sich dabei um eine netzwerkfähige Version und fünf Concurrent-User-Lizenz.

Im Rahmen der Weiterentwicklung von DocSetMinder® sind die Module für die Planung, Durchführung und Dokumentation der BSI-Standards 100-1, 100-2, 100-3, 100-4 vollständig überarbeitet worden. Im Mittelpunkt der Weiterentwicklung standen vor allem das Modul „IT-Grundschutz“ sowie die Verbesserung der Softwarefunktionen aus dem Bereich der Dokumentenlenkung. Die Modulstrukturen und Softwarefunktionen der DocSetMinder®-Version 2014 erlauben auch den NICHT-IT-Sicherheitsspezialisten die selbständige Umsetzung der wesentlichen Aspekte des IT-Grundschutzes und des Notfallmanagements.

„Mit dem Angebot möchten wir aktiv Organisationen unterstützen, denen die erforderlichen finanziellen Mittel für die Planung, Umsetzung und Aufrechterhaltung der IT-Sicherheit nicht ausreichend zur Verfügung stehen. Aus diesem Grund werden oft die so wichtigen Investitionen in der Behörde oder Hochschule auf „das nächste Jahr“, ohne Rücksicht auf die daraus resultierenden Risiken verschoben. In der Praxis vergehen häufig 1-3 Jahre bis zur Entscheidung für die Beschaffung einer adäquaten Software. Als Hersteller möchten wir hier einen unterstützenden Beitrag leisten“, so der geschäftsführende Gesellschafter und Berater Krzysztof Paschke.

Ein wesentliches Alleinstellungsmerkmal des DocSetMinder® ist die vollständige Abbildung des Informationssicherheits- und Notfallmanagementprozesses gemäß den BSI-Standards. Es werden keine weiteren Tools benötigt! Die erforderlichen Informationen für die Strukturanalyse, wie die Aufbau- und Ablauforganisation des Unternehmens oder der Behörde, IT-Dokumentation, Richtlinien und die BSI Grundschutz-Kataloge sind in der Lösung integriert. Es handelt sich dabei um nicht stichwortweise erfasste Stammdaten wie Rollen oder IT-Infrastrukturkomponenten etc., sondern um detailliert erfasste Sachverhalte. Sie können gleichermaßen für die Umsetzung der genannten BSI-Standards und auch für den Nachweis der Umsetzung und Dokumentation gemäß IDW PS 330, IDW PS 951, GoBS und CobiT genutzt werden. Durch die gemeinsame Nutzung der erfassten Informationen entsteht ein enormer Mehrwert durch die Aktualität und Zeitersparnis bei der Vorbereitung der internen und externen Audits für jede IT-Abteilung und -Verantwortlichen.

Alle dafür notwendigen Informationen, Dokumente und Zeichnungen sind ausschließlich mit den im DocSetMinder® enthaltenen Softwarefunktionen (z.B. Flowcharter, Texteditor, Aufgabenplaner, Workflowmanagement etc.) realisierbar und im zentralen Repository gespeichert. Externe Tools, wie z.B. IT-Inventory und –Management-Tools oder Prozessmanagement-Werkzeuge können nahtlos integriert werden. Bereits im Unternehmen oder in der Behörde vorhandene Informationen können in der Umsetzung des ISMS und Notfallmanagements effizient verwendet werden. Durch den Einsatz von aufeinander abgestimmten Modulen kann das wie folgt umgesetzt werden (Zusammenfassung):

• Modul „Unternehmens- und Behördenorganisation“ - Erfassung der organisatorischen Einheiten und Verantwortlichkeiten, Prozesse, IT-Verträge, Versicherungen sowie Leitlinien. Diese Informationen sind für die Strukturanalyse erforderlich.
• Modul „IT-Dokumentation“ - Erfassung der Gebäude, Räume, Netzwerkkomponenten (passive und aktive Einheiten), Hardware (z.B. Server, Arbeitsplätze und Peripheriegeräte), Software (z.B. Betriebssysteme, Anwendungen, Schnittstellen) sowie der Infrastruktur für den Notbetrieb. Es wird eine Relation zwischen den Prozessen und den IT-Komponenten, mit denen die Prozesse abgebildet sind erstellt. Diese Informationen sind für die Strukturanalyse des IT-Verbundes erforderlich.
• Modul „IT-Grundschutz“ - Definition der IS-Organisation und des Schutzbedarfs, Schutzbedarfsfeststellung, Modellierung und Basis-Sicherheitscheck. Durchführung einer ergänzenden Sicherheitsanalyse, ggf. Risikoanalyse. Erfassung der Sicherheitsvorfälle und Planung der internen und externen Audits. Im Modul „IT-Grundschutz“ sind die BSI Grundschutz-Kataloge integriert.
• Modul „IT-Notfallmanagement“ - Definition der Notfallorganisation, Durchführung der Business Impact Analyse (BIA), Risikoanalyse, Kontinuitätsstrategie, Kosten-Nutzen-Analyse, Notfallhandbücher, Erfassung der Schadensereignisse und Planung der internen und externen Audits. Mit dem Modul „IT-Notfallmanagement“ können die Maßnahmen des Bausteins B 1.3 oder der BSI-Standard 100-4 vollständig umgesetzt werden.

Weitere Informationen über kpaschke(at)grc-partner.de