IT-Grundschutz mit GRASP
Mit dem ISM-Modul von GRASP bekommen Sie eine umfassende Lösung für die nahtlose Umsetzung von IT-Grundschutz und den BSI-Standards 200-1, 200-2 und 200-3. Unser integriertes Managementsystem ist speziell auf die Anforderungen des BSI ausgerichtet. IT-Grundschutz nach BSI ist zudem ein guter Wegweiser zu einem echten Informationssicherheitsmanagement nach ISO 27001. Durch die nahtlose Integration von Daten aus unterschiedlichen Quellen und der Erstellung von Workflow-Engines bieten wir Ihnen die ideale Grundlage für effizientes Arbeiten.
Phasen der Grundschutz-Implementierung mit GRASP
GRASP führt Sie sicher durch alle Phasen der Grundschutz-Implementierung – von der Definition des Informationsverbunds bis zum Zertifizierungsprozess. Alle KPIs werden getrackt und dabei jederzeit übersichtlich in einem Dashboard angezeigt.
GRASP legt besonderen Wert auf Anpassbarkeit: Bausteine, Gefährdungen, Maßnahmen und Prozesse können einfach an die individuellen Anforderungen Ihres Grundschutzprozesses angepasst werden. Erleichtern Sie sich mit GRASP den Weg zu einem umfassenden Informationssicherheitsmanagement.
GRASP ermöglicht Ihnen einen Kickstart, da der BSI-konforme Ablauf vorkonfiguriert ist. Das Modul besitzt alle relevanten BSI-Grundschutz-Kompendium-Informationen und ermöglicht Import von Bestandsdaten (inkl. GSTOOL).
1. Wie hilft mir GRASP bei der Bestandsaufnahme und Strukturanalyse?
In diesem ersten Schritt geht es darum, die Assets zu identifizieren und in Beziehung zu setzen, die gefährdet sind und somit geschützt werden müssen. Komplexe IT-Landschaften, mangelnde Dokumentation, veraltete Informationen, Ressourcenmangel und heterogene Systeme lassen diesen ersten Schritt ohne Tool-Unterstützung schon nervenzerfetzend anstrengend werden.
GRASP ermöglicht eine Inventarisierung inklusive einer präzisen Identifizierung aller relevanten Informationen, IT-Systeme, Netzwerke, Anwendungen und Prozesse im Unternehmen für eine umfassende Bestandsaufnahme. Sie erhalten die Informationen grafisch visualisiert und können so schnell und sicher die Objekte in Beziehung setzen.
2. Wie hilft mir GRASP bei der Schutzbedarfs- feststellung?
Bei der Schutzbedarfsfeststellung geht es darum, zu ermitteln, welcher Schaden entstehen kann, wenn bei einem Asset die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden. Hier stoßen Sie oft auf Probleme wie unklare Kriterien, subjektive Einschätzungen, mangelnde Dokumentation, unzureichende Beteiligung der Stakeholder oder veraltete Informationen.
GRASP hilft Ihnen in den oft langen und anstrengenden Diskussionen durch integrierte Schutzbedarfsfeststellung effizienter – ganz ohne Excel – zu dokumentieren und den Schutzbedarf für identifizierte Informationen und Systeme schneller festzulegen. Hierzu dienen die Schutzklassen Vertraulichkeit, Integrität und Verfügbarkeit. Weitere lassen sich im Zuge der Konfiguration schnell ergänzen.
3. Wie hilft mir GRASP bei der Maßnahmenauswahl?
Sind die Schutzbedarfe ermittelt, geht es darum, durch Modellierung die geeigneten Maßnahmen zu identifizieren. Gründe fürs Scheitern sind wiederum komplexe Auswahlprozesse, Anpassung an individuelle Unternehmensstrukturen, fehlende Priorisierung, mangelnde Akzeptanz, Überforderung durch Informationsflut oder unklare Zuständigkeiten.
GRASP erleichtert die Auswahl geeigneter Bausteine und Maßnahmen aus dem IT-Grundschutz-Kompendium entsprechend dem ermittelten Schutzbedarf. Dabei berücksichtigen wir die spezifischen Anforderungen und Strukturen Ihres Unternehmens.
4. Wie hilft mir GRASP bei der Risikoanalyse?
Umfangreiche Datenmengen, unklare Risikokriterien, mangelnde Transparenz, komplexe Bedrohungslandschaft und unzureichende Datenaktualisierung erschweren die Analyse. GRASP hilft dabei klare Risikokriterien festzulegen, transparente Bewertungsmethoden zu erstellen und kümmert sich um regelmäßige Datenaktualisierung.
Mithilfe der Risikoanalysefunktion identifiziert GRASP potenzielle Bedrohungen und Schwachstellen und bietet eine klare Risikoübersicht. Sie können Eintrittswahrscheinlichkeit und zu erwartenden Schaden zuordnen und sich grafisch mittels eines Ampelsystems visualisieren lassen.
5. Wie hilft mir GRASP bei der Umsetzung der Maßnahmen?
Sind Maßnahmen identifiziert, muss sie jemand umsetzen. GRASP unterstützt die nahtlose Implementierung der ausgewählten Sicherheitsbausteine und Maßnahmen. Die Integration in bestehende Prozesse und Strukturen erfolgt sowohl technisch als auch organisatorisch. GRASP ermöglicht es, Maßnahmen zu allen gefundenen Schwachstellen zu ergreifen.
Indem alle verantwortlichen Personen mittels GRASP an einem zentralen Informationspunkt zusammenarbeiten, bleiben alle Beteiligten über den Fortschritt der Maßnahmenumsetzung auf dem Laufenden. Aufgaben sind priorisiert und aufeinander abgestimmt.
6. Wie hilft mir GRASP bei der Dokumentation?
Bei der IT-Grundschutz-Umsetzung nach BSI können Dokumentationsprobleme wie mangelnde Struktur, Aktualisierungsaufwand, Konsistenzprobleme und fehlende Automatisierung auftreten. Lösungen beinhalten klare Strukturen, regelmäßige Aktualisierungen, Standardisierung, effiziente Prozesse und möglicherweise den Einsatz von Automatisierungstools.
Eine umfassende Dokumentationsfunktion ermöglicht die Festhaltung der durchgeführten Maßnahmen und der getroffenen Sicherheitsvorkehrungen. Zudem unterstützt GRASP die Erstellung von Sicherheitskonzepten und Richtlinien.
7. Wie hilft mir GRASP beim Notfallmanagement und der Kontinuitätsplanung?
Hier treten in der Regel Probleme wie unvollständige Risikobewertung, fehlende Integration mit anderen Prozessen, ungetestete Pläne, mangelnde Aktualisierung und fehlende Kommunikationsstrukturen auf.
GRASP unterstützt die Entwicklung von umfassenden Plänen für den Umgang mit Sicherheitsvorfällen und Notfällen. Durch das Rollen- und Berechtigungskonzept sind Verantwortlichkeiten klar. Zudem wird die Sicherstellung der Geschäftskontinuität nach Sicherheitsvorfällen erleichtert.
8. Überprüft und passt GRASP regelmäßig an?
Mit regelmäßigen Überprüfungen und Anpassungen gewährleistet GRASP eine kontinuierliche Evaluation der implementierten Maßnahmen und des Sicherheitsniveaus, unterstützt durch Dashboards und KPI-Tracking.
9. Wie unterstützt GRASP bei Audit und Zertifizierungen?
Für den IT-Grundschutz ist nicht zwingend ein Audit vorgesehen. Wenn Sie einen solchen aber dennoch durchführen wollen, unterstützt GRASP eine unabhängige Prüfung und Zertifizierung des IT-Grundschutzes, mit dem Fokus auf Auditmanagement. Sie können automatisiert auditfertige Reports generieren und individualisieren. Selbiges gilt auch für interne Audits.
