Mark Semmler | [VdS 3473] 3473 vs. ISO 27001 und IT-Grundschutz

13.06.2015

[VdS 3473] 3473 vs. ISO 27001 und IT-Grundschutz

Ein umfangreicher Vergleich zwischen ISO, BSI und der 3473 ist in Arbeit und wird spätestens mit der entsprechenden Schulung im November zur Verfügung stehen (ich hoffe schon weitaus früher, aber Prio 1 hat aktuell die Fertigstellung der Norm zum 01.07.).

Hier schon einmal drei Aspekte:

Die 3473 ist generell nach dem Motto "KISS" aufgebaut. Sie verzichtet z.B. auf umfangreiche Dokumentation und Analyse, was sich durchaus negativ auf das Schutzniveau auswirken kann, sie aber für KMU praktikabel werden lässt. So wird in ihr z.B. die Implementierung eines BCM (inkl. BIA) empfohlen, aber man ist frei, eigene Vorgehensweisen zu definieren, sofern die Minimalanforderungen der 3473 erfüllt sind. Hier lohnt sich ein Blick in das Kapitel 9 "Identifizieren kritischer IT-Ressourcen", das Kapitel 17 "Störungen und Ausfälle" und in den Anhang A2 "Risikoanalyse und -behandlung".
An anderen Stellen ist die 3473 sehr spezifisch (z.B. wenn es darum geht, einen minimalen Schutz auf allen Systemen zu definieren, Kapitel 10 "IT-Systeme"), damit die Minimalanforderungen zügig implementiert werden können. Übrigens findet sich auch hier eine Hintertür für Unternehmen, die selbst diesen Minimalschutz nicht implementieren wollen: Werden Minimalanforderungen nicht umgesetzt obwohl dies technisch möglich wäre, so müssen die dadurch entstehenden Risiken durch eine Risikoanalyse dokumentiert und behandelt werden. Alleine diese Hürde wird für einiges an Bewegung in Chefetagen führen, weil nicht behandelte bzw. behandelbare Risiken vom Topmanagement akzeptiert werden müssen.
Als letztes Beispiel sei die Fokussierung der 3473 auf die "kritischen" Teile der IT-Infrastruktur genannt. Nur für diese Ressourcen werden höhere Schutzmaßnahmen definiert und eine Risikoanalyse gefordert. Als "kritisch" definiert die 3473 alle Teile der IT-Infrastruktur, bei deren eine Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit katastrophale Schäden nach sich ziehen können (es können Menschen ums Leben kommen oder das Unternehmen könnte aufhören zu existieren). Alleine diese Definition führt dazu, dass KMU nur sehr wenige "kritische" Ressourcen besitzen werden (wenn überhaupt).

Eine Bitte zum Schluss

Schauen Sie die 3473 an und geben Sie uns Feedback. Ich würde mich sehr freuen! (link:https://www.mark-semmler.de/prowi/doku.php?id=projekte:vds3473releases:start text:Hier der Link zu den aktuellen Versionen der 3473 (und einem XLS-Sheet für schnelles Feedback).