RUN – BSI 的新测试规范

fabiha01

德国联邦信息安全局 (BSI) 的“ RUN”文件（代表“证据测试范围内的成熟度和实施水平评估”）于2025 年 1 月 2 日发布了 1.0 版本（参见BSI 公告）。它提供了一种统一且结构化的方法来评估第 8a 节 BSIG 要求的实施情况。这篇博文介绍了该文件对关键基础设施运营商（KRITIS）和审计师的核心内容、实际意义和影响。

背景和目标
RUN 文件的制定是为了提高 BSIG 第 8a 节框架内提供证据的透明度和可比性。自 2025 年 4 月 1 日起，所有向 BSI 提交的验证报告都必须遵守该规定。核心目标是：

标准化信息安全管理系统（ISMS）和业务连续性管理系统（BCMS）的成熟度和实施水平。
提供评估成熟度和实施水平的标准化方法。
RUN文档并不能替代ISO/IEC 27001等其他标准或法规，而应理解为对BSI-KritisV要求具体化的补充。

RUN 文档的结构
RUN 文档采用模块化结构，为 KRITIS 操作员和审计员提供清晰的指导。它首先介绍了有关应用的一般信息，其中涉及自 2025 年 4 月起的约束性以及第 8a 节 BSIG 要求和攻击检测系统指南 (OH SzA) 的整合。

第二部分介绍了与根据 BSIG 第 8a 条第 1 款和第 1a 款实施的措施的要求规范相关的主题领域，这些措施构成了评估的基础。其中包括 ISMS、BCMS 以及组织、人员、物理和技术措施。这里还涵盖了检测和响应领域，其中包括攻击检测（AzA）系统。

该文件的核心部分是成熟度评估。它主要关注 ISMS 和 BCMS 管理系统，并区分五个级别，新加坡商业传真列表 从计划到持续改进的系统。这是针对不同类别的措施专门制定的实施决心程度的补充。因此可以具体评估技术保护措施或物理安全概念。

最后，附录提供了具体要求的详细映射及其与相应成熟度和实施级别的分配。

成熟度和实施评估的方法
管理体系成熟度评估
RUN 文档以清晰的结构顺序描述了管理系统 (ISMS / BCMS) 的五个成熟度级别：

成熟度级别 1（已计划）标志着初步规划和预算的起点。流程尚未完全定义，并且已启动一些措施。
随着成熟度达到 2 级（管理），组织进入更加可控的阶段。流程已记录并提供了实施的初步证据。然而，通常仍然缺乏一致的系统。
成熟度级别 3（已建立）代表已建立的管理系统。流程已融入组织，其文档齐全，并且大部分计划措施已得到有效实施。
在成熟度级别 4（可衡量）中，重点是流程的可衡量性。关键绩效指标和KPI能够持续监控和评估以确保有效性。
最后，成熟度级别 5（持续改进）旨在持续改进。分析和审计的结果用于持续优化战略和流程。
确定措施的实施程度
执行程度的评估依据 SzA 的程序：

实施级别 1（规划阶段，尚未实施）：此级别表示措施或流程尚未实施的状态。目前仅有概念性计划或意向声明，而没有任何具体的实施步骤。
实施级别 2（个别措施的部分实施）：在此级别，实施的措施仅涵盖流程或管理系统的部分内容。这些通常是孤立的措施，例如：法规、指南、策略或单独的技术措施。这些有助于形成更大的措施网络，但还不代表一个完整的过程。
实施级别 3（整个流程的实施）：当影响整个流程或管理系统的措施已完全实施时，即可达到此级别，例如资产管理、事件管理或连续性管理。上述各项措施（实施级别 2）代表了实现该级别所需的必要组成部分。
实施级别 4（验证和可测量性）：这里的重点是实施确保标准化流程和管理系统的验证和可测量性的措施。此级别的核心方面是对先前实施的流程的评估。为了达到这一水平，需要完整实施一个流程（实施级别 3），因为只有在此基础上才有可能进行测量和评估。
实施级别5（持续改进）：此级别描述了重点关注现有流程、措施和管理系统的持续改进的措施的实施。这些改进是基于在实施级别4框架内取得的测量结果和评估。因此，完全完成前一阶段是达到这一成熟度级别的必要前提。
对操作员和审计员的实际意义
RUN 文档为 KRITIS 操作员和审计员提供了明显的优势。通过应用该文件，运营商可以获得对其安全措施的结构化和易于理解的评估。这不仅可以更轻松地确定必要改进的优先顺序，而且还可以使当前的安全状态更加透明。此外，投资可以有针对性地解决弱点并满足法律要求。

RUN 文件为审计员提供了重要的澄清。标准化的评估标准规范了审计方法，确保结果更加一致、可比。在测试过程的各个阶段都必须考虑成熟度级别的确定：

规划：成熟度级别测量必须作为额外的测试步骤或工作流程整合到KRITIS 审计规划中。这可以作为现有检查点的补充或作为单独的块来完成。
方法论：成熟度级别的确定必须融入到测试方法中，以确保成熟度级别的确定具有可理解性和可靠性。
测试基础：成熟度级别及其对特定要求的分配必须嵌入测试基础中，并在必要时明确分配给相应的要求。
运营商：必须以结构化和正式化的方式与被审计运营商讨论审计期间确定的成熟度级别，并将其适当地记录在审计文件中。
前景
BSI 的 RUN 文件是朝着标准化和改进测试程序迈出的重要一步。它有助于使弱点变得透明并启动有针对性的改进。它为 KRITIS 操作员和审计员提供了宝贵的指导。从 2025 年 4 月起强制实施将证明该文件的有效性和在实践中的适用性。