IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Transkript

1 IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag

2 Inhalte Überblick BSI IT, Netze, Clouds und andere geheimnisvolle Dinge IT-Grundschutz - der Weg zum Standard IT-Grundschutz und Entwicklungen darum herum Folie 2

3 Das BSI eine Kurzvorstellung... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetz als nationale Behörde für IT- Sicherheit Jahresbudget: 64 Mio. (2009) Mitarbeiter: über 500 Standort: Bonn Folie 3

4 Das BSI - der zentrale Sicherheitsdienstleister des Bundes Positionierung, Kunden: operativ: Bundesverwaltung kooperativ: Wirtschaft, Wissenschaft informativ: Bürger Folie 4

5 Produkt- und Dienstleistungsportfolio Folie 5

6 IT, Netze, Clouds und andere geheimnisvolle Dinge Folie 6

7 20 Jahre IT-Entwicklung Vernetzung Internet-Nutzung Komplexität der IT Virtualisierung Cloud Computing Schwachstellen Schadsoftware Risiko IT-Grundschutz Bedeutung Umfang Folie 7

8 Situation in der Praxis Einsatz von technischen Sicherheitslösungen... Firewalls Virenschutzprogramme Intrusion-Detection-Systeme Spam-Filter Aber... Sind diese in Einklang mit den Geschäftsprozesse gebracht? Werden auch nicht-technische Aspekte berücksichtigt? Wurden die Investitionen an richtiger Stelle getätigt und sind sie angemessen? Folie 8

9 Sicherheit ist... Sicherheit ist kein Produkt Sicherheit kann man nicht kaufen, Sicherheit muss man schaffen! Natürlich muss man zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgreifen. Sicherheit ist kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheit muss aufrechterhalten werden! Natürlich kann man Aufbau und Aufrechterhaltung von Sicherheit auch teilweise in Projekten abwickeln. Sicherheit ist ein Prozess Sicherheit ist Chefsache Folie 9

10 Informationssicherheit in einer Organisation Viele Wege führen zur Informationssicherheit... Welcher Weg ist der effektivste? Folie 10

11 IT-Grundschutz IT-Grundschutzhandbuch IT-Grundschutz-Zertifikat BSI-Standards 100-1, 100-2, & IT-Grundschutz-Kataloge, ISO Zertifizierung auf der Basis von IT-Grundschutz 1994 IT-Sicherheit 1995 BS BS , BS ISO Informationssicherheit ISO 27001:2005 ISO 27002:2005 Folie 11

12 ISO Standards für ISMS ISO 27001:2005 Information technology - Security techniques - Information security management systems - Requirements erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001) dient als Grundlage einer Zertifizierung ISO 27002:2005 Information technology - Security techniques - Code of practice for information security management keine Spezifikation und kein Zertifizierungsstandard dient zum besseren Verständnis der in der ISO definierten Anforderungen (insbesondere aus Anhang A) Folie 12

13 ISO Standards für ISMS (2) Und noch mehr: 27000: 27001: 27002: 27003: 27004: 27005: 27006: 27007: etc. ISMS Overview and vocabulary ISMS Requirements Code of practice for ISM ISMS implementation guidance ISM Measurement Information security risk management Requirements for bodies providing audit and certification of ISMS Guidelines for ISMS auditing (Entwurf) Folie 13

14 IT-Grundschutz - der Weg zum Standard Folie 14

15 IT-Grundschutz Die Idee... Typische Komponenten Typische Gefährdungen, Schwachstellen und Risiken Konkrete Umsetzungshinweise für das Sicherheitsmanagement Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen Vorbildliche Lösungen aus der Praxis - Best Practice - Ansätze Folie 15

16 Ziel des IT-Grundschutzes IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind. Folie 16

17 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Folie 17

18 BSI-Standard BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Zielgruppe: Management Kompatibel mit ISO/IEC Interpretation der Norm allgemeine Anforderungen an ein ISMS Strategie Ressourcen ISMS Management- Prinzipien Mitarbeiter Folie 18

19 BSI-Standard IT-Grundschutz-Vorgehensweise Aufbau und Betrieb eines Informationssicherheitsmanagements (ISMS) in der Praxis Anleitungen zu: Aufgaben des Sicherheitsmanagements Etablierung einer Organisationsstruktur für Informationssicherheit Erstellung eines Sicherheitskonzepts Initiierung Initiierung des des Sicherheitsprozesses Sicherheitsprozesses Sicherheitskonzeption Sicherheitskonzeption Umsetzung Umsetzung der der Sicherheitskonzeption Sicherheitskonzeption Aufrechterhaltung Aufrechterhaltung und und kontinuierliche kontinuierliche Verbesserung Verbesserung Auswahl angemessener Sicherheitsmaßnahmen Informationssicherheit aufrecht erhalten und verbessern Folie 19

20 BSI-Standard Risikoanalyse auf Basis von IT-Grundschutz Eine Ergänzende Sicherheitsanalyse ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert. IT-Grundschutzanalyse: Modellierung des Informationsverbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Ergänzende Sicherheitsbetrachtung Management-Report Risikoanalyse auf der Basis von IT- Grundschutz Konsolidierung der Maßnahmen Realisierung der Maßnahmen Folie 20

21 BSI-Standard Risikoanalyse IT-Grundschutz Teil I - IT-Strukturanalyse - Schutzbedarfsfeststellung - Modellierung - Basis-Sicherheitscheck I - Erg. Sicherheitsanalyse Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Maßnahmenauswahl zur Behandlung von Risiken IT-Grundschutz Teil II - Basis-Sicherheitscheck II Konsolidierung des Sicherheitskonzepts Folie 21

22 BSI-Standard Notfallmanagement Überprüfung und Verbesserung Self-Assessment, Revision Verbesserungsprozess Tests und Übungen Übungsarten Dokumente Durchführung Notfallbewältigung Ablauforganisation Krisenkommunikation Notfallhandbuch Initiierung des Notfallmanagements Verantwortung Organisatorische Strukturen Leitlinie zum Notfallmanagement Einbindung Mitarbeiter Konzeption Business Impact Analyse Risikoanalyse Ist-Zustand Kontinuitätsstrategien Umsetzung des Notfallkonzepts Kosten- und Aufwandsabschätzung Umsetzungsreihenfolge Aufgaben und Verantwortung Realisierungsbegl. Maßnahmen Folie 22

23 IT-Grundschutz-Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Folie 23

24 IT-Grundschutz und Entwicklungen darum herum Folie 24

25 Dienstleistungen und Produkte rund um den IT-Grundschutz Sicherheitsbedarf, Anspruch Leitfaden Informationssicherheit - Webkurs zum Selbststudium BSI Standard 100-1: ISMS Hilfsmittel & Musterrichtlinien Software: GSTOOL BSI Standard 100-2: IT- Grundschutz- Vorgehensweise Beispiele: GS-Profile + ISO Zertifikat BSI Standard 100-3: Risiko- Analyse IT-Grundschutz- Kataloge Leitfaden IS- Revision BSI Standard 100-4: Notfallmanagement BSI-Empfehlungen: - Internetsicherheit - Hochverfügbarkeit Folie 25

26 Webkurs IT-Grundschutz Folie 26

27 Webkurs Notfallmanagement Folie 27

28 Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits: Folie 28

29 GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzes Funktionalität Erfassung der Informationen Modellierung und Schichtenmodell nach IT-Grundschutz ISO Zertifikat auf der Basis von IT-Grundschutz Basissicherheitscheck / Maßnahmenumsetzung Risikoanalyse auf der Basis von IT-Grundschutz Kostenauswertung Schutzbedarfsfeststellung Berichterstellung Revisionsunterstützung Folie 29

30 GSTOOL 4.x Wie geht es weiter? GSTOOL 4.x Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Parallelbetrieb GSTOOL 4.x und GSTOOL 5.0 Einstellung der Weit Metadatenupdate für GSTOOL 4.x derzeit in Bearbeitung Schwierigkeiten aufgrund Datenbankwechsel (Grundschutz) weitgehend manuelle Datenübertragung aus XML-Export in eine Access-Datenbank Veröffentlichung geplant für November 2011 Folie 30

31 GSTOOL 5.0 Folie 31

32 Webkurs GSTOOL 4.7 Folie 32

33 Webkurs GSTOOL 5.0 Folie 33

34 Wo gibt es das alles? auf der BSI-DVD als Buch auf der BSI-Webseite Folie 34

35 Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: GSTOOL-Hotline Telefon: Neu: XING-Forum IT-Grundschutz Folie 35

36 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Gruppe im XING-Forum: Folie 36