Modernisierung des IT-Grundschutzes. Isabel Münch / Holger Schildt / Birger Klein

Transkript

1 Modernisierung des IT-Grundschutzes Isabel Münch / Holger Schildt / Birger Klein CeBIT, Hannover,

2 Agenda 1. Einleitung und Motivation 2. Kernaspekte der Modernisierung des IT-Grundschutzes 3. Risikomanagement 4. Bausteine und Umsetzungshinweise 5. Profile im modernisierten IT-Grundschutz 6. Ausblick und Diskussion I. Münch H. Schildt, B. Klein Seite 2

3 1. Einleitung und Motivation Wer sich die richtigen Ziele setzt, kann nur gewinnen. Marc M. Galal

4 Ziele der IT-Grundschutz-Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen I. Münch H. Schildt, B. Klein Seite 4

5 2. Kernaspekte der Modernisierung des IT-Grundschutzes Vorgehensweisen Basis-, Kern- und Standardabsicherung Neufassung der Risikoanalyse

6 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz I. Münch H. Schildt, B. Klein Seite 6

7 Vorgehensweisen Überblick Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung I. Münch H. Schildt, B. Klein Seite 7

8 Vorgehensweisen Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest I. Münch H. Schildt, B. Klein Seite 8

9 Vorgehensweisen Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung I. Münch H. Schildt, B. Klein Seite 9

10 Vorgehensweisen Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung I. Münch H. Schildt, B. Klein Seite 10

11 Vorgehensweisen Standard-Absicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standard-Absicherung I. Münch H. Schildt, B. Klein Seite 11

12 Vorgehensweisen Standard-Absicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen I. Münch H. Schildt, B. Klein Seite 12

13 Vorgehensweisen BSI-Standard Basierend auf BSI-Standard Einführung weiterer Vorgehensweisen Erweiterung um Virtualisierung, Cloud, ICS und IoT Rollen und Aufgaben von IT-SiBe und ISB Anpassungen an Fortschreibung der ISO-Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit BSI-Standard Beispiel BoV durch RecPlast ausgetauscht I. Münch H. Schildt, B. Klein Seite 13

14 3. Risikomanagement

15 Risikomanagementsystem Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf I. Münch H. Schildt, B. Klein Seite 15

16 Risikomanagementsystem Angemessenes Risikomanagement Risikostrategie im Einklang mit der Geschäftsstrategie Einrichtung eines angemessenen internen Steuerungs- und Kontrollsystems Kommunizierte und gelebte Risikokultur zum Umgang mit den individuellen Risiken Einrichtung einer internen Revision und von internen Kontrollen I. Münch H. Schildt, B. Klein Seite 16

17 Risikomanagementsystem Richtlinie zum Umgang mit Risiken Voraussetzungen für eine Risikoanalyse? Methodik / Standard zur Identifikation, Bewertung und Behandlung von Risiken? Anpassung der Methodik auf die speziellen Belange der Institution? Risikoakzeptanzkriterien? Aufgabenteilung / Verantwortlichkeiten beim Risikomanagement? Integration von Risikoanalysen in den Sicherheitsprozess? Berichtspflichten im Rahmen von Risikoanalysen? I. Münch H. Schildt, B. Klein Seite 17

18 Risikomanagementsystem Vorarbeiten und Priorisierung Vorarbeiten Strukturanalyse Schutzbedarfsfeststellung Modellierung IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Geeignete Priorisierung Standard-Absicherung (vorrangig die übergeordneten Zielobjekte bearbeiten) Kern-Absicherung (vorrangig Zielobjekte mit dem höchsten Schutzbedarf bearbeiten) I. Münch H. Schildt, B. Klein Seite 18

19 Risikomanagementsystem Liste der betrachteten Zielobjekte Auszug RECPLAST GmbH Nummer Titel des Bausteins Zielobjekt INF.5 Serverraum / Technikraum INF.8 Arbeitsplatz M.3 M.1, M.2 NET.3.3 Firewall N1, N4 NET.3.1 Router/ Switches N3 SYS.1.5 Server-Virtualisierung S1 APP.3.3 Fileserver S3 - - Zx (Smart Meter Gateway Administration) usw. I. Münch H. Schildt, B. Klein Seite 19

20 Risikomanagementsystem Erstellung der Gefährdungsübersicht 1. Elementare Gefährdungen Auszug RECPLAST GmbH Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.14 Ausspähen von Informationen Spionage G 0.15 Abhören G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.25 Ausfall von Geräten oder Usw. Smart Meter Gateway Administrator Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.18 Fehlplanung oder fehlende Anpassungen G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.25 Ausfall von Geräten oder Systemen G 0.28 Software-Schwachstellen oder Fehler G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.43 Einspielen von Nachrichten Usw. I. Münch H. Schildt, B. Klein Seite 20

21 Risikomanagementsystem Erstellung der Gefährdungsübersicht Zusätzliche Gefährdungen Moderiertes Brainstorming mit klarem Auftrag und Zeitbegrenzung Gefährdungen, die nicht in den IT-Grundschutz-Katalogen aufgeführt sind Realistische Gefährdungen mit nennenswerten Schäden 3 Grundwerte berücksichtigen Höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, Außen-/Innentäter Externe Quellen einbeziehen I. Münch H. Schildt, B. Klein Seite 21

22 Risikomanagementsystem Erstellung der Gefährdungsübersicht 2. Zusätzliche Gefährdungen Auszug RECPLAST GmbH Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Im Rahmen des Brainstormings wurden keine zusätzlichen Gefährdungen identifiziert, allerdings wurde festgestellt, dass zusätzliche Sicherheitsanforderungen erforderlich sind, um die Gefährdungen G 0.15 Abhören und G 0.25 Ausfall von Geräten oder Systemen bei erhöhtem Schutzbedarf zu reduzieren. Dieses Ergebnis wird für den Arbeitsschritt Behandlung von Risiken vorgemerkt. I. Münch H. Schildt, B. Klein Seite 22

23 Risikomanagementsystem Zukünftiges Bewertungsverfahren Lösungsansätze Die Bewertung des Risikos erfolgt durch den populären Matrix- Ansatz anhand weniger Stufen. Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen. Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde. Dadurch wird automatisch auch das Restrisiko dokumentiert. Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz) I. Münch H. Schildt, B. Klein Seite 23

24 Risikomanagementsystem Zukünftiges Bewertungsverfahren I. Münch H. Schildt, B. Klein Seite 24

25 Risikomanagementsystem Zukünftiges Bewertungsverfahrens I. Münch H. Schildt, B. Klein Seite 25

26 Risikomanagementsystem Risikobehandlungsoptionen Risikoklasse mittel hoch sehr hoch Sicherheitsmaßnahmen Umstrukturierung Risiko- Übernahme Risiko-Transfer I. Münch H. Schildt, B. Klein Seite 26

27 Risikomanagementsystem Konsolidierung Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet? Wirken die Sicherheitsmaßnahmen sinnvoll zusammen? Welche IT-Grundschutz-Maßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Sind die Sicherheitsmaßnahmen benutzerfreundlich? Sind die Sicherheitsmaßnahmen angemessen? Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen I. Münch H. Schildt, B. Klein Seite 27

28 4. Neue Bausteine und deren Struktur

29 IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management I. Münch H. Schildt, B. Klein Seite 29

30 IT-Grundschutz-Kompendium Überblick I. Münch H. Schildt, B. Klein Seite 30

31 IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name I. Münch H. Schildt, B. Klein Seite 31

32 Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick I. Münch H. Schildt, B. Klein Seite 32

33 Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER I. Münch H. Schildt, B. Klein Seite 33

34 Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen I. Münch H. Schildt, B. Klein Seite 34

35 Struktur GS-Kompendium System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 / Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle I. Münch H. Schildt, B. Klein Seite 35

36 Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle I. Münch H. Schildt, B. Klein Seite 36

37 Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 37

38 Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 38

39 Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 39

40 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. I. Münch H. Schildt, B. Klein Seite 40

41 Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung I. Münch H. Schildt, B. Klein Seite 41

42 Bausteine GS-Kompendium Veröffentlichte Community Drafts (Auszug) Personal Allgemeiner Server Allgemeiner Client Client unter Windows 10 ios for Enterprise Mobile Datenträger ICS-Betrieb Mobile Device Management Anforderungsmanagement Elektrotechnische Verkabelung Sicherheitsmanagement Webanwendungen IT-Verkabelung Alle veröffentlichten Community Drafts finden sie auf I. Münch H. Schildt, B. Klein Seite 42

43 Bausteine GS-Kompendium Auszug Working Drafts Parallel werden ungefähr 100 Bausteine erstellt (Tendenz steigend) I. Münch H. Schildt, B. Klein Seite 43

44 Rückmeldungen zu Working Drafts SYS Client unter Windows 10 I. Münch H. Schildt, B. Klein Seite 44

45 5. Profile im modernisierten IT- Grundschutz Schablonen für die Informationssicherheit

46 IT-Grundschutz-Profile Definition Ein IT-Grundschutz-Profil ist ein Muster- Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z.b. Strukturanalyse, Schutzbedarfsfestellung, Modellierung) und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Institutionen adaptiert werden kann! I. Münch H. Schildt, B. Klein Seite 46

47 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert I. Münch H. Schildt, B. Klein Seite 47

48 IT-Grundschutz-Profile ein Blick in Institutionen I. Münch H. Schildt, B. Klein Seite 48

49 IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS SYS APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS INF.1 OPS I. Münch H. Schildt, B. Klein Seite 49

50 IT-Grundschutz-Profile Adaption als Schablone ISMS SYS OPS SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS OPR.1 OPS.4 ISMS SYS.1.2. SYS APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 I. Münch H. Schildt, B. Klein Seite 50

51 IT-Grundschutz-Profile Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils I. Münch H. Schildt, B. Klein Seite 51

52 IT-Grundschutz-Profile Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile I. Münch H. Schildt, B. Klein Seite 52

53 IT-Grundschutz-Profile Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur I. Münch H. Schildt, B. Klein Seite 53

54 IT-Grundschutz-Profile Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: Auf geeignete Weise Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ] Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [ ] I. Münch H. Schildt, B. Klein Seite 54

55 IT-Grundschutz-Profile Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc. I. Münch H. Schildt, B. Klein Seite 55

56 IT-Grundschutz-Profile Status und Ziele Status Working-Draft ecommerce Diskussion mit zahlreichen Stakeholdern Veröffentlichung eines Artikels Working-Draft zur Strukturbeschreibung Ziele Maschinenlesbar Veröffentlichung von Pilot-Profilen Langfristig: Marktplatz mit IT-Grundschutz-Profilen I. Münch H. Schildt, B. Klein Seite 56

57 6. Ausblick und Diskussion

58 Modernisierte BSI-Standards bisher veröffentlicht Alle veröffentlichten Community Drafts finden Sie auf I. Münch H. Schildt, B. Klein Seite 58

59 Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Community Draft: Veröffentlichung neuer BSI- Standards und mehrerer Bausteine 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge I. Münch H. Schildt, B. Klein Seite 59

60 Versionierung von Bausteinen und Umsetzungshinweisen Arbeitsentwurf BSI intern Veröffentlichung als PDF auf Webseiten CD 1 Bearbeitung durch Community CD 1.1 CD 2 FD 1 Version 1 Damit offizieller Bestandteil des IT-Grundschutz- Kompendiums I. Münch H. Schildt, B. Klein Seite 60

61 IT-Grundschutz-Kompendium Überblick 100 Bausteine Derzeit 144 Bausteine geplant in zwei Ausbaustufen Grundwerk zur it-sa 2017 (Edition 2018) Erweiterung Grundwerk zur it-sa 2018 (Edition 2019) Danach jährliche Ergänzungslieferung I. Münch H. Schildt, B. Klein Seite 61

62 IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) I. Münch H. Schildt, B. Klein Seite 62

63 IT-Grundschutz-Modernisierung Auswirkungen Zertifizierung Zertifizierungsschema IT-Grundschutz auch nach der Modernisierung kompatibel mit ISO Ab wann ist IT-Grundschutz-Kompendium Prüfgrundlage? => Prüfgrundlage kann sein: vorige Version bis ½ Jahr nach Erscheinen der neuen Version Zeitliche Konsequenzen ohne Modernisierung 15. Ergänzungslieferung erschien im April 2016 => 14. Ergänzungslieferung kann genutzt werden bis Zeitliche Konsequenzen durch Modernisierung Statt 16. Ergänzungslieferung IT-Grundschutz-Kataloge nun IT-Grundschutz-Kompendium Finalisierung im Herbst 2017 => 15. Ergänzungslieferung kann genutzt werden bis Sommer 2018 (Puffer für Übergang eingerechnet) I. Münch H. Schildt, B. Klein Seite 63

64 Nächste Veranstaltungen 15. Deutscher IT-Sicherheitskongress - BSI-Kongress 16. bis 18. Mai 2017 in der Stadthalle Bonn-Bad Godesberg Diesmal mit Workshop zur IT-Grundschutz-Modernisierung 2. IT-Grundschutz-Tag 2017, , Köln IT-Grundschutz in komplexen und heterogenen Informationsverbünden 3. IT-Grundschutz-Tag 2017, , Berlin Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der Modernisierung 4. IT-Grundschutz-Tag 2017, , Nürnberg (geplant) I. Münch H. Schildt, B. Klein Seite 64

65 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee Bonn I. Münch H. Schildt, B. Klein Seite 65