Bundesamt für Sicherheit in der Informationstechnik KRITIS-Büro Postfach Bonn

Transkript

1 Bundesamt für Sicherheit in der Informationstechnik KRITIS-Büro Postfach Bonn Anlage zur Einreichung branchenspezifischer Sicherheitsstandards (B3S): Mapping-Tabelle zu Orientierungshilfe B3S V0.9 BSI-Entwurf Version , Stand: Die Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß 8a (2) BSIG sieht vor, über eine Mapping-Tabelle die Nachvollziehbarkeit zu gewährleisten. Dabei soll zugeordnet werden, an welchen Stellen im eingereichten B3S welche Kriterien der Orientierungshilfe erfüllt werden. Die Verwendung der Mapping-Tabelle dient der Eignungsfeststellung des B3S durch das BSI. Es muss ohne größeren Aufwand und eindeutig nachvollziehbar sein, wie der B3S die Orientierungshilfe erfüllt. Der B3S kann z. B. in Form einer Sammlung von Normen/ Standards/... zusammen mit einem Begleitdokument abgeliefert werden. Die referenzierten Standards müssen in diesem Fall bei der Beantragung mit eingereicht werden. Die Mapping-Tabelle ist eine Möglichkeit, diese Nachvollziehbarkeit zu gewährleisten. Version Entwurf Stand: Seite 1 von 7

2 1 Angaben zum Branchenspezifischen Sicherheitsstandard 1.1 Einreichende Stelle 1.2 Bezeichnung B3S 1.3 Branche 1.4 Datum der Einreichung 2 Ausfüllhinweise Die Mapping-Tabelle sieht folgende Einträge vor: Orientierungshilfe: Laufende Nummer des Kriteriums der Orientierungshilfe Titel: Überschrift des Kriteriums der Orientierungshilfe. Der Volltext des jeweiligen Kriteriums findet sich nicht in der Mapping-Tabelle und ist in der Orientierungshilfe nachzulesen. Verweis B3S: Hier sind durch den Antragsteller die Abschnitte des B3S zu referenzieren, die das Kriterium der Orientierungshilfe erfüllen. Kurzbeschreibung der Umsetzung im B3S: Durch die Branche ist die Umsetzung im B3S kurz zu beschreiben. Es können weitere Anmerkungen hinzugefügt werden, die dem Verständnis der Zuordnung dienen. Sofern der verwendete Standard nur einen Teil des Kriteriums nach Orientierungshilfe abdeckt, kann hier angemerkt werden, wie dieser ergänzt wird. Anforderung erfüllt: Hier wird eine Einschätzung gegeben, ob das Kriterium nach Orientierungshilfe durch den Standard vollständig erfüllt wird, oder ob eine Ergänzung erforderlich ist. Beispiel: Orientierungshilfe 2.3 Benennung der Bedrohungen und Schwachstellen Kap. 3.7 Bedrohungen werden explizit benannt und müssen durch den B3S-Anwender beachtet werden. Ja Version Entwurf Stand: Seite 2 von 7

3 3 Mapping-Tabelle Orientierungshilfe 1 GELTUNGSBEREICH UND SCHUTZZIELE 1.1 Geltungsbereich 1.2 Geltungsbereich umfasst auch extern erbrachte Leistungen 1.3 Gesetzlicher Rahmen 1.4 KRITIS-Schutzziele (Schutzziele der kdl) 1.5 IT-Schutzziele 1.6 Ableitung der IT-Schutzziele/-bedarfe aus den KRITIS-Schutzzielen 1.7 Branchenspezifische Schutzziele 2 BRANCHEN- SPEZIFISCHE GEFÄHRDUNGSLAGE 2.1 All-Gefahrenansatz 2.2 Branchenspezifische Relevanz von Bedrohungen und Schwachstellen 2.3 Benennung der Bedrohungen und Schwachstellen 3 RISIKOBEHANDLUNG 3.1 Geeignete Behandlung aller für die kdl relevanten Risiken 3.2 Beschränkung der Behandlungsalternativ en für Risiken 3.3 Berücksichtigung von Abhängigkeiten bei der Risikoanalyse 3.4 Änderung der allgemeinen Gefährdungslage 3.5 Änderung der branchenspezifischen Gefährdungslage 4 ANGEMESSENE VORKEHRUNGEN (MASSNAHMEN) 4.1 Angemessenheit der Maßnahmen 4.2 Eignung von Maßnahmen Version Entwurf Stand: Seite 3 von 7

4 5 ABZUDECKENDE THEMEN 5.0 Abdeckung relevanter Themen 5.1 Informationssicherheitsmanagementsystem (ISMS) 5.2 Continuity Management für kdl ( BCM für kdl) 5.3 Asset Management 5.4 Robuste / resiliente Architektur 5.5 Baulich / physische Sicherheit 5.6 Personelle und organisatorische Sicherheit 5.7 Branchenspezifische Technik 5.8 Vorfallserkennung und -bearbeitung 5.9 Überprüfung im laufenden Betrieb und Übungen 5.10 Externe Informationsversorgung und Unterstützung 5.11 Lieferanten, Dienstleister und Dritte 5.12 Technische Informationssicherheit 6 DETAILTIEFE 6.1 Detailtiefe der Beschreibungen im B3S 6.2 Von Anforderungen zu Maßnahmen nach Stand der Technik 7 NACHWEISBARKEIT DER UMSETZUNG 7.1 Überprüfbarkeit 7.2 Prüfschema 7.3 Qualifizierung der Prüfstelle 7.4 Organisatorische Anforderung an Prüfstelle 7.5 Prüfprozess Version Entwurf Stand: Seite 4 von 7

5 A A 1 A 1.1 A 1.2 A 1.3 A 1.4 A 1.5 A 1.6 A 1.7 A 1.8 A 1.9 A 1.10 ANHANG BEDROHUNGSKATEGO RIEN Hacking und Manipulation Terroristische Akte Naturgefahren Identitätsmissbrauch (Phishing, Skimming, Zertifikatsfälschung) Missbrauch (Innentäter) Abhängigkeiten von Dienstleistern und Herstellern (Ausfall externer Dienstleister, unberechtigter Zugriff, versteckte Funktionen in Hardund Software) Unbefugter Zugriff Manipulation, Diebstahl, Verlust, Zerstörung von IT oder IT-relevanten Anlagen und Anlagenteilen Schadprogramme Social Engineering A 1.11 Gezielte Störung / Verhinderung von Diensten (DDoS, gezielte Systemabstürze,...) A 1.12 A 1.13 Advanced Persistent Threat (APT) Beschädigung oder Zerstörung verfahrenstechnischer Komponenten, Ausrüstungen und Systemen A 2 A 2.1 A 2.2 A 2.3 SCHWACHSTELLENKA TEGORIEN Organisatorische Mängel Technische Schwachstellen in Software, Firmware und Hardware Technisches Versagen von IT-Systemen, Anwendungen oder Netzen (sowie Verlust von gespeicherten Daten) Version Entwurf Stand: Seite 5 von 7

6 A 2.4 A 2.5 A 2.6 A 2.7 Menschliche Fehlhandlungen, menschliches Versagen Infrastrukturelle Mängel (baulich, Versorgung mit Strom etc.) Verwendung ungeeigneter Netze/ Kommunikationsverbindungen, sonstige Schwächen in der Kommunikationsarchitektur Verkopplung von Diensten (Beeinträchtigung eines Dienstes durch Störung anderer Dienste) A 3 A 3.1 A 3.2 A 3.3 A 3.4 A 3.5 A 3.6 A 3.7 A 3.8 A 3.9 A 3.10 TECHNISCHE INFORMATIONS- SICHERHEIT A 3 Informationssicherheit Netztrennung und Segmentierung Absicherung Fernzugriffe Härtung und sichere Basiskonfiguration der Systeme und Anwendungen Schutz vor Schadsoftware Intrusion Detection/Prevention Identitäts- und Rechtemanagement Sichere Authentisierung Kryptographische Absicherung (data in rest, data in motion) Mobile Sicherheit, Sicherheit Mobiler Zugang und Telearbeit (ggf. BYOD) Datensicherung und Datenwiederherstellung Version Entwurf Stand: Seite 6 von 7

7 A 3.11 A 3.12 A 3.13 A 3.14 A 3.15 A 3.16 A 3.17 A 3.18 A 3.19 A 3.20 A 3.21 A 3.22 A 3 - Ordnungsgemäßer IT-Betrieb mit Bezug zur Informationssicherheit Ordnungsgemäße IT-Administration Netz- und Systemmanagement Datensicherung und -wiederherstellung Patch- und Änderungsmanagement Beschaffung, Ausschreibung und Einkauf Archivierung Protokollierung Umgang mit Datenträgern, Austausch von Datenträgern Sicheres Löschen Verkauf, Aussonderung von IT Softwaretests und Freigaben Datenschutz Version Entwurf Stand: Seite 7 von 7