Prüffragen im IT-Grundschutz Zielsetzung, Erstellung, Anwendung. Dirk Weil

Transkript

1 Prüffragen im IT-Grundschutz Zielsetzung, Erstellung, Anwendung Dirk Weil

2 Gliederung Einleitung Kurzvorstellung Referent Ausgangslage Anwendersicht und -erwartungen Zielsetzung IT-Grundschutz-Prüffragen Aufgabenstellung und Ausrichtung Umsetzung Beispiel Fazit 2

3 Kurzvorstellung Referent Dirk Weil Enterprise Security & ISMS ISO Auditor nativ und auf der Basis von IT-Grundschutz BSI-ZIG

4 Ausgangslage [1] BSI 100-X + Grundschutzvorgehensweise einfache Methode, Sicherheitsmaßnahmen entsprechend dem Stand der Technik zu identifizieren und im Rahmen eines Sicherheitskonzeptes umzusetzen. Herausforderung: angemessene Umsetzung Wie können die beteiligten Parteien: Institution, die IT-Grundschutz einsetzt, deren Prüfer, externe Auditoren oder IS-Revisoren, feststellen, ob die ausgewählten Sicherheitsmaßnahmen vollständig ihrem Sinn und Zweck nach angemessen umgesetzt wurden? 4

5 Ausgangslage [2] IT-Grundschutz-Kataloge (11. Ergänzungslieferung) ca Seiten Maßnahmen Inkonsistenzen und Redundanzen Aufgrund des Umfangs der Maßnahmenkataloge kann es in den Maßnahmenbeschreibungen zu Inkonsistenzen oder redundanten Sachverhalten kommen. 5

6 Ausgangslage [3] Ergänzende Kontrollfragen am Ende vieler Maßnahmen angeführt kein Anspruch auf Vollständigkeit runden das behandelte Thema ab bewirken kritischen Blick auf die Umsetzung der Maßnahmen geben Denkanstöße, sind aber keine Prüffragen stets ergänzend zu den Maßnahmeninhalten zu betrachten spiegeln in der Regel nur einige Teilaspekte der Maßnahmen wieder nicht für alle Maßnahmen vorhanden variieren von Maßnahme zu Maßnahme in Art und Tiefe nur bedingt als Werkzeug bei Revisionen oder Audits einsetzbar 6

7 Anwendersicht und -erwartungen Verbindlichkeit Verbindlichkeit der Umsetzung von Maßnahmen Vergleichbarkeit durch Verbindlichkeit bessere Vergleichbarkeit des Sicherheitsniveaus gegenüber nativer ISO Aufwandsreduktion Aufwandsreduktion bei Umsetzung und Prüfung (derzeit deutlich höherer Aufwand als bei nativer ISO 27001). Internationale Anerkennung/Kompatibilität Ausgeprägter Wunsch der Anwender nach besserer Anerkennung des IT-Grundschutz-Zertifikates als ISO Zertifikat 7

8 Zielsetzung IT-Grundschutz-Prüffragen Zweck die vollständige Umsetzung einer Maßnahme überprüfen zu können Zielgruppe: Institution Durch Beantwortung aller Prüffragen sollte eine Institution wissen, in wie weit die Ziele der einzelnen Bausteine erfüllt sind bzw. wo evtl. nachzubessern ist. Zielgruppe: Revisoren & Auditoren Darüber hinaus richten sich die Prüffragen zusätzlich an Revisoren bzw. an Auditoren, die die Umsetzung von Sicherheitsmaßnahmen auf Basis von IT-Grundschutz prüfen. 8

9 Aufgabenstellung und Ausrichtung [1] Ab der 10. Ergänzungslieferung der IT-Grundschutz- Kataloge begonnene und in der 11. Ergänzungslieferung fortgesetzte Neuorientierung (Prüffragen statt Kontrollfragen) soll für die übrigen Bausteine und Maßnahmen weitergeführt werden. Prüffragen sollen alle wesentlichen Aspekte einer jeden Maßnahme abdecken und dabei die ergänzenden Kontrollfragen ersetzen. 9

10 Aufgabenstellung und Ausrichtung [2] Konsolidierung auf Bausteinebene erforderlich: Alle Prüffragen zu einem Baustein müssen alle Maßnahmen des betreffenden Bausteins abdecken. Dabei können redundante Prüffragen aufgrund von redundanten Anforderungen in verschiedenen Maßnahmen auftauchen. Einteilung der Prüffragen in elementar und vertiefend (In Zukunft sollen auch die IT-Grundschutz-Bausteine eine Einteilung in elementar" und vertiefend" erfahren.) 10

11 Aufgabenstellung und Ausrichtung [3] 11

12 Aufgabenstellung und Ausrichtung [4] Elementaren Bausteinen werden die Prüffragen gemäß ihrer Wichtigkeit zugeordnet: "elementar" für unverzichtbare Prüffragen "vertiefend" für weiterführende Prüffragen Vertiefenden Bausteinen werden nur vertiefende Prüffragen zugeordnet. 12

13 Aufgabenstellung und Ausrichtung [5] Ziel-/Erwartungswert des BSI: bei elementaren Bausteinen sollten ca. 1/3 der Prüffragen "elementar" sein Prüffragen zu Z-Maßnahmen können nicht "elementar" sein, sondern nur "vertiefend" Erfahrungswert im Projektverlauf: Mehr elementare Prüffragen als erwartet Häufig unterschiedliche Einschätzung, ob Sachverhalt elementar oder vertiefend 13

14 Umsetzung [1] Qualitätsmerkmale und normen: Prüffragen (insbesondere "elementare") werden wie folgt gestaltet: vergleichbar in Form und Detailtiefe mit anderen Prüffragen einheitlich möglichst kurz übersichtlich 14

15 Umsetzung [2] Qualitätsmerkmale und normen: Formulierung als geschlossene Frage, d.h. Antwort mit "Ja" (positives Ergebnis, also Erfüllung der jeweiligen Anforderung) oder "Nein" Formulierung im Präsens Dokumentiert, dass Maßnahme auch aktuell noch umgesetzt ist Ausnahmen nur in begründbaren Einzelfällen Aspekte der Prüffrage finden sich als zwingend umzusetzende Anforderung im Text der zugehörigen Maßnahme wieder. 15

16 Umsetzung [3] Qualitätsmerkmale und normen (Fortsetzung): Jede Prüffrage erhält unabhängig von der Lebenszyklusphase der Maßnahme eine eigene Einstufung zum Lebenszyklus. Je Prüffrage wird nur ein Aspekt der zugehörigen Maßnahme betrachtet. Eine Prüffrage, die eine andere nur geringfügig ergänzt, ist entbehrlich und wird mit der anderen Prüffrage kombiniert. Diese Forderungen können im Widerspruch zueinander stehen! 16

17 Umsetzung [4] Qualitätsmerkmale und normen (Fortsetzung): Beispiel für Aufteilung nach Aspekten: Prüffrage (zwei Aspekte): Wird bei der Beschaffung von Anwendungsprogrammen darauf geachtet, welche Datenformate unterstützt werden und ob dieses die Anforderungen der Organisation hinsichtlich der Lebensdauer des Formates erfüllt? Prüffrage (1. Aspekt): Wird bei der Beschaffung von Anwendungsprogrammen darauf geachtet, welche Datenformate unterstützt werden? (elementar) Prüffrage (2. Aspekt): Wird bei der Beschaffung von Anwendungsprogrammen darauf geachtet, ob die unterstützten Datenformate die Anforderungen der Organisation hinsichtlich der Lebensdauer des Formates erfüllen? (vertiefend) (aus M (C) Wahl geeigneter Datenformate im Baustein B 1.9 Hard- und Software-Management). 17

18 Umsetzung [5] Qualitätsmerkmale und normen (Fortsetzung): Keine Nennung von Beispielen Übersichtlichkeit, aber auch problematisch bei Maßnahmen, die bei mehreren Bausteinen herangezogen werden. Bei begrenzter (kontextbezogene) Relevanz von Prüffragen entsprechende Formulierung. Beispiel: Wenn Relevanz nur bei Einsatz einer bestimmten Technologie: bei Einsatz von Prüffrage: Bei SSL-Verwendung: Werden schwache Algorithmen vom Webserver nicht akzeptiert? (aus M Auswahl einer Authentisierungsmethode für Webangebote, Baustein B 5.4 Webserver). 18

19 Umsetzung [6] Qualitätsmerkmale und normen (Fortsetzung): Auch für den Fall, dass eine Prüffrage nur bei besonderen Anforderungen wie erhöhtem Schutzbedarf zum Tragen kommt, wird diese Prüffrage mit Anwendbarkeitsregeln versehen. Damit wird insbesondere der Kontext der Z- Maßnahmen innerhalb der Prüffragen leichter verständlich. Prüffrage: Bei hoher Vertraulichkeit: Wird die Verschlüsselung der Speichermedien und Speichernetze in die Planung des Speichersystems einbezogen? (aus M (A) Planung von Speichersystemen im Baustein B Speichersysteme und Speichernetze). 19

20 Umsetzung [7] Qualitätsmerkmale und normen (Fortsetzung): Zu Maßnahmen vom Typ "W" (Wissen) werden im Normalfall keine Prüffragen erstellt. Zu Maßnahmen aus der Lebenszyklusphase "Beschaffung" werden normalerweise keine Prüffragen erstellt. Zu jeder Prüffrage wird das betroffene Schutzziel (Vertraulichkeit, Verfügbarkeit, Integrität) mit aufgenommen. Jede Prüffrage erhält ein Mapping auf die ISO

21 Umsetzung [8] Bearbeitung in einem multidisziplinären Team aus IT-Grundschutz-Auditoren/Revisoren und Fachexperten der TÜV Informationstechnik GmbH Stufenorientierte Vorgehensweise: Aufteilung in 3 Arbeitspakete Fokus zunächst auf als elementar eingestufte Bausteine Beispiel: B Allgemeiner Client ist elementar vertiefende Betrachtung der Betriebssystemspezifischen Client-Bausteine im nächsten Arbeitspaket 21

22 Beispiel: M 5.37 Einschränken der Peer-to-Peer- Funktionalitäten in einem servergestützten Netz Ergänzende Kontrollfragen (alt): Wer hat entschieden, ob Peer-to-Peer-Funktionen in einem servergestützten Netz zum Einsatz kommen sollen? Prüffragen (neu): Existiert eine Richtlinie, die den Einsatz von Peer-to-Peer- Diensten regelt? Ist dokumentiert, welche Peer-to-Peer-Dienste von wem genutzt werden, und welche Informationen dabei ausgetauscht werden? Werden Maßnahmen ergriffen um den unautorisierten Einsatz von Peer-to-Peer-Diensten zu verhindern? Wurde der Einsatz von Peer-to-Peer-Diensten von der Geschäftsleitung genehmigt und die Restrisiken dokumentiert und angenommen? 22

23 Fazit Generelle Neuausrichtung der IT-Grundschutz- Vorgehensweise: einfacher ISO-konformer (verbessert internationale Anerkennung ) bei (hoffentlich) gleich bleibender Sicherheit Bessere Unterstützung der Anwender bei: Ergänzender Sicherheitsanalyse (Bezug auf Grundwerte) Basissicherheitscheck (Verifikation wesentlich vereinfacht) Bessere Unterstützung der Prüfer (Auditoren & Revisoren): Aufteilung in elementare und vertiefende Maßnahmen Deutlich herausgestellter Fokus von Maßnahmen vereinfacht Auditvorbereitung und Berichtserstellung 23

24 Fragen??????? 24

25 Vielen Dank für Ihre Aufmerksamkeit! TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Dirk Weil Enterprise Security & ISMS ISO Auditor Leimbachstr Siegen Telefon: Telefax: URL: 25