Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

Transkript

1 Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI ZertiVer 2017, Köln,

2 Agenda IT-Grundschutz-Modernisierung Übergangsfristen in der Zertifizierung Migration auf das IT-Grundschutz- Kompendium Ausblick B. Klein Seite 2

3 1. IT-Grundschutz-Modernisierung

4 IT-Grundschutz Informationssicherheit in der Praxis IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard- Sicherheitsanforderungen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. Für technische Maßnahmen ist ein organisatorischer Rahmen und ein systematisches Vorgehen notwendig. B. Klein Seite 4

5 Ziele der IT-Grundschutz-Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen B. Klein Seite 5

6 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz B. Klein Seite 6

7 BSI-Standards zum IT-Grundschutz Veröffentlichung Inhalt 200-1: Managementsysteme für Informationssicherheit 200-2: IT-Grundschutz-Methodik 200-3: Risikoanalyse auf der Basis von IT-Grundschutz Verfügbare Versionen Kostenlos als PDF auf BSI-Webseite Kostenpflichtige gedruckte Version über Bundesanzeiger Verlag B. Klein Seite 7

8 BSI-Standard Managementsysteme für Informationssicherheit Definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) Zielgruppe: Management Kompatibel mit ISO/IEC Interpretation der Norm Aktualisierung basierend auf BSI-Standard Anpassungen an Fortschreibung der ISO-Standards Anpassungen an BSI-Standard B. Klein Seite 8

9 BSI-Standard IT-Grundschutz-Methodik Neukonzeption basierend auf BSI-Standard Neue Vorgehensweisen zum Einstieg Erweiterung um Virtualisierung, Cloud-, ICS- und IoT-Absicherung Anpassungen an Fortschreibung der ISO- Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit B. Klein Seite 9

10 BSI-Standard Überblick Vorgehensweisen Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung B. Klein Seite 10

11 BSI-Standard Standard-Absicherung Die bewährte IT-Grundschutz-Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (bisherigem) BSI-Standard Standard-Absicherung Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen B. Klein Seite 11

12 BSI-Standard Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zur Standard-Absicherung: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung der Kronjuwelen in der Tiefe Kern-Absicherung B. Klein Seite 12

13 BSI-Standard Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen - Umsetzung essentieller Anforderungen - Grundlage: Basis-Anforderungen - Erstabsicherung in der Breite Auf die Bedürfnisse von KMUs zugeschnitten Basis-Absicherung Empfehlung für Einsteiger und KMUs B. Klein Seite 13

14 BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Nun: Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf B. Klein Seite 14

15 IT-Grundschutz-Kompendium Bausteine Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen!) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle B. Klein Seite 15

16 IT-Grundschutz-Kompendium Umsetzungshinweise Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. B. Klein Seite 16

17 2. Übergangsfristen in der Zertifizierung

18 Übergangsfristen Zertifizierung Einstieg B. Klein Seite 18

19 Übergangsfristen Zertifizierung Übersicht Zeitplanung Die wichtigste Information zu Beginn: Ein erteiltes Zertifikat gilt grundsätzlich für die volle Zertifikatslaufzeit! Okt Nov Dez Jan Feb Mär Apr Mai Jun Jul Aug Sep Okt IT-Grundschutz- Kompendium (FD) IT-Grundschutz-Kompendium 2018 Antrag auf Zertifizierung nach IT-Grundschutz- Kompendium 2018 ab Stichtag für Anträge nach IT-Grundschutz-Katalogen bis B. Klein Seite 19

20 Zertifizierung nach IT-Grundschutz-Katalogen Ablauf Antrag Der Antrag muss bis spätestens vollständig und korrekt eingegangen sein Verlauf des Auditzyklus Die 15. EL ist während des Auditzyklus gültig und das Audit wird gemäß bisherigem Auditierungs-/Zertifizierungsschema durchgeführt Es sollte eine sukzessive Migration auf das IT-Grundschutz- Kompendium angestrebt werden B. Klein Seite 20

21 Zertifizierung nach IT-Grundschutz-Katalogen Ablauf Verlauf des Auditzyklus Im Überwachungsaudit 1 und 2 können Bausteine des IT- Grundschutz-Kompendiums geprüft werden (Empfehlung des BSI), wodurch eine schrittweise Migration ermöglicht wird Die 15. EL der IT-Grundschutz-Kataloge kann nach dem nicht mehr verwendet werden Eine Re-Zertifizierung ist anschließend nur noch auf Basis des IT- Grundschutz-Kompendiums möglich B. Klein Seite 21

22 Zertifizierung nach IT-Grundschutz-Kompendium Ablauf Antrag Der Antrag ist ab möglich Grundlage sind die BSI-Standards 200-1, 200-2, und das IT- Grundschutz-Kompendium Voraussetzung bei Migration aus der 15. EL der IT-Grundschutz- Kataloge: mindestens der Bausteins ISMS.1 Sicherheitsmanagement aus dem IT-Grundschutz-Kompendium muss umgesetzt sein B. Klein Seite 22

23 Zertifizierung nach IT-Grundschutz-Kompendium Ablauf Antrag Eine vollständige Migration auf das IT-Grundschutz-Kompendium ist zum Zeitpunkt der Antragstellung nicht zwingend notwendig (Mischbetrieb IT-Grundschutz-Kataloge und -Kompendium) Verlauf des Auditzyklus Das Audit wird gemäß dem neuen Auditierungs- /Zertifizierungsschema durchgeführt B. Klein Seite 23

24 Zertifizierung nach IT-Grundschutz-Kompendium Ablauf Verlauf des Auditzyklus Wenn einzelne Anforderungen oder vollständige Bausteine des IT- Grundschutz-Kompendium noch nicht umgesetzt wurden, werden diese über den Risikobehandlungsplan verwaltet (mehr zum Thema Migration im nächsten Kapitel) Es wird erwartet, dass sich die Anzahl der offenen Anforderungen über den Lebenszyklus des Zertifikates hinweg stetig reduziert Die 15. EL ist bis gültig, danach sind noch nicht migrierte Bausteine wie benutzerdefinierte Bausteine zu behandeln und einer Risikoanalyse zu unterziehen, zusätzliche Maßnahmen zu ermitteln und umzusetzen B. Klein Seite 24

25 Zertifizierung nach IT-Grundschutz-Kompendium Weitere Informationen Weitere Informationen zu den Übergangsfristen und der Migration finden sich in dem Dokument Übergangsfristen und Migration im Rahmen der Zertifizierung B. Klein Seite 25

26 3. Migration auf das IT-Grundschutz-Kompendium

27 Migration auf das IT-Grundschutz-Kompendium Empfehlung zur Vorgehensweise 1. Einlesen und vertraut machen mit der neuen IT-Grundschutz-Methodik B. Klein Seite 27

28 Migration auf das IT-Grundschutz-Kompendium Empfehlung zur Vorgehensweise 2. Ermittlung des Handlungsbedarfs Durchführung der Schritte Modellierung und IT-Grundschutz- Check nach BSI-Standard als Soll-Ist-Vergleich Vom BSI bereitgestellte Hilfsmittel Migrationstabellen und Leitfaden zur Anwendung der Migrationstabellen unterstützen bei der Bestimmung, welche Anforderungen aus dem IT-Grundschutz- Kompendium vollständig, teilweise oder nicht durch Maßnahmen aus dem IT-Grundschutz-Katalogen abgedeckt sind (Beispiel auf der nächsten Folie) B. Klein Seite 28

29 Migration auf das IT-Grundschutz-Kompendium Empfehlung zur Vorgehensweise Bewertungsmaßstab 1: Die Anforderung wird vollständig mit den Maßnahmen aus dem entsprechenden Baustein der 15. EL abgedeckt. 2: Die Anforderungen wird grundsätzlich vollständig nur unter Berücksichtigung zusätzlicher Maßnahmen aus weiteren Bausteinen abgedeckt. 3: Die Anforderung wird - auch unter Berücksichtigung weiterer Maßnahmen aus der 15. EL - nicht in jedem Fall vollständig abgedeckt. B. Klein Seite 29

30 Migration auf das IT-Grundschutz-Kompendium Empfehlung zur Vorgehensweise 2. Ermittlung des Handlungsbedarfs Die meisten IT-Grundschutz-Tools werden Funktionen zur Migration anbieten¹ ¹ B. Klein Seite 30

31 Migration auf das IT-Grundschutz-Kompendium Empfehlung zur Vorgehensweise 3. Umsetzung Nicht umgesetzte Anforderungen bzw. Bausteine können sukzessive bearbeitet und umgesetzt werden Bis zur vollständigen Umsetzung werden die nicht umgesetzten Anforderungen bzw. Bausteine nach der IT-Grundschutz Vorgehensweise behandelt und über den Risikobehandlungsplan verwaltet B. Klein Seite 31

32 4. Ausblick

33 Ausblick Veröffentlichung weiterer Bausteine und jährlich am eine neue Edition des IT-Grundschutz-Kompendiums Migrationstabellen und Leitfaden zur Nutzung der Migrationstabellen werden voraussichtlich im Januar 2018 vollständig veröffentlicht Erstellung neuer Bausteine und Umsetzungshinweise Modernisierung des Webkurses Aktualisierung des Leitfadens Informationssicherheit B. Klein Seite 33

34 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee Bonn B. Klein Seite 34