Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick

Transkript

1 Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick KomFIT 2018: Segel setzen Kurs 2022, Holger Schildt, Referatsleiter IT-Grundschutz

2 Das BSI H. Schildt Seite 2

3 Informationssicherheit Informationssicherheit hat den Schutz von Informationen als Ziel Grundwerte der Informationssicherheit sind dabei u.a. die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen Informationen können dabei auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein Informationssicherheit liefert mehr als reine IT-Sicherheit H. Schildt Seite 3

4 Ausgefeilte und teure Technik schafft nicht automatisch Sicherheit H. Schildt Seite 4

5 Informationssicherheit Sicherheit ist kein Produkt! o Sicherheit kann man nicht kaufen o Sicherheit muss man schaffen o Natürlich kann man dazu auch auf vorhandene Produkte zurückgreifen kein Projekt! o Es genügt nicht, Sicherheit einmal zu schaffen o Sicherheit muss aufrechterhalten werden ein Prozess! Chefsache! H. Schildt Seite 5

6 IT-Grundschutz Informationssicherheit in der Praxis IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard- Sicherheitsanforderungen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Sicherheitsanforderungen geliefert, die die Basis für sensiblere Bereiche sind. H. Schildt Seite 6

7 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz H. Schildt Seite 7

8 BSI-Standards zum IT-Grundschutz Veröffentlichung Inhalt 200-1: Managementsysteme für Informationssicherheit 200-2: IT-Grundschutz-Methodik 200-3: Risikoanalyse auf der Basis von IT-Grundschutz Verfügbare Versionen Kostenlos als PDF auf BSI-Webseite Kostenpflichtige gedruckte Version über Bundesanzeiger Verlag H. Schildt Seite 8

9 BSI-Standard Überblick Vorgehensweisen Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung H. Schildt Seite 9

10 Ergänzung zum BSI-Standard Leitfaden zur Basis-Absicherung H. Schildt Seite 10

11 IT-Grundschutz-Kompendium Überblick H. Schildt Seite 11

12 Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS IND NET INF DER H. Schildt Seite 12

13 Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle H. Schildt Seite 13

14 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. H. Schildt Seite 14

15 IT-Grundschutz-Kompendium Erste Edition Bausteine TOP-80-Bausteine Keine inhaltlichen Änderungen gegenüber Final Drafts, lediglich redaktionelle Anpassungen Umsetzungshinweise 37 Umsetzungshinweise Sammeldokument als PDF Verfügbare Versionen Kostenlos als PDF- oder Web-Version auf BSI-Website Kostenpflichtige gedruckte Version über Bundesanzeiger Verlag H. Schildt Seite 15

16 Veröffentlichungen zur it-sa geplante Dokumente Dokument BS UH APP.2.3 OpenLDAP X X APP.4.2 SAP-ERP-System X X APP.4.6 SAP ABAP X X CON.8 Softwareentwicklung X IND.2.7 Safety Instrumented System X X INF.6 Datenträgerarchiv X X INF.10 Besprechungsraum X INF.7 Büroarbeitsplatz X NET.4.3 Faxgerät X X NET.4.1 TK-Anlage X X NET.4.2 VoIP X X OPS Archivierung X SYS.1.7 IBM Z-System X SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte (Überarb.) X X SYS.3.3 Mobiltelefon X X SYS.4.3 Eingebettetes System X X SYS.1.6 Container X Dokument BS UH SYS.2.4 Clients unter macos X X OPS.2.2 Cloud Nutzung X X APP.1.4 Mobile Anwendungen (Apps) X INF.5 Technikraum und o Schutzschrank OPS Allgemeiner IT-Betrieb o DER.3.2 IS-Revision für o Bundesbehörden (Überarb.) INF.2 Rechenzentrum sowie o Serverraum (Überarb.) OPS Beschaffung, o Ausschreibung und Einkauf ORP.4 Identitäts- und o Berechtigungsmanagement SYS.4.6 Gefahrenmeldeanlagen o 20 Bausteine, 15 Umsetzungshinweise neu 3 Bausteine, 2 Umsetzungshinweise stark überarbeitet Diverse kleinere Überarbeitungen H. Schildt Seite 16

17 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert Austausch mit zahlreichen Stakeholdern, wie kommunaler Verwaltung, Kleinstunternehmen und Betreibern von kritischen Infrastrukturen H. Schildt Seite 17

18 Neuer Online-Kurs zum IT-Grundschutz basiert auf dem IT-Grundschutz-Kompendium und den BSI Standards 200-1/-2/-3 in 9 übersichtlichen Lerneinheiten Prüffragen am Ende jeder Lektion kostenlos online oder als Dokument nutzbar für Unternehmen und Behörden jeder Größe, besonders KMU englische Version: coming soon! H. Schildt Seite 18

19 IT-Grundschutz Bisherige Veröffentlichungen - IT-Grundschutz-Kompendium in verschiedenen Formaten - Umsetzungshinweise zum IT-Grundschutz-Kompendium - Checklisten - Kreuzreferenztabellen - Migrationstabellen - BSI-Standards 200-1, 200-2, Diverse weitere Publikationen Alles Online verfügbar unter H. Schildt Seite 19

20 Nächste Veranstaltungen Geplante IT-Grundschutz-Tage IT-Grundschutz-Tag, Berlin, 08. März IT-Grundschutz-Tag, Limburg, 19. Juni IT-Grundschutz-Tag, Köln, 30. August IT-Grundschutz-Tag, Nürnberg, 10. Oktober 2018 Sonstige Termine 24. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit 11. September 2018 in Hamburg Lass Dir nichts anhängen! - Sichere -Kommunikation im Unternehmen 16. Deutscher IT-Sicherheitskongress 21. bis 23. Mai 2019 in Bonn H. Schildt Seite 20

21 Modernisierung IT-Grundschutz Vielen Dank für Ihre Aufmerksamkeit H. Schildt Seite 21

22 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Holger Schildt Referatsleiter Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee Bonn H. Schildt Seite 22