Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick. Christoph Wiemers IT-Grundschutz

Transkript

1 Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick Christoph Wiemers IT-Grundschutz

2 Agenda Einleitung und Motivation Kernaspekte der BSI-Standard-Reihe 200-X Das IT-Grundschutz-Kompendium und seine Struktur Veröffentlichungen Seite 2

3 1. Einleitung und Motivation

4 Das BSI Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Gegründet 1991 Behörde im Geschäftsbereich des BMI Sitz in Bonn (4 Liegenschaften) Ca. 700 Mitarbeiter Seite 4

5 Informationssicherheit Informationssicherheit hat den Schutz von Informationen als Ziel. Grundwerte der Informationssicherheit sind dabei u.a. die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen. Informationen können dabei auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein Informationssicherheit liefert mehr als reine IT-Sicherheit Seite 5

6 Informationssicherheit Sicherheit ist kein Produkt Sicherheit kann mann nicht kaufen Sicherheit muss man schaffen Natürlich muss man dazu auch auf vorhandene Produkte zurückgreifen kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen Sicherheit muss aufrechterhalten werden ein Prozess Chefsache Seite 6

7 Was hat dieses Bild mit Informationssicherheit zu tun? Seite 7

8 Informationssicherheit Beispiel Smartphone Persönliche / geschäftliche Daten Kamera GPS Datenverbindung Apps und Berechtigungen Zweckmäßigkeit <-> Risiko Seite 8

9 Viele Wege führen zur Informationssicherheit Welcher Weg ist der effektivste? Seite 9

10 IT-Grundschutz Eine kurze Geschichtsstunde Erstes IT-Grundschutz-Handbuch 1995 Seit 2005 aufgeteilt in BSI-Standards und IT-Grundschutz- Kataloge mit Baustein-, Gefährdungs- und Maßnahmenkatalogen IT-Grundschutz-Kataloge mit jährlichen Ergänzungslieferungen 15. EL 2016 mit insgesamt mehr als Seiten Seite 10

11 IT-Grundschutz Die Idee Typische Komponenten Typische Gefährdungen, Schwachstellen und Risiken Konkrete Umsetzungshinweise für das Sicherheitsmanagement Empfehlung geeigneter Bündel von Standard Sicherheitsmaßnahmen Vorbildliche Lösungen aus der Praxis Best Practice -Ansätze Seite 11

12 IT-Grundschutz Informationssicherheit in der Praxis IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard- Sicherheitsanforderungen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Sicherheitsanforderungen geliefert, die die Basis für sensiblere Bereiche sind. Seite 12

13 2. Kernaspekte der BSI- Standard-Reihe 200-X Vorgehensweisen Basis-, Kern- und Standardabsicherung Neufassung der Risikoanalyse Bausteine Struktur und Aufbau Umsetzungshinweise IT-Grundschutz-Profile

14 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz Seite 14

15 BSI-Standards zum IT-Grundschutz Veröffentlichung Inhalt Managementsysteme für Informationssicherheit IT-Grundschutz-Methodik Risikoanalyse auf der Basis von IT-Grundschutz Verfügbare Versionen Kostenlos als PDF auf BSI-Webseite Kostenpflichtige gedruckte Version über Bundesanzeiger Verlag Seite 15

16 BSI-Standard Managementsysteme für Informationssicherheit Definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) Zielgruppe: Management Kompatibel mit ISO/IEC Interpretation der Norm Aktualisierung basierend auf BSI-Standard Anpassungen an Fortschreibung der ISO-Standards Anpassungen an BSI-Standard Seite 16

17 BSI-Standard Antworten auf folgende Fragen Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? Wie werden Sicherheitsmaßnahmen ausgewählt und Sicherheitskonzepte erstellt? Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? Seite 17

18 BSI-Standard IT-Grundschutz-Methodik Neukonzeption basierend auf BSI-Standard Neue Vorgehensweisen zum Einstieg Erweiterung um Virtualisierung, Cloud-, ICS- und IoT-Absicherung Anpassungen an Fortschreibung der ISO- Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit Beispiel BoV durch RecPlast ausgetauscht Seite 18

19 BSI-Standard Überblick Vorgehensweisen Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung Seite 19

20 BSI-Standard Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest Seite 20

21 BSI-Standard Auswahl der Vorgehensweise Unterstützung durch geeignete Fragen bei Entscheidung Orientierungshilfe, keine verbindliche Empfehlung Gegenüberstellung der Vor- und Nachteile Hinweise für umfangreicheren Auswahlprozess Seite 21

22 Ergänzung zum BSI-Standard Leitfaden zur Basis-Absicherung Seite 22

23 BSI-Standard Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung Seite 23

24 Leitfaden zur Basis-Absicherung Die drei Phasen des Sicherheitsprozesses 1. Initiierung des Sicherheitsprozesses Funktionen und Verantwortlichkeiten Geltungsbereich: Informationsverbund Sicherheitsziele und Leitlinie 2. Organisation des Sicherheitsprozesses Ausbau einer Organisation zur Informationssicherheit Integration in Abläufe und Prozesse Konzeption und Planung 3. Durchführung des Sicherheitsprozesses Modellierung nach IT-Grundschutz IT-Grundschutz-Check Umsetzung der Sicherheitskonzeption Seite 24

25 BSI-Standard 200-2: Basis-Absicherung Durchführung des Sicherheitsprozesses Seite 25

26 BSI-Standard 200-2: Basis-Absicherung Umsetzungsreihenfolge der Bausteine R1 R2 R3 Diese Bausteine sollten für die Basis-Absicherung vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden. Im Rahmen der Basis-Absicherung sollte geprüft werden, ob diese Bausteine für den Informationsverbund relevant sind. Ist dies der Fall, sollten sie als nächstes umgesetzt werden. Diese Bausteine sind für die Basis-Absicherung typischerweise nicht erforderlich. Falls doch, wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten. Seite 26

27 BSI-Standard 200-2: Basis-Absicherung Umsetzungsreihenfolge der Bausteine Reihenfolge 1 ISMS Organisation Personal Sensibilisierung & Schulung Identitäts- & Berechtigungsmanagement Reihenfolge 2 Alle nichtgenannten Prozess-Bausteine Alle nichtgenannten System-Bausteine Reihenfolge 3 Hochverfügbarkeitskonzeption Softwareentwicklung Informationssicherheit auf Auslandsreisen Änderungsmanagement Archivierung (Ordnungsmäßige IT-Administration) Patch-Management Malware-Schutz Backup Datenträgeraustausch Telearbeit BYOD Beschaffung, Ausschreibung & Einkauf (Protokollierung) Verkauf/Aussonderung von IT (Löschen & Vernichten) Festlegung der Reihenfolge, nicht der Wertigkeit! Seite 27

28 BSI-Standard Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung Seite 28

29 BSI-Standard Standard-Absicherung Die Vorgehensweise bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (bisherigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz Standard-Absicherung Seite 29

30 BSI-Standard Wege zur Standard-Absicherung Einstieg Basis-Absicherung Kern-Absicherung Kern-Absicherung Basis-Absicherung Standard-Absicherung Seite 30

31 BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Nun: Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf Seite 31

32 BSI-Standard Vorgehensweise Seite 32

33 BSI-Standard elementare Gefährdung G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe IT-gestützte Angriffe können Auswirkungen haben, die von den Tätern nicht beabsichtigt sind oder nicht die unmittelbar angegriffenen Zielobjekte betreffen oder unbeteiligte Dritte schädigen. Beispiele: Für DDoS-Angriffe als Bots missbrauchte IT-Systeme (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen Seite 33

34 BSI-Standard Erstellung der Gefährdungsübersicht Zusätzliche Gefährdungen Moderiertes Brainstorming mit klarem Auftrag und Zeitbegrenzung Gefährdungen, die nicht in den IT-Grundschutz-Katalogen aufgeführt sind Realistische Gefährdungen mit nennenswerten Schäden 3 Grundwerte berücksichtigen Höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, Außen-/Innentäter Externe Quellen einbeziehen Seite 34

35 BSI-Standard Zukünftiges Bewertungsverfahren Lösungsansätze Die Bewertung des Risikos erfolgt durch den populären Matrix- Ansatz anhand weniger Stufen. Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen. Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde. Dadurch wird automatisch auch das Restrisiko dokumentiert. Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz) Seite 35

36 BSI-Standard Zukünftiges Bewertungsverfahren Seite 36

37 BSI-Standard Zukünftiges Bewertungsverfahren Seite 37

38 BSI-Standard Risikobehandlungsoptionen Risikoklasse mittel hoch sehr hoch Sicherheitsmaßnahmen Umstrukturierung Risiko- Übernahme Risiko-Transfer Seite 38

39 BSI-Standard Konsolidierung Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet? Wirken die Sicherheitsmaßnahmen sinnvoll zusammen? Welche IT-Grundschutzmaßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Sind die Sicherheitsmaßnahmen benutzerfreundlich? Sind die Sicherheitsmaßnahmen angemessen? Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen Seite 39

40 3. Das IT-Grundschutz- Kompendium und seine Struktur

41 IT-Grundschutz-Kompendium Überblick Seite 41

42 Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS IND NET INF DER Seite 42

43 Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick Seite 43

44 Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen Seite 44

45 Seite 45 Struktur GS-Kompendium System-Bausteine APP (Anwendungen) APP.1 / Groupware/ Kommunikation APP.2 Verzeichnisdienst APP.3 Netzbasierte Dienste APP.4 Business- Anwendungen APP.5 Client- Anwendungen SYS (IT-Systeme) SYS.1 Server SYS.2 Desktop- Systeme SYS.3 Mobile Devices SYS.4 Sonstige Systeme NET (Netze und Kommunikation) NET.1 Netze NET.2 Funknetze NET.3 Netzkomponenten NET.4 Telekommunikation INF (Infrastruktur) INF.1 Gebäude INF.2 Rechenzentrum INF.3 Elektrotechnische Verkabelung INF.4 IT-Verkabelung INF.5 Technikraum INF.6 Schutzschrank INF.7 Datenträgerarchiv INF.8 Arbeitsplatz INF.9 Telearbeitsplatz INF10 Mobiler Arbeitsplatz INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum INF.12 Werkhalle IND (Industrielle IT) IND.1 ERP/MES- Anbindung von ICS IND.2 ICS- Komponenten IND.3 Produktionsnetze IND.4 Industrielle Fernwartung Baustein Schicht

46 Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle Seite 46

47 Bausteine GS-Kompendium Dokumentenstruktur Seite 47

48 Bausteine GS-Kompendium Dokumentenstruktur Seite 48

49 Bausteine GS-Kompendium Dokumentenstruktur Seite 49

50 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. Seite 50

51 IT-Grundschutz-Kompendium Edition 2018 Top 80 Bausteine Online in verschiedenen Formaten Druckversion beim Bundesanzeigerverlag bestellbar Umsetzungshinweise 37 Umsetzungshinweise Sammeldokument als PDF Seite 51

52 4. Veröffentlichungen

53 IT-Grundschutz Veröffentlichungen - IT-Grundschutz-Kompendium in verschiedenen Formaten - Umsetzungshinweise zum IT-Grundschutz-Kompendium - Checklisten - Kreuzreferenztabellen - Migrationstabellen und Leitfaden - BSI-Standards 200-1, 200-2, (Final Drafts) Alles Online verfügbar unter Dr. Gerhard Schabhüser 4. IT-Grundschutz-Tag 2017 Seite Seite 53 53

54 Modernisierung IT-Grundschutz ein Blick auf die Webseite Seite 54

55 Modernisierung IT-Grundschutz Wie geht s weiter? 2018? 2019? Themen? Termine? Vortrag Holger Schildt am Nachmittag Seite 55

56 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Christoph Wiemers Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee Bonn Seite 56