Ausblick und Diskussion

Transkript

1 Ausblick und Diskussion Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit IT-Grundschutz-Tag, it-sa,

2 Agenda Ausblick Kernaspekte der Modernisierung des IT-Grundschutzes IT-Grundschutz-Tool Aktualisierung der IT-Grundschutz-Kataloge Diskussion Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 2

3 GS-Webseite Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 3

4 GS-Webseite Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 4

5 BSI-Webseite Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 5

6 Allianz für Cyber-Sicherheit Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 6

7 Vorgehensweisen Überblick Schutzbedarf normal Kernabsicherung Standardabsicherung Basisabsicherung Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 7

8 Vorgehensweisen Hilfsmittel zur Auswahl Unterstützung durch geeignete Fragen bei Entscheidung Standardabsicherung Kernabsicherung Basisabsicherung Orientierungshilfe, keine verbindliche Empfehlung Gegenüberstellung der Vor- und Nachteile Hinweise für umfangreicheren Auswahlprozess Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 8

9 Vorgehensweisen Basisabsicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von Basisabsicherung KMUs zugeschnitten Auch für kleine Institutionen geeignet Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 9

10 Vorgehensweisen Bonsai-ISMS der Basisabsicherung Erstellung einer Leitlinie zur Informationssicherheit Organisation des Sicherheitsprozesses Rollen und Aufgaben festlegen Informationssicherheit in Abläufe und Prozesse integrieren Umsetzung überwachen Bereitstellung von Ressourcen (Angemessen und wirtschaftlich, aber Informationssicherheit kostet Geld!) Einbindung aller Mitarbeiter in den Sicherheitsprozess Auswahl und Anpassung von Bausteinen Umsetzungsreihenfolge der Bausteine Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 10

11 Vorgehensweisen Umsetzungsreihenfolge der Bausteine R1 R2 R3 Diese Bausteine sollten für die Basisabsicherung vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden. Im Rahmen der Basisabsicherung sollte geprüft werden, ob diese Bausteine für den Informationsverbund relevant sind. Ist dies der Fall, sollten sie als nächstes umgesetzt werden. Diese Bausteine sind für die Basisabsicherung typischerweise nicht erforderlich. Falls doch, wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten. Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 11

12 Vorgehensweisen Kernabsicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kernabsicherung Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 12

13 Vorgehensweisen Standardabsicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standardabsicherung Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 13

14 Vorgehensweisen Wege zur Standardabsicherung Einstieg Kernabsicherung Basisabsicherung Kernabsicherung Basisabsicherung Standardabsicherung Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 14

15 Struktur der Kataloge Nachfolger des Schichtenmodells ISMS ORP CON OPS Prozess-Bausteine APP SYS NET INF System-Bausteine IND DER Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 15

16 Struktur der Kataloge Vollständiger Überblick Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 16

17 Struktur der Kataloge Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance CON.6 Informationssicherheit auf Auslandsreisen Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 17

18 Struktur der Kataloge System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 / Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarch iv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum INF.6 Schutzschrank INF.12 Werkhalle Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 18

19 Modernisierte Bausteine Piloten ios Personal Webserver WLAN-Betrieb WLAN-Nutzung Allgemeiner Client Allgemeiner Server Gebäude Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 19

20 Modernisierte Bausteine Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Keine Maßnahmen, sondern Anforderungen Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle Anforderungen zu Elementaren Gefährdungen Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 20

21 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 21

22 Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 22

23 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien Beispiele: Kommunalverwaltung in Bundesland XY, Krankenhaus, Wasserwerk als kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...), nicht durch das BSI erstellt Profile als Orientierungshilfe für Stand der Technik, nicht als Vorgabe Nachweis für Umsetzung (z. B. Testat) wird diskutiert Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 23

24 IT-Grundschutz-Profile Profile als pauschalisierte Vorauswahl in process Beschreibung des Informationsverbunds Basierende Vorgehensweise Übersicht der berücksichtigten Objekte Eventuell Referenzarchitektur Beschreibt die Anwendung des Profils Vereinfacht die Vergleichbarkeit mit anderen Profilen Auswahl Bausteine Portfolio aus offiziellen und benutzerdefinierten Bausteinen Auswahl Anforderungen Zusammenstellung aus ausgewählten Bausteinen (opt.) Ergänzende Anforderungen Einzelne Anforderungen aus nicht ausgewählten Bausteinen Branchenspezifische Anforderungen Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 24

25 Neufassung der Risikoanalyse Überblick Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Festlegung: Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-? Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 25

26 IT-SiBe im Wandel der Zeit Ergebnis der Umfrage Paradigmenwechsel: Von IT- zur Informationssicherheit 2008: Nur der Begriff IT-Sicherheitsbeauftragter ist in BSI-Standards verblieben Umfrage vom zur Auswahl alternativer Bezeichnungen für IT-SiBe IT-Sicherheitsbeauftragter Chief Information Security Officer Informationssicherheitsmanager Informationssicherheitsbeauftragter 1384 Teilnehmer ISM 13% IT-SiBe 25% CISO 22% ISB 40% Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 26

27 3. IT-Grundschutz-Tool: Abkündigung, Übersicht lizenzierte Tools

28 IT-Grundschutz-Tool Übersicht GSTOOL Support des GSTOOLs bis Ende 2016 Die Verfügbarkeit einer geeigneten zukünftigen Toolunterstützung wird sichergestellt: Enger Austausch mit Herstellern Offenlegung der GSTOOL-Exportschnittstelle Unterstützung der Migration alt auf neu Definition eines Austauschformats zwischen Tools Prüfung der Möglichkeit einer zentralen Finanzierung (z. B. über einen zentralen Sondertatbestand) Ziel: Markt stellt geeignete Tools im Jahr 2016 bereit Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 28

29 IT-Grundschutz-Tool Übersicht lizenzierter Tools 2net Carsten Lang Sidoc - Sicherheitsmanagement Bundesamt für Sicherheit in der Informationstechnik GSTOOL calpana business consulting gmbh CRISAM Die Risikomanagement Methode QE LaB Business Services GmbH, adamant Efficient IT security and compliance CONTECHNET INDART Professional DHC Business Solutions GmbH & Co. KG GRC Partner GmbH DocSetMinder HiScout GmbH HiScout Grundschutz ibi Systems GmbH GRC Suite iris INFODAS GmbH SAVe DHC Vision Information Security Manager Kronsoft e.k. ReviSEC Secure IT Consult SerNet GmbH synetics opus i - Informationssicherheit ReviSEC GS-Tool Audit Tool 2006 Verinice Open Source ISMS Tool i-doit Quelle: Stand: Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 29

30 IT-Grundschutz-Tools Vergleich von CSC 2net Carsten Lang Sidoc - Sicherheitsmanagement Bundesamt für Sicherheit in der Informationstechnik GSTOOL calpana business consulting gmbh CRISAM Die Risikomanagement Methode QE LaB Business Services GmbH, adamant Efficient IT security and compliance CONTECHNET INDART Professional DHC Business Solutions GmbH & Co. KG GRC Partner GmbH DocSetMinder HiScout GmbH HiScout Grundschutz ibi Systems GmbH GRC Suite iris INFODAS GmbH SAVe DHC Vision Information Security Manager Kronsoft e.k. ReviSEC Secure IT Consult SerNet GmbH synetics opus i - Informationssicherheit ReviSEC GS-Tool Audit Tool 2006 Verinice Open Source ISMS Tool i-doit WMC GmbH QSEC CSC auf der it-sa am Stand Nr Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 30

31 4. Aktualisierung der IT-Grundschutz-Kataloge

32 IT-Grundschutz-Kataloge Überblick Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeiger Verlag Preis 14. EL: 152,00 Euro Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 32

33 IT-Grundschutz-Kataloge 14. Ergänzungslieferung Neue Bausteine Cloud-Management Cloud-Storage Web-Services Cloud-Nutzung Allgemeine Anwendung Überarbeitete Bausteine B 1.13 Sensibilisierung und Schulung zur Informationssicherheit B Mobiltelefon B Smartphones, Tablets und PDAs Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 33

34 IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 34

35 IT-Grundschutz-Kataloge Checklisten Checklisten Handbuch IT-Grundschutz Sämtliche Prüffragen mit Verantwortlich für Initiierung Verantwortlich für Umsetzung Umsetzungsstatus (ja/nein) aller Maßnahmen der IT-Grundschutz-Kataloge Kostenpflichtig (49 ) als Printversion beim Bundesanzeiger Verlag erhältlich, E-Book in Planung Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 35

36 5. Ausblick Weiteres Vorgehen Vertiefende Diskussion im morgigen Workshop

37 A3 Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende Findungsphase Beteiligung aller Stakeholder 2015 Abschluss der Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 37

38 Folie 37 A3 Folie vielleicht nach ganz hinten (Ausblick). Autor;

39 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Isabel Münch Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee Bonn Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 38

40 Zeitliche Planung IT-Grundschutz Modernisiert 2014 Findungsphase: Problemanalyse und Modernisierungsansätze Beteiligung aller Stakeholder durch Workshops 2015 Abschluss der Modernisierungs- Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge IT-Grundschutz Classic Bis 15. Ergänzungslieferungen GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende 2016 Jahrestagung für IT-Sicherheitsbeauftragte der Bundesbehörden Seite 39