Neues vom IT-Grundschutz: Ausblick und Diskussion

Transkript

1 Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014

2 Agenda IT-Grundschutz-Kataloge 13. Ergänzungslieferung zukünftige Ergänzungslieferungen GSTOOL Neuausrichtung IT-Grundschutz Holger Schildt Folie 2

3 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Holger Schildt Folie 3

4 Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 13. EL: 152,00 Euro Holger Schildt Folie 4

5 IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Holger Schildt Folie 5

6 IT-Grundschutz-Kataloge 14. Ergänzungslieferung Definitiv enthalten: (Vorabversion auf BSI-Seiten) Cloud-Management Cloud-Storage Web-Services Cloud-Nutzung Allgemeine Anwendung geplant: Identitäts- und Berechtigungsmanagement B Mobiltelefon B Smartphones, Tablets und PDAs B 1.13 Sensibilisierung und Schulung zur Informationssicherheit Ziel: Veröffentlichung 2014 Holger Schildt Folie 6

7 IT-Grundschutz-Kataloge Allgemeine Anwendung Betrachtet spezialisierte Anwendungssoftware, wie Individualsoftware Standardsoftware mit eigenen Anpassungen Standardsoftware für Fachaufgaben Abgrenzung zu fachlich nicht fokussierte Standardsoftware Vorab-Version auf BSI-Webseite verfügbar Anmerkungen, Kritik und Änderungsvorschläge bitte an Holger Schildt Folie 7

8 IT-Grundschutz-Kataloge Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management B 1.12 Archivierung Neue Bausteine Client unter Windows 8 Allgemeine Netze und viele weitere Holger Schildt Folie 8

9 Agenda IT-Grundschutz-Kataloge 13. Ergänzungslieferung zukünftige Ergänzungslieferungen GSTOOL Neuausrichtung IT-Grundschutz Holger Schildt Folie 9

10 GSTOOL Historie Seit 1998 GSTOOL vom BSI Aktuelle Version: GSTOOL 4.8 mit über vergebenen Lizenzen Neuentwicklung des GSTOOL 4.x nötig GSTOOL 5.0 wurde im Dezember 2008 beauftragt Beteiligung verschiedener Kooperationspartner wie BLE und BMZ Holger Schildt Folie 10

11 GSTOOL Entwicklung des GSTOOL 5.0 Entwicklung erfüllte nicht die Erwartungen des BSI Beendung des Projekts im März 2013 Fertigstellung wirtschaftlich nicht vertretbar, Neuentwicklung ist zu zeit- und kostenintensiv Weiterentwicklung des GSTOOL 5.0 wurde eingestellt Weiterhin Vertrieb des GSTOOL 4.x Support bis mindestens Anfang 2015, bis voraussichtlich Anfang 2017 geplant Zukunft abhängig von Neuausrichtung IT-Grundschutz! Holger Schildt Folie 11

12 Agenda IT-Grundschutz-Kataloge 13. Ergänzungslieferung zukünftige Ergänzungslieferungen GSTOOL Neuausrichtung IT-Grundschutz Holger Schildt Folie 12

13 Neuausrichtung 20 Jahre IT-Grundschutz und nun? Problembereiche Personalmangel im BSI Umfang des Gesamtwerkes Aktualität der Bausteine Dynamik der IT-Entwicklungen Mehrere Empfehlungswerke des BSI verwirren Änderungsnotwendigkeit wg. ISO 27001:2013 Verhältnis ISO IT-Grundschutz Abkündigung GSTOOL Holger Schildt Folie 13

14 Neuausrichtung 20 Jahre IT-Grundschutz und nun? Problembereiche Praktisch schwer anwendbar auf KMU Zu großer Dokumentationsaufwand Detaillierungsgrad der Methodik führt zu Verzögerungen und hohen Aufwänden Sicherheitsniveau IT-Grundschutz für viele Anwendungsfälle zu hoch Zu geringe Entscheidungsfreiheit, zu geringe Risikoakzeptanz Unzureichende Berücksichtigung der Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen und Risikoorientierung Holger Schildt Folie 14

15 Neuausrichtung Erste Ansätze (!) Schnellere Bereitstellung neuer Inhalte Straffung der Bausteine (<=10 Seiten) Veröffentlichung neuer Inhalte nach Bedarf (keine Zusammenfassung in Ergänzungslieferungen) Zielgruppen-Definition Institutionen zwischen 50 und 5000 Mitarbeiter (?) 0,2% der Mitarbeiter für IT-Sicherheit Holger Schildt Folie 15

16 Neuausrichtung Erste Ansätze (!) Skalierbare Sicherheit Vom "Das System ist so sicher wie möglich" (mehr Sicherheitsmaßnahmen sind immer besser) Zum "Das System ist sicher genug" Basis-Niveau: Mindeststandard für IT-Sicherheit Hoch-Niveau: optionale Hoch-Sicherheitsmaßnahmen für Vertraulichkeit/Integrität und/oder Verfügbarkeit Konsolidierte bewertete Gefährdungskataloge Konzentration auf Kerngefährdungen (<100) Bewertung der Relevanz Holger Schildt Folie 16

17 Neuausrichtung Erste Ansätze (!) Integration folgender BSI-Empfehlungen IT-Grundschutz ISi-Reihe Hochverfügbarkeits-Kompendium Cyber-Sicherheits-Empfehlungen ICS-Empfehlungen Holger Schildt Folie 17

18 Neuausrichtung Bedarfsgerechte Ausgestaltung Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Wenn nötig, Bereitstellung einer Migrationsanleitung Die Bedeutung des IT-Grundschutz soll ausgebaut werden und wird nicht verringert! Holger Schildt Folie 18

19 Neuausrichtung Fragen zur Ausgestaltung Welche Zielgruppen muss der neue IT-Grundschutz adressieren? Welche Aspekte der IT-Grundschutz-Vorgehensweise sollten erhalten bzw. reformiert werden? Wie soll das Zusammenspiel zwischen ISO 2700X und IT-Grundschutz zukünftig aussehen? Wie sollten Bausteine, Gefährdungen und Maßnahmen im neuen IT-Grundschutz strukturiert werden? In welchen Medienformaten (Web, PDF, Papier) sollte der neue IT-Grundschutz publiziert werden? Sind Sie als Anwender bereit, die Konzeption und zukünftige Ausgestaltung des neuen IT-Grundschutzes zu unterstützen? Anregungen und Wünsche bitte an Holger Schildt Folie 19

20 Fragen und Diskussion Holger Schildt Folie 20

21 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Holger Schildt Folie 21