BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

Größe: px

Ab Seite anzeigen:

Download "BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement"

Victor Voss
vor 8 Jahren
Abrufe

1 BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement

2 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA) Mitautor BSI IT-Grundschutzhandbuch bzw. BSI IT-Grundschutzkataloge Zertifizierter Auditor für ISO der Basis von IT-Grundschutz (BSI) Zertifizierter IS-Revisions- und IS-Beratungsexperte (BSI IS-Revisor) ITIL Expert (APMG) Lehrtätigkeiten: Fachhochschule Brandenburg Duale Hochschule Baden-Württemberg Hochschule für Wirtschaft und Recht Berlin 2

BSI IT-Grundschutzkataloge Zertifizierter Auditor für ISO 27001 der Basis von IT-Grundschutz (BSI) Zertifizierter

3 PERSICON Spezialist für Beratung und Zertifizierung sowie Schulung im Bereich IT-Sicherheit, Notfallwesen und Datenschutz Neutralität und Unabhängigkeit aufgrund nicht vorhandenem Lösungs- und Umsetzungsgeschäft Gegründet: Mitarbeiter Hauptsitz: Friedrichstraße 100, Berlin, weitere Büros in Düsseldorf und Kiel 3

aufgrund nicht vorhandenem Lösungs- und Umsetzungsgeschäft Gegründet: 2003 50

Alleinstellungsmerkmale (Auszug) Akkreditierte Zertifizierungsstelle für ISO 27001 & ISO 20.

und IT-Sicherheit (ULD) Zertifizierte Prüfstelle für PCI DSS (Payment) ISO 9001-zertifiziertes

4 Alleinstellungsmerkmale (Auszug) Akkreditierte Zertifizierungsstelle für ISO & ISO Mitautor BSI IT-Grundschutz und Ausbilder der BSI -Auditoren Sachverständige Prüfstelle für Datenschutz und IT-Sicherheit (ULD) Zertifizierte Prüfstelle für PCI DSS (Payment) ISO 9001-zertifiziertes Qualitätsmanagement Zertifizierter IT- Sicherheitsdienstleister des Bundes Rechtskonformität und Vertrauensschutz durch Einsatz von Berufsträgern 4

Referenzen (Auszug) Bundesministerium der Finanzen Bundesministerium des Inneren Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung Bundesanstalt für den Digitalfunk der Behörden

5 Referenzen (Auszug) Bundesministerium der Finanzen Bundesministerium des Inneren Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben Wasser- und Schifffahrtsverwaltung des Bundes Deutsche Post, Deutsche Telekom HOCHTIEF, Pfizer E.ON, RWE, EnBW diverse Stadtwerke Bertelsmann, arvato Rolls Royce, MAN Nutzfahrzeuge Talanx Versicherungsgruppe/HDI Gerling Microsoft, IBM, Nokia, Sennheiser PERSICON unterstützt das BSI seit Jahren konstant bei der Weiterentwicklung von Sicherheitsstandards und Softwarelösungen. Unter anderem zählen hierzu folgende Projekte: Strategiekonzept für die Weiterentwicklung der IT-Sicherheitsprodukte des BSI, Erstellung des Bausteins Windows Server 2003 für die BSI IT-Grundschutz-Kataloge, Neuentwicklung BSI GSTOOL in den Versionen 4.9 und 5.0, Ausbildung der BSI-Auditoren (Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz" und IS- Revisoren) und Erstellung des Bausteins Client unter Windows 7 für die BSI IT-Grundschutz- Kataloge. 5

ON, RWE, EnBW diverse Stadtwerke Bertelsmann, arvato Rolls Royce, MAN Nutzfahrzeuge Talanx Versicherungsgruppe/HDI Gerling Microsoft, IBM, Nokia, Sennheiser PERSICON unterstützt das BSI seit Jahren

6 Informationssicherheitmanagement BSI IT-Grundschutz 6

7 BSI IT-Grundschutz Nationaler Standard für Informationssicherheitsmanagement mit weitgehender Kompatibilität zur internationalen Norm ISO Herausgeber ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontrollziele: Verfügbarkeit Integrität Vertraulichkeit Zertifizierungsfähig, Zertifizierungsstelle ist das BSI 7

Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontrollziele:

8 Sicherheitsniveau Initialer Verzicht auf eine detaillierte Risikoanalyse Standardsicherheitsmaßnahmen für typische IT-Umgebungen Personelle, technische, organisatorische und infrastrukturelle Aspekte Risikoanalyse für Objekte für Objekte mit Schutzbedarf normal nicht notwendig, da bereits vom BSI vorgenommen und von Maßnahmen abgedeckt Drei Schutzbedarfskategorien: 1. normal 2. hoch 3. sehr hoch sehr hoher Schutzbedarf hoher Schutzbedarf normaler Schutzbedarf Sicherheitsaspekte 8

Objekte mit Schutzbedarf normal nicht notwendig, da bereits vom BSI vorgenommen und von Maßnahmen abgedeckt Drei

9 Struktur und Anwendung der BSI-Standards BSI-Standards zur Informationssicherheit Bereich Informationssicherheitsmanagement BSI Standard ISMS: Managementsysteme für Informationssicherheit IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen BSI Standard IT-Grundschutz-Vorgehensweise BSI Standard Risikoanalyse auf der Basis von BSI IT-Grundschutz BSI Standard Notfallmanagement Zertifizierung nach ISO auf der Basis von BSI IT- Grundschutz, Prüfschema für ISO Audits Bausteine-Kataloge Kapitel B1: Übergreifende Aspekte Kapitel B2: Infrastruktur Kapitel B3: IT-Systeme Kapitel B4: Netze Kapitel B5: IT-Anwendungen Gefährdungskataloge Maßnahmenkataloge 9

IT-Grundschutz-Vorgehensweise BSI Standard 100-3 Risikoanalyse auf der Basis von BSI IT-Grundschutz BSI Standard 100-4 Notfallmanagement Zertifizierung nach ISO 27001 auf der Basis von BSI

10 Ablauf gemäß BSI Strukturanalyse Schutzbedarfsfeststellung Modellierung und Basis-Sicherheitscheck Maßnahmenplanung und Umsetzung Ergänzende Sicherheitsanalyse und Maßnahmenumsetzung Audit 10

11 Alternativer Ansatz 11

12 Alternativer Ablauf Dokumentations- und Änderungswesen (informiert permanent über relevante technische und organisatorische Änderungen am Betrachtungsgegenstand) Start Schulung, IT-SiBE, Def. IV ( ) A0-Dokumente & Maßnahmen Schicht 1 Modellierung und Basis- Sicherheitscheck Maßnahmenplanung und Umsetzung Schutzbedarfsfeststellung, Sicherheits- & Risikoanalyse Audit Implementierung und fortlaufende Weiterentwicklung übergreifender Basisprozesse (Beispiele: Lieferantensteuerung, interne Audits, Dokumentenlenkung, Meldewesen, Berechtigungswesen und Anforderungsmanagement ) 12

IV ( ) A0-Dokumente & Maßnahmen Schicht 1 Modellierung und Basis- Sicherheitscheck Maßnahmenplanung und Umsetzung Schutzbedarfsfeststellung,

13 Kernpunkte der alternativen Vorgehensweise 1. Managementverantwortung übernehmen und leben 2. Organisationsübergreifende integrierte Sicherheitsvorgaben 3. Prozessorientierung und Betriebs- statt Projektfokus 4. Parallelisierung der Aufgaben statt Wasserfallmodell 5. Auskunfts- und Änderungsfähigkeit sicherstellen 6. Synergieeffekte zu Datenschutz nutzen 7. Aktive Einbindung der Fachbereiche inkl. Aufgabendelegation 8. Reife des Betriebs konstant zu erhöhen wo sinnvoll (Ergänzend/alternativ zu den allgemeinen Aspekten des IT-Grundschutzes) 13

Parallelisierung der Aufgaben statt Wasserfallmodell 5. Auskunfts- und Änderungsfähigkeit sicherstellen 6.

14 Aufbau des ISMS Informationsverbund A Übergreifende Aspekte des ISMS Informationsverbund B Informationsverbund C Wenn Informationsverbund A zertifiziert werden soll sollte das Dach vollständig oder nur teilweise in der Anwendungsbereich des Zertifikats aufgenommen werden? Externe Dienstleister 23

zertifiziert werden soll sollte das Dach vollständig oder nur teilweise in

15 Anwendungsbereich für Zertifizierung definieren (1) Informationsverbund A Übergreifende Aspekte des ISMS Informationsverbund B Informationsverbund C Wenn Informationsverbund A zertifiziert werden soll sollte das Fundament vollständig oder nur teilweise in der Anwendungsbereich des Zertifikats aufgenommen werden? Externe Dienstleister 24

Informationsverbund A zertifiziert werden soll sollte das Fundament vollständig oder

16 Anwendungsbereich für Zertifizierung definieren (2) Übergreifende Aspekte des ISMS Informationsverbund A Informationsverbund B Informationsverbund C Externe Dienstleister 25

17 Weiterentwicklung des IT-Grundschutzes durch das BSI Grundschutz+ 26

18 Ziele Effektivität und praktische Umsetzbarkeit erhöhen Aufwand zur Umsetzung und späteren Pflege/Verwaltung reduzieren Einstiegshürden verringern Umfang mit aktuell circa 4000 Seiten zu groß KMU-Orientierung statt Großkonzerne Bekanntheitsgrad der Möglichkeit zur Risikoakzeptanz vergrößern Grundschutzniveau wiederherstellen in den Maßnahmenkatelogen: Teilweise adressieren Grundschutzmaßnahmen bereits ein zu hohes Sicherheitsniveau 27

Großkonzerne Bekanntheitsgrad der Möglichkeit zur Risikoakzeptanz vergrößern Grundschutzniveau

19 Vereinfachung und Verschlankung aller Texte Änderung der Zielgruppe: Sicherheitsbeauftragte mit einem belastbaren Grundlagenwissen zur Informationssicherheit -> W-Maßnahmen und erklärende Texte entfallen weitgehend. Bausteine sollen verkürzt werden -> 10 Seiten maximal pro Baustein + eine Linksammlung zu weiterführenden Ressourcen Eine Konsolidierung der verfügbaren BSI-Dokumente zum Thema Informationssicherheit wird angestrebt, weil zu unüberschaubar geworden. 28

Bausteine sollen verkürzt werden -> 10 Seiten maximal pro Baustein + eine Linksammlung zu weiterführenden Ressourcen

20 Weitere Maßnahmen Vereinfachung/Neufassung der Vorgehensweise (insbesondere Strukturanalyse, Schutzbedarfsfeststellung und Risikoanalyse) Maßnahmen bereinigen: Inkonsistenzen und Redundanzen entfernen Für einen normalen Schutzbedarf überzogene Maßnahmen bereinigen 29

Risikoanalyse) Maßnahmen bereinigen: Inkonsistenzen und

21 Vielen Dank für Ihre Aufmerksamkeit Friedrichstraße Berlin Tel: +49 (30) Fax: +49 (30) Mobil: +49 (1522)

Ähnliche Dokumente

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA)