Neues zum IT-Grundschutz

Transkript

1 Neues zum IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz 5. IT-Grundschutz-Tag

2 Inhalte Status Weiterentwicklung IT-Grundschutz IT-Grundschutz-Kataloge Umstrukturierungen in den IT-Grundschutz-Katalogen Prüffragen ISO Zertifizierung auf der Basis von IT- Grundschutz GSTOOL Überblickspapiere Diskussion Holger Schildt Folie 2

3 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Holger Schildt Folie 3

4 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Änderungen der ISO 2700x Anpassung Risikoanalyse Virtualisierung Schutzbedarf und BIA enger abstimmen Und diverses mehr Holger Schildt Folie 4

5 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Holger Schildt Folie 5

6 IT-Grundschutz-Kataloge Veröffentlichung generell Neue Bausteine EV-Modell Prüffragen Holger Schildt Folie 6

7 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Holger Schildt Folie 7

8 Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro Holger Schildt Folie 8

9 Neue Bausteine B Virtualisierung B Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung IT-Grundschutz-Kataloge 12. Ergänzungslieferung Überarbeitete Bausteine B TK-Anlage B 5.4 Webserver Gestrichene Bausteine B Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver Holger Schildt Folie 9

10 IT-Grundschutz-Kataloge 12. Ergänzungslieferung Status Als Druckwerk veröffentlicht Dezember 2011 Als PDF auf BSI-Webseite veröffentlicht Februar 2012 Metadatenupdate sowie zugehörige HTML-Aktualisierung für GSTOOL 4.7 Juni 2012 Online-HTML-Version ist Stand 11. EL! Holger Schildt Folie 10

11 IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Holger Schildt Folie 11

12 Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management B 1.13 Sensibilisierung B Mobiltelefon / B PDA Neue Bausteine Cloud-Management Webservices Cloud-Nutzung Cloud-Storage Anwendungsentwicklung Holger Schildt Folie 12

13 E-V-Modell Holger Schildt Folie 13

14 E-V-Modell (1) Ziel: Weg: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch Holger Schildt Folie 14

15 E-V-Modell (2) Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine Holger Schildt Folie 15

16 E-V-Modell Schicht 1 Beispiel: Einteilung in elementare und vertiefende Bausteine B 1.0 Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfall-Management B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.7 Kryptokonzept B 1.8 Incident Handling B 1.9 Hard- und Software- Management B 1.10 Standardsoftware B 1.11 Outsourcing B 1.12 Archivierung B 1.13 Sicherheitssensibilisierung und -schulung B 1.14 Patch- und Änderungsmanagement B 1.15 Löschen und Vernichten von Daten B 1.16 Anforderungsmanagement Holger Schildt Folie 16

17 E-V-Modell Schicht 2 Benötigt: B 2.0 Allgemeine Gebäudesicherheit (B 2.1 Gebäude) B 2.2 Elektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume B 2.12 IT-Verkabelung Holger Schildt Folie 17

18 E-V-Modell Schicht 3 B Allgemeiner Server B Server unter Unix B Server unter Windows NT B Server unter Novell Netware Version 4.x B Server unter Windows 2000 B S/390- und zseries- Mainframe B Windows Server 2003 B Allgemeiner Client B Allgemeines nicht vernetztes IT-System B Laptop B Client unter Unix B Client unter Windows NT B Client unter Windows 2000 B Internet-PC B Client unter Windows XP B Sicherheitsgateway (Firewall) B Router und Switches B Speichersysteme und Speichernetze B Virtualisierung B Terminalserver B TK-Anlage B Faxgerät (evtl. nach TK- Anlage) B Mobiltelefon B PDA B Drucker, Kopierer und Multifunktionsgeräte Holger Schildt Folie 18

19 E-V-Modell Schicht 4 Benötigt: B 4.0 Allgemeine IT-Kommunikation / Vernetzung B 4.1 Heterogene Netze -> B 4.1 Netzarchitektur B 4.2 Netz- und Systemmanagement -> B 4.2 Netz-Management B 4.3 Modem (mit B 4.0 alle folgenden vertiefend) B 4.4 VPN B 4.5 LAN-Anbindung eines IT-Systems über ISDN B 4.6 WLAN B 4.7 VoIP B 4.8 Bluetooth Holger Schildt Folie 19

20 E-V-Modell Schicht 5 B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 Groupware B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell edirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 B 5.13 SAP System B 5.14 Mobile Datenträger B 5.15 Allgemeiner Verzeichnisdienst B 5.16 Active Directory B 5.17 Samba B 5.18 DNS-Server B 5.19 Internet-Nutzung Holger Schildt Folie 20

21 Zusammenfassung Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO Zertifikat Selbsteinschätzung Holger Schildt Folie 22

22 Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits: Holger Schildt Folie 23

23 ISO Zertifizierung auf der Basis von IT-Grundschutz Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und extern) Für Behörden gegenüber Bürgern oder Unternehmen Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern (z. B. Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche Anforderungen Identifikation von Mitarbeitern und Unternehmensleitung mit Sicherheitszielen Optimierung der internen Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen Vermeidung von Imageschäden Holger Schildt Folie 24

24 Zertifizierung nach ISO auf der Basis von IT-Grundschutz Ausgestellte Zertifikate Zertifikate erteilt Zertifikate Zertifikate erteilt, 13 laufen bzw. sind in Planung Zertifizierungsanträge liegen schon vor Stand: Holger Schildt Folie 25

25 Informationen zum GSTOOL Holger Schildt Folie 26

26 IT-Grundschutz Hilfsmittel GSTOOL Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Sicherheitsanalyse Risikoanalyse Basis-Sicherheitscheck Anfallende Informationen werden über die grafische Benutzeroberfläche in eine Datenbank übernommen. Übersichtliche grafische Darstellung für Überblick über den aktuellen Sicherheitsstatus der betrachteten Objekte. Die Informationen können übersichtlich strukturiert mittels diverser Standardberichte ausgegeben werden. Holger Schildt Folie 27

27 GSTOOL 4.x Sachstand GSTOOL 4.x Funktionserweiterungen (möglich) Metadatenupdates (sicher) Support (sicher) Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Servicepack 3 derzeit in Arbeit (Verzögerungen aufgrund Arbeiten für GSTOOL 5.0) Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 etwa 1 Jahr Parallelbetrieb und Support beider GSTOOL- Versionen später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich Holger Schildt Folie 28

28 GSTOOL 5.0 Projektverlauf Projektverlauf Projektlaufzeit Ende 2008 bis Ende 2010 Kooperationen Bundesministerium für wirtschaftliche Zusammenarbeit (BMZ) => Projektneustart Ende 2009 mit geändertem Entwicklungsziel Bundesanstalt für Landwirtschaft und Ernährung (BLE) => Erweiterung des Funktionsumfangs Projektlaufzeit neu bis Ende 2011 Holger Schildt Folie 29

29 GSTOOL 5.0 Gesamtkoordination BMI BMZ BLE Bayer AG Benutzer GSTOOL BSI BMF B-POL BW BfdI B21 ZIVIT L-POL C23 C14 Holger Schildt Folie 30

30 GSTOOL 5.0 Projektverlauf: (erlebte) Risiken Herausforderungen / Risiken Kooperationen Verwendung von Mitteln aus Konjunkturpaket unterschätzte Komplexität der Anwendung Fehler im Projektmanagement unzureichende Qualitätssicherung Ausscheiden einer Partnerfirma wechselnde Geschäftsführung Häufig wechselnde Projektleiter wechselnde Programmierteams Gesamtkoordination Holger Schildt Folie 31

31 Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen Holger Schildt Folie 32

32 Überblickspapiere Was gibt es? Holger Schildt Folie 33

33 Geplante IT-Grundschutz-Tage in Berlin: IT-Grundschutz-Tag mit SerNet zu "Auditierung und IT-Grundschutz" in Berlin: IT-Grundschutz-Tag mit HiSolutions zu "Notfallmanagement" in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster zu "Schutz vor Kriminalität und Spionage mit IT-Grundschutz" Herbst 2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu "Cloud- Zertifizierung" in Nürnberg: it-sa und viele weitere Holger Schildt Folie 34

34 Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag

35 Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: GSTOOL-Hotline Telefon: Neu: XING-Forum IT-Grundschutz Holger Schildt Folie 36

36 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Gruppe im XING-Forum: Holger Schildt Folie 37