IT-Grundschutz und Zertifizierung

Transkript

1 IT-Grundschutz und Zertifizierung

2 Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799

3 in der Informationstechnik Sitz: Bonn; ca. 380 Mitarbeiter Aufgabe nach 3 BSIG: Förderung der IT-Sicherheit Allgemeine Dienstleistungen: BSI-Forum in der Zeitschrift KES BSI Schriftenreihe (Bundesanzeiger-Verlag) BSI Sicherheitskongress Mai 2001 BSI-Server im Internet Hotlines IT-Grundschutz (0228) Computer-Viren Zertifizierung Beratung der Wirtschaft bei öffentlichem Interesse

4 Was macht das BSI? Förderung der IT-Sicherheit Untersuchung von Sicherheitsrisiken und Entwicklung von Sicherheitsvorkehrungen Prüfung und Bewertung/Zertifizierung Beratung der Hersteller, Vertreiber und Anwender in Fragen der IT-Sicherheit IT-Grundschutz

5 Was ist IT-Grundschutz? Vorgehensweise zur Erstellung von IT- Sicherheitskonzepten Standard für IT- Sicherheit Maßnahmensammlung Nachschlagewerk

6 Ideen zum IT-Grundschutz praxiserprobte Maßnahmen mit hoher Wirksamkeit Gesamtsystem enthält typische Komponenten (z.b. Server- und Client-Computer, Verkabelung, Serverraum, , Datenbank,...) Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen konkrete Umsetzungshinweise für Maßnahmen Erweiterbarkeit und Aktualisierbarkeit

7 Ziel IT-Grundschutz Durch geeignete Anwendung von infrastrukturellen, organisatorischen, personellen und technischen Standardsicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Anwendungen dienen kann.

8 Struktur des IT-Grundschutzhandbuchs Kapitel ("Bausteine") Gefährdungskataloge Maßnahmenkataloge

9 Gefährdungskataloge G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen

10 Maßnahmenkataloge M 1 Infrastruktur M 2 Organisation M 3 Personal M 4 Hardware/Software M 5 Kommunikation M 6 Notfallvorsorge

11 Vorgehensweise Modellierung eines IT-Verbundes "Gesamtheit aller technischen Komponenten, die der Aufgabenerfüllung in einem definierten Bereich der Informationsverarbeitung dienen" durch Bausteine des IT-Grundschutzhandbuchs.

12 Einige Bausteine Personal Computer-Virenschutzkonzept WWW-Server Kryptokonzept Incident Handling Windows NT Netze

13 Ständige Aktualisierung Ergänzungslieferung Juli 2001 mit IT-Management Lotus Notes Rechenzentrum Ergänzungslieferung Mai 2002 mit Windows 2000 Internet-PC edirectory

14 Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799

15 Grundschutz-Qualifizierung Warum? Unternehmen und Behörden wollen Sicherheitsniveau dokumentieren intern nach außen Wie sicher sind meine Geschäftspartner? Maßstab für Umsetzung von Standard- Sicherheitsmaßnahmen

16 Ausprägungen der IT-Grundschutz- Qualifizierung IT-Grundschutz-Zertifikat Selbsterklärung "IT-Grundschutz Aufbaustufe Selbsterklärung "IT-Grundschutz Einstiegsstufe" Vertrauenswürdigkeit Selbsterklärung "Einstiegsstufe" IT-Grundschutz- Zertifikat Selbsterklärung "Aufbaustufe" Sicherheit

17 Definition Niveau Zuordnung der Maßnahmen "A": Umsetzung Maßnahme für alle drei Stufen der IT-Grundschutz-Qualifizierung erforderlich "B": Umsetzung für Aufbaustufe und für Zertifikat erforderlich "C": Umsetzung nur für das IT-Grundschutz- Zertifikat erforderlich

18 Qualifizierungsschema Erhebungsphase Schritt 1: Definition des Untersuchungsgegenstands Schritt 2: Vorarbeiten Schritt 3: Basis-Sicherheitscheck Schritt 4: Festlegung der weiteren Vorgehensweise Qualifizierungsphase Schritt 5: Plausibilitätsprüfung Schritt 6: Realisierungsprüfung Schritt 7: Selbsterklärung/Zertifizierung Schritt 8: Re-Qualifizierung

19 Schritt 1: Definition des Untersuchungsgegenstands Abgrenzung Untersuchungsgegenstand/IT-Verbund Primärer Domänen- (Windows NT) Exchange- (Windows NT) File-Server (Novell Kommunikations Server (Unix) Backup Domänen- (Windows NT) Internet Router Firewall Switch IP Router Standleitung Router IP Switch Switch Server für Personalverwaltun (Windows NT) 15 Client- (Windows NT) 75 Client- (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- (Windows NT)

20 Schritt 2: Vorarbeiten (1) IT-Strukturanalyse (Kapitel 2.1 GSHB) Definition des Untersuchungsgegenstands Bereinigter Netzplan Liste der IT-Systeme Liste der IT-Anwendungen Schutzbedarfsfeststellung (Kapitel 2.2) "niedrig bis mittel" "hoch" "sehr hoch"

21 Schritt 2: Vorarbeiten (2) Modellierung des IT-Verbunds (Kapitel 2.3) Schicht 1: Schicht 2: Schicht 3: Schicht 4: Schicht 5: Übergreifende Aspekte Infrastruktur IT-Systeme Netze IT-Anwendungen

22 Schicht 1: Übergreifende Aspekte Modellierung der Aspekte, die dem betrachteten IT-Verbund insgesamt übergeordnet sind Geeignete Bausteine: Sicherheitsmanagement Computer-Virenschutzkonzept Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept - Kryptokonzept - Incident Handling - Standardsoftware

23 Schicht 2: Infrastruktur Modellierung der für den IT-Verbund relevanten baulichen Gegebenheiten Geeignete Bausteine Gebäude - Datenträgerarchiv Verkabelung - Technikraum Büroraum - Schutzschrank Serverraum - häusl. Arbeitsplatz

24 Schicht 3: IT-Systeme Modellierung der im IT-Verbund eingesetzten Clients / Server Geeignete Bausteine DOS-PC - Unix-Server Unix-System - Peer-to-Peer-Netz Tragbarer PC Windows NT Windows 95 allg. Server Telearbeitsrechner - Windows NT-Netz - Novell Netware 3.x/4.x - TK-Anlage - Mobiltelefon - Faxgerät

25 Schicht 4: Netze Modellierung der im IT-Verbund zutreffenden Netz-Aspekte Geeignete Bausteine Heterogene Netze Netz- und Systemmanagement Modem Firewall Remote Access LAN-Anbindung über ISDN

26 Schicht 5: Anwendungen Modellierung der im IT-Verbund eingesetzten Anwendungen Geeignete Bausteine Datenträgeraustausch WWW-Server Faxserver Datenbanken

27 Schritt 3: Basis-Sicherheitscheck IT-Grundschutz-Modell Internet Primärer Domänen- Exchange- (Windows NT) (Windows NT) File-Server (Novell N ) Kommunikations Server (Unix) Backup Domänen- (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun (Windows NT) 15 Client- (Windows NT) 75 Client- (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- (Windows NT) Maßnahmen- empfehlungen Soll-/Ist-Vergleich Realisierte Maßnahmen IT-Sicherheitskonzept: defizitäre Maßnahmen

28 Schritt 4: Festlegung der weiteren Vorgehensweise Was wurde erreicht? IT-Grundschutz-Zertifikat Selbsterklärung "IT-Grundschutz Aufbaustufe Selbsterklärung "IT-Grundschutz Einstiegsstufe Nachbesserungen?

29 Schritt 5: Plausibilitätsprüfung Qualifizierer prüft: Hat IT-Verbund eine sinnvolle Mindestgröße? Sind IT-Strukturanalyse und Schutzbedarfsfeststellung plausibel? Ist die Modellierung des IT-Verbundes ordnungsgemäß? Ist Basis-Sicherheitschecks vollständig und die Ergebnisse plausibel?

30 Schritt 6: Realisierungsprüfung Stichprobenartige Prüfung Mindestens: Baustein "IT-Sicherheitsmanagement", zufällig aus jeder der fünf Schichten jeweils einen Baustein und vier weitere Bausteine nach eigenem Ermessen

31 Schritt 7: Selbsterklärung/Zertifizierung Plausibilitätsprüfung und Realisierungsprüfung erfolgreich sämtliche Maßnahmen der angestrebten Ausprägung der IT-Grundschutz- Qualifizierung erfüllt Selbsterklärung (durch zeichnungsbefugten Vertreter der Institution) oder Zertifizierung (durch unabhängige akkreditierte Zertifizierungsstelle)

32 Schritt 8: Re-Qualifizierung Ein (nachweislich) gutes IT- Sicherheitsmanagement meistert auch neue Aufgaben Re-Qualifizierung spätestens nach zwei Jahren oder bei sicherheitsrelevanten Veränderungen

33 Veröffentlichung Qualifizierungsaussage Siegel Webserver BSI Institution (Veröffentlichung nur auf Wunsch)

34 Zertifizierungsschema Auditor legt Auditreport vor Zertifizierungsstelle prüft Institution vergibt Zertifikat IT-Verbund

35 Was sagt Zertifikat aus? In der Institution ist IT-Sicherheit anerkannter Wert ist IT-Sicherheitsmanagement vorhanden sind Standardsicherheitsmaßnahmen umgesetzt zu einem bestimmten Zeitpunkt wurde ein definiertes IT-Sicherheitsniveaus erreicht

36 Grundschutz-Auditoren Lizenzierung von Grundschutz-Auditoren Antrag an BSI Nachweis der Fachkenntnisse zu IT-Sicherheit und IT-Grundschutz 2-tägige Schulung anschließende Prüfung Gebühr (1800,- ) + Vertrag Über 40 Auditoren seit Januar 2002

37 Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Andere IT-Sicherheits-Standards / Verhältnis zu ISO 17799

38 Alternativen / Ergänzungen zum Vorgehen nach Grundschutz Code of Practice - CoP (British Standards Institution, BS 7799) Standard of Good Practice for Information Security (Information Security Forum - NIST-Handbuch ( GMITS (ISO/IEC JTC 1/SC27 - ISO 13335) Risikoanalysen (IT-Sicherheitshandbuch, Marion, Cramm)

39 BS 7799 Sammlung von rund 110 allgemein anerkannten Sicherheitsanforderungen, die grundsätzlich und für jedes Unternehmen gültig sind sogenannte Baseline Controls entwickelt vom Department of Trade and Industry (UK) Ziel: Basis für Aufbau einer effektiven Sicherheitsorganisation, Vergleichbarkeit geringer Detaillierungsgrad

40 BS 7799 / GSHB BS7799 Part 1 IT-Grundschutzhandbuch 3 Security policy Kap. 3.0 IT-Sicherheitsmanagement 3.1 Information security policy Kap. 3.0 IT-Sicherheitsmanagement Information security policy M Erstellung einer ITdocument Sicherheitsleitlinie Review and evaluation M Aufrechterhaltung der IT-Sicherheit Security of network services M Geeignete Auswahl eines Internet Service Providers M 5.87 Vereinbarung über die Anbindung an Netze Dritter M 2.25 Dokumentation der Systemkonfiguration

41 BS 7799 / GSHB Sicherheit von Netzdiensten (BS 7799) Es steht eine breite Palette öffentlicher oder privater Netzdienste zur Verfügung, von denen einige zusätzlichen Leistungen anbieten. Netzdienste können spezielle oder komplexe Sicherheitsmerkmale besitzen. Organisationen, die Netzdienste nutzen, sollten sicherstellen, dass eine klare Beschreibung der Sicherheitsattribute aller benutzten Dienste vorliegt.

42 Zertifizierung nach BS 7799 Keine Zertifizierung nach ISO 17799! Zertifizierung nach nationalem britischem Standard BS Teil 2. Auch Zertifizierungsstellen außerhalb UK Das britische BSI hat Richtlinien für BS7799-Audits herausgegeben, die jedoch nicht bindend sind BS Teil 2 ist z.z. in Überarbeitung

43 Information Security Forum (ISF) Forum s Standard of Good Practice IT-Sicherheitsmanagement geschäftskritische Anwendungen Informationsverarbeitung Kommunikation und Netze Systementwicklung Information Security Status Survey

44 IT-Sicherheitskriterien im Vergleich Vergleich durch: Arbeitsgruppe 5 Sicherheit und Vertrauen im Internet der Iniative D21 5sicherheit/leitfaden.pdf

45 IT-Sicherheitskriterien im Vergleich IT-Grundschutzhandbuch ISO / IEC und BS 7799 ISO TR ITSEC bzw. Common Criteria FIPS 140-1/2 Task Force Sicheres Internet CobiT Gütesiegel/Produktaudit Schleswig-Holstein ISO 9000

46 Bezugsquellen Grundschutz Loseblattsammlung: ca Seiten, DM 218,- Bundesanzeigerverlag CD-ROM (auch in Englisch) kostenlos bsi.bund.de/.de/gshb it-grundschutzhandbuch.de 10 internationale Mirrors

47 IT-Grundschutz-Informationen IT-Grundschutz-Hotline Telefon: IT-Grundschutz-Zertifikat Internet: