Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Transkript

1 Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit PITS, Berlin,

2 Agenda Einleitung und Motivation Kernaspekte der Modernisierung des IT-Grundschutzes IT-Grundschutz-Tool Aktualisierung der IT-Grundschutz-Kataloge Ausblick Seite 2

3 Ziele der IT-Grundschutz- Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen Seite 3

4 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz Seite 4

5 Kernabsicherung Vorgehensweisen Überblick Schutzbedarf normal Standardabsicherung Basisabsicherung Seite 5

6 Vorgehensweisen Basisabsicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von Basisabsicherung KMUs zugeschnitten Auch für kleine Institutionen geeignet Seite 6

7 Kernabsicherung Vorgehensweisen Kernabsicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Seite 7

8 Vorgehensweisen Standardabsicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standardabsicherung Seite 8

9 Kernabsicherung Kernabsicherung Vorgehensweisen Wege zur Standardabsicherung Einstieg Basisabsicherung Basisabsicherung Standardabsicherung Seite 9

10 Vorgehensweisen Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf Seite 10

11 IT-Grundschutz-Kompendium Überblick Seite 11

12 IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name Seite 12

13 Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick Seite 13

14 Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER Seite 14

15 Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen Seite 15

16 Seite 16 Struktur GS-Kompendium System-Bausteine APP (Anwendungen) APP.1 / Groupware/ Kommunikation APP.2 Verzeichnisdienst APP.3 Netzbasierte Dienste APP.4 Business- Anwendungen APP.5 Client- Anwendungen SYS (IT-Systeme) SYS.1 Server SYS.2 Desktop- Systeme SYS.3 Mobile Devices SYS.4 Sonstige Systeme NET (Netze und Kommunikation) NET.1 Netze NET.2 Funknetze NET.3 Netzkomponenten NET.4 Telekommunikation INF (Infrastruktur) INF.1 Gebäude INF.2 Rechenzentrum INF.3 Elektrotechnische Verkabelung INF.4 IT-Verkabelung INF.5 Technikraum INF.6 Schutzschrank INF.7 Datenträgerarchiv INF.8 Arbeitsplatz INF.9 Telearbeitsplatz INF10 Mobiler Arbeitsplatz INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum INF.12 Werkhalle IND (Industrielle IT) IND.1 ERP/MES- Anbindung von ICS IND.2 ICS- Komponenten IND.3 Produktionsnetze IND.4 Industrielle Fernwartung Baustein Schicht

17 Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle Seite 17

18 Bausteine GS-Kompendium Dokumentenstruktur Seite 18

19 Bausteine GS-Kompendium Dokumentenstruktur Seite 19

20 Bausteine GS-Kompendium Dokumentenstruktur Seite 20

21 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. Seite 21

22 Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung Seite 22

23 Bausteine GS-Kompendium Auszug Working Drafts Parallel werden ungefähr 100 Bausteine erstellt (Tendenz steigend, Zwischenstand von März 2016) Seite 23

24 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen / Schablone für ausgewählte Szenarien Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert Seite 24

25 IT-Grundschutz-Profile ein Blick in Institutionen Seite 25

26 IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS SYS APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS INF.1 OPS Seite 26

27 IT-Grundschutz-Profile Adaption als Schablone ISMS SYS OPS SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS OPR.1 OPS.4 ISMS SYS.1.2. SYS APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 Seite 27

28 Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Community Draft: Veröffentlichung neuer BSI- Standards und mehrerer Bausteine 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge Seite 28

29 IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) Seite 29

30 IT-Grundschutz-Modernisierung Auswirkungen Zertifizierung Zertifizierungsschema IT-Grundschutz auch nach der Modernisierung kompatibel mit ISO Ab wann ist IT-Grundschutz-Kompendium Prüfgrundlage? => Prüfgrundlage kann sein: vorige Version bis ½ Jahr nach Erscheinen der neuen Version Zeitliche Konsequenzen ohne Modernisierung 15. Ergänzungslieferung erschien im April 2016 => 14. Ergänzungslieferung kann genutzt werden bis Zeitliche Konsequenzen durch Modernisierung Statt 16. Ergänzungslieferung IT-Grundschutz-Kataloge nun IT-Grundschutz-Kompendium Finalisierung im Herbst 2017 => 15. Ergänzungslieferung kann genutzt werden bis Sommer 2018 (Puffer für Übergang eingerechnet) Seite 30

31 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee Bonn Seite 31