Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion

Transkript

1 Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 3. IT-Grundschutz-Tag 2012 Sicherheitsmaßnahmen mit IT-Grundschutz

2 Neue Themen in den IT-Grundschutz-Katalogen

3 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern 3

4 Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro 4

5 IT-Grundschutz-Kataloge 12. Ergänzungslieferung Neue Bausteine B Virtualisierung B Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung Überarbeitete Bausteine B TK-Anlage B 5.4 Webserver Gestrichene Bausteine B Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver 5

6 IT-Grundschutz-Kataloge 13. Ergänzungslieferung Überarbeitung B der Bausteine 2.1 Allgemeines Gebäude Neue Bausteine MS Windows 7 MS Server 2008 R2 OpenLDAP Mac OS X Web-Anwendungen Lotus Notes 6

7 IT-Grundschutz-Kataloge Ausblick Überarbeitung der Bausteine B 1.13 Schulung und Sensibilisierung B Mobiltelefon B PDA B 4.1 Netzarchitektur (Heterogene Netze) B 4.2 Netz-Management (Netz- und Systemmanagement) Neue Bausteine Cloud-Management Web-Services Protokollierung Identitäts und Berechtigungsmanagement 7

8 Anstehende Änderungen beim IT-Grundschutz 8

9 Umstrukturierung IT-Grundschutz-Kataloge Kritik Komplexität des IT-Grundschutzes nimmt zu Viele Bausteine: "Wer soll das noch prüfen?" Prüffragen je Maßnahme Wünsche Bereitstellung von Prüflisten Schnellere Prüfung Beschränkung auf wesentliche Bausteine Typisierung von Bausteinen 9

10 E-V-Modell Das Ziel und der Weg Ziel: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion Weg: elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch 10

11 E-V-Modell Das Ergebnis und das Vorgehen Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine 11

12 Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich 12

13 Prüffragen Weiteres Vorgehen Fleißarbeit: Laufendes Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge! Werden zur Zeit ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!) Konsolidierung pro Baustein (noch mehr Arbeit!) Ziel: Veröffentlichung der Prüffragen zusammen mit den ITGrundschutz-Katalogen der 13. EL 13

14 E-V-Modell & Prüffragen Zusammenspiel Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO 27001Zertifikat Selbsteinschätzung 14

15 Elementare Gefährdungen Motivation Aufgabenstellung: Risikoanalyse auf Basis BSI-Standard ist aufwendig, da Gefährdungsliste mittlerweile sehr lang Lösungsvorschläge: Verschlankung/Downsizing der Gefährdungskataloge Strukturierung der Gefährdungen Vorgehensweise: Anregungen aus ISO 27005, EBIOS, ISF Ziel: handhabbare Anzahl von "elementaren" Gefährdungen Wo notwendig, vertiefende Gefährdungen in Bausteinen für Sensibilisierung 15

16 Elementare Gefährdungen Beispiele G 0.01 Feuer G 0.05 Naturkatastrophen G 0.10 Ausfall oder Störung von Versorgungsnetzen G 0.15 Abhören G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle G 0.25 Ausfall von Geräten und Systemen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.35 Nötigung, Erpressung oder Korruption (statt Imageschaden) G 0.40 Verhinderung von Diensten (DoS) G 0.45 Datenverlust 16

17 Goldene Regeln Überblick Goldene Regeln für Überblick Zielgruppe Management, Einsteiger Thematisch zwischen Leitfaden und GSK Ziele Überblick über die wichtigsten Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite "goldene Regeln", nicht mehr als 10 goldene Regeln (Separate) Veröffentlichung der Goldenen Regeln zusammen mit den IT-Grundschutz-Katalogen der 12. EL 17

18 Goldene Regeln Beispiel 18

19 Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen 19

20 Überblickspapiere Was gibt es? 20

21 Informationen zum GSTOOL 21

22 GSTOOL 4.x Wie geht es weiter? GSTOOL 4.x Versionsänderungen Metadatenupdates Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Einstellung etwa der Weiterentwicklung in Jahr Parallelbetrieb von GSTOOL 4.x und GSTOOL 5.0 später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich 22

23 GSTOOL 4.x Metadatenupdate Metadatenupdate für GSTOOL 4.x derzeit in Bearbeitung Schwierigkeiten aufgrund Programm- und Datenbankwechsel beim Redaktionsmanagementsystem ITGrundschutz Exportmodul für Toolexport nicht nutzbar aufgrund diverser Softwarefehler beabsichtigte manuelle Datenübertragung aus XML-Export in eine Access-Datenbank ist fehlgeschlagen Auftrag an Programmierfirma war geplant (schwieriger Vertragsabschluss) Notlösung: wird zur Zeit händisch erstellt Veröffentlichung geplant für November 2011 Juni / Juli

24 GSTOOL 5 Öffentliche GSTOOL 5.0 Beta-Version detaillierte Informationen per GSTOOL-Newsletter Rückmeldungen (Fehlermeldungen) zur Beta-Version erbeten neu z.b. Netzplan, IS-Revision, Verfahrensregister, Fragebögen Technik JAVA, Webclient, Oracle Datenbank Unterstützte Betriebssysteme Windows-Systeme ab XP SP3 Linux (RedHat, SuSE, Debian) Produktivbetrieb aufgrund voraussichtlich erst Ende 2012 von diverser Probleme mit Auftragnehmer 24

25 Geplante IT-Grundschutztage in Bonn: "Schutz sensibler Informationen in der Praxis" mit SIZ in Berlin: "IT-Grundschutz-Tag zu Windows 2008" mit HiSolutions in Bremen: "Sicherheitsmaßnahmen mit IT-Grundschutz" mit IS-Bremen in Nürnberg: auf der it-sa zu Webanwendungen mit TÜV-IT in Berlin: wird zur Zeit mit SerNet geplant und viele weitere im Jahr

26 Wo gibt es das alles? auf der BSI-DVD als Buch auf der BSI-Webseite 26

27 Fragen 27

28 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)