IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

Transkript

1 IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement Dr. Lydia Tsintsifa Bundesamt für Sicherheit in der Informationstechnik IT-Symposium Agenda ❺ IT-Sicherheitsmanagement mit IT-Grundschutz ❺ IT-Grundschutz Profile: Motivation und Überblick ❺ Vorstellung der einzelne Profile ❺ Rahmenbedingungen ❺ Vorgehen und Inhalt ❺ Zusammenfassung Dr. Lydia Tsintsifa Folie 2

2 IT-Sicherheitsmanagement mit IT-Grundschutz (1) ❺ IT-Sicherheitsmanagement (=Systematisches Vorgehen zum Erreichen eines angemessenen IT-Sicherheitsniveaus in Bezug auf Verfügbarkeit, Integrität, Vertraulichkeit) ❺ Optimaler Einsatz der Ressourcen für IT-Sicherheit ❺ Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb --> mittelfristige Kosteneinsparungen ❺ Attraktivität für Kunden und Geschäftspartner durch Vertrauen ❺ Versicherungen honorieren zunehmend IT-Sicherheit Dr. Lydia Tsintsifa Folie 3 IT-Sicherheitsmanagement mit IT-Grundschutz (2) ❺ Aus den Unternehmenszielen werden die Sicherheitsziele festgelegt ❺ Schutz der unternehmenskritischen Werte in Bezug auf: ❺ Verfügbarkeit ❺ Integrität ❺ Vertraulichkeit ❺ Welches Schutzniveau ist für jeden dieser Aspekte angemessen? (Kosten - Nutzen Verhältnis) ❺ Hier bedarf es einer verbindlichen Aussage der Geschäftsführung! ❺ Nutzung von Referenzwerken und Standards erhöht die Effizienz Dr. Lydia Tsintsifa Folie 4

3 IT-Grundschutz Der Sicherheitsprozess Management IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Revision IT-Sicherheitskonzept Detaillierungsgrad IT-Leitung Kontrolle Systemadministration Betrieb Planung Umsetzung Schulung Dr. Lydia Tsintsifa Folie 5 IT-Sicherheitsmanagement Dokumente und Richtlinien Detaillierungsgrad Änderungen Leitlinie allgemeine Sicherheitsziele allgemeine Sicherheitskonzeption ❺ausführliche technische Anforderung ❺zugehörige Maßnahmen detaillierte Regelungen ❺konkrete Produkteinstellungen ❺verwendete Mechanismen Management IT-Leitung Administration Dr. Lydia Tsintsifa Folie 6

4 IT-Grundschutz Erstellung des IT-Sicherheitskonzeptes ❺ Aufbau eines Standard- Sicherheitsniveaus, das auch für sensiblere Bereiche ausbaufähig ist Organisation Personal ❺ Infrastrukturelle, organisatorische, personelle und technische Standard- Sicherheitsmaßnahmen Infrastruktur Technologie Dr. Lydia Tsintsifa Folie 7 IT-Grundschutz Erstellung des IT-Sicherheitskonzeptes IT-Verbund IT-Strukturanalyse Analyse des IST-Zustands Welche Systeme und Anwendungen? - Infrastruktur - Organisation - Personal - Technik ~ 80% Feststellung des Schutzbedarfs IT-Grundschutzanalyse Modellierung Basis IT-Sicherheitscheck (Soll-Ist Vergleich) Ergänz. Sicherheitsanalyse (hoher Schutzbedarf) Konsolidierung der Maßnahmen Realisierung der Maßnahmen IT-Sicherheitskonzept ~ 20% Dr. Lydia Tsintsifa Folie 8

5 IT-Grundschutzhandbuch Bausteine (Auswahl) Übergreifende Aspekte ❺ Sicherheitsmanagement ❺ Organisation ❺ Personal ❺ Notfall-Vorsorgekonzept ❺ Datensicherungskonzept ❺ Virenschutzkonzept ❺ Hard- und Software- Management ❺ Outsourcing Infrastruktur ❺ Gebäude ❺ Verkabelung ❺ Büroraum ❺ Serverraum ❺ häuslicher Arbeitsplatz ❺ Rechenzentr. IT-Systeme ❺ Unix-Server ❺ Novell Netw. ❺ Windows 2k ❺ TK-Anlage ❺ Telearbeit Netze ❺ Netz-,Systemmanagement ❺ Firewall ❺ Remote Access ❺ Router u. Switches Anwendungen ❺ ❺ WWW-Server ❺ Datenbanken ❺ IIS/ Apache ❺ Exchange/ Outlook ❺ Archivierung IT-Verbund Dr. Lydia Tsintsifa Folie 9 IT-Grundschutz Zertifizierung Was kann zertifiziert werden? ❺ Ein oder mehrere Geschäftsprozesse ❺ Eine oder mehrere Fachaufgaben ❺ Eine oder mehrere Organisationseinheiten ❺ Es braucht nicht gleich das gesamte Unternehmen zu sein! Bedingung: ❺ IT-Verbund muss eine sinnvolle Mindestgröße haben! Dr. Lydia Tsintsifa Folie 10

6 IT-Grundschutz Zertifizierung Aktuell Stand Februar 2005 ❺ 11 Zertifikate erteilt ❺ Sehr unterschiedliche Unternehmensgrößen ❺ Von "10 Server, 4 Gruppen von Clients" bis "Rechenzentrum mit 800 Servern" ❺ Branchen: IT-Firmen, Dienstleister, Banken Dr. Lydia Tsintsifa Folie 11 Materialien und Tools ❺ IT-Grundschutzhandbuch ❺ Webkurs IT-Grundschutz ❺ Leitfaden IT-Sicherheit ❺ GSTOOL ❺ Risikoanalyse auf der Basis von IT-Grundschutz ❺ Musterrichtlinien ❺ IT-Grundschutz Profile ❺ Dr. Lydia Tsintsifa Folie 12

7 IT-Grundschutz Profile Motivation ❺ Umfrage unter allen IT-Grundschutz-Anwendern (2003) ❺ Großes Interesse für die IT-Grundschutz Zertifizierung ❺ Viele Fragen an der Grundschutz-Hotline, insbesondere zu den Themen: ❺ Modellierung eines konkreten IT-Verbundes ❺ Einsatz des GSTOOL ❺ Zertifizierung eines konkreten IT-Verbundes nach IT- Grundschutz Dr. Lydia Tsintsifa Folie 13 IT-Grundschutz Profile Überblick ❺ IT-Grundschutz Profile: Beispiele für die Anwendung der Vorgehensweise nach IT-Grundschutzhandbuch ❺ Veröffentlicht seit November 2004 ❺ 3 Beispiele: kleine, mittlere, große Institution ❺ Download unter: Dr. Lydia Tsintsifa Folie 14

8 Profil für eine kleine Institution ❺ Anwendergruppe: Steuerberaterbüro, Anwaltskanzlei, kleine Behörde, ❺ Voraussetzungen: Wenige IT-Systeme, geringes IT-Sicherheitswissen ❺ einfache Vorgehensweise, Verwendung von Checklisten und Beispielen ❺ Geschäftsinteresse steht im Vordergrund Dr. Lydia Tsintsifa Folie 15 Profil für eine kleine Institution ❺ GSHB-Methodik anhand eines durchgehenden Beispiels : ❺ Kleiner Familienbetrieb mit 3 Angestellten ❺ Einsatz von PCs und Laptops ❺ Führung der Kundenkartei, Erstellung von Angeboten & Rechnungen ❺ Vorgehen bei der Erstellung des IT-Sicherheitskonzeptes ❺ Maßgeschneiderte Umsetzung ❺ Geringer Umfang (ca. 35 Seiten) Dr. Lydia Tsintsifa Folie 16

9 Kleine Institution Verantwortlichkeit ❺ Leitung trägt die gesamte Verantwortung für IT-Sicherheit ❺ Verantwortung der Leitung auch für konkrete Aufgaben: ❺ Sicherheitsleitlinie erstellen ❺ Risikobewertung durchführen ❺ PC Pass erstellen ❺ Sicherheitsmaßnahmen umsetzen ❺ Alle Vorgänge und Maßnahmen dokumentieren ❺ Hilfsmittel im Dokument: IT-Sicherheitsleitlinie, PC-Pass, Definition von Schutzbedarfsklassen, Checkliste, Maßnahmenlisten Dr. Lydia Tsintsifa Folie 17 Kleine Institution IT-Sicherheitsleitlinie ❺ Umfang von 1,5 Seiten ❺ Bedeutung von ❺ Ausfall der IT (keine bzw. geringe Beeinträchtigung des Geschäftsbetriebs) ❺ Verfügbarkeit (Ausfälle nur in geringem Maße tolerierbar) ❺ Vertraulichkeit (höchste Ansprüche) ❺ Institutsleiter übernimmt Rolle des IT-Sicherheitsbeauftragten ❺ Schulung von Mitarbeitern zu IT-Sicherheitsmaßnahmen ❺ Hinweise auf Datenschutzgesetz Dr. Lydia Tsintsifa Folie 18

10 Kleine Institution IT-Strukturanalyse ❺ PC-Pass: ❺ Betriebssystem, installierte Software, Administrator ❺ Hinweise auf Hardware-, Installations- und Konfigurationsdokumentation ❺ Ansprechpartner, Hotline-Nummern ❺ PC-Pass Einsatz für: ❺ alle Systeme ❺ weitere Geräte: Telefonanlage, Mobiltelefon, Kopierer, Anrufbeantworter, etc. Dr. Lydia Tsintsifa Folie 19 Kleine Institution Netzplan Dr. Lydia Tsintsifa Folie 20

11 Kleine Institution Schutzbedarfsfeststellung Definition Schutzbedarfskategorien: ❺ ❺ ❺ ❺ Zwei Schutzbedarfsklassen: normal und hoch Beispiel für die Einstufung finanzieller Schäden Mögliche Gefahren werden erläutert Vorgaben für Schutzbedarfskategorien sind leicht adaptierbar Vorgehen Schutzbedarfsfeststellung: ❺ ❺ ❺ ❺ Der Schutzbedarf der Anwendungen wird in den PC-Pass eingetragen Der Schutzbedarf für die Systeme wird daraus abgeleitet Kommunikationsverbindungen: kritische Internetanbindung des Verbundes Schutzbedarf für Räume durch Vererbung Dr. Lydia Tsintsifa Folie 21 Kleine Institution Modellierung Nr. Baustein anzuwenden auf Übergeordnete Komponenten B 3.0 IT-Sicherheitsmanagement gesamten IT-Verbund B 3.1 Organisation gesamten IT-Verbund B 3.2 Personal gesamten IT-Verbund B 3.4 Datensicherungskonzept gesamten IT-Verbund B 3.6 Computer-Virenschutzkonzept gesamten IT-Verbund B 3.9 Hard- und Software-Management gesamten IT-Verbund B 9.1 Standardsoftware gesamten IT-Verbund Dr. Lydia Tsintsifa Folie 22

12 Kleine Institution Basis-Sicherheitscheck ❺ Welche Standard-Sicherheitsmaßnahmen sind bereits umgesetzt und wo ist noch Handlungsbedarf? ❺ Erläuterungen zu den Bausteinen: ❺ Datensicherungskonzept ❺ ❺ Windows 200 Client ❺ Servergestütztes Netz ❺ direkt verwendbare Checkliste für alle Maßnahmen Dr. Lydia Tsintsifa Folie 23 Profil für eine mittlere Institution ❺ Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution ❺ Repräsentation eines Unternehmens mit mehreren Servern und wenig IT-Grundschutz Erfahrung ❺ Ausführliche Erläuterung der Anwendung des IT- Grundschutzhandbuchs ❺ Beispielhafte Anwendung des GSTOOL Dr. Lydia Tsintsifa Folie 24

13 Profil für eine mittlere Institution ❺ IT-Grundschutz Vorgehensweise in 7 Phasen Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 ❺ Phase 1: Initiierung des IT-Sicherheitsprozesses ❺ Phase 2: Durchführung einer IT-Strukturanalyse ❺ Phase 3: Durchführung einer Schutzbedarfsfeststellung ❺ Phase 4: Modellierung nach IT-Grundschutz ❺ Phase 5: Durchführung des Basis-Sicherheitsschecks ❺ Phase 6: Realisierung von IT-Sicherheitsmaßnahmen ❺ Phase 7: Zertifizierung Dr. Lydia Tsintsifa Folie 25 Profil für eine mittlere Institution ❺ Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz Vorgehensweise ❺ Hervorhebung der Schritte, die ❺ durch das GSTOOL unterstützt werden ❺ die bei einer nicht tool-gestützten Vorgehensweise zu beachten sind ❺ Anwendung des GSTOOL, dargestellt durch Screenshots Dr. Lydia Tsintsifa Folie 26

14 Profil für eine mittlere Institution ❺ Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor) ❺ Stabstelle für QM und IT-Sicherheit ❺ Größe des IT-Verbundes: ca. 20 Clients und 4 Server ❺ Anbindung an das Internet über DSL ❺ Existenz interner Teilnetze ❺ IT-Anwendungen/Systeme eines Projektteams haben erhöhten Schutzbedarf und werden gesondert gruppiert Dr. Lydia Tsintsifa Folie 27 Mittlere Institution IT-Sicherheitsleitlinie ❺ Umfang von 4 Seiten ❺ Bedeutung von ❺ Verfügbarkeit (Ausfälle nur in geringem Maße tolerierbar) ❺ Vertraulichkeit (höchste Ansprüche) ❺ Benennung eines IT-Sicherheitsbeauftragten ❺ Festlegung von Verantwortlichkeiten ❺ Schulung von Mitarbeitern zu IT-Sicherheitsmaßnahmen ❺ Revision der IT-Sicherheitskonzeption Dr. Lydia Tsintsifa Folie 28

15 TALK / DATA TALK RSCS TR RDTD CD TA LK / DA TA TALK RS CS TR RD TD CD Mittlere Institution IT-Strukturanalyse ❺ Tabellarische Übersichten ❺ Beispiele zur Gruppenbildung ❺ Anwendung des GSTOOL ❺ Beispiel-Datenbank wird zur Verfügung gestellt IT-Strukturanalyse: Erfassung der IT-Systeme und der Anwendungen Schutzbedarfsfeststellung IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck mit Soll-Ist Vergleich Ergänzende Sicherheitsanalyse: Bei hohem Schutzbedarf Bei zusätzlichem Analysebedarf Realisierungsplanung: Konsolidierung der Maßnahmen Umsetzung der Maßnahmen Dr. Lydia Tsintsifa Folie 29 Mittlere Institution Netzplan Telefon Vermittlungsstelle Telefongesellschaft Internet Internet Telefon Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Internet Mailserver Firewall Kopierer File-/Printserver R210 Paketfilter Switch R205 Drucker Server Zeiterfassung Telefonanlage Splitter PC Gast PC Herr Dacher R203 R103 PC Herr Baumeister Server Mail Firewall Kopierer PC Herr Idt R204 PC Herr Jacobi PC Herr Albrecht R101 Server File/Print Paketfilter Switch Drucker PC Frau Claasen R201 PC Herr Gerhart FW-Int Fax Anrufbeantw. PC Frau Ahrens R101a Instituts LAN PC Frau Heuer R202 PCs Mitarbeiter PC Frau Feist Org/Fin LAN FW-Int R301 R311 PC Org./Finanz PC Projekt A PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCs Mitarbeiter Herr Mertens PCs Mitarbeiter R312 Abt. Drucker PC MA Fax PC Frau Eiler PC Herr Kurth PC Herr Lucht PC Herr Mertens R301a R302 R303 R304 Anrufbeantworter Dr. Lydia Tsintsifa Folie 30

16 Mittlere Institution Schutzbedarfsfeststellung ❺ Drei Kategorien: normal, hoch und sehr hoch ❺ Beispiele für Schadensszenarien anhand des Beispiel IT-Verbunds In der beispielhaften Institution würde z. B. ein Ausfall des internen Fileservers die Aufgabenerfüllung beeinträchtigen. Eine Folge könnte die verspätete Auslieferung von Dokumenten an die Kunden der Institution sein. Dies ist in Abhängigkeit von evtl. vereinbarten Vertragsstrafen bei der Schutzbedarfsfeststellung zu berücksichtigen. ❺ Detaillierte Beispiele der durchgeführten Schutzbedarfsfeststellung anhand des GSTOOL Dr. Lydia Tsintsifa Folie 31 Mittlere Institution IT-Grundschutzanalyse Modellierung: ❺ IT-Grundschutz Schichtenmodell ❺ Modellierung mit dem GSTOOL ❺ Hinweise für eine Modellierung ohne das GSTOOL Basis-Sicherheitscheck: ❺ Fokussierung auf organisatorische Aspekte ❺ Hilfestellung bei ❺ Vorbereitung der Interviews ❺ Durchführung der Interviews Dr. Lydia Tsintsifa Folie 32

17 Mittlere Institution Realisierung ❺ Erläuterung und Hinweise innerhalb der Schritte: ❺ Schritt 1 Sichtung der Untersuchungsergebnisse ❺ Schritt 2 Konsolidierung der Maßnahmen ❺ Schritt 3 Kosten- und Aufwandsschätzung ❺ Schritt 4 Festlegung der Umsetzungsreihenfolge der Maßnahmen ❺ Schritt 5 Festlegung der Verantwortlichkeit ❺ Schritt 6 Realisierungsbegleitende Maßnahmen Die Mitarbeiter sollten möglichst frühzeitig in die Planungen mit einbezogen werden: Sie sind es, die mit den neuen Maßnahmen leben müssen. ❺ Besonderer Hinweis auf die Aufrechterhaltung der IT-Sicherheit Dr. Lydia Tsintsifa Folie 33 Profil für eine große Institution ❺ Zugrunde gelegtes Beispiel: Rechenzentrum (ca. 100 Server) ❺ IT-Sicherheitserfahrung und IT-Grundschutzkenntnis sind vorhanden ❺ Ziel: Unterstützung des IT-Sicherheitsbeauftragten ❺ Erläuterungen zu den einzelnen Phasen des IT-Grundschutzhandbuchs ❺ Darstellung der Nutzungsmöglichkeiten und Grenzen des GSTOOL ❺ Lösungsvorschläge für phasenbezogenen Problemstellungen Dr. Lydia Tsintsifa Folie 34

18 Profil für eine große Institution ❺ Darstellung der üblichen Probleme innerhalb der jeweiligen Umsetzungsphase 4.2 Häufige Probleme bei der Erstellung der Sicherheits-Leitlinie Personelle Probleme Benennung des IT-Sicherheitsbeauftragten Fehlende personelle Ressourcen Fehlendes Bewusststein bei der Institutsleitung Inhaltliche Probleme Detaillierungsgrad der Sicherheits-Leitlinie Nutzung vorhandener Dokumente Berücksichtigung von Kundenanforderungen Definition des IT-Sicherheitsmanagement-Teams ❺ Hinweise und Lösungsansätze zu diesen Problemen Dr. Lydia Tsintsifa Folie 35 Große Institution Das Organigramm Datenschutz- und Sicherheitsbeauftragter RZ-Leiter Sekretärin Teamleiter Technik Teamleiter Unix Teamleiter Firewall Teamleiter Mainframe Verwaltung Teamleiter Internet-Server Teamleiter Windows Teamleiter Operating Dr. Lydia Tsintsifa Folie 36

19 Große Institution Das Sicherheitsmanagement-Team ❺ Der IT-Sicherheitsbeauftragte als oberste Instanz Sicherheitsbeauftragter und Datenschutzbeauftragter ❺ Technische und organisatorische Unterstützung durch die einzelnen Bereiche Sicherheitsverantwortlicher Technik Sicherheitsverantwortlicher Firewall Sicherheitsverantwortlicher Internet-Server Sicherheitsverantwortlicher Windows Sicherheitsverantwortlicher Unix Sicherheitsverantwortlicher Operating Sicherheitsverantwortlicher Mainframe Dr. Lydia Tsintsifa Folie 37 Profil für eine große Institution ❺ Anbindung an das Internet ❺ Anbindung an verschiedene Kunden per DDV ❺ Definition des Rechenzentrums als IT-Verbund ❺ Bereiche Operating und Büroumgebung sind nicht Teil des IT-Verbunds ❺ Einsatz eines Mainframes Dr. Lydia Tsintsifa Folie 38

20 TALK / DATA TALK RSCS TRRD TDCD Große Institution Netzplan Internet Kundennetz Remote-Access System DDV externer Paketfilter DMZ 2 WWW-Server DMZ 1 VPN-Gateway Switch Internet Firewall Öffentliche Telefonanlage Vermittlungsstelle der Telefongesellschaft interner Paketfilter Mail-Server DNS-Server Switch Switch Switch PC RZ Leiter PCs Teamleiter PCs RZ Mitarbeiter Büroumgebung RZ-Personal Operator PCs Systems Management Operating Server Windows Server 1 Windows Server Switch RZ-Firewall Terminal-Server Backup-System Windows Server Windows Server 2 RZ-Switch Mainframe Windows Server Switch Switch Notstromversorgung USV + BHKW Windows Server Switch Host Switch Unix Server Unix Server Unix Server 1 Unix Server Unix Server Unix Server 2 Dr. Lydia Tsintsifa Folie 39 Große Institution IT-Sicherheitsleitlinie ❺ Umfang von 6 Seiten ❺ Basis für eine IT-Sicherheitsleitlinie eines Rechenzentrums ❺ Berücksichtigung der Kundenanforderungen ❺ Benennung eines IT-Sicherheitsbeauftragten und Definition eines IT- Sicherheitsmanagement-Teams ❺ Festlegung von Verantwortlichkeiten ❺ Allgemeine IT-Sicherheitsstrategien ❺ Schulung von Mitarbeitern zu IT-Sicherheitsmaßnahmen ❺ Revision von IT-Sicherheitsmaßnahmen Dr. Lydia Tsintsifa Folie 40

21 Große Institution Modellierung ❺ Detaillierte Erläuterung des Prinzips ❺ Modellierung anhand des GSTOOL Dr. Lydia Tsintsifa Folie 41 Große Institution Sicherheitsscheck, Zertifizierung Basis-Sicherheitscheck ❺ Erläuterung der ergänzenden Sicherheitsanalyse ❺ Darstellung von Problemen in allen Phasen Durchführung Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Zertifizierung ❺ Darstellung der Ausbaustufen ❺ Erläuterung von Problemen bei der Vorbereitung Maßnahmenauswahl zur Behandlung von Risiken Konsolidierung des IT- Sicherheitskonzepts Dr. Lydia Tsintsifa Folie 42

22 IT-Grundschutz Profile Zusammenfassung ❺ Praxis-orientierte Hilfestellung für die Implementierung des IT-Grundschutzes ❺ Hilfestellung, Beispiel-Dokumente und Tipps ❺ Beispiele für den Einsatz des GSTOOL Dr. Lydia Tsintsifa Folie 43 Fragen und Diskussion??????? Dr. Lydia Tsintsifa Folie 44

23 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Lydia Tsintsifa IT-Sicherheitsmanagement, IT-Grundschutz Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Hotline: Tel: +49 (0) GSTOOL Hotline: Tel: +49 (0) Dr. Lydia Tsintsifa Folie 45