Automatisierter IT-Grundschutz

Transkript

1 Automatisierter IT-Grundschutz 4. IT-Grundschutz-Tag 2017 Nürnberg, 11. Oktober 2017

2 Gliederung 1. Ausgangslage 2. Neuer Prozess 3. Methodischer Ansatz a. Standardisierung durch Sicherheitsmodule b. Modularisierung IT-Sicherheitskonzepte c. Etablierung Sicherheitsmanagementsystem 4. Bewertung und Ausblick 2

3 Ausgangslage komplex, zeit- und kostenintensiv Komplexer, umfangreicher Informationsverbund Abteilung 5 des Bundespolizeipräsidiums ist zentraler Servicedienstleister ca. 250 IT-Fachverfahren ca. 120 polizeiliche Verfahren, oft mit hohem Schutzbedarf ca Server, rund IT-Arbeitsplätze an ca. 250 Standorten (weltweit) verpflichtende Umsetzung des IT-Grundschutz (Umsetzungsplan BUND) Betrachtungsgegenstand zeitintensive, manuelle Tätigkeit IT-Sicherheitskonzept Risikoanalyse 3

4 Neuer Prozess durchgängig, (teil)automatisiert, wiederholbar selbstgesteuertes Web-Assessment Bearbeitung (u.a. Einpflegen weiterer Daten, Netzplan, Schutzbedarf, ) Ergebnis BSC Betrachtungsgegenstand Compliance Software Sicherheitsmanagement- Datenbank (SMDB) IT-Sicherheitskonzept Risikoanalyse automatisierte technische Prüfung 4

5 Neuer Prozess Beispiel Client unter Windows 10 (1) 379 Webfragen, gesteuert für gruppierte Zielobjekte umfangreiche Prüffragen werden in feingranulare, einfach zu beantwortende Prüfaspekte aufgeteilt Verteilung der Fragebögen über Intranet Weiterleitung/ Delegation/ Kommentierung möglich keine Reisezeiten notwendig SYS A033 (A) Application Whitelisting (C, I, A) Sind vollständige Pfade bzw. Verzeichnisse festgelegt, aus denen Programme gestartet werden dürfen? o Entbehrlich (Verweis oder Erläuterung nötig) o Ja o Teilweise (Verweis oder Erläuterung nötig) o Nein 5

6 Neuer Prozess Beispiel Client unter Windows 10 (2) 391 technische Checks zur Umsetzungsprüfung der Anforderungen jedes Zielobjekt wird geprüft Ausreißer von der SOLL-Konfiguration werden sicher erkannt keine Beeinträchtigung des IT-Betriebs (Prozessorlast < 1%) schnell (< 4 Minuten) und wiederholbar SYS A004 (B) Telemetrie u. Datenschutzeinstellungen Ist Turn off Microsoft consumer experiences eingeschaltet? HKLM\ SOFTWARE\ Policies\ Microsoft\ Windows\ CloudContent\ DisableWindowsConsumerFeatures = 1 6

7 Neuer Prozess Beispiel Client unter Windows 10 (3) Verbesserung des Sicherheitsniveaus durch gemeinsame Konfiguration mit IT-Betrieb Entwicklung und Umsetzung sicherer Konfigurationen für alle IT-Systeme und Anwendungen vor deren Einsatz im Wirkbetrieb Regelmäßige Prüfung des Sicherheitsniveaus Entwicklung einer GPO für BPOL-Client Windows 10 LTSB (391 technische Checks) "out-of-the-box" 20% ok, 80% fail erste Baseline Hersteller 44% ok, 56% fail GPO BPOL 92% ok, 8% fail (Stand ) 7

8 Neuer Prozess durchgängig, (teil)automatisiert, wiederholbar Zentrale Dokumentation Sicherheitsniveau Informationen zu Informationsverbünden Beschreibung, Abgrenzung IT-Strukturanalyse (Zuordnung Zielobjekte/Gruppen, Komm-Verbindungen) Zielobjekte Modellierung (Zuordnung zu SiM) Schutzbedarfsfeststellung Individuelle Risikoanalyse Ergebnisse der Umsetzungsprüfung & Umsetzungspläne 8

9 Neuer Prozess Beispiel Sicherheitskonzept ED-Di Erstellung des IT-Sicherheitskonzepts Erkennungsdienst Digital Betrachtungsgegenstand: Client unter Windows 10, Drucker, Biometrie-Scanner und Fachanwendung Anwendung des modernisierten IT-Grundschutz Nutzung des neuen Prozesses von ags "auf Knopfdruck" Prüfergebnis des BSI zum ED-Di : "Das IT-Sicherheitskonzept "ED-Di" erfüllt in seiner Struktur und seinem Inhalt alle Anforderungen an die Dokumentation eines Sicherheitsniveaus nach dem BSI-Standard " 9

10 Methodischer Ansatz Standardisierung durch Sicherheitsmodule weitgehende Standardisierung der Systeme, Anwendungen, Netze, Infrastruktur behördenweit einheitliche Vorgaben für gleichartige Objekte (Produkte) Inhalt der Sicherheitsmodule (SiM): 1. spezifische Vorgaben: umzusetzende Sicherheitsmaßnahmen a. Grundlage: Maßnahmen passender IT-Grundschutz-Baustein(e) b. Präzisierung: eingesetzte Technologie/ konkretes Produkt c. Erweiterung: Best-Practice-Empfehlungen, eigene Maßnahmen (insbesondere für hohen Schutzbedarf) 2. konkrete Umsetzungsprüfung a. technische Prüfaspekte (technische Checks) b. nicht-technische Prüfaspekte (Multiple-Choice-Fragen) mit jeweils konkretisierten Vorgaben (z.b. Konfigurationsparameter) 3. generische Risikoanalyse a. Kreuzreferenztabelle b. Risikoanalyse für hohen Schutzbedarf c. Risikoanalyse für normalen Schutzbedarf (falls nicht modellierbar) 10

11 Methodischer Ansatz Beispiel Client unter Windows 10 Grundlagendokument: Sicherheitsmodul Windows 10 konkrete Vorgaben der IT-Sicherheit (379 Webfragen, 391 technische Checks) Umsetzung in sichere Konfiguration ableitbar behördenweit verbindlich für IT-Betrieb und IT-Sicherheit Prüfergebnis des BSI zum SiM Windows 10 : "Ein Anwender, der seine Windows-10-Systeme basierend auf dem SiM absichert, erfüllt nach Einschätzung des BSI alle Anforderungen, die gemäß IT-Grundschutz an die Absicherung eines Windows-10-Systems gestellt werden. Nach unserer Einschätzung sind SiM mit einem vergleichbaren Aufbau und Detailierungsgrad grundsätzlich zur Umsetzung des IT-Grundschutzes geeignet." Das SiM "Windows 10" ist auf der Internetpräsenz des BSI öffentlich zugänglich. 11

12 Methodischer Ansatz Modularisierung der Sicherheitskonzepte (1) IT-Verfahren A IT-Verfahren B IT-Verfahren Z IT-Verfahren A IT-Verfahren B IT-Verfahren Z IT-Sicherheitskonzepte Sicherheitsmodul n Sicherheitsmodul 2 bisheriges Vorgehen IT-Sicherheitskonzepte Sicherheitsmodul 1 sichere IT-Services zukunftssicheres Vorgehen IT-Sicherheitsrahmenkonzept BPOL 12

13 Methodischer Ansatz Modularisierung der Sicherheitskonzepte (2) polizeiliche Fachverfahren "EAC-PKI" "SINA-Interkom" "INPOL" "BPOLNet Client" nicht-polizeiliche IT-Verfahren "Office" "Sharepoint" "ReCoBs".. "Exchange" Schwerpunkt Schicht Anwendungen und Systeme (IT-Systeme und Anwendungen, die für EIN konkretes IT-Verfahren bereitgestellt werden müssen - in Teilen Einzelaspekte aus den anderen Schichten enthalten) "LAN RZ KOB" "SINA-VPN" "LAN RZ BER" "Anbindung NdB" "WAN-BPOL" "LAN DC MUC" "LAN DC BBR" Schwerpunkt Netze (Netze, Switche, Router, Firewall, Gateways, notwendige Server und Dienste, Active Directory - in Teilen auch Objekte der Schichten 3 und 5) "RZ KOB" "RZ BER" "DC MUC" "DC BBR" Schwerpunkt Infrastruktur (Liegenschaft, Gebäude, Räume, Verkabelung) "IKTZ" Schwerpunkt übergreifende Aspekte (Organisation, Personal) 13

14 Methodischer Ansatz Modularisierung der Sicherheitskonzepte (3) polizeiliche Fachverfahren nicht-polizeiliche IT-Verfahren "EAC-PKI" "SINA-Interkom" "LAN RZ KOB" "INPOL" "SINA-VPN" "BPOLNet Client" "LAN RZ BER" "Office" "Anbindung NdB" "WAN-BPOL" "Sharepoint" "LAN DC MUC" "ReCoBs".. "Exchange" "LAN DC BBR" Die vollständige Betrachtung eines Informationsverbundes ergibt sich aus der Zusammenführung der IT-Sicherheitskonzepte der einzelnen Betrachtungsgegenstände über alle Ebenen hinweg. "RZ KOB" "RZ BER" "DC MUC" "DC BBR" "IKTZ" Rahmen-Siko "BPOL" 14

15 Methodischer Ansatz Etablierung eines Sicherheitsmanagementsystems Weitgehend automatisierte Compliance-Prüfung der IT-Systeme IT-Grundschutz Andere Kriterien (z.b. BPOL intern, Corporate Network Polizeien, u.a.) Ad-hoc Prüfungen im Rahmen der Bewertung von Sicherheitswarnungen Zentrale Pflege aller Informationen der IT-Sicherheit IT-Verbünde, Zielobjekte, Schutzbedarfsfeststellungen, Richtlinien (SiM) IT-Sicherheitskonzepte, Risikoanalysen, Maßnahmen und ihre Umsetzung Wiederverwendung der Informationen für die verschiedenen IT-Verfahren Automatisierte Zusammenstellung von Dokumentationen des Sicherheitsniveaus IT-Sicherheitskonzepte Unterlagen für Audits (Umsetzungen, Vorgaben aus den SiM) Integration eines zentralen Schwachstellen-Managements Offene, nicht umgesetzte Maßnahmen aus BSC Bessere Qualität der Risikoabschätzungen 15

16 Bewertung und Ausblick Lösung ist konform zum bisherigen und modernisierten IT-Grundschutz Positives Feedback des BSI, Präsentation der Ergebnisse von ags auf dem 4. IT-Grundschutztag und der it-sa 2017 hohe Qualität der Prüfergebnisse Sicherheitsgewinn Technische Checks liefern belastbare Ergebnisse Web-Fragebögen auf Detaillierungsebene der Prüffragen Ergebnisse des Pilotbetriebes Durchführung einer Überprüfungszertifizierung nach ISO (auf Basis IT-GS) für ein polizeiliches Fachverfahrens 2016 Wirkbetrieb seit Anfang September schrittweise Überführung der Projektorganisation ags in den Wirkbetrieb Zukünftig die Weitergabe der Lösung im Behördenumfeld sowie die kontinuierliche Partizipation an Sicherheitsmodulen und SMDB sind von der BPOL erwünscht 16

17 Fragen und Diskussion Vielen Dank für Ihre Zeit! Michael Jokisch Referent IKT-Strategie u. Sicherheitsmanagement Torsten Hauswald Projektleiter ags Bundespolizeipräsidium Referat 51 IKT-Strategie u. Sicherheitsmanagement Heinrich-Mann-Allee Potsdam Telefon: Bundespolizeipräsidium Referat 54 Produktmanagement Heinrich-Mann-Allee Potsdam Telefon: