Quo vadis, IT-Grundschutz?

Größe: px

Ab Seite anzeigen:

Download "Quo vadis, IT-Grundschutz?"

Franka Fertig
vor 6 Jahren
Abrufe

1 Quo vadis, IT-Grundschutz? Thomas Biere Bundesamt für Sicherheit in der Informationstechnik 10.Tag der IT-Sicherheit, Paderborn

2 Neuausrichtung 0 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 0 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 0 Jahre Thomas Biere

3 Findungsphase Analyse und Diskussion in mehreren Workshops: : IT-SiBe-Treffen : BSI-interner Workshop : GS-Auditorentag : CeBIT-Diskussion : Workshop mit Auditoren : Workshop mit Auditoren : Workshop mit Tool-Herstellern.05.01: Workshop mit Ressort-IT-SiBes des Bundes : Workshop mit Power-Usern : Workshop IT-SiBe-Tagung der Länder : Workshop mit Kommunen : Workshop mit Tool-Herstellern Thomas Biere

4 Durchführung der Workshops Bisher ungefähr 00 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge Auswahl der BSI-Thesen nach Zielgruppe Teilnehmer bewerteten BSI-Thesen Bewertungsskala 1 bis 5 (1: Zustimmung - 5: Ablehnung) Hinweis: Die folgenden Punkte, wo und wie der IT- Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde! Thomas Biere

5 Fragebogen Modernisierungsvorschläge Thomas Biere 5

6 Stärkere Berücksichtigung der Zielgruppe kleine und mittlere Institutionen Typische Größe: Mitarbeiter/innen Vorgehensweise, Aufwand und Maßnahmenauswahl berücksichtigen stärker die realen Möglichkeiten von kleinen und mittleren Institutionen Bleibt auch für große Institutionen nützlich, diese nutzen IT- Grundschutz jedoch meist als ein Hilfsmittel neben anderen 1 -wird gewünscht Thomas Biere 6

7 Skalierung der Maßnahmen Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine Vorgaben) 1 -wird gewünscht Thomas Biere 7

8 Angebot verschiedener Vorgehensweisen Bottom-Up: 0:80 Umsetzung der Erstmaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzepts (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse,...) "Kronjuwelen-Ansatz": Primär Cyber-Sicherheit für die wichtigsten Schutzobjekte Thomas Biere 8

9 Verschlankung der Bausteine Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc. Studien Alte Bausteine Hersteller-Dokumentation Tools Thomas Biere 9

10 Getrennte Informationen für verschiedene Zielgruppen Bausteine für CISO, IT-SiBe (Anforderungscharakter) Umsetzungsrahmen für Admins etc. (Umsetzungshilfe) Thomas Biere 10

11 Integration aller BSI-Empfehlungen in einem Werk IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen IT-Grundschutz ICS-Empfehlungen Studien Studien (BSI / extern) Publikationen zur Cyber-Sicherheit ICS-Sicherheit 100-, UMRA? HV-Kompendium? ISi-Reihe HV-Kompendium ggf. andere BSI-Publikationen Thomas Biere 11

12 Tatsächliche Gefährdungslage als Grundlage Quellen der Gefährdungslage: BSIG : Meldungen der Bundesverwaltung können als Quelle für Lageeinschätzungen dienen Befragungen von Branchen Konsolidierte Gefährdungslage Trennung in Bedrohungen und Schwachstellen? "TOP 10" Bedrohungen je Themengebiet "TOP 10" Schwachstellen je Themengebiet Basis für Risikoanalyse und Risikoentscheidung Thomas Biere 1

13 Risikoorientierte Anwendung Implementation des Risikoentscheidungsprozesses Inhärente Nutzung des Lagebildes Keine Risikoakzeptanz für Erst-Maßnahmen Explizite Möglichkeit der Risikoakzeptanz im Basis- Maßnahmen und Hochschutz-Maßnahmen Thomas Biere 1

14 Entwicklung von GS-Profilen GS-Profil = Auswahl anzuwendender Bausteine und Maßnahmen für typische Institution, berücksichtigt Möglichkeiten und Risiken der Institution Beispiel: GS-Profil: Kommunalverwaltung in Bundesland XY GS-Profil: Krankenhaus GS-Profil: Wasserwerk als kritische Infrastruktur Anwendbar als "Schablone" Erstellung durch / mit Stakeholder Zertifizierung nach GS-Profilen wird diskutiert Thomas Biere 1

15 Reduktion des Redaktionsaufwandes Verzicht auf gedruckte Version der IT-Grundschutz-Kataloge Ausschließlich HTML-Version? Ausschließlich pdf-version ohne Web-Auftritt? Vereinfachte Sprachschärfe (muss, soll, sollte, ist zu, ) Unterjährige Herausgabe neuer Bausteine, Verzicht auf Ergänzungslieferungen Verzicht auf selten genutzte Zusatzinformationen Thomas Biere 15

16 Beteiligung der Community IT-Grundschutz-WIKI Gemeinsame Fortentwicklung von Bausteinen, Umsetzungsrahmen, Hilfsmitteln etc. Erstellung von Prüffragen durch Community Freigabe und Veröffentlichung durch BSI Thomas Biere 16

17 Unterstützung der Migration Abbildung "alt auf neu" Einbindung der Tool-Hersteller Tool-Anforderung Migration Sicherheitskonzept aus GSTOOL.x in neues Tool Migration des Sicherheitskonzepts vom alten IT-Grundschutz auf den neuen IT-Grundschutz Thomas Biere 17

18 Mögliche Neuerungen Vereinfachung der Schutzbedarfsfeststellung bislang: Mehrstufiges Verfahren von Geschäftsprozessen bzw. Anwendungen über IT-Systeme, Räume zu Verbindungen. Festlegung: Je nach Bedarf erfolgt die Schutzbedarfsfeststellung bei den Geschäftsprozessen, Services oder Anwendungen. Von dort wird der Schutzbedarf direkt auf die anderen Zielobjekte vererbt. Thomas Biere 18

19 Mögliche Neuerungen Vereinfachung der Strukturanalyse bislang: Zielobjekte werden Schritt für Schritt in vorab definierten Objektarten (IT-Systeme, Anwendungen, etc.) erfasst. Festlegung: Zielobjekte können Top-Down (ausgehend von Geschäftsprozessen) oder Bottom-Up (ausgehend von Komponenten) erfasst werden. Die strenge Aufteilung nach Objektarten wird gelockert, alle Zielobjekte können direkt Geschäftsprozessen, Services oder Anwendungen zugeordnet werden. Thomas Biere 19

20 Mögliche Neuerungen Neufassung der Risikoanalyse bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Festlegung: Bündelung aller risikobezogenen Arbeitsschritte im BSI-Standard 100-, einschließlich Schutzbedarfsfeststellung BSI priorisiert die Bedrohungen/Schwachstellen des IT- Grundschutzes anhand der aktuellen Lage BSI gibt Maßnahmenbeispiele für Hochschutz heraus Thomas Biere 0

21 Mögliche Neuerungen Fixierte Schutzbedarfsklassen BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig Keine Akzeptanz, daher keine Realisierung 1 - Wird gewünscht Thomas Biere 1

22 Mögliche Neuerungen Verzicht auf Wiederverwendung von Maßnahmen Wiederverwendung von Maßnahmen: erzeugen heute viele Seiteneffekte generieren Maßnahmen mit vielen Fallunterscheidungen Also: autarke Bausteine ohne Wiederverwendung von Maßnahmen Erhebliche Komplexitätsreduktion im Erstellungsprozess Thomas Biere

23 Mögliche Neuerungen Kooperation mit Produktmarktplätzen Maßnahmenempfehlungen zu generischen Produkten und Dienstleistungen verknüpfen mit Marktplätzen (Kein BSI- Marktplatz) Vorteil für Anwender: direkte Übersicht über Markt und Anbieter, ggf. mit bewerteten Angeboten Dritte als Portalanbieter können auf Hersteller- und Anbieterseiten verlinken, Voting-Möglichkeit für GS- Anwender auf den Portalen Mindestbedingungen für Aufnahme im Portal (Referenzkunden, Prüfung, Zertifikat, vertrauenswürdiger Hersteller etc... möglich) Keine Akzeptanz, daher keine Realisierung Thomas Biere

24 IT-Grundschutz Zeitlicher Überblick Modernisierung 01 "Findungsphase: Problemanalyse und Modernisierungsansätze" Beteiligung aller Stakeholder durch Workshops 015 Abschluss der Modernisierungs-Konzeption Weiterhin Abstimmung mit Stakeholdern Parallel Veröffentlichung der 15. Ergänzungslieferung des "klassischen" IT-Grundschutzes 016 Migration Thomas Biere

25 IT-Grundschutz-Tools Support des GSTOOLs bis Ende 016 (einschließlich Metadatenupdates) Marktverfügbare IT-Grundschutz-Tools Enger Austausch mit mehreren Herstellern Informations-Push an Tool-Hersteller seit Mai 01 Offenlegung der GSTOOL-Exportschnittstelle April 015 zum Import bestehender IT-Sicherheitskonzepte des GSTOOLs Unterstützung der Migration "alt" auf "neu" Definition eines Austauschformats zwischen verschiedenen Tools Ziel: Markt stellt geeignete Tools im Jahr 016 bereit Thomas Biere 5

26 Fragen und Diskussion Thomas Biere 6

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Thomas Biere Godesberger Allee 185-189 5175 Bonn Tel:

27 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Thomas Biere Godesberger Allee Bonn Tel: +9 (0) Fax: +9 (0) Thomas Biere 7

Ähnliche Dokumente

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes des IT-Grundschutzes Isabel Münch Holger Schildt Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cybersicherheit 1. IT-Grundschutz-Tag 2015 Neuausrichtung 20 Jahre IT-Grundschutz