Wo stehen wir und wo wollen wir hin? Ausblick und Diskussion

Transkript

1 Wo stehen wir und wo wollen wir hin? Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2012 Sicherheit in und um Windows

2 Neue Themen in den IT-Grundschutz-Katalogen

3 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern 3

4 Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro 4

5 IT-Grundschutz-Kataloge 12. Ergänzungslieferung Neue Bausteine B Virtualisierung B Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung Überarbeitete Bausteine B TK-Anlage B 5.4 Webserver Gestrichene Bausteine B Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver 5

6 IT-Grundschutz-Kataloge Ausblick Überarbeitung der Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management B Mobiltelefon B 2.1 Allgemeines Gebäude Neue Bausteine MS Windows 7, MS Server 2008 R2 Lotus Notes Protokollierung OpenLDAP Mac OS X Web-Anwendungen 6

7 Anstehende Änderungen beim IT-Grundschutz 7

8 Umstrukturierung IT-Grundschutz-Kataloge Kritik Komplexität des IT-Grundschutzes nimmt zu Viele Bausteine: "Wer soll das noch prüfen?" Prüffragen je Maßnahme Wünsche Bereitstellung von Prüflisten Schnellere Prüfung Beschränkung auf wesentliche Bausteine Typisierung von Bausteinen 8

9 E-V-Modell Das Ziel und der Weg Ziel: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion Weg: elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch 9

10 E-V-Modell Das Ergebnis und das Vorgehen Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine 10

11 Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich 11

12 Prüffragen Weiteres Vorgehen Fleißarbeit: Laufendes Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge! Konsolidierung pro Baustein (noch mehr Arbeit!) Ziel: Veröffentlichung der Prüffragen zusammen mit den ITGrundschutz-Katalogen der 13. EL 12

13 E-V-Modell & Prüffragen Zusammenspiel Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO 27001Zertifikat Selbsteinschätzung 13

14 Elementare Gefährdungen Motivation Aufgabenstellung: Risikoanalyse auf Basis BSI-Standard ist aufwendig, da Gefährdungsliste mittlerweile sehr lang Lösungsvorschläge: Verschlankung/Downsizing der Gefährdungskataloge Strukturierung der Gefährdungen Vorgehensweise: Anregungen aus ISO 27005, EBIOS, ISF Ziel: handhabbare Anzahl von "elementaren" Gefährdungen Wo notwendig, vertiefende Gefährdungen in Bausteinen für Sensibilisierung 14

15 Elementare Gefährdungen Beispiele G 0.01 Feuer G 0.05 Naturkatastrophen G 0.10 Ausfall oder Störung von Versorgungsnetzen G 0.15 Abhören G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle G 0.25 Ausfall von Geräten und Systemen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.35 Nötigung, Erpressung oder Korruption (statt Imageschaden) G 0.40 Verhinderung von Diensten (DoS) G 0.45 Datenverlust 15

16 Goldene Regeln Überblick Goldene Regeln für Überblick Zielgruppe Management, Einsteiger Thematisch zwischen Leitfaden und GSK Ziele Überblick über die wichtigsten Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite "goldene Regeln", nicht mehr als 10 goldene Regeln (Separate) Veröffentlichung der Goldenen Regeln zusammen mit den IT-Grundschutz-Katalogen der 12. EL 16

17 Goldene Regeln Beispiel 17

18 Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen 18

19 Überblickspapiere Was gibt es? 19

20 Informationen zum GSTOOL 20

21 GSTOOL 4.x Wie geht es weiter? GSTOOL 4.x Versionsänderungen Metadatenupdates Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Einstellung etwa der Weiterentwicklung in Jahr Parallelbetrieb von GSTOOL 4.x und GSTOOL 5.0 später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich

22 GSTOOL 4.x Metadatenupdate Metadatenupdate für GSTOOL 4.x derzeit in Bearbeitung Schwierigkeiten aufgrund Programm- und Datenbankwechsel beim Redaktionsmanagementsystem ITGrundschutz Exportmodul für Toolexport nicht nutzbar aufgrund diverser Softwarefehler beabsichtigte manuelle Datenübertragung aus XML-Export in eine Access-Datenbank ist fehlgeschlagen Auftrag an Programmierfirma (schwieriger Vertragsabschluss) Veröffentlichung geplant für November 2011 Mai / Juni 2012

23 GSTOOL 5 Öffentliche GSTOOL 5.0 Beta-Version detaillierte Informationen per GSTOOL-Newsletter Rückmeldungen (Fehlermeldungen) zur Beta-Version erbeten neu bspw. Netzplan, IS-Revision, Verfahrensregister, Fragebögen Technik JAVA, Webclient, Oracle Datenbank Unterstützte Betriebssysteme Windows-Systeme ab XP SP3 Linux (RedHat, SuSE, Debian) Produktivbetrieb aufgrund voraussichtlich erst Ende 2012 diverser Probleme mit Auftragnehmer

24 Geplante IT-Grundschutz-Tage in Bonn: "Schutz sensibler Informationen in der Praxis" mit SIZ in Berlin: "IT-Grundschutz-Tag zu Windows 2008" mit HiSolutions in Bremen: wird zur Zeit mit TZI geplant in Nürnberg: auf der it-sa zu Webanwendungen mit TÜV-IT in Berlin: wird zur Zeit mit SerNet geplant und viele weitere im Jahr

25 Wo gibt es das alles? auf der BSI-DVD als Buch auf der BSI-Webseite 25

26 Fragen 26

27 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)