Aktueller Stand der Modernisierung des IT-Grundschutzes

Transkript

1 Aktueller Stand der Modernisierung des IT-Grundschutzes 3. IT-Grundschutz-Tag 2017, Holger Schildt, Birger Klein Referat IT-Grundschutz

2 Agenda Kernaspekte der Modernisierung des IT-Grundschutzes BSI-Standards zum IT-Grundschutz Bausteine des IT-Grundschutz-Kompendiums IT-Grundschutz-Profile Ausblick und Diskussion H. Schildt, B. Klein Seite 2

3 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz H. Schildt, B. Klein Seite 3

4 2. BSI-Standards zum IT-Grundschutz BSI-Standard BSI-Standard einschl. Leitfaden zur Basis-Absicherung BSI-Standard 200-3

5 BSI-Standards zum IT-Grundschutz Community Drafts H. Schildt, B. Klein Seite 5

6 BSI-Standard Managementsysteme für Informationssicherheit Definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) Zielgruppe: Management Kompatibel mit ISO/IEC Interpretation der Norm Aktualisierung basierend auf BSI-Standard Anpassungen an Fortschreibung der ISO-Standards Anpassungen an BSI-Standard H. Schildt, B. Klein Seite 6

7 BSI-Standard Antworten auf folgende Fragen Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? Wie werden Sicherheitsmaßnahmen ausgewählt und Sicherheitskonzepte erstellt? Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? H. Schildt, B. Klein Seite 7

8 BSI-Standard IT-Grundschutz-Methodik Neukonzeption basierend auf BSI-Standard Neue Vorgehensweisen zum Einstieg Erweiterung um Virtualisierung, Cloud-, ICS- und IoT-Absicherung Anpassungen an Fortschreibung der ISO- Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit Beispiel BoV durch RecPlast ausgetauscht H. Schildt, B. Klein Seite 8

9 BSI-Standard Überblick Vorgehensweisen Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung H. Schildt, B. Klein Seite 9

10 BSI-Standard Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest H. Schildt, B. Klein Seite 10

11 BSI-Standard Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung H. Schildt, B. Klein Seite 11

12 Ergänzung zum BSI-Standard Leitfaden zur Basis-Absicherung H. Schildt, B. Klein Seite 12

13 Leitfaden zur Basis-Absicherung Mehrwert & Zielgruppe Warum ein Leitfaden? kompakter und übersichtlicher Einstieg in die Informationssicherheit elementare Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus in einer Institution Drei Schritte für Institutionen die sich erstmalig mit Informationssicherheit befassen wollen, die erste Sicherheitsmaßnahmen in der Breite umsetzen wollen und deren Geschäftsprozesse überschaubarem Gefährdungspotenzial unterliegen. Drei Schritte zur Erhöhung der Informationssicherheit für KMU, Selbstständige und kleinere Behörden! H. Schildt, B. Klein Seite 13

14 Leitfaden zur Basis-Absicherung Die drei Phasen des Sicherheitsprozesses 1. Initiierung des Sicherheitsprozesses Funktionen und Verantwortlichkeiten Geltungsbereich: Informationsverbund Sicherheitsziele und Leitlinie 2. Organisation des Sicherheitsprozesses Ausbau einer Organisation zur Informationssicherheit Integration in Abläufe und Prozesse Konzeption und Planung 3. Durchführung des Sicherheitsprozesses Modellierung nach IT-Grundschutz IT-Grundschutz-Check Umsetzung der Sicherheitskonzeption H. Schildt, B. Klein Seite 14

15 BSI-Standard 200-2: Basis-Absicherung Durchführung des Sicherheitsprozesses H. Schildt, B. Klein Seite 15

16 BSI-Standard Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung H. Schildt, B. Klein Seite 16

17 BSI-Standard Standard-Absicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (bisherigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standard-Absicherung H. Schildt, B. Klein Seite 17

18 BSI-Standard Standard-Absicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen H. Schildt, B. Klein Seite 18

19 BSI-Standard Wege zur Standard-Absicherung Einstieg Basis-Absicherung Kern-Absicherung Kern-Absicherung Basis-Absicherung Standard-Absicherung H. Schildt, B. Klein Seite 19

20 BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Nun: Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf H. Schildt, B. Klein Seite 20

21 BSI-Standard Vorgehensweise H. Schildt, B. Klein Seite 21

22 BSI-Standard Einstufung von Risiken H. Schildt, B. Klein Seite 22

23 3. Bausteine des IT-Grundschutz-Kompendiums

24 IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management H. Schildt, B. Klein Seite 24

25 IT-Grundschutz-Kompendium Überblick H. Schildt, B. Klein Seite 25

26 IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name H. Schildt, B. Klein Seite 26

27 Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick H. Schildt, B. Klein Seite 27

28 Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER H. Schildt, B. Klein Seite 28

29 Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen H. Schildt, B. Klein Seite 29

30 Struktur GS-Kompendium System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 / Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle H. Schildt, B. Klein Seite 30

31 Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle H. Schildt, B. Klein Seite 31

32 Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 32

33 Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 33

34 Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 34

35 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. H. Schildt, B. Klein Seite 35

36 Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung H. Schildt, B. Klein Seite 36

37 Veröffentlichungen Bausteine als Community Draft ISMS (implementierte Anforderungen) APP.2.2 Active Directory APP.3.1 Web- Anwendungen APP.3.3 Fileserver APP.3.4 Samba APP.3.6 DNS-Server APP.4.3 Datenbanksysteme APP.5.1 Groupware APP.5.2 Office-Produkte CON.2 Datenschutz CON.4 Standardsoftware CON.6 Informationssicherheit auf Auslandsreisen DER.1 Detektion von sicherheitsrelevanten Ereignissen DER.2.2 Vorsorge für die IT-Forensik IND.1 ICS Betrieb INF.1 Allgemeines Gebäude INF.3 Elektrotechnische Verkabelung INF.4 IT-Verkabelung INF.8 Häuslicher Arbeitsplatz NET.2.1 WLAN-Betrieb NET.2.2 WLAN-Nutzung NET.3.2 Firewall OPS Ordnungsgemäße IT- Administration OPS Archivierung OPS Datenträgeraustausch OPS.2.1 Outsourcing- Anwender OPS.2.4 Remote Administration OPS.3.1 Outsourcing- Anbieter ORP.1 Organisation ORP.2 Personal ORP.3 Sensibilisierung und Schulung ORP.5 Anforderungsmanagement SYS.1.1 Allgemeiner Server SYS Windows Server 2012 SYS.2.1 Allgemeiner Client SYS Client unter Windows 8.1 SYS Client unter Windows 10 SYS.3.1 Laptop/Notebook SYS MDM SYS ios for Enterprise SYS.3.4 Mobile Datenträger SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte SYS.4.4 Allgemeines IoT- Gerät Stand: H. Schildt, B. Klein Seite 37

38 Veröffentlichungen Bausteine als Community Draft Zahlreiche weitere Bausteine derzeit in der End-QS Protokollierung Bereinigung Netzarchitektur & -design DNS Mobiler Arbeitsplatz Telearbeitsplatz Smartphone & Tablet Android H. Schildt, B. Klein Seite 38

39 Rückmeldungen zu Working Drafts SYS Client unter Windows 10 H. Schildt, B. Klein Seite 39

40 4. IT-Grundschutz-Profile

41 IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS SYS APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS INF.1 OPS H. Schildt, B. Klein Seite 41

42 IT-Grundschutz-Profile ein Blick in Institutionen H. Schildt, B. Klein Seite 42

43 IT-Grundschutz-Profile Adaption als Schablone ISMS SYS OPS SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS OPR.1 OPS.4 ISMS SYS.1.2. SYS APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 H. Schildt, B. Klein Seite 43

44 IT-Grundschutz-Profile Definition Ein IT-Grundschutz-Profil ist ein Muster- Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z.b. Strukturanalyse, Schutzbedarfsfeststellung, Modellierung) und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Institutionen adaptiert werden kann! H. Schildt, B. Klein Seite 44

45 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert H. Schildt, B. Klein Seite 45

46 IT-Grundschutz-Profile Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils H. Schildt, B. Klein Seite 46

47 IT-Grundschutz-Profile Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile H. Schildt, B. Klein Seite 47

48 IT-Grundschutz-Profile Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur H. Schildt, B. Klein Seite 48

49 IT-Grundschutz-Profile Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: Auf geeignete Weise Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ] Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [ ] H. Schildt, B. Klein Seite 49

50 IT-Grundschutz-Profile Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc. H. Schildt, B. Klein Seite 50

51 IT-Grundschutz-Profile Status und Ziele Status Working-Draft ecommerce Diskussion mit zahlreichen Stakeholdern Veröffentlichung eines Artikels Erstellung einer Strukturbeschreibung Masterarbeit zur Erstellung eines IT-Grundschutz-Profils Ziele Maschinenlesbar Veröffentlichung von Pilot-Profilen Langfristig: öffentlicher Marktplatz mit IT-Grundschutz-Profilen H. Schildt, B. Klein Seite 51

52 5. Ausblick

53 Veröffentlichungen Zeitliche Abfolge März 2016 Erste Bausteine nach neuer Struktur Oktober 2016 März 2017 BSI-Standard it-sa BSI-Standard CeBIT April 2017 BSI-Standard Hannover- Messe Mai 2017 Leitfaden zur Basis- Absicherung BSI-Kongress Oktober 2017 Vorstellung finale Standards und IT-GS-Kompendium Redaktionsschluss BSI-Standards: Redaktionsschluss GS-Bausteine: it-sa H. Schildt, B. Klein Seite 53

54 IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) H. Schildt, B. Klein Seite 54

55 IT-Grundschutz-Migration Unterstützung durch das BSI Auditorentag 2017 am in Bonn Herstellerworkshop Integration des modernisierten IT-Grundschutzes in die Tools und Anpassung der Datenbank-Schnittstellen IT-Grundschutz-Tag Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der IT-Grundschutz-Modernisierung am in Bonn am in Berlin Konzept und Leitfaden zur Migration derzeit in Arbeit H. Schildt, B. Klein Seite 55

56 Nächste Veranstaltungen 3. IT-Grundschutz-Tag 2017, , Berlin Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der Modernisierung 4. IT-Grundschutz-Tag 2017 am in Nürnberg geplant: IT-Grundschutz-Tag im Q1 in Berlin geplant: IT-Grundschutz-Tag am in Limburg Termine der Allianz für Cyber-Sicherheit 17. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit, , Darmstadt Cyber-Sicherheit in der mobilen Kommunikation H. Schildt, B. Klein Seite 56

57 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee Bonn H. Schildt, B. Klein Seite 57