Der neue IT-Grundschutz im Kontext der ISO 27001

Transkript

1 Der neue IT-Grundschutz im Kontext der ISO 27001

2 Dipl.-Ing. Stefan Karg Studium Elektro- und Informationstechnik an der TU-München seit 2003 schwerpunktmäßig Beschäftigung mit Fragen des technischen Datenschutzes und der Informationssicherheit seit 2008 selbständiger Berater für Datenschutz und Informationssicherheit Sachverständiger für Systeme und Anwendungen der Informationstechnik Kontakt:

3 Motivation

4 Annäherung der Standards IT-Grundschutz Kompendium definiert Anforderungen => konkreter ausgestaltet als Anforderungen der ISO Gliederung der Anforderungen in BASIS STANDARD - HOHER SCHUTZBEDARF sowie en Detail in MUSS SOLL - KANN Anforderungen der Standardabsicherung entsprechen einem normalen Schutzbedarf und Basis für eine Zertifizierung ISO nach IT-Grundschutz Zu den Anforderungen existieren detaillierte Umsetzungshinweise mit entsprechenden Maßnahmenvorschlägen (analog ISO 27002) è auch diese sind deutlich konkreter / umfassender Mit BSI gibt es eine konsistente Methode zur Risikoanalyse (ISO wurde noch nicht an die Version 2013 angepasst, ISO ist generisch)

5 Neue Methodik Vorgehensweise nach BSI Auswahl und Anpassung Maßnahmen Strukturanalyse Schutzbedarfsfeststellung Basis- Sicherheits -Check Umsetzung fehlender Maßnahmen Vorgehensweise nach BSI Erfolgt auf Basis der Bausteine mit vorgegebenen Maßnahmen Maßnahmen (weitgehend) vorgegeben Strukturanalyse Schutzbedarfsfeststellung Modellierung GS-Check Soll/Ist Vergleich, Maßnahmenplanung Erfolgt auf Basis von Anforderungen Welche Anforderungen sind wie realisiert? => Umgesetzte Maßnahmen identifizieren und bewerten Zu welchen Anforderungen fehlen noch geeignete Maßnahmen? Maßnahmen können frei gewählt werden Annäherung der Methodik von Grundschutz und ISO 27001

6 Beispiel: ANFORDERUNGEN Zutrittskontrolle (1:1) ISO Anhang A Quelle: DIN ISO/IEC 27001: , Anhang A (Basisanforderung) MUSS / DARF NUR verpflichtende Anteile SOLL Abweichung mit Begründung möglich KANN Fakultativ, best practice Quelle: IT-Grundschutz, INF.1 Allgemeines Gebäude, Community Draft (Webseiten des BSI) Die IT-Grundschutz Anforderungen sind konkreter ausgestaltet als die korrespondierenden Anforderungen der ISO 27001

7 Umsetzungshinweise Umsetzungshinweise aus ISO 27002:2013 Die Umsetzungshinweise des IT-Grundschutz sind konkret, sie enthalten aber keine vorgegebenen Maßnahmen mehr. Umsetzungshinweise zum Baustein INF 1

8 Beispiel: ANFORDERUNGEN Backup (1:n) Quelle: DIN ISO/IEC 27001: , Anhang A 1 Anforderung ISO : 12 Anforderungen GS (ganzer Baustein) CON.3.A1 Erhebung der Einflussfaktoren der Datensicherung CON.3.A2 Festlegung der Verfahrensweise für die Datensicherung CON.3.A3 Ermittlung von rechtlichen Einflussfaktoren CON.3.A4 Erstellung eines Minimaldatensicherungskonzeptes CON.3.A5 Regelmäßige Datensicherung Standardanforderungen CON.3.A6 Entwicklung eines Datensicherungskonzepts CON.3.A7 Beschaffung eines geeigneten Datensicherungssystems CON.3.A8 Funktionstests und Überprüfung der Wiederherstellbarkeit CON.3.A9 Voraussetzungen für die Online-Datensicherung CON.3.A10 Verpflichtung der Mitarbeiter zur Datensicherung CON.3.A11 Sicherungskopie der eingesetzten Software CON.3.A12 Geeignete Aufbewahrung der Backup-Datenträger Anforderungen bei erhöhtem Schutzbedarf CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung Quelle: IT-Grundschutz, CON 3Datensicherungskonzept, Community Draft (Webseiten des BSI) aber Die Anforderungen des Bausteins entsprechen weitgehend den Umsetzungshinweisen der ISO 27002

9 Arbeitshilfe Aufbereitung der Bausteine Zusammenstellung der Anforderungen und Integration der Umsetzungshinweise als elektronische Fassung

10 Schichtenmodell des IT- Grundschutz Quelle: BSI IT-Grundschutz Kataloge, Kap 2.1 Modellierung Bisher: Systemorientiert Neu: Funktionsorientiert ISMS ORP CON OPS APP SYS NET INF Sicherheitsmanagement Organisation & Personal Konzepte & Vorgehensweisen Sicherheitsaspekte des Betriebs Anwendungen IT Systeme und Komponenten Netzwerke Physische Sicherheit IND Industrielle IT (SCADA...) DER Detektion & Reaktion ( auf Sicherheitsvorfälle) ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND Quelle: BSI 200-2, S.108 DER + Übergeordnete und prozesshafte Aspekte sind getrennt von Systemen + Bündelung von Zuständigkeiten => Annäherung an die Struktur der ISO 27001

11 (grobe) Abbildung Schichtenmodell auf ISO 27001/2 ISMS A.5 Normtext ORP CON OPS A.6, A.7 A.8, A.9 A.18 A.10 A.14.2 A A.12 A.13.2 A.14, A.15 Prozess-Bausteine Erkenntnisse: Der prozessorientierte Ansatz der ISO ist deutlich wiedererkennbar Die Maßnahmenziele und Maßnahmen der ISO finden sich in den Anforderungen der GS- Bausteine praktisch vollständig wieder APP SYS A.8.3 A.12.5 NET A.13.1 INF A.11 System-Bausteine IND Der neue IT-Grundschutz geht darüber insbesondere im Bereich der Systembausteine deutlich hinaus DER A.16, A 12.7, A.17 Zu Bereichen wie industrieller IT und der Absicherung einzelner Anwendungen macht die ISO keine Vorgaben

12 Einordnung des neuen IT-Grundschutz Freiheitsgrad ISO nativ ISO Prozessorientiert Vorgabe der Methode ( auf welche Weise? ) IT-Grundschutz- Kompendium (neu) Anforderungsorientiert : Beschreibung der Anforderungen ( was? ) Keine verbindliche Vorgabe von Maßnahmen ( wie? ) IT-Grundschutz- Katalog (alt) Konkrete Vorgaben für die Umsetzung Maßnahmenorientiert Maßnahmen verbindlich vorgegeben ( wie? )

13 Zertifikatsvoraussetzungen (bisher) Seit 2006: Zertifizierung ISO auf Basis Grundschutz Auditor-Testat Grundschutz Einstiegsstufe Auditor-Testat Grundschutz Aufbaustufe A B C ISO auf Basis Grundschutz Zertifikatsstufe Zertifizierbar sind Verbünde, die (mindestens) die Maßnahmen der Zertifikatsstufe erfüllen Bild:

14 Zertifikatsvoraussetzungen (neu) Zertifizierbar sind Verbünde, die mindestens die Anforderungen der Standardabsicherung erfüllen d.h. auch ein Teilverbund mit realisierter Kernabsicherung könnte zertifiziert werden Quelle: Kernpunkte der Modernisierung Basisabsicherung = grundlegende (Erst-)Absicherung (Mindestniveau, Einstieg) Standardabsicherung = entspricht etwa dem bisherigen Grundschutz (Zertifikatsstufe) Kernabsicherung = priorisiertet Teilbereich (oft mit erhöhtem Schutzbedarf)

15 Zertifizierungsstrategien ISO nativ? Aufwand aus der Praxis: hybrider Ansatz (ISO 27001) A ISO auf Basis IT-Grundschutz garantiertes Sicherheitsniveau Aufwandstreiber: Identifikation der Werte Vollständige Risikoanalyse Ableiten Schutzmaßnahmen Vorteile hoher Freiheitsgrad evulotionär zu gestalten Risiken Vollständigkeit der Schutzmaßnahmen Sicherheitsniveau hängt stark von individueller Ausprägung ab + Risikoanalyse + Orientierung am GS-Kompendium wo passend (z.b. für Bereiche mittleren und hohen Risikos) + Mix generischer und detaillierter Anforderungen Aufwandstreiber Strukturanalyse Modellierung detaillierte Anforderungen Vorteile Vergleichbarkeit Dokumentation standardisiertes Sicherheitsniveau Voraussetzung für öffentliche Aufträge

16 FAZIT 1. Insbesondere durch Aufteilung der Bausteine in Anforderungen und Umsetzungshinweise Gliederung in Prozess- und Systembausteine Funktionsorientierung (Schichtenmodell) haben sich IT-Grundschutz und ISO methodisch angenähert. 2. Die Anforderungsorientierung sollte den Aufwand in der Umsetzung reduzieren 3. Keine Revoulution: Die Vorteile beider Vorgehensweisen bleiben erhalten

17 BACKUP

18 Zertifizierung nach dem neuen Grundschutz : Zeitplan Das neue GS- Kompendium erscheint offiziell 1.Oktober 2018 Zertifizierungsanträge nur noch auf Basis Grundschutz- Kompendium BSI / Grundschutz Kataloge, 15. EL Alte Zertifikate gelten fort max. 3 Jahre BSI / Grundschutz Kompendium 15. Oktober 2017 Februar 2018 Migrationsphase Veröffentlichung Final Draft: Neuanträge auf Basis GS- Kompendium möglich schrittweise Migration im Rahmen der Überwachungsaudits möglich Erworbene Zertifikate gelten für die volle Laufzeit. è Bei Ablauf der Gültigkeit Ende 2018 sollte ein Re-Zertifizierungsantrag ggf. vorgezogen werden um mit der Migration nicht unter Druck zu kommen