Schritt für Schritt zum neuen BSI Grundschutz

Transkript

1 Schritt für Schritt zum neuen BSI Grundschutz

2 SPEAKER Thomas Lundström - IT Sicherheitsbeauftragter für die öffentliche Verwaltung (BSI Zertifikat) - bis 2011 IT Sicherheitsbeauftragter - ab 2011 Beratungsprojekte ISMS - Neu - Prüfung - Ergänzung - Schulung - Sensibilisierung 2 IT Grundschutz neu auf alt

3 Alles neu? Sie haben ein ISMS und möchten den neuen IT-Grundschutz nutzen? Wir zeigen Ihnen, wie und wann Sie am besten umsteigen. Und geben Ihnen Tipps, welche Software Sie dabei unterstützt. Sie haben noch kein ISMS, sehen sich aber aufgrund der neuen Datenschutz-Grundverordnung gezwungen eines einzuführen? Wir zeigen Ihnen, wie Sie exemplarisch vorgehen können, um rechtzeitig gerüstet zu sein. 3 IT Grundschutz neu auf alt

4 Wann muss was? Anträge auf eine Zertifizierung nach den bisherigen IT- Grundschutz-Katalogen (15. EL) sind noch bis zum möglich. Ab dem können nur noch Anträge auf Basis des BSI-Standards und des IT-Grundschutz-Kompendiums gestellt werden. Nur noch 200-2? Bis ! Mischbetrieb zertifizierungsfähig. 4 IT Grundschutz neu auf alt

5 5 IT Grundschutz neu auf alt

6

7

8 8 IT Grundschutz neu auf alt

9 Fall A Behörde oder Sicherheitsaufgaben 500+ Clients 10+ Verfahren GS-Tool vor Ablösung Handlungsbedarf sofort: Nichts! Tool wählen Daten migrieren Verfahren die angepasst werden müssen anpassen Handlungsbedarf vor Herbst 2021 Migration 9 IT Grundschutz neu auf alt

10 Beispiele alt neu Clients sollen auf Windows 10 migriert werden Baustein muß neu betrachtet werden! 10 IT Grundschutz neu auf alt

11 11 IT Grundschutz neu auf alt

12 Build

13

14

15

16 Weiterführende Informationen [GNUPG] Using the GNU Privacy Guard Agent Configuration, (zuletzt abgerufen ) [ISiClient] Absicherung eines PC-Clients (ISi-Client), (zuletzt abgerufen am ) [KEYTOOL] Key and Certificate Management Tool Oracle, (zuletzt abgerufen ) [MIGLFTLS] Migrationsleitfaden zum Mindeststandard TLS 1.2 Bundesamt für Sicherheit in der Informationstechnik, Stand [MOZRCP] Mozilla CA: Root Change Prozess Mozilla Wiki, (zuletzt abgerufen ) [MSROOT] Configure Trusted Roots and Disallowed Certificates Configure Trusted Roots and Disallowed Certificates, (zuletzt abgerufen ) [NIST800111] NIST Special Publication Guide to Storage Encryption Technologies for End User Devices, [NISTSP800123] NIST Special Publication Guide to General Server Security, NIST, [OPENSSL] Certificate Installation with OpenSSL- Other People s Certificates (zuletzt abgerufen ) [RFC5246] RFC 5246, The Transport Layer Security (TLS) Protocol Internet Engineering Task Force (IETF), (zuletzt aufgerufen ) [RFC5746] RFC 5746, Transport Layer Security (TLS) Renegotiation Indication Extension Internet Engineering Task Force (IETF), (zuletzt abgerufen ) [TR02102] Kryptographische Verfahren- Empfehlungen und Schlüssellängen BSI, (zuletzt abgerufen am )

17 Fall B XYZ SE Große Kapitalgesellschaft Clients Verfahren Risikomanagement Handelsrechtlich geboten/vorgeschrieben DSGVO verlangt ISMS ab 25. Mai 2018 ISMS auf Basis IT Grundschutz 15. EL liegt ohne Tool tw. vor Handlungsbedarf kurzfristig: Tool wählen (auch für DSGVO) Verfahren erfassen (Kronjuwelen, Essentielles, Personendaten) Verfahren die angepasst werden müssen anpassen Handlungsbedarf vor Audit Migration 17 IT Grundschutz neu auf alt

18 18

19 Dokumente Leitlinie Ernennung ITSB Budget

20 Tool befüllen 20 IT Grundschutz neu auf alt

21 Pflegen Verfahrensverzeichnis erstellen (lassen) Struktur ordnen (lassen) Eigene Bausteine erstellen (Vorhandenes nutzen) 21 IT Grundschutz neu auf alt

22 Maßnahmen umsetzen Umsetzungspriorisierung abstimmen Umsetzen Prüfen Dokumentieren 22 IT Grundschutz neu auf alt

23 Audit? Auditor-Testat "IT-Grundschutz Einstiegsstufe" Auditor-Testat "IT-Grundschutz Aufbaustufe Erst-Zertifizierung (Zertifikat gilt 3 Jahre) Überwachungsaudits (Jährlich) Re-Zertifizierung (nach 3 Jahren) 23 IT Grundschutz neu auf alt

24 Zertifikatsdaten Institution Untersuchungsgegenstand Zertifikatsnummer: BSI-IGZ gültig bis: Auditteamleiter: Wolfgang Körner, BSI-ZIG office direkt Service- Center GmbH Der Untersuchungsgegenstand umfasst den Informationsverbund am Standort Remagen mit den zugehörigen Netzkomponenten wie Routerund Switche, Sicherheitsgateways, Server und Arbeitsstationen sowie die TK-Anlage. Die officedirekt Service-Center GmbH erbringt als Fulfilment-Dienstleistungsunternehmen hoch qualifizierte Services über ein Service-Center in Remagen. Die bei office direkt Service-CenterGmbH eingesetzte IT- Infrastruktur basiert auf einem Windows-basierten Netzwerk, das über den Serverraum im Gebäude die Windowsbasierten Clients stützt. Zur Erbringung der Serviceleistung ist die IT mit der TK-Anlage und dem Internet verbunden. Die Absicherung wird auf Basis selbst administrierter IT-Sicherheitsgateways realisiert. Zertifikatsnummer: BSI-IGZ gültig bis: Auditteamleiter: Martin Steger, BSI-ZIG Auditorin: Ann-Karina Wrede, BSI-ZIG Mentana-Claimsoft GmbH Der Untersuchungsgegenstand umfasst den D -Gesetz-konformen Betrieb der D Infrastruktur der Mentana- Claimsoft GmbH. Dieser beinhaltet unternehmensinterne Prozesse und Abläufe sowie alle Applikationen, Dienste und Systeme inklusive eigener Hardwarekomponenten im RZ und eigener Softwarekomponenten, die im RZ laufen bzw. für die Administration und den Supportnotwendig sind. Der Betrieb dieser eigenen D Infrastruktur wird an drei Standorten durchgeführt. In Fürstenwalde sind die Planung und der Betrieb/Support angesiedelt. Die Rechenzentren selbst befinden sich in Laatzen/Hannover und in Berlin. Dort findet das Housing der Mentana-Claimsoft eigenen Systeme in gesicherten RZ statt. Zertifikatsnummer: BSI-IGZ gültig bis: Auditteamleiter: Jürgen Thormann, BSI-ZIG Brandenburgischer IT-Dienstleister Der Informationsverbund umfasst den Netzübergang vom "Verbindungsnetz NdB" zum Landesnetz Brandenburg. Darin enthalten sind auch die Managementsysteme zur Aufrechterhaltung, Überwachung und Betrieb des Netzüberganges.

25 Produkt Abbildung IT-GS 1) Modernisierung IT-GS 2) Vollumfänglicher Import GSTOOL 4.x 3) Migration 4) Zertifizierung auf der Basis von IT-GS 5) calpana business consulting GmbH CRISAM Ja Ja Ja, direkt über GSTOOL- Export Ja, inkl.umkehr der Struktur der Zielobjekte Ja Gerdewal Consulting GmbH GAIMS Ja, ab Ja, ab Nein Ja, ab Ja, ab GRC Partner GmbH DocSetMinder Ja, ab sofort Ja, ab Ja, ab sofort Ja, ab Ja, ab sofort HiScout GmbH HiScout Grundschutz Ja Ja, ab (it-sa 2017) Ja Ja, ab (it-sa 2017 Ja INFODAS GmbH SAVe 5 Ja Ja, ab Ja Ja, ab Ja Kronsoft e.k. opus i (100-x) Ja, seit Ja, auf Basis 15. EL Ja, voll umfänglich Ja Kronsoft e.k. opus i (200-x) Ja, Basis Kern Standard Ja, zu 100% Ja, auf Basis 15. EL Ja, voll umfänglich Ja, ab dem SerNet GmbH verinice Ja Ab dem (itsa 2017) Ja Ja Ab dem (it-sa 2017) Synetics i-doit Ja, seit 2011 Ja Ja, ab 2017 Ja, ab 2018 Ja, seit 2012

26 Learn IT. Watch IT. Do IT! Angebote zu IT-Security B e r a t u n g s u n t e r s t ü t z u n g P r o j e k t u n t e r s t ü t z u n g T r a i n i n g s w w w. s o f t e d. d e / i t - s e c u r i t y