IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Größe: px

Ab Seite anzeigen:

Download "IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen"

Emma Wolf
vor 6 Jahren
Abrufe

1 IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag

2 Agenda Das BSI Informationssicherheit ISO und BSI Definition und Beispiele Standards Vorstellung und Tätigkeitsfelder Vorgehensweise, Tools und Veröffentlichungen Publikationen Folie 2

Das BSI Kurzvorstellung Bundesamt für Sicherheit in der Informationstechnik: Unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der

3 Das BSI Kurzvorstellung Bundesamt für Sicherheit in der Informationstechnik: Unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung: 1991 per Gesetz als nationale Behörde für IT-Sicherheit Standort: Bonn Geschäftsbereich des BMI Mitarbeiter: 574 Jahresbudget: 88 Mio. (Stand 2013) Folie 3

4 Das BSI Tätigkeitsfelder Regierung und Verwaltung Bürger IT-Sicherheitsberatung Sensibilisierungskampagnen Entwicklung von Kryptosystemen BSI-Internetangebote CERT Bund Informationsmaterialien Betrieb des Regierungsnetzes Service-Center für Privatanwender Unterstützung E-Government Cyber-Abwehrzentrum Unterstützung von Großprojekten (z.b. npa, Galileo) Wissenschaft Mitwirkung beim IT-Sicherheitsforschungsprogramm des BMBF Wirtschaft Zertifizierung von Produkten Finanzielle Förderung von Kompetenzzentren für Kooperation mit ISPs die IT-Sicherheitsforschung: Kooperation mit UP KRITIS BSI ist einer der Assessoren Kooperation mit Universitäten Allianz für Cyber-Sicherheit BSI Folie 4

5 Informationssicherheit Beispiele Große Probleme Fehlendes Notfallmanagement Folie 5

6 Informationssicherheit Beispiele Fehlplanungen Teure Investition bedeutet keine höhere Sicherheit Folie 6

7 Informationssicherheit Beispiele Kleine Probleme Mobile Datenträger Toys Gadgets Folie 7

8 Informationssicherheit Beispiele Smartphones Persönliche Daten Kamera, GPS und Datenverbindungen Apps und Berechtigungen Zweckmäßigkeit Risiko Folie 8

Informationssicherheit In der Praxis Unterhaltungselektronik am Arbeitsplatz Klare Regeln Abwägung zwischen Notwendigkeit und Sicherheit Verständnis für Restriktionen Technische Sicherheitslösungen

9 Informationssicherheit In der Praxis Unterhaltungselektronik am Arbeitsplatz Klare Regeln Abwägung zwischen Notwendigkeit und Sicherheit Verständnis für Restriktionen Technische Sicherheitslösungen Firewalls Virenschutzprogramme Intrusion- und Detection-Systeme Spam-Filter... Sinnvolle Umsetzung Im Einklang mit Geschäftsprozessen? Nicht-technische Aspekte? Investitionen an der richtigen Stelle? Angemessenheit der Maßnahmen? Folie 9

10 Informationssicherheit Sicherheit ist kein Produkt Sicherheit kann man nicht kaufen. Sicherheit muss man schaffen! Natürlich muss man dazu auch auf vorhandene Produkte zurückgreifen.... kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen. Sicherheit muss aufrechterhalten werden! Natürlich kann man Aufbau und Aufrechterhaltung von Sicherheit auch teilweise in Projekten abwickeln.... ein Prozess Chefsache Folie 10

11 Standards ISO ISO 27001:2005 Information technology - Security techniques - Information security management systems - Requirements erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001) Qualität (ISO 9001) Umwelt (ISO 14001) dient als Grundlage einer Zertifizierung ISO 27002:2005 Information technology - Security techniques - Code of practice for information security management keine Spezifikation und kein Zertifizierungsstandard dient zum besseren Verständnis der in der ISO definierten Anforderungen Folie 11

12 Standards BSI BSI Managementsysteme für Informationssicherheit (ISMS) BSI Vorgehensweise BSI Risikoanalyse auf der Basis von BSI Notfallmanagement Folie 12

13 Die Idee Typische Komponenten Typische Gefährdungen, Schwachstellen und Risiken Konkrete Umsetzungshinweise für das Sicherheitsmanagement Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen Vorbildliche Lösungen aus der Praxis Best Practice -Ansätze Folie 13

14 Die Ziele Ganzheitlicher Ansatz Standard-Sicherheitsmaßnahmen Definiertes Sicherheitsniveau Basis für einen höheren Schutzbedarf Folie 14

15 Themengebiete der Bausteine SCHICHT I ÜBERGREIFENDE ASPEKTE SCHICHT II INFRASTRUKTUR SCHICHT III IT-SYSTEME SCHICHT IV NETZE SCHICHT V ANWENDUNGEN Folie 15

16 Struktur der Bausteine Gefährdungskatalog Maßnahmenkatalog Höhere Gewalt Infrastruktur Organisation Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Bausteine Personal Hard-/Software Kommunikation Notfallvorsorge Folie 16

17 Sicherheitskonzeption nach BSI Informationsverbund Strukturanalyse Analyse des Ist-Zustands Welche Anwendungen und Systeme? - Organisation - Infrastruktur - IT-Systeme - Anwendungen - Mitarbeiter Feststellung des Schutzbedarfs analyse: Modellierung des Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck I (Soll-Ist-Vergleich) Ergänzende Sicherheitsanalyse ca. 80% ca. 20% Risikoanalyse (z.b. bei hohem Schutzbedarf) Konsolidierung der Maßnahmen Basis-Sicherheitscheck II Folie 17

18 GSTOOL Folie 18

Zertifizierung nach ISO 27001 Umsetzung der Maßnahmen A (Basis) B

19 Zertifizierung nach ISO Umsetzung der Maßnahmen A (Basis) B (Erweitert) C (Zertifizierungsrelevant) Z (Zusatz) W (Wissen) Folie 19

20 Publikationen Grundschutz-Kataloge Lose Blatt-Sammlung Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Regelmäßige Ergänzungslieferungen Folie 20

21 Publikationen Goldene Regeln Zielgruppe: Management, Einsteiger Überblick: Wichtigste Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite Nicht mehr als 10 Regeln Folie 21

22 Publikationen Überblickspapiere Als Download verfügbar Apple ios Online-Speicher Smartphones Netzzugangskontrolle IT-Consumerisation und BYOD In Planung Android OS Folie 22

Publikationen Leitfaden Informationssicherheit Idee: Komprimiert die wichtigsten Fakten zur Informationssicherheit Zielgruppe: Einsteiger, Management, eilige Leser, kleine bis mittlere Unternehmen

23 Publikationen Leitfaden Informationssicherheit Idee: Komprimiert die wichtigsten Fakten zur Informationssicherheit Zielgruppe: Einsteiger, Management, eilige Leser, kleine bis mittlere Unternehmen und Behörden Darstellung: nachvollziehbar, realitätsnah Schwerpunkt: Organisation und Prozesse, technische Hinweise, ohne Details Motivation zur vertieften Beschäftigung mit Informationssicherheit Kompakter Überblick: und die wichtigsten Sicherheitsmaßnahmen Folie 23

24 Publikationen Grundschutz-Profil Das Profil für den Mittelstand passt Maßnahmen an die Anforderungen der Informationstechnik für den Mittelstand an,... zeigt, dass die -Methodik auch im Mittelstand sinnvoll angewendet werden kann,... bietet mehr Sicherheit in der mittelständigen Wirtschaft. Folie 24

25 Vielen Dank für Ihre Aufmerksamkeit -Hotline Telefon: GSTOOL-Hotline Telefon: XING-Forum Folie 25

26 Fragen und Diskussion Folie 26

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49

27 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Gruppe im XING-Forum: Folie 27

Ähnliche Dokumente

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014