Vorgehensweisen des neuen IT-Grundschutzes

Transkript

1 Vorgehensweisen des neuen IT-Grundschutzes 1. IT-Grundschutz-Tag 2016, Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

2 20 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 20 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Bedarf der Anwender an aktuellen und praxisnahen Verfahren Gewährleistung der Kontinuität: Weiterentwicklung der alten IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separate Ressourcen Übergeordnetes Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre H. Schildt Seite 2

3 Ziele der IT-Grundschutz- Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen H. Schildt Seite 3

4 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz H. Schildt Seite 4

5 Vorgehensweisen Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest H. Schildt Seite 5

6 Kernabsicherung Vorgehensweisen Überblick Schutzbedarf normal Standardabsicherung Basisabsicherung H. Schildt Seite 6

7 Vorgehensweisen Hilfsmittel zur Auswahl Veröffentlichung als separate Handreichung Unterstützung durch geeignete Fragen bei Entscheidung Orientierungshilfe, keine verbindliche Empfehlung Gegenüberstellung der Vor- und Nachteile Hinweise für umfangreicheren Auswahlprozess H. Schildt Seite 7

8 Vorgehensweisen Basisabsicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von Basisabsicherung KMUs zugeschnitten Auch für kleine Institutionen geeignet H. Schildt Seite 8

9 Vorgehensweisen Bonsai-ISMS der Basisabsicherung Erstellung einer Leitlinie zur Informationssicherheit Organisation des Sicherheitsprozesses Rollen und Aufgaben festlegen Informationssicherheit in Abläufe und Prozesse integrieren Umsetzung überwachen Bereitstellung von Ressourcen Angemessen und wirtschaftlich, aber Informationssicherheit kostet Geld! Einbindung aller Mitarbeiter in den Sicherheitsprozess Auswahl und Anpassung von Bausteinen Umsetzungsreihenfolge der Bausteine H. Schildt Seite 9

10 Vorgehensweisen Umsetzungsreihenfolge der Bausteine R1 R2 R3 Diese Bausteine sollten für die Basisabsicherung vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden. Im Rahmen der Basisabsicherung sollte geprüft werden, ob diese Bausteine für den Informationsverbund relevant sind. Ist dies der Fall, sollten sie als nächstes umgesetzt werden. Diese Bausteine sind für die Basisabsicherung typischerweise nicht erforderlich. Falls doch, wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten. H. Schildt Seite 10

11 Reihenfolge 1 Reihenfolge 2 Reihenfolge 3 Vorgehensweisen Umsetzungsreihenfolge der Bausteine in progress ISMS Organisation Personal Sensibilisierung & Schulung Identitäts- & Berechtigungsmanagement (Ordnungsmäßige IT-Administration) Patch-Management Malware-Schutz Backup (Protokollierung) (Löschen & Vernichten) Alle nichtgenannten Prozess-Bausteine Alle nichtgenannten System-Bausteine Hochverfügbarkeitskonzeption Softwareentwicklung Informationssicherheit auf Auslandsreisen Änderungsmanagement Archivierung Datenträgeraustausch Telearbeit BYOD Beschaffung, Ausschreibung & Einkauf Verkauf/Aussonderung von IT Festlegung der Reihenfolge, nicht der Wertigkeit! H. Schildt Seite 11

12 Kernabsicherung Vorgehensweisen Kernabsicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe H. Schildt Seite 12

13 Vorgehensweisen Standardabsicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standardabsicherung H. Schildt Seite 13

14 Vorgehensweisen Standardabsicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Basis-Sicherheitscheck (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen H. Schildt Seite 14

15 Vorgehensweisen Bestimmung des Reifegrads Vereinfacht die Aufrechterhaltung und kontinuierliche Verbesserung Für Standard-Absicherung vorgesehen Ermöglicht einheitliche und differenzierte Bewertung eines ISMS Überprüfung der vollständigen Bearbeitung und Umsetzung in progress Erkennung von Verbesserungs- und Weiterentwicklungspotentialen Ermöglicht direkten Vergleich verschiedener Institutionen Detaillierter Nachweis gegenüber Dritten Bewertung und Steuerung durch Leitungsebene H. Schildt Seite 15

16 Vorgehensweisen Bewertung des Reifegrads in progress Es existiert kein ISMS und es ist auch keines geplant ISMS ist geplant aber nicht etabliert. ISMS ist zum Teil etabliert. ISMS ist voll etabliert und dokumentiert. Es findet keine Überprüfung auf Effektivität statt. Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft. Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft und verbessert. H. Schildt Seite 16

17 Kernabsicherung Kernabsicherung Vorgehensweisen Wege zur Standardabsicherung Einstieg Basisabsicherung Basisabsicherung Standardabsicherung H. Schildt Seite 17

18 Vorgehensweisen Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-x Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf H. Schildt Seite 18

19 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert H. Schildt Seite 19

20 Zeitliche Planung 15. Ergänzungslieferung würde parallel veröffentlicht GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Community Draft: Veröffentlichung neuer BSI- Standards und mehrerer Bausteine 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge H. Schildt Seite 20

21 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee Bonn H. Schildt Seite 21