Neues vom IT-Grundschutzhandbuch

Transkript

1 Neues vom IT-Grundschutzhandbuch Angelika Jaschob Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik

2 Überblick Das IT-Grundschutzhandbuch Der Web-Kurs - als Einstieg in den IT-Grundschutz GS-Profile - als Beispiel der Anwendung (ab Ende 04) Der Leitfaden IT-Sicherheit - als Sicherheitsüberblick Das Grundschutz-Tool - als Verfahrensunterstützung Die Vorteile einer IT-Grundschutz-Zertifizierung IT-Grundschutztag 2004 Folie 2

3 Was ist IT-Grundschutz? Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten Standard für IT-Sicherheit Maßnahmensammlung Nachschlagewerk IT-GS-Handbuch Okt Bausteine 720 Maßnahmen 2550 Seiten IT-Grundschutztag 2004 Folie 3

4 Neu in Version Oktober Outsourcing 7.8 Internet Information Server 7.9 Apache Webserver 7.10 Exchange/Outlook Archivierung Überarbeitet: Webserver und Plus Diverses, z.b. USB-Sticks IT-Grundschutztag 2004 Folie 4

5 Bezugsquellen des IT-Grundschutzhandbuches Print-Version, Loseblattsammlung ca Seiten, 148 Bundesanzeigerverlag BSI-CD-ROM (auch in Englisch) kostenlos Internet 10 internationale Mirrors IT-Grundschutztag 2004 Folie 5

6 Dienstleistungen rund um den IT- Grundschutz - Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit Webkurs zum Selbststudium + GS-TOOL Risikoanalyse auf Basis des GSHB GS- Zertifikat Kompendium Hochsicherheit CERT Viren Internet Zertifizierung E-Government Kryptographie Mobilfunk kritische Infrastrukturen Biometrie... IT-Grundschutztag 2004 Folie 6

7 Der Web-Kurs Überblick Der Web-Kurs ist ein Hilfsmittel zum Einstieg in die Arbeit mit dem IT-GS-Handbuch. öffentliche Präsentation im September 2003 zum Download von der Webseite: Statistik: September Downloads seit Oktober 2003 auf der BSI-CD erhältlich IT-Grundschutztag 2004 Folie 7

8 Der Web-Kurs Inhalte IT-Grundschutztag 2004 Folie 8

9 Der Web-Kurs Prinzipien Zusammenfassungen Zusammenhänge Überblick Empfehlungen Beispiele Übungen Testfragen IT-Grundschutztag 2004 Folie 9

10 Der Web-Kurs Übungen Beispiel Sicherheitslücken Motivation Lernerfolge Anregungen Wissenstransfer IT-Grundschutztag 2004 Folie 10

11 GS-Profile Überblick Profil 1: Kleiner IT-Verbund Ab Ende 2004 Die GS-Profile dienen als Beispiel für ein Vorgehen nach IT-GS-Handbuch. Repräsentation einer Anwaltskanzlei, kleinen Behörde usw. Wenige IT-Systeme, umgangssprachliche Formulierung Profil 2: Mittlerer IT-Verbund Repräsentation eines Unternehmens mit mehreren Servern Anwendung und Hinweis auf das GSTOOL Profil 3: Großer IT-Verbund (Rechenzentrum) Repräsentation eines Rechenzentrums Geleitete Anwendung des GSTOOLs IT-Grundschutztag 2004 Folie 11

12 GS-Profile Grobkonzept für alle Profile Einheitliche Struktur Kapitel 1: Einleitung Kapitel 2: Rahmenbedingungen des Profils Kapitel 3: Definition und Abgrenzung des Profils Kapitel 4: Sicherheitsleitlinie (und Konzept) Kapitel 5: Strukturanalyse Kapitel 6: Schutzbedarfsfeststellung Kapitel 7: Modellierung Kapitel 8: Basis-Sicherheitscheck Kapitel 9: Realisierungsplan IT-Grundschutztag 2004 Folie 12

13 GS-Profile Der kleine IT-Verbund IT-Grundschutztag 2004 Folie 13

14 Der kleine IT-Verbund PC-Pass PC-Scheck als aktive Komponente PC-Bezeichnung: Sekretariats-PC Betriebssystem: Windows 2000 Virenscanner: Aufstellort: McAfee Empfangsbereich Ansprechpartner/Administrator: Herr Fleißig Hotline-Nummern: Windows McAfee Herr Fleißig Notieren Sie für jeden Computer die installierte Software und die Hotline- Rufnummer des Herstellers auf dem PC-Pass. Legen Sie Ansprechpartner (z.b. einen externen Dienstleister) fest, die für die Aktualisierung von Software auf den Computern und bei Problemen zuständig sind und vermerken Sie diesen im PC-Pass. Notieren Sie für jeden Computer die installierte Software und die Hotline- Rufnummer des Herstellers auf dem PC-Pass. IT-Grundschutztag 2004 Folie 14

15 Fragen??????? IT-Grundschutztag 2004 Folie 15

16 Leitfaden IT-Sicherheit Zielsetzung Zielgruppe: Einsteiger, eilige Leser, Management, kleine und mittlere Unternehmen und Behörden Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf höchstens 50 Seiten Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutzhandbuch light" Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT-Sicherheit IT-Grundschutztag 2004 Folie 16

17 Leitfaden IT-Sicherheit Gliederung 1 Einleitung 2 IT-Sicherheit im Fokus 3 Wichtige Begriffe rund um die IT-Sicherheit 4 Vorschriften und Gesetzesanforderungen 5 So nicht: Schadensfälle als warnendes Beispiel 6 Die häufigsten Versäumnisse 7 Wichtige Sicherheitsmaßnahmen im Überblick 8 Das IT-Grundschutzhandbuch des BSI 9 Standards und Zertifizierung der eigenen IT-Sicherheit 10 Checklisten, Beispiel 11 Weiterführende Informationen IT-Grundschutztag 2004 Folie 17

18 Leitfaden IT-Sicherheit...kein alltäglicher Ratgeber Orientierung an der Praxis: wenig Geld, Ressourcen, Know-how, niedrige Priorisierung von IT-Sicherheit Mut zur Lücke: Konzentration auf wesentliche Punkte logische Gliederung: eindeutiger Bezug der Maßnahmen zu den Versäumnissen Besonders umständliche Sicherheitsanforderungen sollten vermieden werden. Im Falle mangelnder Ressourcen sollten alternative Lösungsansätze in Erwägung gezogen werden. IT-Grundschutztag 2004 Folie 18

19 GSTOOL Überblick Das GSTOOL leistet eine Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. aktuelle Version 3.0 zum Download (30 Tage Testversion): Statistik: 3100 Lizenzen vergeben (Februar 04) Newsletter zum GSTOOL: Mail an: mit dem Betreff: subscribe ab Mitte 2004 auch auf Englisch erhältlich IT-Grundschutztag 2004 Folie 19

20 GSTOOL Leistungsmerkmale - technisch Netzwerkfähigkeit (SQL-Datenbank: MSDE2000 oder SQL- Server 2000) Verwaltung mehrerer Sicherheitskonzepte in einem Tool Zweisprachigkeit: deutsch/englisch Historienführung Einfaches Update der Datenbasis per Mail oder Internet Export von Teilarbeitsbereichen zur Bearbeitung in anderem GSTOOL Importfunktion für (GSTOOL 2.0) erfassten Datenbestände Verschlüsselung von benutzerspezifischen Daten für Exporte IT-Grundschutztag 2004 Folie 20

21 IT-Grundschutztag 2004 Folie 21 Folie 21

22 IT-Grundschutztag 2004 Folie 22 Folie 22

23 GSTOOL Leistungsmerkmale - fachlich Erfassung von IT-Systemen, Anwendungen, Netzen u.s.w. Erfassung zusätzlicher Informationen Schutzbedarfsfeststellung Modellierung Schichtenmodell nach IT-Grundschutz Maßnahmenumsetzung Basissicherheitscheck IT-Grundschutz-Zertifikat Kostenauswertung Revisionsunterstützung Berichtserstellung IT-Grundschutztag 2004 Folie 23

24 Anzahl Lizenzen Gesamtpreis (inkl. MwSt.) 1 887, , ,80 4 oder ,40 6 bis ,00 11 bis ,00 21 bis ,00 Firmenlizenz Hochschulen: Nachlass i.h.v. 75%. auf Anfrage Der Bezug ist für die unmittelbare öffentliche Verwaltung (nur BRD!) kostenfrei. Das GSTOOL Preise vertrieb@bsi.bund.de IT-Grundschutztag 2004 Folie 24

25 GSTOOL Weiterentwicklung Version 3.0 Programmierung Service Pack 2 für GSTOOL 3.0 Metadatenupdate auf GSHB 2004 Englische Übersetzung Version 3.1 zur Zeit Fehlerbehebung noch ca. 10 Fehler bis Freigabe Freigabe Mai / Juni 2004 (?) Updatepreis < 100 IT-Grundschutztag 2004 Folie 25

26 NEU in 3.1: GSHB-Standards wiederherstellen IT-Grundschutztag 2004 Folie 26

27 NEU in 3.1: Status entbehrlich für Bausteine IT-Grundschutztag 2004 Folie 27

28 NEU in 3.1: Drag & Drop in der Modellierung IT-Grundschutztag 2004 Folie 28

29 NEU in 3.1: benutzerdefinierte und konkretisierte Gefährdungen IT-Grundschutztag 2004 Folie 29

30 NEU in 3.1: Zuweisung von Rechten an mehrere Zielobjekte IT-Grundschutztag 2004 Folie 30

31 NEU in 3.1: Zielobjekt-Export von einzelnen Zielobjekten IT-Grundschutztag 2004 Folie 31

32 NEU in 3.1: Standardverknüpfung zu beliebigem Verbund IT-Grundschutztag 2004 Folie 32

33 IT-Grundschutz-Zertifizierung Überblick Das IT-Grundschutz-Zertifikat bescheinigt die Umsetzung der Vorgehensweise gemäß IT-Grundschutzhandbuch seit 2002 Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: seit Januar 2004 auch auf Englisch erhältlich auf der BSI-CD enthalten IT-Grundschutztag 2004 Folie 33

34 IT-Grundschutz-Zertifizierung Ausprägungen Selbsterklärung Einstiegsstufe Selbsterkläung Aufbaustufe Zertifikat Anzahl der Maßnahmen Anforderungen an den Prüfer Prüfung des Auditreports keine keine lizenzierter Auditor keine keine BSI Kosten (BSI) IT-Grundschutztag 2004 Folie 34

35 IT-Grundschutz-Zertifizierung Vergleich der Siegelstufen IT-Grundschutztag 2004 Folie 35

36 IT-Grundschutz-Zertifizierung Status Quo Selbsterklärungen 10 Selbsterklärungen Einstiegsstufe 1 Selbsterklärung Aufbaustufe Zertifikate 5 Zertifikate vergeben mehrere Anträge mehrere Ankündigungen Auditoren 125 Auditoren IT-Grundschutztag 2004 Folie 36

37 IT-Grundschutz-Zertifizierung Erfahrungen IT-GS-Zertifizierung ist sowohl für kleine Unternehmen als auch für große Rechenzentren geeignet! Umsetzung GSHB: 6-12 Monate Aufwand des Auditors: ca. 10 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung IT-Grundschutztag 2004 Folie 37

38 IT-Grundschutz-Zertifizierung Vorteile Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte IT-Grundschutztag 2004 Folie 38

40 Ausblick und Diskussion Isabel Münch Referatsleiterin Systemsicherheit und Grundschutz Bundesamt für Sicherheit in der Informationstechnik

41 Wie geht es rund ums IT- Grundschutzhandbuch weiter? Umstrukturierung des IT-Grundschutzhandbuches Neue Hilfsmittel neue Version des GSTOOLs Erstellung von generischen Profilen als Beispiele der IT- Grundschutz-Vorgehensweise IT-Grundschutztag 2004 Folie 41

42 Nächste Version 2004 Überarbeitung Kapitel 1 und 2 Hervorhebung IT-Sicherheitsmanagement Umsortierung der Bausteine nach Schichtenmodell Überarbeitung aller Bausteine: Lebenszyklus-Modell Entfernung von Redundanzen Ersetzung Prioritäten durch Siegelstufen Neue Bausteine IT-Grundschutztag 2004 Folie 42

43 Überarbeitung aller Bausteine: Lebenszyklus-Modell IT-Grundschutztag 2004 Folie 43

44 Ausblick 6. Ergänzungslieferung Kapitel 1, 2, 3 Überarbeitung Firewall Router und Switches PDA Drahtlose Kommunikation S/390- und zseries-mainframe Schulung Termin: Ende Ergänzungslieferung Windows XP TK-Anlage Zutritt Energieversorgung Kommunikationsverbindungen Remote Access/ VPN Voice over IP Netz-Drucker DSL IT-Grundschutztag 2004 Folie 44

45 Baustein Mainframe Motivation Großrechner erleben derzeit eine Renaissance Zentralisierung Kostendruck Sicherheit Linux Viele Systeme arbeiten mit Unix-Betriebssystemen, aber Hardware: IBM S/390 bzw. IBM zseries Betriebssystem: IBM OS/390 bzw. z/os Im GSHB gibt es derzeit keinen geeigneten Baustein. Schwierigkeiten bei der GS-Zertifizierung IT-Grundschutztag 2004 Folie 45

46 Baustein Mainframe Projektierung Entscheidung: Neuer Baustein für das GSHB Plattformspezifisch: nur IBM S/390 und zseries Herausforderungen: Thematischer Umfang Technische Komplexität und Know-how Terminologie Architektur Geplanter Abschluss: Sommer 2004 IT-Grundschutztag 2004 Folie 46

47 Baustein Router und Switches Maßnahmen Planung und Konzeption des Einsatzes Funktionsweise eines Routers Funktionsweise eines Switches Typische Einsatzszenarien von Routern Typische Einsatzszenarien von Switches Festlegung einer Sicherheitsstrategie Erstellung einer Sicherheitsleitlinie für Router und Switches Kriterien für die Beschaffung und geeignete Auswahl von Routern und Switches Administratorenschulung für Router und Switches IT-Grundschutztag 2004 Folie 47

48 Baustein Router und Switches Maßnahmen Installation und Einrichtung von Routern und Switches Dokumentation der Systemkonfiguration Physikalische Absicherung Sichere Einrichtung und Konfiguration Überprüfung der Default-Einstellungen Einrichtung von Access Control Lists (ACL) Sicherheitsaspekte von Routing-Protokollen Konfigurations-Checkliste IT-Grundschutztag 2004 Folie 48

49 Baustein Router und Switches Maßnahmen Sicherer Betrieb von Routern und Switches Sichere Administration Regelmäßige Kontrolle Software Pflege Überprüfung der Default-Einstellungen Einrichtung von Access Control Lists (ACL) Sicherheitsaspekte von Routing-Protokollen Konfigurations-Checkliste Sichere Entsorgung Sichere Entsorgung von Routern und Switches IT-Grundschutztag 2004 Folie 49

50 Baustein Router und Switches Projektierung 21 zusätzliche Maßnahmen 7 zusätzliche Gefährdungen Maßnahmen orientieren sich am Lebenszyklus Maßnahmen beziehen sich auf marktführende Produkte Vorabveröffentlichung voraussichtlich in Q3/2004 im Internet IT-Grundschutztag 2004 Folie 50

51 BSI-Sicherheitsstandards Sicherheitsmanagement Sicherheitsprozess Sicherheitsmanagement-System Sicherheit nach IT-Grundschutz Sicherheitskonzept - Schutzbedarf - Basissicherheitscheck - Risikomanagement - Risikobewertung Sicherheitsnachweise GS-Zertifizierung statisch Anhang: Bausteine + Kataloge dynamisch IT-Grundschutztag 2004 Folie 51

52 Ihre Mithilfe ist gefragt! Änderungsvorschläge zum IT-Grundschutzhandbuch sind uns immer willkommen!!! Welche Bausteine werden Ihrer Meinung nach benötigt?! Welche Maßnahmen fehlen? Welche Maßnahmen sind zu verbessern oder übertrieben?!! IT-Grundschutztag 2004 Folie 52

53 IT-Grundschutz-Informationen IT-Grundschutz-Hotline Telefon: IT-Grundschutz-Zertifikat IT-Grundschutz-Tool Telefon: IT-Grundschutztag 2004 Folie 53

55 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) BSI Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutztag 2004 Folie 55