IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Größe: px

Ab Seite anzeigen:

Download "IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen"

Gabriel Böhm
vor 8 Jahren
Abrufe

1 IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag

2 Inhalte Überblick BSI Informationssicherheit - Beispiele IT-Grundschutz Was ist das? IT-Grundschutz Der Aufbau IT-Grundschutz Wichtige Publikationen 2

3 Das BSI ist die unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 Geschäftsbereich des BMI 574 Mitarbeiter (2013) Haushaltsbudget: ~ 80 Mio. (2012) Standort Bonn BSI-Gebäude in Bonn 3

4 Produkte und Dienstleistungen Regierung und Verwaltung IT-Sicherheitsberatung Entwicklung von Kryptosystemen CERT Bund Betrieb des Regierungsnetzes Unterstützung E-Government Cyber-Abwehrzentrum Unterstützung von Großprojekten, z.b. npa, Galileo Bürger Sensibilisierungskampagnen BSI-Internetangebote Informationsmaterialien Service-Center für Privatanwender Wissenschaft Mitwirkung beim IT-Sicherheitsforschungsprogramm des BMBF Finanzielle Förderung von Kompetenzzentren für die IT-Sicherheitsforschung: BSI ist einer der Assessoren Kooperation mit Universitäten Wirtschaft Zertifizierung von Produkten BSI IT-Grundschutz Kooperation mit ISPs Kooperation mit UP KRITIS Allianz für Cyber-Sicherheit 4

5 Produkte und Dienstleistungen Regierung und Verwaltung IT-Sicherheitsberatung Entwicklung von Kryptosystemen CERT Bund Betrieb des Regierungsnetzes Unterstützung E-Government Cyber-Abwehrzentrum Unterstützung von Großprojekten, z.b. npa, Galileo Bürger Sensibilisierungskampagnen BSI-Internetangebote Informationsmaterialien Service-Center für Privatanwender Wissenschaft Mitwirkung beim IT-Sicherheitsforschungsprogramm des BMBF Finanzielle Förderung von Kompetenzzentren für die IT-Sicherheitsforschung: BSI ist einer der Assessoren Kooperation mit Universitäten Wirtschaft Zertifizierung von Produkten BSI IT-Grundschutz Kooperation mit ISPs Kooperation mit UP KRITIS Allianz für Cyber-Sicherheit 5

6 Informationssicherheit - Beispiele 6

7 Große Probleme 7

8 Kleine Probleme Mobile externe Speichermedien wie USB-Sticks, PDAs und Musikplayer Digitale Fotorahmen Toys and Gadgets 8

9 Technik-Spielzeug Bring your own devices 9

10 Unterhaltungselektronik im Büro Klare Spielregeln nötig! Vernünftige Balance zwischen Restriktion und Freiheit nötig! 10

11 Situation in der Praxis Einsatz von technischen Sicherheitslösungen Firewalls Virenschutzprogramme Intrusion-Detection-Systeme Spam-Filter... Aber... Sind diese in Einklang mit den Geschäftsprozesse gebracht? Werden auch nicht-technische Aspekte berücksichtigt? Wurden die Investitionen an richtiger Stelle getätigt und sind sie angemessen? 11

12 Sicherheit ist... Sicherheit ist kein Produkt Sicherheit kann man nicht kaufen, Sicherheit muss man schaffen! Natürlich muss man zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgreifen. Sicherheit ist kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheit muss aufrechterhalten werden! Natürlich kann man Aufbau und Aufrechterhaltung von Sicherheit auch teilweise in Projekten abwickeln. Sicherheit ist ein Prozess Sicherheit ist Chefsache 12

13 IT-Grundschutz Was ist das? 13

14 IT-Grundschutz Die Idee... Typische Komponenten Typische Gefährdungen, Schwachstellen und Risiken Konkrete Umsetzungshinweise für das Sicherheitsmanagement Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen Vorbildliche Lösungen aus der Praxis - Best Practice - Ansätze 14

15 Ziel des IT-Grundschutzes IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. besteht aus Standard-Sicherheitsmaßnahmen. bietet ein definiertes Sicherheitsniveau. stellt die Basis für einen höheren Schutzbedarf. 15

16 ISO Standards für ISMS ISO 27001:2005 Information technology - Security techniques - Information security management systems - Requirements erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001) dient als Grundlage einer Zertifizierung ISO 27002:2005 Information technology - Security techniques - Code of practice for information security management keine Spezifikation und kein Zertifizierungsstandard dient zum besseren Verständnis der in der ISO definierten Anforderungen (insbesondere aus Anhang A) 16

17 IT-Grundschutz seit 2005 BSI-Standards + Loseblattsammlung 17

18 IT-Grundschutz Der Aufbau 18

19 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz 19

BSI-Standard Risikoanalyse auf Basis von IT-Grundschutz IT-Grundschutzanalyse: Modellierung des Informationsverbundes Basis-Sicherheitscheck

20 BSI-Standard Risikoanalyse auf Basis von IT-Grundschutz IT-Grundschutzanalyse: Modellierung des Informationsverbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Ergänzende Sicherheitsanalyse Management-Report Risikoanalyse auf der Basis von IT- Grundschutz Konsolidierung der Maßnahmen Realisierung der Maßnahmen 20

21 IT-Grundschutz-Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge 21

22 IT-Grundschutz-Kataloge Themengebiete der Bausteine SCHICHT I SCHICHT II SCHICHT III SCHICHT IV SCHICHT V ÜBERGREIFENDE ASPEKTE INFRASTRUKTUR IT-SYSTEME NETZE ANWENDUNGEN 22

Grundschutz-Kataloge Struktur der Bausteine Gefährdungskatalog (Elementare Gefährdungen) Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen

23 Grundschutz-Kataloge Struktur der Bausteine Gefährdungskatalog (Elementare Gefährdungen) Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Bausteine Maßnahmenkatalog Infrastruktur Organisation Personal Hard-/Software Kommunikation Notfallvorsorge

24 Zertifizierung nach ISO auf der Basis von IT-Grundschutz 24

25 IT-Grundschutz Wichtige Publikationen 25

26 Weitere GS-Publikationen Struktur des IT-Grundschutzes Leitfaden Informationssicherheit Goldene Regeln Hilfsmittel Kapitel ("Bausteine") Profile Gefährdungskataloge Maßnahmenkataloge 26

27 Weitere GS-Publikationen Goldene Regeln Goldene Regeln für Überblick Zielgruppe Management, Einsteiger Erreichte Ziele Überblick über die wichtigsten Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite "goldene Regeln", nicht mehr als 10 goldene Regeln 27

28 Weitere GS-Publikationen Überblickspapiere 28

Weitere GS-Publikationen Leitfaden Informationssicherheit Idee: Die wichtigsten Fakten zur Informationssicherheit komprimiert auf wenigen Seiten Zielgruppe: Einsteiger, Management, eilige Leser,

29 Weitere GS-Publikationen Leitfaden Informationssicherheit Idee: Die wichtigsten Fakten zur Informationssicherheit komprimiert auf wenigen Seiten Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Motivation zur vertieften Beschäftigung mit Informationssicherheit Kompakter Überblick über IT-Grundschutz und über die wichtigsten Sicherheitsmaßnahmen 29

30 Weitere GS-Publikationen Grundschutz-Profil Das Profil für den Mittelstand passt Maßnahmen an die Anforderungen der Informationstechnik für den Mittelstand an, zeigt, dass die IT-Grundschutz-Methodik auch im Mittelstand sinnvoll angewendet werden kann, bietet mehr Sicherheit in der mittelständigen Wirtschaft. 30

Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: 0228-9582-5369 E-Mail: grundschutz@bsi.bund.

31 Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: GSTOOL-Hotline Telefon: XING-Forum IT-Grundschutz 31

32 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)

Ähnliche Dokumente

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014