Neues vom IT-Grundschutz: Ausblick und Diskussion

Größe: px

Ab Seite anzeigen:

Download "Neues vom IT-Grundschutz: Ausblick und Diskussion"

Gerhardt Bösch
vor 8 Jahren
Abrufe

1 Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

2 Agenda IT-Grundschutz-Kataloge 13. Ergänzungslieferung zukünftige Ergänzungslieferungen GSTOOL Modernisierung IT-Grundschutz Holger Schildt 2

3 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Holger Schildt 3

Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen

4 Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 13. EL: 152,00 Euro Holger Schildt 4

Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate

5 IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Holger Schildt 5

6 IT-Grundschutz-Kataloge 14. Ergänzungslieferung Neue Bausteine: Cloud-Management Cloud-Storage Web-Services Cloud-Nutzung Allgemeine Anwendung Überarbeitete Bausteine: B 1.13 Sensibilisierung und Schulung zur Informationssicherheit B Mobiltelefon B Smartphones, Tablets und PDAs Ziel: Veröffentlichung 2014 Holger Schildt 6

Cloud-Nutzung Allgemeine Anwendung Überarbeitete Bausteine: B 1.

7 IT-Grundschutz-Kataloge Die Serie geht weiter Überarbeitung der Bausteine Identitäts- und Berechtigungsmanagement B 4.1 B 4.2 B 1.12 Netzarchitektur Netz-Management Archivierung Neue Bausteine Client unter Windows 8 SharePoint? Allgemeine Netze und viele weitere Holger Schildt 7

12 Netzarchitektur Netz-Management Archivierung Neue Bausteine Client

8 Agenda IT-Grundschutz-Kataloge 13. Ergänzungslieferung zukünftige Ergänzungslieferungen GSTOOL Modernisierung IT-Grundschutz Holger Schildt 8

9 GSTOOL Wie geht es weiter? Zukünftig keine Tool-Entwicklung durch das BSI Weiterhin Vertrieb des GSTOOL 4.x Support für mindestens zwei weitere Jahre Marktverfügbare IT-Grundschutz-Tools Müssen Modernisierung des IT-Grundschutz unterstützen Diskussion mit Herstellern Import von Sicherheitskonzepten Zukünftige Strukturelemente Ziel: Vielfältiges Tool- und Hilfsmittel-Angebot Holger Schildt 9

x Support für mindestens zwei weitere Jahre Marktverfügbare IT-Grundschutz-Tools Müssen

10 Agenda IT-Grundschutz-Kataloge 13. Ergänzungslieferung zukünftige Ergänzungslieferungen GSTOOL Modernisierung IT-Grundschutz Holger Schildt 10

11 Neuausrichtung 20 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 20 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre Holger Schildt 11

IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden.

12 Neuausrichtung 20 Jahre IT-Grundschutz und nun? IT-Grundschutz "Neu" Konzeption: 2014 Realisierung und Migration: 2015 IT-Grundschutz "Classic" Ergänzungslieferungen bis 2015 GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Support bis mindestens Ende 2016 Holger Schildt 12

IT-Grundschutz "Classic" Ergänzungslieferungen bis 2015 GSTOOL-Pflege:

13 Modernisierung Findungsphase Analyse und Diskussion in mehreren Workshops: : IT-SiBe-Treffen : BSI-interner Workshop : GS-Auditorentag : CeBIT-Diskussion : Workshop mit Auditoren : Workshop mit Auditoren : Workshop mit Tool-Herstellern : Workshop mit Ressort-IT-SiBes des Bundes : Workshop mit Power-Usern Umfrage nach notwendigen IT-Grundschutz-Publikationen Holger Schildt 13

2014: Workshop mit Auditoren 07.05.2014: Workshop mit Auditoren 13.05.2014: Workshop mit Tool-Herstellern 22.05.2014: Workshop mit Ressort-IT-SiBes des Bundes 27.

14 Modernisierung Durchführung der Workshops Bisher ungefähr 70 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge Teilnehmer bewerteten BSI-Thesen Bewertungsskala 1 bis 5 (1: Zustimmung ; 5: Ablehnung) Hinweis: Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde! Holger Schildt 14

Zustimmung ; 5: Ablehnung) Hinweis: Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden

15 Modernisierung Mögliche Herausforderungen Hoher Aufwand und Vorlauf? Gerade kleine und mittelständische Institutionen suchen oft zunächst nach den wichtigsten Sicherheitsmaßnahmen und nicht nach einem vollständigen Sicherheitsprozess Dennoch ist der Prozess für Nachhaltigkeit (ggf. später) erforderlich Oft sollte es vor allem um den "Schutz der Kronjuwelen" gehen Schutz nach Regel kann im ersten Schritt wirksamer als PDCA-Zyklus sein Trifft zu Trifft nicht zu 5 Holger Schildt 0 15

einem vollständigen Sicherheitsprozess Dennoch ist der Prozess für Nachhaltigkeit (ggf.

16 Modernisierung Mögliche Herausforderungen Arbeitsschritte des IT-Grundschutz erfordern oft erhöhten Arbeits- und Verwaltungsaufwand? Vollständige Strukturanalyse Schutzbedarfsfeststellung Erstellung von Sicherheitskonzepten und Dokumentation Risikoanalyse Erstellung von Sicherheit auf Papier Wegen fehlender Umsetzung von Maßnahmen ist Institution trotz Dokumentation weiterhin gefährdet Trifft zu Trifft nicht zu Holger Schildt 0 16

Vollständige Strukturanalyse Schutzbedarfsfeststellung Erstellung von Sicherheitskonzepten und Dokumentation

17 Modernisierung Mögliche Herausforderungen IT-Grundschutzprozesse im BSI zu aufwendig Aktualität der Bausteine Dynamik der IT-Entwicklung Dynamik der Entwicklung der Gefährdungslage Aktualisierung der Managementkapitel hinsichtlich ISO 27001: Trifft zu Trifft nicht zu 5 Holger Schildt 0 17

Entwicklung der Gefährdungslage Aktualisierung der Managementkapitel hinsichtlich

18 Modernisierung Mögliche Herausforderungen Mehrere parallele Empfehlungswerke des BSI? BSI-Standards 100-1, 100-2, 100-3, IT-Grundschutz-Kataloge Übersichtspapiere ISi-Schriftenreihe HV-Kompendium Empfehlungen der Allianz für Cyber-Sicherheit Studien Trifft zu Trifft nicht zu 10 5 Holger Schildt 0 18

ISi-Schriftenreihe HV-Kompendium Empfehlungen der Allianz für Cyber-Sicherheit

19 Modernisierung Mögliche Herausforderungen Variable Schutzbedarfskategorien Institutionen können Schutzbedarfskategorien variabel definieren Aber: Maßnahmenempfehlung auf fixen Schutzbedarf ausgerichtet Maßnahmenempfehlungen und selbstdefinierter Schutzbedarf stehen möglicherweise nicht im Einklang Vergleichbarkeit zwischen Institutionen nicht immer möglich Fazit: Ablehnung durch Anwender damit auch vom BSI! Trifft zu Trifft nicht zu Holger Schildt 0 19

selbstdefinierter Schutzbedarf stehen möglicherweise nicht im Einklang Vergleichbarkeit zwischen Institutionen nicht

20 Modernisierung Mögliche Neuerungen Skalierung der Maßnahmen Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine Vorgaben) wird gewünscht wird abgelehnt Holger Schildt 0 20

Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine

21 Modernisierung Mögliche Neuerungen Angebot verschiedener Vorgehensweisen Bottom-Up: 80:20 Umsetzung der Erst- und Basismaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzept (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse,...) Kronjuwelen: Umsetzung der Erstmaßnahmen, Identifikation und Schutz der schützenswertesten Assets wird gewünscht wird abgelehnt 5 Holger Schildt 0 21

22 Modernisierung Mögliche Neuerungen Verschlankung der Bausteine Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc. Studien Alte Bausteine Hersteller-Dok. Tools wird gewünscht wird abgelehnt Holger Schildt 0 22

23 Modernisierung Mögliche Neuerungen Integration aller BSI-Empfehlungen in einem Werk IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen IT-Grundschutz ICS-Empfehlungen Studien Studien (BSI / extern) Publikationen zur Cyber-Sicherheit ICS-Sicherheit 100-4, UMRA? HV-Kompendium? ISi-Reihe HV-Kompendium ggf. andere BSI-Publikationen wird gewünscht wird abgelehnt 10 5 Holger Schildt 0 23

24 Modernisierung Mögliche Neuerungen Entwicklung von GS-Profilen GS-Profil = Auswahl anzuwendender Bausteine für typische Institution, berücksichtigt Möglichkeiten der Institution (vgl. CC-Protection Profile) Anwendbar als "Schablone" Pauschaler Verzicht bestehender oder Auswahl zusätzlicher Empfehlung Erstellung durch Stakeholder Eventuell Zertifizierung nach GS-Profilen wird gewünscht wird abgelehnt 10 5 Holger Schildt 0 24

25 Modernisierung Mögliche Neuerungen Fixierte Schutzbedarfsklassen BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig Fazit: Ablehnung durch Anwender damit auch vom BSI! Wird gewünscht wird abgelehnt 2 Holger Schildt 0 25

26 Modernisierung Wie geht es weiter? Suche nach einem prägnantem Namen (Bisher Arbeitstitel: IT-Grundschutz Neu) Auswertung der Workshops und der aktuellen Umfrage Weitere Gespräche mit Nutzern Erstellung der ersten Konzepte bis Ende 2014 Diese werden zur Diskussion gestellt! Realisierung und Migration: 2015 Holger Schildt 26

27 Fragen und Diskussion Holger Schildt 27

28 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Holger Schildt 28

Ähnliche Dokumente

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014