IT-Grundschutzhandbuch

Größe: px

Ab Seite anzeigen:

Download "IT-Grundschutzhandbuch"

Ingelore Gehrig
vor 8 Jahren
Abrufe

1 IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004

2 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server, Clients, Serverraum, ...) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten, keine klassische Risikoanalyse Empfehlung von Standard-Sicherheitsmaßnahmen konkrete Maßnahmenbeschreibung kostenlose Verteilung M. Mehrhoff Folie 2

..) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten, keine klassische

3 Ideen des IT-Grundschutzes Organisation Infrastruktur Personal Technik Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein Information Security Management System ) Sammlung von Standard- Sicherheitsmaßnahmen für typische IT-Systeme ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-Sicherheit M. Mehrhoff Folie 3

System ) Sammlung von Standard- Sicherheitsmaßnahmen für typische IT-Systeme

4 Die IT-Grundschutz-Methodik IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf ca. 20% Konsolidierung der Maßnahmen Realisierung der Maßnahmen M. Mehrhoff Folie 4

Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes

5 Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs M. Mehrhoff Folie 5

6 Basis-Sicherheitscheck IT-Grundschutz-Modell Internet Exchange- Server (Windows NT) Primärer Domänen- Controller (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich Realisierte Maßnahmen IT-Sicherheitskonzept: umzusetzende Maßnahmen M. Mehrhoff Folie 6

Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client-

7 IT-Grundschutzhandbuch Bausteine (Auswahl) Übergreifende Aspekte Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Virenschutzkonzept Hard- und Software- Management Outsourcing Infrastruktur Gebäude Verkabelung Büroraum Serverraum häuslicher Arbeitsplatz Rechenzentr. IT-Systeme Unix-Server Novell Netw. Windows 2k TK-Anlage Telearbeit Netze Netz-,Systemmanagement Firewall Remote Access Router u. Switches Anwendungen WWW-Server Datenbanken IIS/ Apache Exchange/ Outlook Archivierung IT-Verbund M. Mehrhoff Folie 7

häuslicher Arbeitsplatz Rechenzentr. IT-Systeme Unix-Server Novell Netw.

8 IT-Grundschutz bedeutet... Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten M. Mehrhoff Folie 8

Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation

9 Dienstleistungen rund um den IT- Grundschutz Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit geplant: - Webkurs Bsp. 1 GSTOOL GS- Zertifikat Bsp. 2 Bsp.3 + Risikoanalyse auf Basis des GSHB Kompendium Hochsicherheit CERT Viren Internet Zertifizierung E-Government Kryptographie Mobilfunk kritische Infrastrukturen Biometrie... M. Mehrhoff Folie 9

3 + Risikoanalyse auf Basis des GSHB Kompendium Hochsicherheit CERT Viren Internet

10 Leitfaden IT-Sicherheit Zielsetzung Zielgruppe: Einsteiger, eilige Leser, Management, kleine und mittlere Unternehmen und Behörden Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf höchstens 50 Seiten Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutzhandbuch light" Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT-Sicherheit M. Mehrhoff Folie 10

an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutzhandbuch

11 Leitfaden IT-Sicherheit Gliederung 1 Einleitung 2 IT-Sicherheit im Fokus 3 Wichtige Begriffe rund um die IT-Sicherheit 4 Vorschriften und Gesetzesanforderungen 5 So nicht: Schadensfälle als warnendes Beispiel 6 Die häufigsten Versäumnisse 7 Wichtige Sicherheitsmaßnahmen im Überblick 8 Das IT-Grundschutzhandbuch des BSI 9 Standards und Zertifizierung der eigenen IT-Sicherheit 10 Checklisten, Beispiel 11 Weiterführende Informationen M. Mehrhoff Folie 11

häufigsten Versäumnisse 7 Wichtige Sicherheitsmaßnahmen im Überblick 8 Das IT-Grundschutzhandbuch des BSI 9

12 Der Web-Kurs Inhalte M. Mehrhoff Folie 12

13 Der Web-Kurs Übungen M. Mehrhoff Folie 13

14 Der Web-Kurs Sensibilisierung M. Mehrhoff Folie 14

15 GSTOOL Überblick Das GSTOOL leistet eine Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. aktuelle Version 3.0 zum Download (30 Tage Testversion): Statistik: 3300 Lizenzen vergeben (April 04) Newsletter zum GSTOOL: Mail an: mit dem Betreff: subscribe ab Mitte 2004 auch auf Englisch erhältlich M. Mehrhoff Folie 15

16 M. Mehrhoff Folie 16Folie 16

17 GSTOOL Leistungsmerkmale - fachlich Erfassung von IT-Systemen, Anwendungen, Netzen u.s.w. Erfassung zusätzlicher Informationen Schutzbedarfsfeststellung Modellierung Schichtenmodell nach IT-Grundschutz Maßnahmenumsetzung Basis-Sicherheitscheck IT-Grundschutz-Zertifikat Kostenauswertung Revisionsunterstützung Berichtserstellung M. Mehrhoff Folie 17

Erfassung zusätzlicher Informationen Schutzbedarfsfeststellung Modellierung

18 IT-Grundschutz-Zertifizierung Überblick Das IT-Grundschutz-Zertifikat bescheinigt die Umsetzung der Vorgehensweise gemäß IT-Grundschutzhandbuch seit 2002 Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: seit Januar 2004 auch auf Englisch erhältlich auf der BSI-CD enthalten M. Mehrhoff Folie 18

Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: www.bsi.bund.

19 IT-Grundschutz-Zertifizierung Ausprägungen Selbsterklärung Einstiegsstufe Selbsterkläung Aufbaustufe Zertifikat Anzahl der Maßnahmen Anforderungen an den Prüfer Prüfung des Auditreports keine keine lizenzierter Auditor keine keine BSI Kosten (BSI) M. Mehrhoff Folie 19

Maßnahmen Anforderungen an den Prüfer Prüfung des Auditreports keine

20 IT-Grundschutz-Zertifizierung Vergleich der Siegelstufen M. Mehrhoff Folie 20

21 IT-Grundschutz-Zertifizierung Status Quo Selbsterklärungen 10 Selbsterklärungen Einstiegsstufe 1 Selbsterklärung Aufbaustufe Zertifikate 5 Zertifikate vergeben mehrere Anträge mehrere Ankündigungen Auditoren 125 Auditoren M. Mehrhoff Folie 21

22 IT-Grundschutz-Zertifizierung Erfahrungen IT-GS-Zertifizierung ist sowohl für kleine Unternehmen als auch für große Rechenzentren geeignet! Umsetzung GSHB: 6-12 Monate Aufwand des Auditors: ca. 10 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung M. Mehrhoff Folie 22

23 IT-Grundschutz-Zertifizierung Vorteile Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte M. Mehrhoff Folie 23

24 Wie geht es rund ums IT- Grundschutzhandbuch weiter? Umstrukturierung des IT-Grundschutzhandbuches neue Bausteine neue Hilfsmittel neue Version des GSTOOLs Erstellung von generischen Profilen als Beispiele der IT- Grundschutz-Vorgehensweise M. Mehrhoff Folie 24

25 IT-Grundschutz-Informationen IT-Grundschutz-Hotline Telefon: IT-Grundschutz-Zertifikat IT-Grundschutz-Tool Telefon: M. Mehrhoff Folie 25

26 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Michael Mehrhoff Postfach Bonn Tel: +49 (0) Fax: +49 (0) M. Mehrhoff Folie 26

Ähnliche Dokumente

Neues vom IT-Grundschutzhandbuch

Neues vom IT-Grundschutzhandbuch Angelika Jaschob Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik Überblick Das IT-Grundschutzhandbuch Der Web-Kurs - als Einstieg in den IT-Grundschutz