Neues vom IT-Grundschutz: Ausblick und Modernisierung

Transkript

1 Neues vom IT-Grundschutz: Ausblick und Modernisierung Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz it-sa

2 Agenda Weiterentwicklung der IT-Grundschutz-Kataloge GSTOOL Modernisierung des IT-Grundschutz Holger Schildt 2

3 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Holger Schildt 3

4 IT-Grundschutz-Kataloge 14. Ergänzungslieferung Neue Bausteine: Cloud-Management Cloud-Storage Web-Services Cloud-Nutzung Allgemeine Anwendung Überarbeitete Bausteine: B 1.13 Sensibilisierung und Schulung zur Informationssicherheit B Mobiltelefon B Smartphones, Tablets und PDAs Ziel: Veröffentlichung 2014 Holger Schildt 4

5 GSTOOL Wie geht es weiter? Zukünftig keine Tool-Entwicklung durch das BSI Weiterhin Vertrieb des GSTOOL 4.x Support für mindestens zwei weitere Jahre Marktverfügbare IT-Grundschutz-Tools Müssen Modernisierung des IT-Grundschutz unterstützen Diskussion mit Herstellern Import von Sicherheitskonzepten Zukünftige Strukturelemente Ziel: Vielfältiges Tool- und Hilfsmittel-Angebot Holger Schildt 5

6 Neuausrichtung 20 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 20 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre Holger Schildt 6

7 Neuausrichtung 20 Jahre IT-Grundschutz und nun? IT-Grundschutz "Neu" Konzeption: 2014 Realisierung und Migration: 2015 IT-Grundschutz "Classic" Ergänzungslieferungen bis 2015 GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Support bis mindestens Ende 2016 Holger Schildt 7

8 Modernisierung Beteiligung der Stakeholder Durchführung mehrerer Workshops Bisher ungefähr 70 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge Teilnehmer bewerteten BSI-Thesen Bewertungsskala 1 bis 5 (1: Zustimmung ; 5: Ablehnung) Hinweis: Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde! Holger Schildt 8

9 Modernisierung Mögliche Neuerungen Skalierung der Maßnahmen Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine Vorgaben) wird gewünscht wird abgelehnt Holger Schildt 0 9

10 Modernisierung Mögliche Neuerungen Angebot verschiedener Vorgehensweisen Bottom-Up: 80:20 Umsetzung der Erst- und Basismaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzept (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse,...) Kronjuwelen: Umsetzung der Erstmaßnahmen, Identifikation und Schutz der schützenswertesten Assets wird gewünscht wird abgelehnt 5 Holger Schildt 0 10

11 Modernisierung Mögliche Neuerungen Verschlankung der Bausteine Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc. Studien Alte Bausteine Hersteller-Dok. Tools wird gewünscht wird abgelehnt Holger Schildt 0 11

12 Modernisierung Mögliche Neuerungen Integration aller BSI-Empfehlungen in einem Werk IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen IT-Grundschutz ICS-Empfehlungen Studien Studien (BSI / extern) Publikationen zur Cyber-Sicherheit ICS-Sicherheit 100-4, UMRA? HV-Kompendium? ISi-Reihe HV-Kompendium ggf. andere BSI-Publikationen wird gewünscht wird abgelehnt 10 5 Holger Schildt 0 12

13 Modernisierung Mögliche Neuerungen Entwicklung von GS-Profilen GS-Profil = Auswahl anzuwendender Bausteine für typische Institution, berücksichtigt Möglichkeiten der Institution (vgl. CC-Protection Profile) Anwendbar als "Schablone" Pauschaler Verzicht bestehender oder Auswahl zusätzlicher Empfehlung Erstellung durch Stakeholder Eventuell Zertifizierung nach GS-Profilen wird gewünscht wird abgelehnt 10 5 Holger Schildt 0 13

14 Modernisierung Mögliche Neuerungen Fixierte Schutzbedarfsklassen BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig Fazit: Ablehnung durch Anwender damit auch vom BSI! Wird gewünscht wird abgelehnt 2 Holger Schildt 0 14

15 Modernisierung Wie geht es weiter? Suche nach einem prägnantem Namen (Bisher Arbeitstitel: IT-Grundschutz Neu) Auswertung der Workshops und der aktuellen Umfrage Weitere Gespräche mit Nutzern Erstellung der ersten Konzepte bis Ende 2014 Diese werden zur Diskussion gestellt! Realisierung und Migration: 2015 Holger Schildt 15

16 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) Holger Schildt 16