Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Transkript

1 Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?! 1

2 Zielgruppe Cyber-Kriminelle IT-Sicherheitsbeauftragte IT-Verantwortliche 2

3 Modernisierung IT-Grundschutz 3

4 Motivation und Ziele des BSI Skalierbarkeit an Größe und Schutzbedarf Flexibilisierung der Vorgehensweise Berücksichtigung von anwenderspezifischen Anforderungen (Profile) Strukturierung und Verschlankung der IT- Grundschutz-Kataloge Schnellere Bereitstellung von Inhalten Aktuelle Anpassung durch Lageinformationen 4

5 Kernaspekte Grafik: BSI 5

6 Bausteine: Struktur der Kataloge (Ist-Stand) Schicht I Schicht II Schicht III Schicht IV Schicht V Übergreifende Aspekte Infrastruktur IT-Systeme Netze Anwendungen Grafik: BSI 6

7 Bausteine: Struktur der Kataloge (neu) Prozess-Bausteine System-Bausteine ISMS Sicherheitsmanagement ORP Organisation und Personal CON Konzepte und Vorgehensweisen OPS Betrieb DER Detektion & Reaktion APP Anwendungen SYS IT-Systeme NET Netze und Kommunikation INF Infrastruktur IND Industrielle IT 7

8 Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsman agement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsm anagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance 8 CON.6 Informationssicherheit auf Auslandsreisen

9 System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 / Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop-Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnisc he Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs- Schulungsraum INF.6 Schutzschrank INF.12 Werkhalle 9

10 Bausteine Umfang: ca. 10 Seiten! Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf 10

11 Bausteine Umsetzungshinweise Umfang: beliebig Spezifische Gefährdungslage Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. 11

12 Pilot-Bausteine ORP.2 Personal SYS.1.1 Allgemeiner Server SYS ios (for Enterprise) SYS.3.4 Mobile Datenträger IND.1 ICS-Betrieb (Industrielle Steuerungssysteme) 12

13 Vorgehensweisen Grafik: BSI 13

14 Basisabsicherung Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Für kleine und mittlere Institutionen Umsetzung der Basismaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse, aber Keine Risikoakzeptanz bei Basismaßnahmen Ergebnis: Knapp über grober Fahrlässigkeit 14

15 Basisabsicherung Grafik: BSI 15

16 Kernabsicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic : Fokussierung auf einen kleinen, aber sehr wichtigen Bereich Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe 16

17 Standardabsicherung Entspricht jetzigem IT-Grundschutz- Vorgehen Explizite Risikoakzeptanz möglich! Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen 17

18 Wege zur Standardabsicherung Einstieg Grafik: BSI 18

19 IT-Grundschutz-Profile Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT- Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT- Szenarien, z.b. Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als kritische Infrastruktur 19

20 IT-Grundschutz-Profile Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert 20

21 Zeitplan 2014 Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Erstellung Vorgehensweisen und Bausteine 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge 21

22 Kommunale Arbeitsgruppe Modernisierung des IT-Grundschutzes 22

23 Grundlagen Mitwirkung bei der Gestaltung von IT-Grundschutz (Profile, Lagebilder) Initiierung durch die kommunalen Spitzenverbände AG im und aus dem IT-SiBe-Forum.de Derzeit 25 Teilnehmer 23

24 1. Arbeitstreffen Kommunales IT-Grundschutz Profil BSI stellt IT-GS Profil ecommerce vor IT-GS Profile sind IT-Sicherheitskonzepte light AG beschließt als Piloten: IT-GS Profil kommunale Basisabsicherung Start jetzt mit IT-Grundschutz classic Migration in neuen IT-GS 24

25 1. Arbeitstreffen Kommunales Lagebild IT-Sicherheit BSI stellt Lagebild Cybersicherheit dar Branchenlagebild Kommunalverwaltung Schnittstelle: CERTs der Bundesländer AG erstellt Lösungsansatz 25

26 Eine neue Chance für Kommunen?! 26

27 Wege zur Standardabsicherung Einstieg Grafik: BSI 27

28 Wege zur Standardabsicherung Einstieg 28

29 Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?! Ja! 29

30 Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?! Jens Lange IT-Sicherheitsbeauftragter Personal- und Organisationsamt Informationstechnologie Stadt Kassel Obere Königsstraße Kassel jens.lange@kassel.de Telefon Hinweise: Vortrag auf dem AKN-Forum des Deutschen Städtetages, 6. April Eine verständliche und vollständige Vermittlung der Präsentation, ist nur in einem persönlichen Vortrag gegeben. Bildnachweise: Andrey Armyagov - Fotolia.com alphaspirit - Fotolia.com Grafvision - Fotolia.com 30