CeBIT 2016 Modernisierung des IT-Grundschutzes. Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Transkript

1 CeBIT 2016 Modernisierung des IT-Grundschutzes Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

2 Agenda 1. Aktueller Stand der Modernisierung 2. Blick in die neuen Bausteine 3. Status der IT-Grundschutz-Profile 4. Offene Diskussion I. Münch & H. Schildt CeBIT 2016 Seite 2

3 1. Einleitung und Motivation Motivation Vorgehensweisen

4 20 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 20 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Bedarf der Anwender an aktuellen und praxisnahen Verfahren Gewährleistung der Kontinuität: Weiterentwicklung der alten IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separate Ressourcen Übergeordnetes Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre I. Münch & H. Schildt CeBIT 2016 Seite 4

5 Ziele der IT-Grundschutz- Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen I. Münch & H. Schildt CeBIT 2016 Seite 5

6 Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge I. Münch & H. Schildt CeBIT 2016 Seite 6

7 IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management I. Münch & H. Schildt CeBIT 2016 Seite 7

8 Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz I. Münch & H. Schildt CeBIT 2016 Seite 8

9 Vorgehensweisen Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest I. Münch & H. Schildt CeBIT 2016 Seite 9

10 Kernabsicherung Vorgehensweisen Überblick Schutzbedarf normal Standardabsicherung Basisabsicherung I. Münch & H. Schildt CeBIT 2016 Seite 10

11 Vorgehensweisen Hilfsmittel zur Auswahl Veröffentlichung als separate Handreichung Unterstützung durch geeignete Fragen bei Entscheidung Orientierungshilfe, keine verbindliche Empfehlung Gegenüberstellung der Vor- und Nachteile Hinweise für umfangreicheren Auswahlprozess I. Münch & H. Schildt CeBIT 2016 Seite 11

12 Vorgehensweisen Basisabsicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von Basisabsicherung KMUs zugeschnitten Auch für kleine Institutionen geeignet I. Münch & H. Schildt CeBIT 2016 Seite 12

13 Vorgehensweisen Bonsai-ISMS der Basisabsicherung Erstellung einer Leitlinie zur Informationssicherheit Organisation des Sicherheitsprozesses Rollen und Aufgaben festlegen Informationssicherheit in Abläufe und Prozesse integrieren Umsetzung überwachen Bereitstellung von Ressourcen Angemessen und wirtschaftlich, aber Informationssicherheit kostet Geld! Einbindung aller Mitarbeiter in den Sicherheitsprozess Auswahl und Anpassung von Bausteinen Umsetzungsreihenfolge der Bausteine I. Münch & H. Schildt CeBIT 2016 Seite 13

14 Vorgehensweisen Umsetzungsreihenfolge der Bausteine R1 R2 R3 Diese Bausteine sollten für die Basisabsicherung vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden. Im Rahmen der Basisabsicherung sollte geprüft werden, ob diese Bausteine für den Informationsverbund relevant sind. Ist dies der Fall, sollten sie als nächstes umgesetzt werden. Diese Bausteine sind für die Basisabsicherung typischerweise nicht erforderlich. Falls doch, wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten. I. Münch & H. Schildt CeBIT 2016 Seite 14

15 Reihenfolge 1 Reihenfolge 2 Reihenfolge 3 Vorgehensweisen Umsetzungsreihenfolge der Bausteine in progress ISMS Organisation Personal Sensibilisierung & Schulung Identitäts- & Berechtigungsmanagement (Ordnungsmäßige IT-Administration) Patch-Management Malware-Schutz Backup (Protokollierung) (Löschen & Vernichten) Alle nichtgenannten Prozess-Bausteine Alle nichtgenannten System-Bausteine Hochverfügbarkeitskonzeption Softwareentwicklung Informationssicherheit auf Auslandsreisen Änderungsmanagement Archivierung Datenträgeraustausch Telearbeit BYOD Beschaffung, Ausschreibung & Einkauf Verkauf/Aussonderung von IT Festlegung der Reihenfolge, nicht der Wertigkeit! I. Münch & H. Schildt CeBIT 2016 Seite 15

16 Kernabsicherung Vorgehensweisen Kernabsicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe I. Münch & H. Schildt CeBIT 2016 Seite 16

17 Vorgehensweisen Standardabsicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard Weiterhin ISO Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standardabsicherung I. Münch & H. Schildt CeBIT 2016 Seite 17

18 Vorgehensweisen Standardabsicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Basis-Sicherheitscheck (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen I. Münch & H. Schildt CeBIT 2016 Seite 18

19 Vorgehensweisen Bestimmung des Reifegrads Vereinfacht die Aufrechterhaltung und kontinuierliche Verbesserung Für Standard-Absicherung vorgesehen Ermöglicht einheitliche und differenzierte Bewertung eines ISMS Überprüfung der vollständigen Bearbeitung und Umsetzung in progress Erkennung von Verbesserungs- und Weiterentwicklungspotentialen Ermöglicht direkten Vergleich verschiedener Institutionen Detaillierter Nachweis gegenüber Dritten Bewertung und Steuerung durch Leitungsebene I. Münch & H. Schildt CeBIT 2016 Seite 19

20 Vorgehensweisen Bewertung des Reifegrads in progress Es existiert kein ISMS und es ist auch keines geplant ISMS ist geplant aber nicht etabliert. ISMS ist zum Teil etabliert. ISMS ist voll etabliert und dokumentiert. Es findet keine Überprüfung auf Effektivität statt. Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft. Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft und verbessert. I. Münch & H. Schildt CeBIT 2016 Seite 20

21 Kernabsicherung Kernabsicherung Vorgehensweisen Wege zur Standardabsicherung Einstieg Basisabsicherung Basisabsicherung Standardabsicherung I. Münch & H. Schildt CeBIT 2016 Seite 21

22 Vorgehensweisen Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-x Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf I. Münch & H. Schildt CeBIT 2016 Seite 22

23 2. Blick in die Bausteine

24 Struktur der Kataloge Vollständiger Überblick I. Münch & H. Schildt CeBIT 2016 Seite 24

25 Struktur der Kataloge Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER I. Münch & H. Schildt CeBIT 2016 Seite 25

26 Struktur der Kataloge Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen I. Münch & H. Schildt CeBIT 2016 Seite 26

27 Struktur der Kataloge System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 / Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle I. Münch & H. Schildt CeBIT 2016 Seite 27

28 Modernisierte Bausteine Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle I. Münch & H. Schildt CeBIT 2016 Seite 28

29 Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. I. Münch & H. Schildt CeBIT 2016 Seite 29

30 Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung I. Münch & H. Schildt CeBIT 2016 Seite 30

31 Modernisierte Bausteine Auszug Working Drafts Parallel werden ungefähr 100 Bausteinen erstellt (Tendenz steigend, Zwischenstand vom ) I. Münch & H. Schildt CeBIT 2016 Seite 31

32 Modernisierte Bausteine Piloten Personal Mobile Datenträger Allgemeiner Server ios for Enterprise ICS-Betrieb (Schulung und Sensibilisierung) (WLAN-Betrieb) (WLAN-Nutzung) (Allgemeiner Client) I. Münch & H. Schildt CeBIT 2016 Seite 32

33 Modernisierte Bausteine ORP.2 Personal Überblick Migration des Bausteins B 1.2 Personal Zuordnung: Prozess-Baustein / Organisation und Personal Umfang: Baustein und Umsetzungshinweise Status: Community Draft Bausteinbeschreibung Umgang mit den Mitarbeitern einer Institution und den damit verbundenen Prozessen Bausteinzielsetzung Sicherer Umgang mit Mitarbeitern von deren Einstellung bis zum Ausscheiden aus einer Institution Entwicklung eines Sicherheitsbewusstseins bei den Mitarbeitern durch die Personalabteilung Anforderungen für eigene Mitarbeiter und für Fremdpersonal Bausteinabgrenzung (Behandlung durch separate Bausteine) Der Baustein beinhaltet primär Anforderungen, die durch die Personalabteilung umzusetzen sind. Anforderungen, die an eine bestimmte Funktion geknüpft sind, finden sich in den entsprechenden Bausteinen. Anforderungen, die von den Mitarbeitern umzusetzen sind, finden sich ebenfalls in den entsprechenden Bausteinen. I. Münch & H. Schildt CeBIT 2016 Seite 33

34 Modernisierte Bausteine SYS.1.1 Allgemeiner Server Überblick Migration des Bausteins B Allgemeiner Server Zuordnung: System-Baustein / IT-Systeme / Server Umfang: Baustein und Umsetzungshinweise Status: Community Draft Bausteinbeschreibung Server mit beliebigem (Standard-) Betriebssystem Dienste werden anderen IT-Systemen über Netze bereitgestellt Bausteinzielsetzung Schutz von Informationen, die auf Servern erstellt, bearbeitet, gespeichert oder versendet werden Bausteinabgrenzung (Behandlung durch separate Bausteine) Betriebssystemspezifische Aspekte Betriebene Serverdienste I. Münch & H. Schildt CeBIT 2016 Seite 34

35 Modernisierte Bausteine SYS.3.4 Mobile Datenträger Überblick Migration des Bausteins B 5.14 Mobile Datenträger Zuordnung: System-Baustein / Mobile Devices Umfang: Baustein und Umsetzungshinweise Status: Community Draft Bausteinbeschreibung Umgang mit mobilen Datenträgern wie externe Festplatten, CD-ROMs, DVDs, Speicherkarten, Magnetbänder und USB-Sticks Bausteinzielsetzung Schutz der auf den mobilen Datenträgern gespeicherten Informationen Bausteinabgrenzung (Behandlung durch separate Bausteine) Austausch von Datenträgern und Informationen Papier und analoge Datenträger I. Münch & H. Schildt CeBIT 2016 Seite 36

36 Modernisierte Bausteine SYS ios (for Enterprise) Überblick neu erstellter Baustein Zuordnung: Systembaustein / Mobile Devices / Tablet/Phablet/Smartphone Umfang: Baustein und Umsetzungshinweise Status: Community Draft Bausteinbeschreibung ios-basierte Geräte im Unternehmenseinsatz Nutzung mobiler Endgeräte, eingebunden in ein Mobile Device Management Bausteinzielsetzung Bildung schutzbedarfsgerechter Konfigurationsprofile Bausteinabgrenzung (Behandlung durch separate Bausteine) Absicherung der MDM-Infrastruktur Integration in Kollaborations-Infrastruktur I. Münch & H. Schildt CeBIT 2016 Seite 38

37 Modernisierte Bausteine IND.1 ICS-Betrieb Überblick neu erstellter Baustein Zuordnung: System-Bausteine / Industrielle Steuerungssstem (Industrial Control Systems, ICS) Umfang: Baustein und Umsetzungshinweise Status: Community Draft Bausteinbeschreibung organisatorische Anforderungen für die Einbindung der ICS in das ISMS Übergreifende Beschreibung der Absicherung des ICS-Betriebes Bausteinzielsetzung Anforderungen zur Absicherung von ICS-Systemen Baustein ICS-Betrieb für allgemeine Anforderungen Bausteinabgrenzung (Behandlung durch separate Bausteine) komponentenspezifische ICS-Bausteine organisatorische Bausteine I. Münch & H. Schildt CeBIT 2016 Seite 41

38 3. Status der IT-Grundschutz-Profile

39 IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert I. Münch & H. Schildt CeBIT 2016 Seite 43

40 IT-Grundschutz-Profile Pilotprofil ecommerce Zielgruppe: Anbieter von ecommerce- Diensten Betrachtet bewusst nicht bisheriges Kernklientel des IT-Grundschutzes Ergänzung zu den Anforderungen des IT-Grundschutzes Basiert auf spezifischen Baustein epayment (noch nicht vorhanden) Experimentelle Annäherung an das Thema Profile Status: Working Draft Veröffentlichung des Versionsstands ist (noch) nicht geplant I. Münch & H. Schildt CeBIT 2016 Seite 44

41 IT-Grundschutz-Profile Pilotprofil ecommerce Einblick in das Dokument (Working Draft, Dokument kann nur gezeigt werden) I. Münch & H. Schildt CeBIT 2016 Seite 45

42 Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge I. Münch & H. Schildt CeBIT 2016 Seite 46

43 4. Offene Diskussion

44 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Isabel Münch & Holger Schildt Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee Bonn I. Münch & H. Schildt CeBIT 2016 Seite 48