IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

Transkript

1 IT-Sicherheitsmanagement Teil 15: BSI-Grundschutz

2 Literatur [15-1] e.html [15-2] BSI-Grundschutz-Kataloge 2016, 16. Ergänzungslieferung (5080 Seiten) aloge/download/download_node.html [15-3] IT-Grundschutz-Profile groß, mittel und klein aloge/hilfsmittel/itgrundschutzprofile/itgrundschutzprofile_node.html [15-4] ndards/itgrundschutzstandards_node.html [15-5] [15-6] Das BSI und der Elfenbeinturm

3 Übersicht Motivation BSI-Standards Grundschutz-Katalog Dieser Foliensatz führt in das Denken, Papiere und Standards des Bundesamts für Sicherheit in der Informationsverarbeitung (BSI) ein. Daher stammen viele inhaltliche Zitate aus den Veröffentlichungen des BSI, die in der Literaturliste aufgeführt sind. 3

4 Probleme bei der Realisierung von IT-Sicherheit Management Fehlendes Interesse Zielkonflikte zwischen Sicherheit und Kosten Inkompetenz, falsche Methodik Verdrängung IT-Sicherheit wird als technisches Problem mit technischen Lösungen gesehen Sicherheitskonzepte richten sich nur an Experten Hohe Sicherheit.vs..vs. Große Bequemlichkeit.vs. Geringe Kosten 4

5 Idee des Grundschutzes I Grundlage sind typische Arbeitsabläufe Typische, durchschnittliche Angriffsszenarien Typische Schadensszenarien Bestimmung des Schutzbedarfs Realisierung des Schutzes durch allgemein erhältliche Komponenten 5

6 Idee des Grundschutzes II Realisierung eines Konzepts mit folgenden Dimensionen Personal Organisation Technik als Basis mit der Möglichkeit der individuellen Erweiterung. 6

7 BSI-(Industrie-)Standards BSI-Standard ISMS Managementsystem BSI-Standard IT-Grundschutz bauen aufeinander auf BSI-Standard Risikoanalyse ISMS = Information Security Management System Diese Standards sind eigentlich keine, denn nur der DIN gibt in Deutschland Standards aus. 7

8 BSI-Standard Aufbau und Struktur eines ISMS für kleine, mittlere und große Unternehmen bzw. Organisationen Kompatibel zur ISO Es werden folgende Aspekte behandelt: Personal Ressourcen Management IT-Sicherheitsprozess Grundlagen des ISMS: Beachtung der (gesetzlichen) Rahmenbedingungen Definition von Policies/Leitlinien Durchführung eines permanenten Sicherheitsprozesses Realisierung von Sicherheit ist ein Prozess, kein Projekt. 8

9 Meta-Modell Planung (Plan) Optimierung (Act) Realisierung (Do) Überprüfung (Check) Vorgehen nach dem PDCA-Modell für alle Tätigkeiten des ISMS Siehe 9

10 Komponenten des ISMS IT-Sicherheitsorganisation Strukturen (Organisation) Abläufe (Arbeitsprozesse) Regeln bzw. Policies IT-Sicherheitskonzept Dokumentation der IT-Struktur Risikobewertung Maßnahmen Ein ISMS ist ein Management-Konzept, keine Hard-/Software-Architektur. 10

11 BSI-Standard Vorgehensweise nach BSI- Grundschutz Konkretisierung des BSI-Standards 100-1, auch Konkretisierung des ISO bei Beibehaltung der Kompatibilität Viele Anleitungen Vorgehensweise Prozessdefinitionen Initiative der Geschäftsführung Analyse der Rahmenbedingungen Check der aktuellen Sicherheit Planung Globale Reihenfolge zur Etablierung des Grundschutzes Realisierung der Planung Sicherheit im aktuellen Betrieb 11

12 Struktur der IT-Sicherheitsorganisation Leitung IT-Sicherheits management- Team Sicherheitsbeauftragter Gesamte Organisation IT-Koordinierungsausschuss Datenschutzbeauftragter Si-Beauf. Bereiche Bereiche Si-Beauf. Projekte Projekte Die gestrichelten Bereiche existieren nur bei größeren Organisationen. Wichtig ist die Einbindung der Betroffenen. Si-Beauf. bedeutet IT-Sicherheitsbeauftragter 12

13 Der/die IT-Sicherheitsbeauftragte I ist verantwortlich für alle Belange der IT-Sicherheit koordiniert alle Konzepte im Sicherheitsprozess erstellt den Plan zur Realisierung überwacht die Realisierung (Projektleiter dafür?) koordiniert IT-Sicherheitsprojekte vermittelt zwischen Leitung und allen IT-Verantwortlichen leitet das IT-Sicherheitsmanagement-Team Der IT-Sicherheitsbeauftragte realisiert damit die Schnittstelle zwischen IT und der Leitung in Sachen IT-Sicherheit. 13

14 Der/die IT-Sicherheitsbeauftragte II Organisatorische Einbindung Der IT-Sicherheitsbeauftragte muss unabhängig von den Administratoren und möglichst unabhängig von der Leitung sein. Am besten auf einer Stabsstelle direkt unterhalb der Leitung. Personalunion mit dem Datenschutzbeauftragten Klare Definition der Rollen, insbesondere der Berichtspflicht Ausreichend Zeit für beide Rollen Für beide Rollen müssen Stellvertreter vorhanden sein. 14

15 IT-Sicherheitmanagement-Team ist Arbeitsgruppe zur Unterstützung des Sicherheitsbeauftragten entscheidet über Sicherheitsziele erstellt das Sicherheitskonzept entwickelt Sicherheitsleitlinien (Policies) prüft Wirksamkeit der Maßnahmen erstellt Schulungsprogramme überarbeitet alle erstellten Konzepte und Maßnahmen Das IT-Sicherheitsmanagement-Team ist damit die übergeordnete Arbeitsgruppe in Sachen IT-Sicherheit. Die Personen dieses Teams führen diese Aufgaben als Nebentätigkeiten aus. Nur große Organisationen dafür dezidiertes Personal. 15

16 Die (allgemeine) Sicherheitsleitlinie sollte klare Aussagen über folgendes enthalten: Stellenwert der IT-Sicherheit in der Organisation Sicherheitsziele Sicherheitsstrategie Organisationsstruktur (siehe oben) Zusicherung der erforderlichen Mittel Dies muss daher von der Leitung beschlossen werden. 16

17 IT-Sicherheitsorganisation für kleine Organisationen Leitung IT-Sicherheits management- Team Sicherheitsbeauftragter Gesamte Organisation Datenschutzbeauftragter Das Team kann durchaus den IT-Administratoren bestehen. Wichtig ist die Einbindung der Betroffenen. 17

18 Sicherheitsprozess Verantwortung Initiierung Planung Verbesserung Sicherheitskonzeption Umsetzung Leitlinien Organisation Ressourcen Einbindung 18

19 Initiierung des Sicherheitsprozesses erfolgt durch die Leitung der Organisation. Übernahme der Verantwortung durch die Leitung. Dazu gehört das vollständige Informieren der Leitung über Gesetze, Vorfälle etc. Planung des Sicherheitsprozesses Dazu gehört die konkrete Struktur der Organisation (siehe oben) Beschluss über die Leitlinien, über Sicherheitsziele Beschluss über die Organisation der IT-Sicherheit Bereitstellung der notwendigen Ressourcen und Personal Einbindung der Betroffenen Start des Sicherheitsprozesses kann wiederholt werden Es kann sich später herausstellen, dass die Aktivitäten dieser Phase wiederholt werden müssen. 19

20 Ressourcen Finanzielle Mittel Aus BSI-Standard

21 Einbindung Hier sollten zum Beginn die Vertreter/innen der Abteilungen oder von der Kompetenz her geeignete Personen eingebunden sein. Später müssen das Sicherheitskonzept und die Leitlinien (Policies) allen Mitarbeiter/innen bekannt gemacht werden. Gegebenenfalls ist der Betriebsrat/Personalrat einzubeziehen. 21

22 Sicherheitskonzeption Strukturanalyse Schutzbedarfsfeststellung Modellierung Ergänzende Modellierung Analyse Initiierung Sicherheitskonzeption Verbesserung Umsetzung Basis-Sicherheitscheck Modellierung 22

23 Erstellung der Sicherheitskonzeption I Strukturanalyse Dazu gehört eine vollständige Analyse der IT-Infrastruktur samt deren Dokumentation, dazu gehören: Räume, Geräte und Netze, Software (Server, Applikationen) und Verbindungen nach Außen. Schutzbedarfsfeststellung Nach Bestimmung des Risikos (Wahrscheinlichkeit und max. Schaden) wird für jede Informationsgruppe ein Schutzbedarf festgelegt: Normal Hoch Sehr Hoch 23

24 Erstellung der Sicherheitskonzeption II Modellierung Allgemein formulierte Bausteine werden auf die vorhandenen Geräte/Netze/-Organisationen durch Konkretisierung ausgerichtet. Ergänzende Sicherheitsanalyse (Optional) Bei hohem oder sehr hohem Sicherheitsbedarf sind noch weitere Analysen erforderlich. Dazu gehören auch Risikoanalysen von Bereichen, die nicht mit den normalen Bausteinen abgebildet werden können. Basis-Sicherheitscheck Es wird im Schnelldurchlauf das reale Sicherheitsniveau bestimmt. Da die Sicherheitskonzeption sehr umfangreich werden kann, sollten ähnliche Bereiche zu Gruppen zusammengefasst und gleich behandelt werden. 24

25 Schutzbedarfsfeststellung I Normal Die Auswirkungen des Schadens sind begrenzt und akzeptabel. Hoch Die Auswirkungen des Schadens sind hoch und nicht akzeptabel. Sehr Hoch Die Auswirkungen des Schadens können ein existentielles, katastrophales Ausmaß annehmen. Es können weitere, feinere Kategorisierungen eingeführt werden. 25

26 Schutzbedarfsfeststellung II Hierbei sind zu berücksichtigen: Verstöße gegen Gesetze, z.b. Bundesdatenschutzgesetz Beeinträchtigungen der informationellen Selbstbestimmung von Leib und Leben der Aufgabenerfüllung Negative Außen/Innenwirkung Finanzielle Auswirkungen Die Kriterien dazu sind weich und werden häufig durch den akzeptablen finanziellen Aufwand bestimmt. 26

27 Schutzbedarfsfeststellung III Grundsätzlich bestimmt immer der maximale Schaden einer Sache die Einschätzung der Sache. Es gibt Folgeschäden eines Schadens. Durch Isolation kann ein Schaden keine weiteren Folgen haben, so dass dies nicht so schwer eingeschätzt wird. Es gibt Effekte von gleichzeitig auftretenden kleineren Schäden, die aber in der Summe eine große Wirkung haben (Kumulation). Die Feststellung des Schutzbedarfs ist eine der wichtigsten und folgenreichsten Tätigkeiten im Sicherheitsprozess. 27

28 Modellierung etwas verfeinerter I In der Modellierung wird die erfasste Infrastruktur aus der Strukturanalyse auf die Struktur der Grundschutzdokumente abgebildet. Dazu gehören Dinge, die existieren (Prüfplan), und solche, die geplant sind (Entwicklungsplan). Die erfasste Infrastruktur wird entsprechend folgenden Schichten aufgeteilt: Schichten Übergreifende Aspekte Infrastruktur IT-Systeme Netze Anwendungen Beispiele/Themen Organisation Gebäude, Schränke Laptop, Client, Server LAN, WLAN DNS-, Mail-, Web-Server 28

29 Modellierung etwas verfeinerter II Nun werden Tabellen erstellt, die den Zusammenhang Grundschutz und Infrastruktur wiedergeben. Z.B. für eine fiktive Behörde: Aus BSI-Standard

30 Modellierung etwas verfeinerter III Im letzten Schritt werden die in den Tabellen angegeben Bausteine, z.b. B1.1, analysiert und an die konkreten Gegebenheiten der betreffenden Organisation angepasst. Dies sollte sich in einem geringen Rahmen halten, da Vieles in den Bausteinen den weit verbreiteten Bedingungen unterliegt. Als Ergebnis liegt eine umfangreiche Prüf- bzw. Maßnahmenliste vor das konkrete Modell. 30

31 Umsetzung I Definition von Projekten oder Teilabschnitten anhand des erstellten Modells Durchführung der Maßnahmen in Projekten Prüfung der Realisierung Prüfung der Effektivität Werden Schwierigkeiten oder Lücken während der Umsetzung festgestellt, so beginnt ein neuer Zyklus im Sicherheitsprozess, in dem die festgestellten Probleme beseitigt werden. Dies kann zur Erweiterung, aber auch zum Verzicht von Maßnahmen führen. 31

32 Umsetzung II Prüfung der Effektivität durch Leitungsebene bzw. Controlling durch interne Audits, die von den untersuchten Bereichen unabhängigen Personen durchgeführt werden durch externe Audits, durchgeführt von Beratungsfirmen im Falle einer Zertifizierung durch dafür zugelassene externe Firmen 32

33 Bausteine der Grundschutzkataloge Bausteinkatalog B 1 Übergreifende Aspekte der Informationssicherheit B 2 Sicherheit der Infrastruktur B 3 Sicherheit der IT-Systeme B 4 Sicherheit in Netzen B 5 Sicherheit in Anwendungen G 0 G 1 G 2 G 3 G 4 G 5 Gefährdungskatalog Elementare Gefährdungen Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkatalog M 1 Infrastruktur M 2 Organisation M 3 Personal M 4 Hard- und Software M 5 Kommunikation M 6 Notfallvorsorge Zitiert aus [15-2] 33

34 Beispiel: Baustein B1.0 Sicherheitsmanagement I Beschreibung worum es geht: Ziele, Sinn, Aufgaben Mängel G 2.66 Unzureichendes Sicherheitsmanagement G Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen G Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen G Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement 34

35 Beispiel: Baustein B1.0 Sicherheitsmanagement II Maßnahmen (Auszug) Planung und Konzeption M (A) Erstellung einer Leitlinie zur Informationssicherheit M (A) Festlegung der Sicherheitsziele und -strategie M (A) Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene Umsetzung M (A) Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit M (A) Erstellung eines Sicherheitskonzepts M (A) Integration der Mitarbeiter in den Sicherheitsprozess M (A) Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse M (Z) Erstellung von zielgruppengerechten Sicherheitsrichtlinien M (Z) Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit M (A) Vertragsgestaltung bei Bestellung eines externen IT- Sicherheitsbeauftragten 35

36 Notwendigkeit der Maßnahmen Stufe A (Einstieg) B (Aufbau) C (Zertifikat) Z (zusätzlich) W (Wissen) Beschreibung Vorrangige Realisierung, immer durchzuführen Wichtig für ein ISO Zertifikat, sollte durchgeführt werden Diese müssen für ein ISO Zertifikat realisiert sein Ergänzungen bei höherem Sicherheitsniveau Lehrstoff, zu vermittelndes Wissen 36

37 Beispiel: Baustein B1.1 Organisation I Beschreibung worum es geht Mängel G 2.1 Fehlende oder unzureichende Regelungen G 2.2 Unzureichende Kenntnis über Regelungen G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel G 2.5 Fehlende oder unzureichende Wartung G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen G 2.7 Unerlaubte Ausübung von Rechten G 2.8 Unkontrollierter Einsatz von Betriebsmitteln 37

38 Beispiel: Baustein B1.1 Organisation II Menschliche Fehlhandlungen G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal Vorsätzliche Handlungen G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör G 5.2 Manipulation an Informationen oder Software G 5.3 Unbefugtes Eindringen in ein Gebäude G 5.4 Diebstahl G 5.5 Vandalismus G 5.6 Anschlag G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten G Sabotage 38

39 Beispiel: Baustein B1.1 Organisation III Maßnahmen (Auszug) Planung und Konzeption M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen M 2.2 (C) Betriebsmittelverwaltung M 2.4 (B) Regelungen für Wartungs- und Reparaturarbeiten M 2.5 (A) Aufgabenverteilung und Funktionstrennung M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates M (B) Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten M (A) Regelung des Informationsaustausches 39

40 Beispiel: Baustein B1.1 Organisation IV Betrieb M 2.6 (A) Vergabe von Zutrittsberechtigungen M 2.7 (A) Vergabe von Zugangsberechtigungen M 2.8 (A) Vergabe von Zugriffsrechten M 2.16 (B) Beaufsichtigung oder Begleitung von Fremdpersonen M 2.18 (Z) Kontrollgänge M 2.37 (C) Der aufgeräumte Arbeitsplatz M 2.39 (B) Reaktion auf Verletzungen der Sicherheitsvorgaben M (Z) Sicherheit bei Umzügen M 5.33 (B) Absicherung von Fernwartung 40

41 Beispiel: B1.6 Schutz vor Schadprogrammen I Beschreibung worum es geht Mängel Organisatorische Mängel G 2.1 Fehlende oder unzureichende Regelungen G 2.2 Unzureichende Kenntnis über Regelungen G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen G 2.8 Unkontrollierter Einsatz von Betriebsmitteln G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz G Fehlende Übersicht über den Informationsverbund 41

42 Beispiel: B1.6 Schutz vor Schadprogrammen II Technisches Versagen G 4.13 Verlust gespeicherter Daten G 4.22 Software-Schwachstellen oder -Fehler Vorsätzliche Handlungen G 5.2 Manipulation an Informationen oder Software G 5.23 Schadprogramme G 5.28 Verhinderung von Diensten G 5.42 Social Engineering G 5.71 Vertraulichkeitsverlust schützenswerter Informationen G 5.85 Integritätsverlust schützenswerter Informationen G Verbreitung von Schadprogrammen über mobile Datenträger 42

43 BSI-Standard Risikoanalyse Normaler Schutzbedarf, Szenarien und vorhandene Bausteine Qualitative Risikoanalyse Übertragung aus ähnlichen Bereichen (Sehr) Hoher Schutzbedarf, besondere Szenarien und vorhandene Bausteine Besondere Analyse Methoden Risiko-Analyse auf Basis des Grundschutzes (BSI 100-3) Klassische Risikoanalyse Penetrationstests (Analyse bestehender Maßnahmen) Differenz-Sicherheitsanalyse 43

44 Vorgehen 1) Aufstellung einer Gefährdungsübersicht 2) Ermittlung zusätzlicher Gefahren 3) Bewertung der Gefährdungen 4) Behandlung der Risiken durch Maßnahmen 5) Einarbeitung in das IT-Sicherheitskonzept 6) Gegebenenfalls zyklische Wiederholung des Sicherheitsprozesses 44

45 Behandlung der Risiken durch Maßnahmen Risiko bleibt bestehen bzw. kann nicht beseitigt werden Risiko bekannt und beherrschbar machen Risiko besonders überwachen Risiko wird durch bestimme Maßnahmen minimiert Sicherheitskonzept wird überarbeitet Sicherheitsprozess wird angepasst 45

46 Nach dieser Anstrengung etwas Entspannung... 46