Automatisierter IT-Grundschutz Hannover

Größe: px

Ab Seite anzeigen:

Download "Automatisierter IT-Grundschutz Hannover"

Elke Weiner
vor 6 Jahren
Abrufe

1 Automatisierter IT-Grundschutz Hannover

2 Agenda 1. Ausgangslage 2. Methodischer Ansatz 3. Technische Umsetzung 4. Bewertung und Ausblick Seite 2

3 Ausgangslage Bundespolizei (BPOL) zur Umsetzung vom IT-Grundschutz verpflichtet BSI Standards und Komplexe und Umfangreiche IT Ca. 250 IKT-Fachverfahren, davon ca. 100 polizeiliche Ca. 400 physikalische virtualisierte Server, rund IT-Arbeitsplätze Mehrere bundesweit vernetzte Standorte Häufig hoher Schutzbedarf Sehr hoher Aufwand für manuelle Umsetzungsprüfung (Basis-Sicherheits-Check) Mit klassicher Methodik nicht mehr zeitgerecht und wirtschaftlich durchführbar Entscheidung der BPOL für Projekt Automatisierter IT-Grundschutz (ags) Mit secunet und HPE/EntServ Seite 3

4 Agenda 1. Ausgangslage 2. Methodischer Ansatz 3. Technische Umsetzung 4. Bewertung und Ausblick Seite 4

5 Methodischer Ansatz Sichere Kern-IT als Basis für IT-Verfahren Weitgehende Standardisierung der Systeme, Anwendungen, Netze, Infrastruktur Einheitliche Vorgaben für gleichartige Objekte Z.B. Server unter RedHat 6.x oder Datenbank unter Oracle 11.x Zusamenfassung der Vorgaben als Sicherheitsmodule (SiM) Liste der Maßnahmen auf Basis der IT-Grundschutz Festlegung der Prüfungen (technisch und Fragebögen) Generische Risikoanalysen Seite 5

6 IT-Verfahren A IT-Verfahren B IT-Verfahren Z IT-Verfahren A IT-Verfahren B IT-Verfahren Z Methodischer Ansatz Standardisierung durch Sicherheitsmodule Sicherheitskonzepte Sicherheitskonzepte Sicherheitsmodul n Sicherheitsmodul 2 Sicherheitsmodul 1 Sichere Kern-IT (SiKIT) Informationssicherheitsmanagementsystem (ISMS) Bisheriges Vorgehen Zukunftssicheres Vorgehen Seite 6

7 Methodischer Ansatz Weitgehende Automatisierung des Basis-Sicherheits-Checks (BSC) Soweit möglich: automatisch durch technische Checks Sonst: Web-Fragebögen mit Multiple-Choice Zentrale Pflege aller Informationen für Sicherheitskonzepte IT-Verbünde, Zielobjekte, Schutzbedarfsfeststellungen, Risikoanalysen Wiederverwendung der Informationen für die verschiedenen IT-Verfahren Insbesondere sichere Kern-IT Automatisierte Zusammenstellung der Sicherheitskonzepte Perspektivisch: Zusammenführung mit Schwachstellen-Management Seite 7

anlassbezogener Erhebung relevanter Daten Tool-gestützte Erstellung, Aktualisierung von Sicherheitsmanagementsystem Konzeptioneller Aufbau und Zielstruktur nichttechnische Informationen SMS

8 anlassbezogener Erhebung relevanter Daten Tool-gestützte Erstellung, Aktualisierung von Sicherheitsmanagementsystem Konzeptioneller Aufbau und Zielstruktur nichttechnische Informationen SMS Informationsverbund, Strukturanalyse, Netzpläne R i c h tl i n i e Inter vi ew A u t o m at i s i e r t e r G r u n d s ch u t z u n d A u t o m at i s i e r t e r G r u n d s ch u t z u n d A u t o m at i s i e r t e r G r u n d s ch u t z u n d A u t o m at i s i e r t e r G r u n d s c h u t z A u t o m a t i s i e r t e r G r u n d s c h u t z, A u t o m a t i s i e r t e r G r u n d s c h u t z, A u t o m a t i s i e r t e r G r u n d s c h u t z, A u t o m a t i s i e r t e r G r u n d s c h u t z technische Informationen Verfahrens- und Strukturwissen Sicherheits- Management- Database Schutzbedarfzuordnung, Modellierung Verbund Basis-Sicherheitscheck, SOLL-IST Vergleich BSI BPOL SiM =? IT-Sicherheitskonzepte Risikoanalyse Sicherheitsreports Auditreports..... Schwachstellenmanagement Seite 8

9 Inhalte der Sicherheitsmodule Allgemeine Informationen z.b. Geltungsbereich, BSI-Baustein(e) Umzusetzende Sicherheitsmaßnahmen Basis: Aus IT-Grundschutz-Bausteinen Präzisierung: Für eingesetzte Technologie/Produkt Erweiterung: Aus Best-Practice-Empfehlungen (v.a. für hohen Schutzbedarf) Vorgaben zur Umsetzungsprüfung (BSC) Technische Checks Multiple-Choice-Fragen Generische Risikoanalyse Kreuzreferenztabelle Risikoanalyse für hohen Schutzbedarf Risikoanalyse für normalen Schutzbedarf (falls nicht modellierbar) Seite 9

10 Schichten IT-Grundschutz Methodischer Ansatz Modellierung durch Sicherheitsmodule (statt Bausteine) Anwendungen ORACLE DB Maria DB Tomcat Systeme Windows 2012 Srv RedHat 6 Srv ESXi Netzwerk VPN lokale Netze WLAN.. Infrastruktur Gebäude Schutzschränke Rechenzentrum übergreifende Aspekte Personal Datenschutz Kryptokonzept "SiM-Stack" durch ein IT-Verfahren konkret genutzte SiM Seite 10

11 Agenda 1. Ausgangslage 2. Methodischer Ansatz 3. Technische Umsetzung 4. Bewertung und Ausblick Seite 11

12 Architektur Einsatz einer Compliance-Software für Umsetzungsprüfung Automatisierte technische Checks und Web-Fragebögen Control Compliance Suite (CCS) von Symantec Implementierung einer Anwendung SMDB zur zentralen Pflege aller Informationen Übernahme der Ergebnisse der Umsetzungsprüfung aus Compliance-Software Eingabe / Pflege aller weiteren Informationen Generierung der Sicherheitskonzepte Seite 12

13 Vorgehensweise ags durchgängiger, (teil)automatisierter Prozess selbstgesteuertes Web-Assessment technische Compliance Datenbank Ergebnis Basissicherheitscheck Betrachtungsgegenstand Sicherheitsmanagement- Datenbank IT-Sicherheitskonzept Risikoanalyse automatisierte technische Prüfung Bearbeitung SiKo (u.a. Einpflegen weiterer Daten, Netzplan, Schutzbedarf, ) Seite 13

14 Control Compliance Suite von Symmantec Modulare Software zur Überprüfung und Bewertung von Sicherheitsvorgaben Bei ags: Vorgaben der Sicherheitsmodule Modul Standards Manager Erfassung (z.t. automatisch) der Zielobjekte (Assets) Definition und Durchführung der technischen Checks Erhebung von Evidences zur Umsetzung Z.B. Auszug aus Konfig-Datei Modul Assessment Manager Bereitstellung der Web-Fragebögen und Erhebung der Antworten Multiple-Choice-Fragen mit zusätzlichen Eingabefeldern für Verweise und Erläuterungen Anwendung auf Gruppe von Assets möglich Seite 14

15 Control Compliance Suite von Symmantec Zusammenfassung von Anforderungen (Maßnahmen) als Mandates Für jedes SiM wird ein Mandate angelegt Controls Studio ist zentrale Schnittstelle Abbildung von Mandates auf technische Checks und Multiple-Choice-Fragen Controls Framework ist dabei Vermittlungsschicht Mandate 1 Mandate 2 Mandate 3 Controls Framework Control A Control B Control C Control D Control E Check x Check y Frage a Frage b Seite 15

16 Control Compliance Suite von Symmantec Jedes SiM umfasst in CCS folgende Elemente Mandate des SiM mit Zuordnungen auf Controls CCS Standard: Liste der technischen Checks Web-Fragebogen Mehr als 60 SiM wurden bereits in CCS implementiert 17 SiM aus Schicht 1 (übergreifende Aspekte) 12 SiM aus Schicht 2 (Infrastruktur) 21 SiM aus Schicht 3 u.a. Win 2012, RedHat 6, Win 10, Android 6, Cisco Router & Switches, ESXi, HyperV, SINA, HSM 3 aus Schicht 4 13 aus Schicht 5 U.a. Oracle, MS-SQL, MySQL, Apache, Tomcat, IIS Seite 16

17 SMDB Von secunet neu entwickelte Web-Anwendung Auf Application-Server (Wildfly) Bedienung mit Browser Mit eigenem Rechte- und Rollen-Management Übernahme der Daten aus Complaince-Software Ergebnisse der Umsetzungsprüfung Maßnahmen, technische Checks, Multiple-Choice-Fragen Eingabe und Pflege aller weiteren Informationen über Rich-Text-Editor Auch Bilder (z.b. für Netzpläne) Seite 17

18 SMDB Seite 18

19 Informationen in der SMDB Zielobjekte (Gesamtverbund, Anwendungen, Netze, Systeme, Infrastruktur) Beschreibung Modellierung (Zuordnung zu SiMs) Schutzbedarfsfeststellung Individuelle Risikoanalyse Ergebnisse der Umsetzungsprüfung (aus CCS) Gruppen von (gleichartigen) Zielobjekten Informationen zu den IT-Verbünden Beschreibung/Abgrenzung IT-Strukturanalyse (Zuordnung Zielobjekte/Gruppen) Sicherheitsmodule Seite 19

20 SMDB Erstellung der Sicherheitskonzepte und SiM-Dokumente mit PDFLaTeX Flexible Definition der Vorlagen mit LaTeX Seite 20

21 Agenda 1. Ausgangslage 2. Methodischer Ansatz 3. Technische Umsetzung 4. Bewertung und Ausblick Seite 21

22 Bewertung und Ausblick Lösung ist konform zu IT-Grunschutz Positives Feedback des BSI Leicht für Modernisierung des IT-GS erweiterbar Sicherheitsgewinn Technische Checks liefern belastbare Ergebnisse Web-Fragebögen auf Detaillierungsebene der Prüffragen secunet wird SMDB pflegen und erweitern Verwendung der Lösung durch andere Behörden ausdrücklich erwünscht! Seite 22

23 Dr. Johannes Merkle Principal Innere Sicherheit secunet Security Networks AG Mergethaler Alle Eschborn Telefon

Ähnliche Dokumente

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit