Modernisierung des IT-Grundschutzes

Größe: px

Ab Seite anzeigen:

Download "Modernisierung des IT-Grundschutzes"

Kristian Bösch
vor 6 Jahren
Abrufe

1 des IT-Grundschutzes Isabel Münch Holger Schildt Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cybersicherheit 1. IT-Grundschutz-Tag 015

2 Neuausrichtung 0 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 0 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 0 Jahre Holger Schildt

3 Fahrplan IT-Grundschutz "Neu" Konzeption: 015 Realisierung: 015 Migration: 016 IT-Grundschutz "Classic" Ergänzungslieferungen bis 015 GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Support bis mindestens Ende 016 Holger Schildt

4 Findungsphase Analyse und Diskussion in mehreren Workshops: : IT-SiBe-Treffen : BSI-interner Workshop : GS-Auditorentag : CeBIT-Diskussion : Workshop mit Auditoren : Workshop mit Auditoren : Workshop mit Tool-Herstellern.05.01: Workshop mit Ressort-IT-SiBes des Bundes : Workshop mit Power-Usern : Workshop IT-SiBe-Tagung der Länder : Workshop mit Kommunen Bedarfsumfrage nach IT-Grundschutz-Leistungen Holger Schildt

5 Durchführung der Workshops Bisher ungefähr 00 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge Auswahl der BSI-Thesen nach Zielgruppe Teilnehmer bewerteten BSI-Thesen Bewertungsskala 1 bis 5 (1: Zustimmung - 5: Ablehnung) Hinweis: Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde! Holger Schildt 5

6 Fragebogen Modernisierungsvorschläge Holger Schildt 6

7 sansätze Stärkere Berücksichtigung der Zielgruppe kleine und mittlere Institutionen Typische Größe: Mitarbeiter/innen Vorgehensweise, Aufwand und Maßnahmenauswahl berücksichtigen stärker die realen Möglichkeiten von kleinen und mittleren Institutionen Bleibt auch für große Institutionen nützlich, diese nutzen IT-Grundschutz jedoch meist als ein Hilfsmittel neben anderen 1 -wird gewünscht Holger Schildt 7

8 Mögliche Neuerungen Skalierung der Maßnahmen Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Maßnahmen für erhöhten Schutzbedarf (als Beispiele, keine Vorgaben) 1 -wird gewünscht Holger Schildt 8

9 Mögliche Neuerungen Angebot verschiedener Vorgehensweisen Bottom-Up: 0:80 Umsetzung der Erstmaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzepts (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse,...) "Kronjuwelen-Ansatz": Primär Cyber-Sicherheit für die wichtigsten Schutzobjekte 1 - wird gewünscht Holger Schildt 9

10 Mögliche Neuerungen Verschlankung der Bausteine Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc. Studien Alte Bausteine Hersteller-Dokumentation Tools 1 - wird gewünscht Holger Schildt 10

11 Mögliche Neuerungen Fixierte Schutzbedarfsklassen BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig 1 - Wird gewünscht Holger Schildt 11

12 Mögliche Neuerungen Integration aller BSI-Empfehlungen in einem Werk IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen IT-Grundschutz ICS-Empfehlungen Studien Publikationen zur Studien (BSI / extern) Cyber-Sicherheit 100-, UMRA? ISi-Reihe HV-Kompendium HV-Kompendium? ICS-Sicherheit ggf. andere BSI-Publikationen 1 - wird gewünscht Holger Schildt 1

13 Mögliche Neuerungen Reduktion des Redaktionsaufwandes Verzicht auf gedruckte Version der IT-Grundschutz-Kataloge Ausschließlich HTML-Version? Ausschließlich pdf-version ohne Web-Auftritt? Vereinfachte Sprachschärfe (muss, soll, sollte, ist zu, ) Unterjährige Herausgabe neuer Bausteine, Verzicht auf Ergänzungslieferungen Verzicht auf selten genutzte Zusatzinformationen (s.u.) 1 - wird gewünscht Holger Schildt 1

14 Mögliche Neuerungen Verzicht auf Wiederverwendung von Maßnahmen Wiederverwendung von Maßnahmen: erzeugen heute viele Seiteneffekte generieren Maßnahmen mit vielen Fallunterscheidungen Also: autarke Bausteine ohne Wiederverwendung von Maßnahmen Erhebliche Komplexitätsreduktion im Erstellungsprozess 1 - wird gewünscht Holger Schildt 1

15 Mögliche Neuerungen Beteiligung der Community IT-Grundschutz-WIKI Gemeinsame Fortentwicklung von Bausteinen, Umsetzungsrahmen, Hilfsmitteln etc. Erstellung von Prüffragen durch Community Freigabe und Veröffentlichung durch BSI 1 - wird gewünscht Holger Schildt 15

16 Mögliche Neuerungen Entwicklung von GS-Profilen GS-Profil = Auswahl anzuwendender Bausteine und Maßnahmen für typische Institution, berücksichtigt Möglichkeiten und Risiken der Institution Beispiel: GS-Profil: Kommunalverwaltung in Bundesland XY GS-Profil: Krankenhaus GS-Profil: Wasserwerk als kritische Infrastruktur Anwendbar als "Schablone" Erstellung durch / mit Stakeholder Zertifizierung nach GS-Profilen wird diskutiert 1 - wird gewünscht Holger Schildt 16

17 Aktueller Bearbeitungsstand Publikationen diverse Artikel Analyse der "Baustein-Kataloge" Welche werden benötigt? Abgrenzung untereinander? Wie kategorisieren? Entwicklung von Pilot-Bausteinen Allgemeiner Server Anforderungsmanagement Datenträgeraustausch Internetnutzung ios Notfallmanagement Mac OS X Patchmanagement Personal Sichere Softwareentwicklung Windows 008 WLAN Holger Schildt 17

18 Aktueller Bearbeitungsstand Demonstration Ronny Frankenstein (HiSolutions AG) Holger Schildt 18

Ähnliche Dokumente

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Neues vom IT-Grundschutz: Ausblick und Modernisierung Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz it-sa Agenda Weiterentwicklung