Neues aus dem IT-Grundschutz Ausblick und Diskussion

Größe: px

Ab Seite anzeigen:

Download "Neues aus dem IT-Grundschutz Ausblick und Diskussion"

Angela Althaus
vor 8 Jahren
Abrufe

1 Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

2 Agenda Status Weiterentwicklung IT-Grundschutz IT-Grundschutz-Kataloge Umstrukturierungen in den IT-Grundschutz-Katalogen Prüffragen Überblickspapiere ISO Zertifizierung auf der Basis von IT-Grundschutz GSTOOL Fragen und Diskussion Folie 2

IT-Grundschutz-Katalogen Prüffragen Überblickspapiere ISO

3 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Folie 3

BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard

4 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Änderungen der ISO 2700x Anpassung Risikoanalyse Virtualisierung Schutzbedarf und BIA enger abstimmen Und diverses mehr Folie 4

BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

5 IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Folie 5

100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement

6 IT-Grundschutz-Kataloge Veröffentlichung generell Neue Bausteine Prüffragen Folie 6

7 Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Folie 7

Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen

8 Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro Folie 8

Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte

9 IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Folie 9

10 Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich Folie 10

Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben

11 Prüffragen Weiteres Vorgehen Fleißarbeit: Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge abgeschlossen! Wurden ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!) Konsolidierung pro Baustein (noch mehr Arbeit!) Veröffentlichung der Prüffragen zusammen mit den IT-Grundschutz-Katalogen der 13. EL Folie 11

Wurden ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!

12 Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 B 4.2 B 1.13 B Netzarchitektur Netz-Management Sensibilisierung Mobiltelefon / B PDA Neue Bausteine Cloud-Management Webservices Cloud-Nutzung Cloud-Storage Anwendungsentwicklung Folie 12

404 Netzarchitektur Netz-Management Sensibilisierung Mobiltelefon / B 3.

13 Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen Folie 13

zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach

14 Überblickspapiere Apple ios Betriebssystem der Produkte iphone, ipad, ipod touch und einiger Versionen von Apple TV Herstellerspezifische Vertiefung des Überblickspapiers "Smartphones" Diverse Empfehlungen, wie Umgang mit Jailbreaks itunes lock-down Autorisierte Synchronisation Anforderungen am Mobile Device Management Veröffentlichung steht kurz bevor Folie 14

"Smartphones" Diverse Empfehlungen, wie Umgang mit Jailbreaks itunes lock-down

15 Überblickspapiere Was gibt es? Folie 15

16 Laufende Umfrage 2013 zur Weiterentwicklung Für IT-Grundschutz-Bausteine und Übersichtspapiere Einige Themen, die genannt wurden (Cloud Computing) Allgemeine Windows-Bausteine Mobiles Computing (BYOD, Smartphones & deren OS) und diverse weitere Ideen Aber auch viele allgemeine Aspekte Was fehlt? an Laufzeit bis 24. Juni 2013 Folie 16

Windows-Bausteine Mobiles Computing (BYOD, Smartphones & deren OS) und diverse weitere

17 Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits: Folie 17

18 ISO Zertifizierung auf der Basis von IT-Grundschutz Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und extern) Für Behörden gegenüber Bürgern oder Unternehmen Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern (z. B. Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche Anforderungen Identifikation von Mitarbeitern und Unternehmensleitung mit Sicherheitszielen Optimierung der internen Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen Vermeidung von Imageschäden Folie 18

Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche

19 Zertifizierung nach ISO auf der Basis von IT-Grundschutz Ausgestellte Zertifikate Zertifikate erteilt Zertifikate Zertifikate erteilt Zertifikate erteilt, 22 laufende Verfahren Akkreditierung bei DAkkS in Bearbeitung Stand: Folie 19

Zertifikate 2012 23 Zertifikate erteilt 2013 13 Zertifikate erteilt,

20 Informationen zum GSTOOL Folie 20

21 IT-Grundschutz GSTOOL Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Sicherheitsanalyse Risikoanalyse Basis-Sicherheitscheck Anfallende Informationen werden über die grafische Benutzeroberfläche in eine Datenbank übernommen. Übersichtliche grafische Darstellung für Überblick über den aktuellen Sicherheitsstatus der betrachteten Objekte. Die Informationen können übersichtlich strukturiert mittels diverser Standardberichte ausgegeben werden. Folie 21

22 GSTOOL 4.x Sachstand GSTOOL 4.x Funktionserweiterungen (möglich) Metadatenupdates (sicher) Support (sicher) Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Servicepack 3 veröffentlicht ("GSTOOL 4.8") Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 mindestens 1 Jahr Parallelbetrieb und Support beider GSTOOL-Versionen später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich Folie 22

23 GSTOOL 5.0 Sachstand Nachfolger des GSTOOL 4.x wurde beauftragt Beteiligung verschiedener Kooperationspartner Entwicklung des GSTOOL 5.0 konnte nicht erfolgreich beendet werden Prüfung mehrerer Optionen Entscheidung bis Sommerpause 2013 Folie 23

24 IT-Grundschutz Geplante Veranstaltungen 13. Juni 2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster zu "Mit IT-Grundschutz die Kronjuwelen vor Kriminalität und Spionage schützen" in Berlin: IT-Grundschutz-Tag mit ATOS zu "Cloud-Zertifizierung" 09. Oktober 2013 in Nürnberg: IT-Grundschutz-Tag auf it-sa und viele weitere Folie 24

25 Fragen und Diskussion Folie 25

26 Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: GSTOOL-Hotline Telefon: XING-Forum IT-Grundschutz Folie 26

27 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Gruppe im XING-Forum: Folie 27

Ähnliche Dokumente

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte