Modernisierung des IT-Grundschutzes. Isabel Münch / Holger Schildt / Birger Klein

Ähnliche Dokumente
Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

Die Modernisierung des IT-Grundschutzes

Zieleinlauf: Die neuen Standards, Bausteine und Profile

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Aktueller Stand der Modernisierung des IT-Grundschutzes

Aktueller Stand der Modernisierung des IT-Grundschutzes

Vorgehensweisen des neuen IT-Grundschutzes

Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

CeBIT 2016 Modernisierung des IT-Grundschutzes. Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick. Christoph Wiemers IT-Grundschutz

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick

IT-Grundschutz heute und morgen

Modernisierung des IT-Grundschutz. Berlin, den 15. September 2015

IT-Grundschutz Informationssicherheit in der Praxis. Isabel Münch Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen

Neues vom IT-Grundschutz Aktuelle Entwicklungen, Modernisierung und Diskussion

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

Kommunale Profile im Rahmen der IT- Grundschutz-Modernisierung

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Modernisierung des IT-Grundschutzes

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Ausblick und Diskussion

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Der neue IT-Grundschutz im Kontext der ISO 27001

Modernisierung IT-Grundschutz. Auswertung der Workshops

Quo vadis, IT-Grundschutz?

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Bericht aus der AG Modernisierung

Glücklich mit Grundschutz Isabel Münch

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Schablonen für die Informationssicherheit

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

IT-Grundschutz-Profil für Handwerksbetriebe

IT-Grundschutz-Methodik im Kontext von Outsourcing

Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017

1. IT-Grundschutz-Tag 2014

IT-Grundschutz-Profile Strukturbeschreibung. Version 1.0

Wo stehen wir und wo wollen wir hin? Neues zum IT-Grundschutz

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Grundschutz-Profile Strukturbeschreibung COMMUNITY DRAFT

15 Jahre IT-Grundschutz

Der niedersächsische Weg das Beste aus zwei Welten

Neues aus dem IT-Grundschutz Ausblick und Diskussion

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Copyright 2016 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee , Bonn

BSI IT-Grundschutz, ISO & Datenschutz

Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion

Agenda INTELLIGENT. EINFACH. PREMIUM.

Wo stehen wir und wo wollen wir hin? Ausblick und Diskussion

secunet Security Networks AG

Automatisierter IT-Grundschutz Hannover

DS-GVO und IT-Grundschutz

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Inhaltsverzeichnis BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

BSI Grundschutz & ISMS nach ISO 27001

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

Verbindliche Prüfthemen für die IS-Kurzrevision

Neue Trends IT-Grundschutzhandbuch

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Prüffragen im IT-Grundschutz Zielsetzung, Erstellung, Anwendung. Dirk Weil

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

[15-1] e.html

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Informationssicherheit

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

IT-Grundschutz Einführung und Anwendung auf Datenbanken

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

ORP.5: Compliance Management (Anforderungsmanagement)

Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems

Copyright 2017 Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee , Bonn

CON.6 Löschen und Vernichten

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Amtliche Bekanntmachung der Universität Konstanz

Leitlinie für die Informationssicherheit

BSI Technische Richtlinie

Brandschutzbeauftragter (TÜV )

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

OPS.1.2.4: Telearbeit

Die Konkretisierung zum Baustein Smartphone - der Baustein ios

Grundlagen des Datenschutzes und der IT-Sicherheit

Management von Informationssicherheit und Informationsrisiken Februar 2016

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Transkript:

Modernisierung des IT-Grundschutzes Isabel Münch / Holger Schildt / Birger Klein CeBIT, Hannover, 22.03.2017

Agenda 1. Einleitung und Motivation 2. Kernaspekte der Modernisierung des IT-Grundschutzes 3. Risikomanagement 4. Bausteine und Umsetzungshinweise 5. Profile im modernisierten IT-Grundschutz 6. Ausblick und Diskussion I. Münch H. Schildt, B. Klein Seite 2

1. Einleitung und Motivation Wer sich die richtigen Ziele setzt, kann nur gewinnen. Marc M. Galal

Ziele der IT-Grundschutz-Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen I. Münch H. Schildt, B. Klein Seite 4

2. Kernaspekte der Modernisierung des IT-Grundschutzes Vorgehensweisen Basis-, Kern- und Standardabsicherung Neufassung der Risikoanalyse

Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz I. Münch H. Schildt, B. Klein Seite 6

Vorgehensweisen Überblick Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung I. Münch H. Schildt, B. Klein Seite 7

Vorgehensweisen Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest I. Münch H. Schildt, B. Klein Seite 8

Vorgehensweisen Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung I. Münch H. Schildt, B. Klein Seite 9

Vorgehensweisen Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung I. Münch H. Schildt, B. Klein Seite 10

Vorgehensweisen Standard-Absicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard 100-2 Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standard-Absicherung I. Münch H. Schildt, B. Klein Seite 11

Vorgehensweisen Standard-Absicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen I. Münch H. Schildt, B. Klein Seite 12

Vorgehensweisen BSI-Standard 200-2 Basierend auf BSI-Standard 100-2 Einführung weiterer Vorgehensweisen Erweiterung um Virtualisierung, Cloud, ICS und IoT Rollen und Aufgaben von IT-SiBe und ISB Anpassungen an Fortschreibung der ISO-Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit BSI-Standard 100-4 Beispiel BoV durch RecPlast ausgetauscht I. Münch H. Schildt, B. Klein Seite 13

3. Risikomanagement

Risikomanagementsystem Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3 Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf I. Münch H. Schildt, B. Klein Seite 15

Risikomanagementsystem Angemessenes Risikomanagement Risikostrategie im Einklang mit der Geschäftsstrategie Einrichtung eines angemessenen internen Steuerungs- und Kontrollsystems Kommunizierte und gelebte Risikokultur zum Umgang mit den individuellen Risiken Einrichtung einer internen Revision und von internen Kontrollen I. Münch H. Schildt, B. Klein Seite 16

Risikomanagementsystem Richtlinie zum Umgang mit Risiken Voraussetzungen für eine Risikoanalyse? Methodik / Standard zur Identifikation, Bewertung und Behandlung von Risiken? Anpassung der Methodik auf die speziellen Belange der Institution? Risikoakzeptanzkriterien? Aufgabenteilung / Verantwortlichkeiten beim Risikomanagement? Integration von Risikoanalysen in den Sicherheitsprozess? Berichtspflichten im Rahmen von Risikoanalysen? I. Münch H. Schildt, B. Klein Seite 17

Risikomanagementsystem Vorarbeiten und Priorisierung Vorarbeiten Strukturanalyse Schutzbedarfsfeststellung Modellierung IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Geeignete Priorisierung Standard-Absicherung (vorrangig die übergeordneten Zielobjekte bearbeiten) Kern-Absicherung (vorrangig Zielobjekte mit dem höchsten Schutzbedarf bearbeiten) I. Münch H. Schildt, B. Klein Seite 18

Risikomanagementsystem Liste der betrachteten Zielobjekte Auszug RECPLAST GmbH Nummer Titel des Bausteins Zielobjekt INF.5 Serverraum / Technikraum INF.8 Arbeitsplatz M.3 M.1, M.2 NET.3.3 Firewall N1, N4 NET.3.1 Router/ Switches N3 SYS.1.5 Server-Virtualisierung S1 APP.3.3 Fileserver S3 - - Zx (Smart Meter Gateway Administration) usw. I. Münch H. Schildt, B. Klein Seite 19

Risikomanagementsystem Erstellung der Gefährdungsübersicht 1. Elementare Gefährdungen Auszug RECPLAST GmbH Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.14 Ausspähen von Informationen Spionage G 0.15 Abhören G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.25 Ausfall von Geräten oder Usw. Smart Meter Gateway Administrator Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.18 Fehlplanung oder fehlende Anpassungen G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.25 Ausfall von Geräten oder Systemen G 0.28 Software-Schwachstellen oder Fehler G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.43 Einspielen von Nachrichten Usw. I. Münch H. Schildt, B. Klein Seite 20

Risikomanagementsystem Erstellung der Gefährdungsübersicht Zusätzliche Gefährdungen Moderiertes Brainstorming mit klarem Auftrag und Zeitbegrenzung Gefährdungen, die nicht in den IT-Grundschutz-Katalogen aufgeführt sind Realistische Gefährdungen mit nennenswerten Schäden 3 Grundwerte berücksichtigen Höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, Außen-/Innentäter Externe Quellen einbeziehen I. Münch H. Schildt, B. Klein Seite 21

Risikomanagementsystem Erstellung der Gefährdungsübersicht 2. Zusätzliche Gefährdungen Auszug RECPLAST GmbH Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Im Rahmen des Brainstormings wurden keine zusätzlichen Gefährdungen identifiziert, allerdings wurde festgestellt, dass zusätzliche Sicherheitsanforderungen erforderlich sind, um die Gefährdungen G 0.15 Abhören und G 0.25 Ausfall von Geräten oder Systemen bei erhöhtem Schutzbedarf zu reduzieren. Dieses Ergebnis wird für den Arbeitsschritt Behandlung von Risiken vorgemerkt. I. Münch H. Schildt, B. Klein Seite 22

Risikomanagementsystem Zukünftiges Bewertungsverfahren Lösungsansätze Die Bewertung des Risikos erfolgt durch den populären Matrix- Ansatz anhand weniger Stufen. Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen. Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde. Dadurch wird automatisch auch das Restrisiko dokumentiert. Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz) I. Münch H. Schildt, B. Klein Seite 23

Risikomanagementsystem Zukünftiges Bewertungsverfahren I. Münch H. Schildt, B. Klein Seite 24

Risikomanagementsystem Zukünftiges Bewertungsverfahrens I. Münch H. Schildt, B. Klein Seite 25

Risikomanagementsystem Risikobehandlungsoptionen Risikoklasse mittel hoch sehr hoch Sicherheitsmaßnahmen Umstrukturierung Risiko- Übernahme Risiko-Transfer I. Münch H. Schildt, B. Klein Seite 26

Risikomanagementsystem Konsolidierung Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet? Wirken die Sicherheitsmaßnahmen sinnvoll zusammen? Welche IT-Grundschutz-Maßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Sind die Sicherheitsmaßnahmen benutzerfreundlich? Sind die Sicherheitsmaßnahmen angemessen? Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen I. Münch H. Schildt, B. Klein Seite 27

4. Neue Bausteine und deren Struktur

IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management I. Münch H. Schildt, B. Klein Seite 29

IT-Grundschutz-Kompendium Überblick I. Münch H. Schildt, B. Klein Seite 30

IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name I. Münch H. Schildt, B. Klein Seite 31

Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick I. Münch H. Schildt, B. Klein Seite 32

Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER I. Münch H. Schildt, B. Klein Seite 33

Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen I. Münch H. Schildt, B. Klein Seite 34

Struktur GS-Kompendium System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 E-Mail/ Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle I. Münch H. Schildt, B. Klein Seite 35

Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle I. Münch H. Schildt, B. Klein Seite 36

Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 37

Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 38

Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 39

Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. I. Münch H. Schildt, B. Klein Seite 40

Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung I. Münch H. Schildt, B. Klein Seite 41

Bausteine GS-Kompendium Veröffentlichte Community Drafts (Auszug) Personal Allgemeiner Server Allgemeiner Client Client unter Windows 10 ios for Enterprise Mobile Datenträger ICS-Betrieb Mobile Device Management Anforderungsmanagement Elektrotechnische Verkabelung Sicherheitsmanagement Webanwendungen IT-Verkabelung Alle veröffentlichten Community Drafts finden sie auf https://www.bsi.bund.de/gs-modernisierung I. Münch H. Schildt, B. Klein Seite 42

Bausteine GS-Kompendium Auszug Working Drafts Parallel werden ungefähr 100 Bausteine erstellt (Tendenz steigend) I. Münch H. Schildt, B. Klein Seite 43

Rückmeldungen zu Working Drafts SYS.2.2.3 Client unter Windows 10 I. Münch H. Schildt, B. Klein Seite 44

5. Profile im modernisierten IT- Grundschutz Schablonen für die Informationssicherheit

IT-Grundschutz-Profile Definition Ein IT-Grundschutz-Profil ist ein Muster- Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z.b. Strukturanalyse, Schutzbedarfsfestellung, Modellierung) und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Institutionen adaptiert werden kann! I. Münch H. Schildt, B. Klein Seite 46

IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert I. Münch H. Schildt, B. Klein Seite 47

IT-Grundschutz-Profile ein Blick in Institutionen I. Münch H. Schildt, B. Klein Seite 48

IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS.1.1.1 SYS.2.2.3 APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS.1.1.3 SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS.1.1.5 INF.1 OPS.1.1.4 I. Münch H. Schildt, B. Klein Seite 49

IT-Grundschutz-Profile Adaption als Schablone ISMS SYS.2.2.3 OPS.1.1.3 SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS.1.1.3 OPR.1 OPS.4 ISMS SYS.1.2. SYS.2.2.3 APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 I. Münch H. Schildt, B. Klein Seite 50

IT-Grundschutz-Profile Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils I. Münch H. Schildt, B. Klein Seite 51

IT-Grundschutz-Profile Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO 27001-Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile I. Münch H. Schildt, B. Klein Seite 52

IT-Grundschutz-Profile Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur I. Münch H. Schildt, B. Klein Seite 53

IT-Grundschutz-Profile Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: Auf geeignete Weise Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ] Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [ ] I. Münch H. Schildt, B. Klein Seite 54

IT-Grundschutz-Profile Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc. I. Münch H. Schildt, B. Klein Seite 55

IT-Grundschutz-Profile Status und Ziele Status Working-Draft ecommerce Diskussion mit zahlreichen Stakeholdern Veröffentlichung eines Artikels Working-Draft zur Strukturbeschreibung Ziele Maschinenlesbar Veröffentlichung von Pilot-Profilen Langfristig: Marktplatz mit IT-Grundschutz-Profilen I. Münch H. Schildt, B. Klein Seite 56

6. Ausblick und Diskussion

Modernisierte BSI-Standards bisher veröffentlicht Alle veröffentlichten Community Drafts finden Sie auf https://www.bsi.bund.de/gs-modernisierung I. Münch H. Schildt, B. Klein Seite 58

Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende 2016 2014 Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Community Draft: Veröffentlichung neuer BSI- Standards und mehrerer Bausteine 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge I. Münch H. Schildt, B. Klein Seite 59

Versionierung von Bausteinen und Umsetzungshinweisen Arbeitsentwurf BSI intern Veröffentlichung als PDF auf Webseiten CD 1 Bearbeitung durch Community CD 1.1 CD 2 FD 1 Version 1 Damit offizieller Bestandteil des IT-Grundschutz- Kompendiums I. Münch H. Schildt, B. Klein Seite 60

IT-Grundschutz-Kompendium Überblick 100 Bausteine Derzeit 144 Bausteine geplant in zwei Ausbaustufen Grundwerk zur it-sa 2017 (Edition 2018) Erweiterung Grundwerk zur it-sa 2018 (Edition 2019) Danach jährliche Ergänzungslieferung I. Münch H. Schildt, B. Klein Seite 61

IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) I. Münch H. Schildt, B. Klein Seite 62

IT-Grundschutz-Modernisierung Auswirkungen Zertifizierung Zertifizierungsschema IT-Grundschutz auch nach der Modernisierung kompatibel mit ISO 27001 Ab wann ist IT-Grundschutz-Kompendium Prüfgrundlage? => Prüfgrundlage kann sein: vorige Version bis ½ Jahr nach Erscheinen der neuen Version Zeitliche Konsequenzen ohne Modernisierung 15. Ergänzungslieferung erschien im April 2016 => 14. Ergänzungslieferung kann genutzt werden bis 30.11.2016 Zeitliche Konsequenzen durch Modernisierung Statt 16. Ergänzungslieferung IT-Grundschutz-Kataloge nun IT-Grundschutz-Kompendium Finalisierung im Herbst 2017 => 15. Ergänzungslieferung kann genutzt werden bis Sommer 2018 (Puffer für Übergang eingerechnet) I. Münch H. Schildt, B. Klein Seite 63

Nächste Veranstaltungen 15. Deutscher IT-Sicherheitskongress - BSI-Kongress 16. bis 18. Mai 2017 in der Stadthalle Bonn-Bad Godesberg Diesmal mit Workshop zur IT-Grundschutz-Modernisierung 2. IT-Grundschutz-Tag 2017, 08.06.2017, Köln IT-Grundschutz in komplexen und heterogenen Informationsverbünden 3. IT-Grundschutz-Tag 2017, 04.07.2017, Berlin Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der Modernisierung 4. IT-Grundschutz-Tag 2017, 11.10.2017, Nürnberg (geplant) I. Münch H. Schildt, B. Klein Seite 64

Vielen Dank für Ihre Aufmerksamkeit! Kontakt grundschutz@bsi.bund.de Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de I. Münch H. Schildt, B. Klein Seite 65

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback