Modernisierung des IT-Grundschutzes Isabel Münch / Holger Schildt / Birger Klein CeBIT, Hannover, 22.03.2017
Agenda 1. Einleitung und Motivation 2. Kernaspekte der Modernisierung des IT-Grundschutzes 3. Risikomanagement 4. Bausteine und Umsetzungshinweise 5. Profile im modernisierten IT-Grundschutz 6. Ausblick und Diskussion I. Münch H. Schildt, B. Klein Seite 2
1. Einleitung und Motivation Wer sich die richtigen Ziele setzt, kann nur gewinnen. Marc M. Galal
Ziele der IT-Grundschutz-Modernisierung Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge Skalierbarkeit an Größe und Schutzbedarf der Institution Stärkere Betonung der Risikomanagement-Prozesse Integration von industrieller IT und von Detektionsprozessen Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) Stärkere Berücksichtigung von anwenderspezifischen Anforderungen I. Münch H. Schildt, B. Klein Seite 4
2. Kernaspekte der Modernisierung des IT-Grundschutzes Vorgehensweisen Basis-, Kern- und Standardabsicherung Neufassung der Risikoanalyse
Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz I. Münch H. Schildt, B. Klein Seite 6
Vorgehensweisen Überblick Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung I. Münch H. Schildt, B. Klein Seite 7
Vorgehensweisen Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest I. Münch H. Schildt, B. Klein Seite 8
Vorgehensweisen Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung I. Münch H. Schildt, B. Klein Seite 9
Vorgehensweisen Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung I. Münch H. Schildt, B. Klein Seite 10
Vorgehensweisen Standard-Absicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard 100-2 Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standard-Absicherung I. Münch H. Schildt, B. Klein Seite 11
Vorgehensweisen Standard-Absicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen I. Münch H. Schildt, B. Klein Seite 12
Vorgehensweisen BSI-Standard 200-2 Basierend auf BSI-Standard 100-2 Einführung weiterer Vorgehensweisen Erweiterung um Virtualisierung, Cloud, ICS und IoT Rollen und Aufgaben von IT-SiBe und ISB Anpassungen an Fortschreibung der ISO-Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit BSI-Standard 100-4 Beispiel BoV durch RecPlast ausgetauscht I. Münch H. Schildt, B. Klein Seite 13
3. Risikomanagement
Risikomanagementsystem Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3 Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf I. Münch H. Schildt, B. Klein Seite 15
Risikomanagementsystem Angemessenes Risikomanagement Risikostrategie im Einklang mit der Geschäftsstrategie Einrichtung eines angemessenen internen Steuerungs- und Kontrollsystems Kommunizierte und gelebte Risikokultur zum Umgang mit den individuellen Risiken Einrichtung einer internen Revision und von internen Kontrollen I. Münch H. Schildt, B. Klein Seite 16
Risikomanagementsystem Richtlinie zum Umgang mit Risiken Voraussetzungen für eine Risikoanalyse? Methodik / Standard zur Identifikation, Bewertung und Behandlung von Risiken? Anpassung der Methodik auf die speziellen Belange der Institution? Risikoakzeptanzkriterien? Aufgabenteilung / Verantwortlichkeiten beim Risikomanagement? Integration von Risikoanalysen in den Sicherheitsprozess? Berichtspflichten im Rahmen von Risikoanalysen? I. Münch H. Schildt, B. Klein Seite 17
Risikomanagementsystem Vorarbeiten und Priorisierung Vorarbeiten Strukturanalyse Schutzbedarfsfeststellung Modellierung IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Geeignete Priorisierung Standard-Absicherung (vorrangig die übergeordneten Zielobjekte bearbeiten) Kern-Absicherung (vorrangig Zielobjekte mit dem höchsten Schutzbedarf bearbeiten) I. Münch H. Schildt, B. Klein Seite 18
Risikomanagementsystem Liste der betrachteten Zielobjekte Auszug RECPLAST GmbH Nummer Titel des Bausteins Zielobjekt INF.5 Serverraum / Technikraum INF.8 Arbeitsplatz M.3 M.1, M.2 NET.3.3 Firewall N1, N4 NET.3.1 Router/ Switches N3 SYS.1.5 Server-Virtualisierung S1 APP.3.3 Fileserver S3 - - Zx (Smart Meter Gateway Administration) usw. I. Münch H. Schildt, B. Klein Seite 19
Risikomanagementsystem Erstellung der Gefährdungsübersicht 1. Elementare Gefährdungen Auszug RECPLAST GmbH Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.14 Ausspähen von Informationen Spionage G 0.15 Abhören G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.25 Ausfall von Geräten oder Usw. Smart Meter Gateway Administrator Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.18 Fehlplanung oder fehlende Anpassungen G 0.21 Manipulation von Hard- oder Software G 0.22 Manipulation von Informationen G 0.23 Unbefugtes Eindringen in IT-Systeme G 0.25 Ausfall von Geräten oder Systemen G 0.28 Software-Schwachstellen oder Fehler G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.43 Einspielen von Nachrichten Usw. I. Münch H. Schildt, B. Klein Seite 20
Risikomanagementsystem Erstellung der Gefährdungsübersicht Zusätzliche Gefährdungen Moderiertes Brainstorming mit klarem Auftrag und Zeitbegrenzung Gefährdungen, die nicht in den IT-Grundschutz-Katalogen aufgeführt sind Realistische Gefährdungen mit nennenswerten Schäden 3 Grundwerte berücksichtigen Höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen, Außen-/Innentäter Externe Quellen einbeziehen I. Münch H. Schildt, B. Klein Seite 21
Risikomanagementsystem Erstellung der Gefährdungsübersicht 2. Zusätzliche Gefährdungen Auszug RECPLAST GmbH Virtualisierungsserver S1 Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Im Rahmen des Brainstormings wurden keine zusätzlichen Gefährdungen identifiziert, allerdings wurde festgestellt, dass zusätzliche Sicherheitsanforderungen erforderlich sind, um die Gefährdungen G 0.15 Abhören und G 0.25 Ausfall von Geräten oder Systemen bei erhöhtem Schutzbedarf zu reduzieren. Dieses Ergebnis wird für den Arbeitsschritt Behandlung von Risiken vorgemerkt. I. Münch H. Schildt, B. Klein Seite 22
Risikomanagementsystem Zukünftiges Bewertungsverfahren Lösungsansätze Die Bewertung des Risikos erfolgt durch den populären Matrix- Ansatz anhand weniger Stufen. Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen. Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde. Dadurch wird automatisch auch das Restrisiko dokumentiert. Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz) I. Münch H. Schildt, B. Klein Seite 23
Risikomanagementsystem Zukünftiges Bewertungsverfahren I. Münch H. Schildt, B. Klein Seite 24
Risikomanagementsystem Zukünftiges Bewertungsverfahrens I. Münch H. Schildt, B. Klein Seite 25
Risikomanagementsystem Risikobehandlungsoptionen Risikoklasse mittel hoch sehr hoch Sicherheitsmaßnahmen Umstrukturierung Risiko- Übernahme Risiko-Transfer I. Münch H. Schildt, B. Klein Seite 26
Risikomanagementsystem Konsolidierung Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet? Wirken die Sicherheitsmaßnahmen sinnvoll zusammen? Welche IT-Grundschutz-Maßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt? Sind die Sicherheitsmaßnahmen benutzerfreundlich? Sind die Sicherheitsmaßnahmen angemessen? Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen I. Münch H. Schildt, B. Klein Seite 27
4. Neue Bausteine und deren Struktur
IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management I. Münch H. Schildt, B. Klein Seite 29
IT-Grundschutz-Kompendium Überblick I. Münch H. Schildt, B. Klein Seite 30
IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name I. Münch H. Schildt, B. Klein Seite 31
Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick I. Münch H. Schildt, B. Klein Seite 32
Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER I. Münch H. Schildt, B. Klein Seite 33
Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen I. Münch H. Schildt, B. Klein Seite 34
Struktur GS-Kompendium System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 E-Mail/ Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle I. Münch H. Schildt, B. Klein Seite 35
Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle I. Münch H. Schildt, B. Klein Seite 36
Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 37
Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 38
Bausteine GS-Kompendium Dokumentenstruktur I. Münch H. Schildt, B. Klein Seite 39
Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. I. Münch H. Schildt, B. Klein Seite 40
Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung I. Münch H. Schildt, B. Klein Seite 41
Bausteine GS-Kompendium Veröffentlichte Community Drafts (Auszug) Personal Allgemeiner Server Allgemeiner Client Client unter Windows 10 ios for Enterprise Mobile Datenträger ICS-Betrieb Mobile Device Management Anforderungsmanagement Elektrotechnische Verkabelung Sicherheitsmanagement Webanwendungen IT-Verkabelung Alle veröffentlichten Community Drafts finden sie auf https://www.bsi.bund.de/gs-modernisierung I. Münch H. Schildt, B. Klein Seite 42
Bausteine GS-Kompendium Auszug Working Drafts Parallel werden ungefähr 100 Bausteine erstellt (Tendenz steigend) I. Münch H. Schildt, B. Klein Seite 43
Rückmeldungen zu Working Drafts SYS.2.2.3 Client unter Windows 10 I. Münch H. Schildt, B. Klein Seite 44
5. Profile im modernisierten IT- Grundschutz Schablonen für die Informationssicherheit
IT-Grundschutz-Profile Definition Ein IT-Grundschutz-Profil ist ein Muster- Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z.b. Strukturanalyse, Schutzbedarfsfestellung, Modellierung) und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Institutionen adaptiert werden kann! I. Münch H. Schildt, B. Klein Seite 46
IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert I. Münch H. Schildt, B. Klein Seite 47
IT-Grundschutz-Profile ein Blick in Institutionen I. Münch H. Schildt, B. Klein Seite 48
IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS.1.1.1 SYS.2.2.3 APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS.1.1.3 SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS.1.1.5 INF.1 OPS.1.1.4 I. Münch H. Schildt, B. Klein Seite 49
IT-Grundschutz-Profile Adaption als Schablone ISMS SYS.2.2.3 OPS.1.1.3 SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS.1.1.3 OPR.1 OPS.4 ISMS SYS.1.2. SYS.2.2.3 APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 I. Münch H. Schildt, B. Klein Seite 50
IT-Grundschutz-Profile Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils I. Münch H. Schildt, B. Klein Seite 51
IT-Grundschutz-Profile Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO 27001-Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile I. Münch H. Schildt, B. Klein Seite 52
IT-Grundschutz-Profile Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur I. Münch H. Schildt, B. Klein Seite 53
IT-Grundschutz-Profile Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: Auf geeignete Weise Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ] Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [ ] I. Münch H. Schildt, B. Klein Seite 54
IT-Grundschutz-Profile Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc. I. Münch H. Schildt, B. Klein Seite 55
IT-Grundschutz-Profile Status und Ziele Status Working-Draft ecommerce Diskussion mit zahlreichen Stakeholdern Veröffentlichung eines Artikels Working-Draft zur Strukturbeschreibung Ziele Maschinenlesbar Veröffentlichung von Pilot-Profilen Langfristig: Marktplatz mit IT-Grundschutz-Profilen I. Münch H. Schildt, B. Klein Seite 56
6. Ausblick und Diskussion
Modernisierte BSI-Standards bisher veröffentlicht Alle veröffentlichten Community Drafts finden Sie auf https://www.bsi.bund.de/gs-modernisierung I. Münch H. Schildt, B. Klein Seite 58
Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Austauschschnittstelle Support bis mindestens Ende 2016 2014 Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 2016 Community Draft: Veröffentlichung neuer BSI- Standards und mehrerer Bausteine 2017 Veröffentlichung neuer BSI- Standards und modernisierter Kataloge I. Münch H. Schildt, B. Klein Seite 59
Versionierung von Bausteinen und Umsetzungshinweisen Arbeitsentwurf BSI intern Veröffentlichung als PDF auf Webseiten CD 1 Bearbeitung durch Community CD 1.1 CD 2 FD 1 Version 1 Damit offizieller Bestandteil des IT-Grundschutz- Kompendiums I. Münch H. Schildt, B. Klein Seite 60
IT-Grundschutz-Kompendium Überblick 100 Bausteine Derzeit 144 Bausteine geplant in zwei Ausbaustufen Grundwerk zur it-sa 2017 (Edition 2018) Erweiterung Grundwerk zur it-sa 2018 (Edition 2019) Danach jährliche Ergänzungslieferung I. Münch H. Schildt, B. Klein Seite 61
IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) I. Münch H. Schildt, B. Klein Seite 62
IT-Grundschutz-Modernisierung Auswirkungen Zertifizierung Zertifizierungsschema IT-Grundschutz auch nach der Modernisierung kompatibel mit ISO 27001 Ab wann ist IT-Grundschutz-Kompendium Prüfgrundlage? => Prüfgrundlage kann sein: vorige Version bis ½ Jahr nach Erscheinen der neuen Version Zeitliche Konsequenzen ohne Modernisierung 15. Ergänzungslieferung erschien im April 2016 => 14. Ergänzungslieferung kann genutzt werden bis 30.11.2016 Zeitliche Konsequenzen durch Modernisierung Statt 16. Ergänzungslieferung IT-Grundschutz-Kataloge nun IT-Grundschutz-Kompendium Finalisierung im Herbst 2017 => 15. Ergänzungslieferung kann genutzt werden bis Sommer 2018 (Puffer für Übergang eingerechnet) I. Münch H. Schildt, B. Klein Seite 63
Nächste Veranstaltungen 15. Deutscher IT-Sicherheitskongress - BSI-Kongress 16. bis 18. Mai 2017 in der Stadthalle Bonn-Bad Godesberg Diesmal mit Workshop zur IT-Grundschutz-Modernisierung 2. IT-Grundschutz-Tag 2017, 08.06.2017, Köln IT-Grundschutz in komplexen und heterogenen Informationsverbünden 3. IT-Grundschutz-Tag 2017, 04.07.2017, Berlin Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der Modernisierung 4. IT-Grundschutz-Tag 2017, 11.10.2017, Nürnberg (geplant) I. Münch H. Schildt, B. Klein Seite 64
Vielen Dank für Ihre Aufmerksamkeit! Kontakt grundschutz@bsi.bund.de Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de I. Münch H. Schildt, B. Klein Seite 65