IT-Grundschutz Auswertung der Workshops Bundesamt für Sicherheit in der Informationstechnik Stand: 5.11.01
Neuausrichtung 0 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 0 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 0 Jahre
Findungsphase Analyse und Diskussion in mehreren Workshops: 10.09.01: IT-SiBe-Treffen 1.0.01: BSI-interner Workshop 5.0.01: GS-Auditorentag 11.0.01: CeBIT-Diskussion 0.0.01: Workshop mit Auditoren 07.05.01: Workshop mit Auditoren 1.05.01: Workshop mit Tool-Herstellern.05.01: Workshop mit Ressort-IT-SiBes des Bundes 7.05.01: Workshop mit Power-Usern 06.10.01: Workshop IT-SiBe-Tagung der Länder 11.11.01: Workshop mit Kommunen Bedarfsumfrage nach IT-Grundschutz-Leistungen
Durchführung der Workshops Bisher ungefähr 150 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge Auswahl der BSI-Thesen nach Zielgruppe Teilnehmer bewerteten BSI-Thesen Bewertungsskala 1 bis 5 (1: Zustimmung - 5: Ablehnung)
Fragebogen svorschläge 5
Konzentration auf Zielgruppe mittlere Institutionen Aufwand und Maßnahmenauswahl berücksichtigen die Möglichkeiten von mittelgroßer Institutionen größter Bedarf bei kleinen und mittelständischen Institutionen oft auch nützlich für große Institutionen, jedoch meist nur als Hilfsmittel. Separierung in verschiedenen Teilinstitutionen sollte möglich sein BSI-Interne Festlegung: 10-5000 Mitarbeiter/innen 1 -wird gewünscht 6
Skalierung der Maßnahmen Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine Vorgaben) 1 -wird gewünscht 7
Angebot verschiedener Vorgehensweisen Bottom-Up: 80:0 Umsetzung der Erst- und Basismaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzept (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse,...) Kronjuwelen: Umsetzung der Erstmaßnahmen, Identifikation und Schutz der schützenswertesten Assets 8
Vereinfachung der Schutzbedarfsfeststellung bislang: Mehrstufiges Verfahren von Geschäftsprozessen bzw. Anwendungen über IT-Systeme, Räume zu Verbindungen. Festlegung: Je nach Bedarf erfolgt die Schutzbedarfsfeststellung bei den Geschäftsprozessen, Services oder Anwendungen. Von dort wird der Schutzbedarf direkt auf die anderen Zielobjekte vererbt. 9
Vereinfachung der Strukturanalyse bislang: Zielobjekte werden Schritt für Schritt in vorab definierten Objektarten (IT-Systeme, Anwendungen, etc.) erfasst. Festlegung: Zielobjekte können Top-Down (ausgehend von Geschäftsprozessen) oder Bottom-Up (ausgehend von Komponenten) erfasst werden. Die strenge Aufteilung nach Objektarten wird gelockert, alle Zielobjekte können direkt Geschäftsprozessen, Services oder Anwendungen zugeordnet werden. 10
Neufassung der Risikoanalyse bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Festlegung: Bündelung aller risikobezogenen Arbeitsschritte im BSI-Standard 100-, einschließlich Schutzbedarfsfeststellung BSI priorisiert die Bedrohungen/Schwachstellen des IT-Grundschutzes anhand der aktuellen Lage BSI gibt Maßnahmenbeispiele für Hochschutz heraus 11
Grundsätzliche Adaption von ISO 700X Baustein für IT-Sicherheitsmanagement Basis = unterhalb ISO 7001-Aufwand Hoch = Verweis auf ISO 7001 Erst-Maßnahmen (unterhalb ISO 700X) Basis-Maßnahmen (ggf. unterhalb ISO 700X) Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (ggf. überhalb ISO 700X) Ggf. Baustein ISO 700X-Konformität (Maßnahmen-Differenz zu Erstund Basis-Maßnahmen) 1
Risikoorientierte Anwendung Implementation des Risikoentscheidungsprozesses Inhärente Nutzung des Lagebildes Keine Risikoakzeptanz für Erst-Maßnahmen Explizite Möglichkeit der Risikoakzeptanz im Basis-Maßnahmen und Hochschutz-Maßnahmen 1
Tatsächliche Gefährdungslage als Grundlage Quellen der Gefährdungslage: BSIG : Meldungen der Bundesverwaltung können als Quelle für Lageeinschätzungen dienen Befragungen von Branchen Konsolidierte Gefährdungslage Trennung in Bedrohungen und Schwachstellen? TOP 10 Bedrohungen je Themengebiet TOP 10 Schwachstellen je Themengebiet Basis für Risikoanalyse und Risikoentscheidung 1
Verschlankung der Bausteine Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc. Studien Alte Bausteine Hersteller-Dokumentation Tools 15
Getrennte Informationen für verschiedene Zielgruppen Bausteine für CISO, IT-SiBe (Anforderungscharakter) Umsetzungsrahmen für Admins etc. (Umsetzungshilfe) 16
Fixierte Schutzbedarfsklassen BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig 1 - Wird gewünscht 17
Integration aller BSI-Empfehlungen in einem Werk IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen IT-Grundschutz ICS-Empfehlungen Studien Publikationen zur Studien (BSI / extern) Cyber-Sicherheit 100-, UMRA? ISi-Reihe HV-Kompendium HV-Kompendium? ICS-Sicherheit ggf. andere BSI-Publikationen 18
Reduktion des Redaktionsaufwandes Verzicht auf gedruckte Version der IT-Grundschutz-Kataloge Ausschließlich HTML-Version? Ausschließlich pdf-version ohne Web-Auftritt? Vereinfachte Sprachschärfe (muss, soll, sollte, ist zu, ) Unterjährige Herausgabe neuer Bausteine, Verzicht auf Ergänzungslieferungen Verzicht auf selten genutzte Zusatzinformationen (s.u.) 19
Verzicht auf Wiederverwendung von Maßnahmen Wiederverwendung von Maßnahmen: erzeugen heute viele Seiteneffekte generieren Maßnahmen mit vielen Fallunterscheidungen Also: autarke Bausteine ohne Wiederverwendung von Maßnahmen Erhebliche Komplexitätsreduktion im Erstellungsprozess 0
Verzicht auf wenig genutzte Ergänzungsinformationen Goldene Regeln Alte Gefährdungskataloge Alte Maßnahmenkataloge Prüffragen? 1
Beteiligung der Community IT-Grundschutz-WIKI Gemeinsame Fortentwicklung von Bausteinen, Umsetzungsrahmen, Hilfsmitteln etc. Erstellung von Prüffragen durch Community Freigabe und Veröffentlichung durch BSI
Unterstützung der Migration Abbildung alt auf neu Einbindung der Tool-Hersteller Tool-Anforderung Migration Sicherheitskonzept aus GSTOOL.x in neues Tool Migration des Sicherheitskonzepts vom alten IT-Grundschutz auf den neuen IT-Grundschutz
Entwicklung von GS-Profilen GS-Profil = Auswahl anzuwendender Bausteine für typische Institution, berücksichtigt Möglichkeiten der Institution (vgl. CC-Protection Profile) Anwendbar als "Schablone" Pauschaler Verzicht bestehender oder Auswahl zusätzlicher Empfehlung Erstellung durch Stakeholder Eventuell Zertifizierung nach GS-Profilen
Kooperation mit Produktmarktplätzen Maßnahmenempfehlungen zu generischen Produkten und Dienstleistungen verknüpfen mit Marktplätzen (Kein BSI-Marktplatz) Vorteil für Anwender: direkte Übersicht über Markt und Anbieter, ggf. mit bewerteten Angeboten Dritte als Portalanbieter können auf Hersteller- und Anbieterseiten verlinken, Voting-Möglichkeit für GS-Anwender auf den Portalen Mindestbedingungen für Aufnahme im Portal (Referenzkunden, Prüfung, Zertifikat, vertrauenswürdiger Hersteller etc... möglich) 5
Getrennte Zertifikate für ISO 7001 und IT-Grundschutz ISO 7001-Zertifikat durch Wirtschaft IT-Grundschutz-Zertifikat durch BSI als Premium-Zertifikat mit nachgewiesener umgesetzter Informationssicherheit 6
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee 185-189 5175 Bonn Tel: +9 (0)899-958-569 Fax: +9 (0)899-10-958-569 grundschutz@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de 7