Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013
Inhalte Status Weiterentwicklung IT-Grundschutz IT-Grundschutz-Kataloge Umstrukturierungen in den IT-Grundschutz-Katalogen Prüffragen Überblickspapiere ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz GSTOOL Fragen und Diskussion Folie 2
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Folie 3
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen der ISO 2700x Anpassung Risikoanalyse Virtualisierung Schutzbedarf und BIA enger abstimmen Und diverses mehr Folie 4
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Folie 5
IT-Grundschutz-Kataloge 1 2 3 4 5 Veröffentlichung generell Neue Bausteine Prüffragen Folie 6
Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Folie 7
Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro Folie 8
IT-Grundschutz-Kataloge 12. Ergänzungslieferung Status Als Druckwerk veröffentlicht Dezember 2011 Als PDF auf BSI-Webseite veröffentlicht Februar 2012 Metadatenupdate sowie zugehörige HTML-Aktualisierung für GSTOOL 4.7 Juni 2012 Online-HTML-Version ist Stand 11. EL! Folie 9
IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Folie 10
Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich Folie 11
Prüffragen Weiteres Vorgehen Fleißarbeit: Laufendes Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge! Wurden ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!) Konsolidierung pro Baustein (noch mehr Arbeit!) Ziel: Veröffentlichung der Prüffragen zusammen mit den ITGrundschutz-Katalogen der 13. EL Folie 12
Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 B 4.2 B 1.13 B 3.404 Netzarchitektur Netz-Management Sensibilisierung Mobiltelefon / B 3.405 PDA Neue Bausteine Cloud-Management Webservices Cloud-Nutzung Cloud-Storage Anwendungsentwicklung Folie 13
Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen Folie 14
Überblickspapiere Was gibt es? Folie 15
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits: www.bsi.bund.de/iso27001-zertifikate Folie 16
ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und extern) Für Behörden gegenüber Bürgern oder Unternehmen Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern (z. B. Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche Anforderungen Identifikation von Mitarbeitern und Unternehmensleitung mit Sicherheitszielen Optimierung der internen Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen Vermeidung von Imageschäden Folie 17
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Ausgestellte Zertifikate 2010 19 Zertifikate erteilt 2011 16 Zertifikate 2012 23 Zertifikate erteilt 2013 1 Zertifikate erteilt, 72 laufende Verfahren Akkreditierung bei DAkkS in Bearbeitung Stand: 20.02.2013 Folie 18
Informationen zum GSTOOL Folie 19
IT-Grundschutz GSTOOL Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Sicherheitsanalyse Risikoanalyse Basis-Sicherheitscheck Anfallende Informationen werden über die grafische Benutzeroberfläche in eine Datenbank übernommen. Übersichtliche grafische Darstellung für Überblick über den aktuellen Sicherheitsstatus der betrachteten Objekte. Die Informationen können übersichtlich strukturiert mittels diverser Standardberichte ausgegeben werden. Folie 20
GSTOOL 4.x Sachstand GSTOOL 4.x Funktionserweiterungen (möglich) Metadatenupdates (sicher) Support (sicher) Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Servicepack 3 derzeit in Arbeit (Verzögerungen aufgrund Arbeiten für GSTOOL 5.0) Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 mindestens 1 Jahr Parallelbetrieb und Support beider GSTOOLVersionen später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich Folie 21
GSTOOL 5.0 Projektverlauf: (erlebte) Risiken Herausforderungen / Risiken Kooperationen Verwendung von Mitteln aus Konjunkturpaket unterschätzte Komplexität der Anwendung Fehler im Projektmanagement unzureichende Qualitätssicherung Ausscheiden einer Partnerfirma wechselnde Geschäftsführung Häufig wechselnde Projektleiter wechselnde Programmierteams Gesamtkoordination Folie 22
GSTOOL 5.0 Status Forderung einer fehlerfreien Version bis 13.01.2013 Zulässig laut Leistungsbeschreibung: 0 schwere Fehler 5 wesentliche Fehler 10 geringe Fehler Keine Fehler aus vorigen Prüfung Nach vier Wochen Prüfung: mindestens 31 schwere, 89 wesentliche und 60 geringe Fehler identifiziert. Folie 23
GSTOOL 5.0 Konsequenz Das BSI konnte die im Januar 2013 durch den Auftragnehmer PERSICON labs GmbH gelieferte Software GSTOOL 5.0 nicht abnehmen. Ausschlaggebend hierfür war, dass die gemäß Projektvertrag maximal zulässige Fehleranzahl überschritten wurde und das Produkt damit nicht den Erwartungen des BSI entsprach. Dem Auftragnehmer wurde im Vorfeld der Lieferung mitgeteilt, dass eine neuerliche Frist zur Nacherfüllung oder eine weitere Möglichkeit zur Mängelbeseitigung nicht in Aussicht gestellt werden kann. Das BSI steht in Kontakt zum Auftragnehmer und prüft derzeit das weitere Vorgehen. Folie 24
IT-Grundschutz Geplante Veranstaltungen 27.02.2013 in Berlin: IT-Grundschutz-Tag mit HiSolutions zu "Notfallmanagement im IT-Grundschutz" 14. - 16. Mai 2013 in Bonn: 13. Deutscher IT-Sicherheitskongress "Informationssicherheit stärken - Vertrauen in die Zukunft schaffen" 13. Juni 2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster zu "Mit IT-Grundschutz die Kronjuwelen vor Kriminalität und Spionage schützen" Herbst 2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu "Cloud-Zertifizierung" 09. Oktober 2013 in Nürnberg: IT-Grundschutz-Tag auf it-sa und viele weitere Folie 25
Fragen und Diskussion Folie 26
Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: 0228-9582-5369 E-Mail: grundschutz@bsi.bund.de GSTOOL-Hotline Telefon: 0228-9582-5299 E-Mail: gstool@bsi.bund.de XING-Forum IT-Grundschutz https://www.bsi.bund.de/grundschutz Folie 27
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 195-198 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-9582-5405 grundschutz@bsi.bund.de www.bsi.bund.de/grundschutz IT-Grundschutz Gruppe im XING-Forum: https://www.xing.com/net/itgrundschutz Folie 28