ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz von Dipl. Math. Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz BSI Zertifizierungsschema Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn wurde 1991 auf Gesetzesgrundlage gegründet. 3 des Errichtungsgesetzes des BSI vom 17.12.1990 (BGBl Teil I S. 2834) definiert die Aufgaben des BSI. 118.05.06 2 1
Agenda Anforderungen an IT-Sicherheitsmanagementsysteme Zusammenführung von Anforderungen der ISO 27001 und IT-Grundschutz Inhalt der BSI Standards 100-1 bis 100-3 Vorteile eines zweistufigen Risikoansatzes Ablauf einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Lizenzierungsverfahren für Auditoren 118.05.06 3 Was hat dieses Bild mit IT-Sicherheit zu tun? 118.05.06 4 2
Motivation für Informationssicherheit in Unternehmen und Behörden Erfüllung von Anforderungen Gesetzliche Anforderungen Vertragliche Anforderungen Sonstige Anforderungen Auf Grund der Komplexität und Dynamik empfiehlt sich für jede Institution ein Anforderungsmanagement-Prozess 118.05.06 5 Motivation für Informationssicherheit in Unternehmen und Behörden Vermeidung geschäftsschädigender Vorfälle durch nachhaltige Begrenzung von Risiken Auf Grund der Komplexität und Dynamik empfiehlt sich für jede Institution ein Risikomanagement-Prozess 118.05.06 6 3
Motivation für Informationssicherheit in Unternehmen und Behörden SOX / SOA MARION Basel II Solvency II ISO/IEC 17799 ISO/IEC 13335 IT-Grundschutz KonTraG CoBiT BS 7799 Verordnung für EU-Zahlstellen ISO 27001 118.05.06 7 Internationale Standards zum Management der Informationssicherheit ISO 27000 ff.: ISO 27000 (geplant, basierend auf ISO 13335-1): 1): Informationssicherheits-Managementsysteme Begriffe und Definitionen ISO 27001 (veröffentlicht, ehemals BS 7799-2): Informationssicherheits-Managementsysteme Anforderungen (ISMS-Zertifizierungsstandard) ISO 27002 (geplant, basierend auf ISO 17799): Leitfaden für Informationssicherheits-Management (eigentlich aber fas nur eine Detaillierung des Maßnahmenkatalogs der ISO 27001) 118.05.06 8 4
Internationale Standards zum Management der Informationssicherheit ISO 27000 ff. (Fortsetzung): ISO 27003 (1 st WD): Informationssicherheits-Managementsysteme Leitfaden zur Umsetzung ISO 27004 (3 rd WD): Informationssicherheits-Managementsysteme Messung der Leistungsfähigkeit ( Measurements ) ISO 27005 (2 nd CD): Management der Informationssicherheits-Risiken (basiert auf ISO 13335-1,2,(3) und BS 7799-3) usw. 118.05.06 9 Internationalisierung des IT-Grundschutzansatzes des BSI Kernaussagen: Der IT-Grundschutz-Ansatz des BSI ist ein ISMS-Ansatz, der zu den Anforderungen der ISO 27001 vollständig kompatibel ist. Die IT-Grundschutz-Ansatz bietet einer Institution eine strukturierte und praxis-orientierte Vorgehensweise sowie konkrete, detailliert beschriebene Maßnahmen zur Umsetzung der ISO 27001. 118.05.06 10 5
Zusammenführung ISO 27001 und GS Externe Kompatibilitätsstudie 05 ISO 27001 Annex A GS-Kataloge ISO 17799 Controls 118.05.06 11 Neuer Aufbau der IT-Grundschutz-Kataloge Bis 2004 Seit 2005 BSI-Standards+ Loseblattsammlung 118.05.06 12 6
Neugliederung des IT-Grundschutzes BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT- Grundschutz Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz - Prüfschema für ISO 27001-Audits - IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Baustein-Kataloge Kapitel B1 Übergreifende Aspekte -B 1.0 IT-Sicherheitsmanagement -... Kapitel B2 Infrastruktur Kapitel B3 IT-Systeme Kapitel B4 Netze Kapitel B5 IT-Anwendungen Gefährdungs-Kataloge Maßnahmen-Kataloge 118.05.06 13 neu BSI-Sicherheitsstandards 2005 BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz sowie Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz 118.05.06 14 7
neu BSI-Standard 100-1 ISMS ISMS: Managementsysteme für Informationssicherheit Zielgruppe: Management Allgemeine Anforderungen an ein ISMS Kompatibel mit ISO 27001 Empfehlungen aus ISO 13335 und 17799 Ressourcen Strategie ISMS Management- Prinzipien Mitarbeiter 118.05.06 15 neu BSI-Standard 100-1 ISMS ISMS: Managementsysteme für Informationssicherheit [Fts.] Darstellung unabhängig von der gewählten Methode zur Umsetzung der grundsätzlichen Anforderungen an ein ISMS Leicht verständliche und systematische Anleitung zur Umsetzung der Anforderungen Inhaltliche Darstellung der relevanten ISO-Standards Teilweise ausführlichere Beschreibung ausgewählter Themen Didaktische Aufbereitung 118.05.06 16 8
ISMS-Definition und Prozessbeschreibung Komponenten eines ISMS IT-Sicherheitsstrategie als zentrale Komponente des ISMS: Ziele Rahmenbedingungen IT-Sicherheitsstrategie Hilfsmittel zur Umsetzung: Dokumentation, Bekenntnis IT-Sicherheitskonzept IT-Sicherheitsorganisation IT-Sicherheitsleitlinie (englisch: security policy) 118.05.06 17 ISMS-Definition und Prozessbeschreibung Komponenten eines ISMS Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT- Sicherheitskonzeptes und einer IT-Sicherheitsorganisation Hilfsmittel zur Umsetzung IT-Sicherheitsstrategie IT-Sicherheitsorganisation IT-Sicherheitskonzept Prozesse, Abläufe Strukturen Maßnahmen Beschreibung der IT-Struktur Risikobewertung Regeln, Anweisungen 118.05.06 18 9
BSI-Standard 100-2 - BSI-Standard zur IT Sicherheit - neu 118.05.06 19 Übersicht über den IT-Sicherheitsprozess 1 2 Initiative der Geschäftsführung Analyse der Rahmenbedingungen Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) 3 Sicherheitscheck Sicherheitsmaßnahmen Identifikation von Sicherheitslücken 118.05.06 20 10
4 5 Planung von Maßnahmen Umsetzung von Maßnahmen Übersicht über den IT-Sicherheitsprozess Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos Implementierung Test Notfallvorsorge 6 Sicherheit im laufenden Betrieb Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge 118.05.06 21 BSI-Standard 100-2 Anwendungsweise Konkrete und methodische Hilfestellungen zur schrittweisen Einführung eines Managementsystems für Informationssicherheit auf Basis von IT-Grundschutz Betrachtung der einzelnen Phasen des 1 IT-Sicherheitsprozesses 2 Vorbildliche Lösungen aus der Praxis, Best Practice -Ansätze 3 Beschreibung des Vorgehens 4 zur Zertifizierung 5 Initiative der Analyse: Geschäftsprozesse, Geschäftsführung Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Analyse der Informationen, IT-Systeme, Rahmenbedingungen Schutzbedarf (Szenarien) Anwendungen Sicherheitsmaßnahmen Sicherheitscheck Identifikation von Sicherheitslücken Liste geeigneter Maßnahmen Planung von Kosten- und Nutzenanalyse Maßnahmen Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos Umsetzung Implementierung von Test Maßnahmen Notfallvorsorge 6 Sicherheit im laufenden Betrieb Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge 118.05.06 22 11
BSI-Standard 100-2 Wesentliche Merkmale Aufbau und Betrieb eines IT-Sicherheitsmanagements (ISMS) in der Praxis Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern 118.05.06 23 BSI-Standard 100-2 Wesentliche Merkmale Interpretation der Anforderungen aus ISO 13335, 17799 und 27001 Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung Erprobte und effiziente Möglichkeit, den Anforderungen der ISO-Standards nachzukommen 118.05.06 24 12
IT-Sicherheitsmanagement mit IT-GS Übersicht IT-Sicherheitsprozess Initiierung des IT-Sicherheitsprozesses Erstellung und Umsetzung einer IT-Sicherheitskonzeption Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung 118.05.06 25 IT-Sicherheitskonzeption IT-Verbund IT-Strukturanalyse Analyse des Ist-Zustands Welche Systeme und Anwendungen? - Infrastruktur - Organisation - Personal - Technik Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf ca. 20% Konsolidierung der Maßnahmen Realisierung der Maßnahmen 118.05.06 26 13
Internet Server für Personalverwaltun (Windows NT) Router Standleitung Primärer Domänen- Exchange- File-Server (Windows NT) (Windows NT) (Novell N ) Firewall Switch 15 Client- (Windows NT) Switch IP Kommunikations Server (Unix) Router Router IP 75 Client- (Windows NT) Backup Domänen- (Windows NT) Switch Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs 118.05.06 27 Basis-Sicherheitscheck IT-Grundschutz-Modell Liegenschaft Bonn Liegenschaft Berlin 40 Client- (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich Realisierte Maßnahmen umzusetzende Maßnahmen 118.05.06 28 14
IT-Sicherheitskonzeption IT-Verbund IT-Strukturanalyse Analyse des Ist-Zustands Welche Systeme und Anwendungen? - Infrastruktur - Organisation - Personal - Technik Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf ca. 20% Konsolidierung der Maßnahmen Realisierung der Maßnahmen 118.05.06 29 BSI-Standard 100-3 - Risikoanalyse auf der Basis von IT- Grundschutz - neu 118.05.06 30 15
Risikoanalyse auf der Basis von IT-Grundschutz normaler Schutzbedarf erhöhter Schutzbedarf IT-Grundschutz Teil I - IT-Strukturanalyse - Schutzbedarfsfeststellung - Modellierung - Basis-Sicherheitscheck I Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung IT-Grundschutz Teil II - Basis-Sicherheitscheck II - Realisierung - Zertifizierung Maßnahmenauswahl zur Behandlung von Risiken Konsolidierung des IT-Sicherheitskonzepts 118.05.06 31 BSI-Standard 100-3 Risikoanalyse Risikoanalyse auf der Basis von IT-Grundschutz ergänzende Sicherheitsanalyse Methodik zur vereinfachten Analyse von IT-Risiken mit Hilfe der in den IT-Grundschutz- Katalogen aufgeführten Gefährdungen Eintrittswahrscheinlichkeiten nur implizit bei Ermittlung und Bewertung von Gefährdungen betrachtet Keine separate Untersuchung von Bedrohungen, Schwachstellen und Risiken Grundschutzanalyse Grundschutzmaßnahmen Konsolidierung der Maßnahmen höherwertige Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen 118.05.06 32 16
BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz Eine Ergänzende Sicherheitsanalyse ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert. IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist- Vergleich) Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT- Grundschutz Konsolidierung der Maßnahmen Realisierung der Maßnahmen 118.05.06 33 BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz 1 Erstellung der Gefährdungsübersicht 2 Ermittlung zusätzlicher Gefährdungen 3 Gefährdungsbewertung 4 Maßnahmenauswahl zur Behandlung von Risiken 5 Konsolidierung des IT-Sicherheitskonzepts 118.05.06 34 17
Vorgehensweise im Überblick Initiierung des IT-Sicherheitsprozesses IT-Strukturanalyse Schutzbedarfsfeststellung Aufrechterhaltung Überprüfung Informationsfluss Zertifizierung Modellierung Basis-Sicherheitscheck I Ergänz. Sicherheitsanalyse Basis-Sicherheitscheck II Gefährdungsübersicht Zusätzliche Gefährdungen Gefährdungsbewertung Behandlung von Risiken Realisierung Konsolidierung Standard-Sicherheit Risikoanalyse 118.05.06 35 Vorgehensweise im Überblick Initiierung des IT- Sicherheitsprozesses IT- Strukturanalyse Aufrechterhaltung Überprüfung Informationsfluss Zertifizierung Schutzbedarfsfeststellung Modellierung Basis- Sicherheitscheck I Ergänz. Sicherheitsanalyse Basis- Sicherheitscheck II Gefährdungsübersicht Zusätzliche Gefährdungen Gefährdungsbewertung Behandlung von Risiken Realisierung Konsolidierung Standard- Sicherheit Risikoanalyse 118.05.06 36 18
Risikoanalyseansatz Zusätzliche Maßnahmen der Ergänzende Risikoanalyse Maßnahmen der IT-Grundschutz-Kataloge 118.05.06 37 Vorteile diese Risikoanalyseansatzes effizienter und kostengünstiger Ansatz basiert auf eine Best-Praxis Ansatz Erg. Risiko. Grundschutz aufbauender und modaler Ansatz Konkrete Umsetzungshinweise Umsetzung-Beispiele (Web-Kurs ab Juni 2006) wenn GS schon umgesetzt wurde nur noch ein kleiner Schritt 118.05.06 38 19
Internationale IT-Grundschutz-Zertifizierung ISO 27001-Zertifizierung auf der Basis von Grundschutz BSI-Standard Reihe ISMS GS-Methodik IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? Erg. Sicherheitsanalyse Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca.. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf ca. 20% Konsolidierung der Maßnahmen Realisierung der Maßnahmen IT-Verbund 118.05.06 39 BSI-Zertifizierungsschema BSI-Zertifikat Unterstützt durch lizenzierte Auditoren internationale Komitees für - Kriterienentwicklung und -harmonisierung - gegenseitige Anerkennung IT- Grundschutz Produkt Bundesamt für Sicherheit in der Informationstechnik Unterstützt durch akkredititierte Prüfstellen internationale Komitees für - Kriterienentwicklung und -harmonisierung - gegenseitige Anerkennung IT-Grundschutz-Zertifikat bestätigt funktionierendes und effektives IT- Sicherheitsmanagement Kunde, Nutzer, Anwender Produktzertifikat bestätigt produktspezifische Sicherheitsfunktionalität und -qualität Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung. 118.05.06 40 20
Entwicklungen der Zertifizierung BSI zertifiziert nach deutschen und nach internationalen Standards BS 7799 Teil 2 geht über in ISO 27001 (Veröffentlicht 15. Oktober 2005) Hinweis: Unter http://www.iso.org/iso/en/combinedqueryresult.combinedqueryres oder http://www.beuth.de kann man die Norm ISO 27001 kostenpflichtig beziehen. Anfang 2006 stellt das BSI ISO 27001-Zertifikate auf der Basis von IT-Grundschutz aus, und realisiert eine nationale Ausprägung der ISO 27001. 118.05.06 41 IT-Grundschutz-Zertifizierung ab 2006 Eine BSI-Zertifizierung... umfaßt sowohl eine Prüfung des ISMS als auch der konkreten IT- Sicherheitsmaßnahmen auf Basis von IT-Grundschutz, beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung. Vom BSI lizenzierte Auditoren... erfüllen alle Anforderungen, die die ISO an Auditoren für ein ISMS stellt (EA-7/03) 118.05.06 42 21
ISO-27001 Zertifizierung auf Basis von IT-Grundschutz GS-Zertifizierung alt Schutzbedarfsfeststellung GSHB M Ergänzung M Konsolidierung der M GSHB = Grundschutzhandbuch = Komponenten mit normalem Schutzbedarf = Komponenten mit hohem Schutzbedarf M = Maßnahmen = Komponenten mit sehr hohem Schutzbedarf 118.05.06 43 ISO-27001 Zertifizierung auf der Basis von IT-Grundschutz GS-Zertifizierung alt 27001-Zertifizierung Schutzbedarfsfeststellung Schutzbedarfsfeststellung GSHB GSHB M Ergänzung M Ergänzung M M Konsolidierung der M Konsolidierung der M GSHB = Grundschutzhandbuch = Komponenten mit normalem Schutzbedarf = Komponenten mit hohem Schutzbedarf M = Maßnahmen = Komponenten mit sehr hohem Schutzbedarf 118.05.06 44 22
ISO-27001 Zertifizierung auf Basis von IT-Grundschutz 118.05.06 45 Zertifizierung Beteiligte Stellen Antragsteller Umsetzung von IT-Grundschutz Prüfer/ Auditor Prüfung des IT-Verbunds Erstellung eines Auditreports Zertifizierungs- stelle Anforderungen an Prüfer/ Auditoren Lizenzierung von Auditoren Prüfschema Prüfung des Auditreports Veröffentlichung 118.05.06 46 23
Ablauf eines Zertifizierungsverfahrens Antrag Zustimmung 118.05.06 47 Ablauf eines Zertifizierungsverfahrens Antrag Zustimmung Audit Unabhängigkeitserklärung Unabhängigkeitserklärung Nachbesserungen Auditreport 118.05.06 48 24
Ablauf eines Zertifizierungsverfahrens Antrag Zustimmung Audit Unabhängigkeitserklärung Nachbesserungen Auditreport Prüfung Nachforderungen 118.05.06 49 Geforderte Referenzdokumente Bestandteil des Auditreports A1 IT-Strukturanalyse A2 Schutzbedarfsfeststellung A3 Modellierung des IT-Verbunds A4 Ergebnis des Basis-Sicherheitschecks (optional) A5 Ergänzende Sicherheitsanalyse A6 Risikoanalyse 118.05.06 50 25
Phasen der ISO 27001-Zertifizierung Initialisierung Zertifizierungs-Antrag Befugnis für die Durchführung eines Audits Ggf. Abstimmung des IT-Verbundes Durchführung des Audits Prüfung der Dokumentation Vorbereitung des Audit-Tätigkeiten vor Ort Durchführung der Audit-Tätigkeiten vor Ort Re-Zertifizierungs- Audit Bewertung des Audits Erstellung des Auditreports Nachprüfung 118.05.06 51 Stufenkonzept Vertrauenswürdigkeit C B A ISO 27001-Zertifikat nach IT-Grundschutz Auditor-Testat Aufbaustufe Auditor-Testat Einstiegsstufe Sicherheit 118.05.06 52 26
neu ISO 27001-Zertifizierung und Auditor-Testate Auditor-Testat Einstiegsstufe Auditor-Testat Aufbaustufe 27001-Zertifikat GS-Auditor GS-Auditor 27001-Auditor 45 45 2500 118.05.06 53 Überblick Lizenzierungsschema Antragstellung Vertragsabschluss Fachkundenachweis Schulung/Prüfung Prüfung der eingereichten Fachkundenachweise 118.05.06 54 27
Lizenzierungsverfahren für ISMS-Audits ISO/EN45012 EA7/03 ISO 1911 Zertifizierungsstelle BSI Nachweise GS-Auditoren Lizenz als Auditor für ISO-27001 118.05.06 55 Neue Anträge Für neue Anträge gelten ab 1.1.2006 die folgenden Voraussetzungen: Für das Lizenzierungsverfahren wird vom BSI eine Pauschalgebühr von voraussichtlich ca. 3000 Euro erhoben. Eine Lizenz als Auditor ist 5 Jahre gültig. Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen Eine Verlängerung der Gültigkeit ist durch eine neue Antragstellung möglich. (Punkteschema) 118.05.06 56 28
Ablauf eines Lizenzierungsverfahrens Antragstellung mit Fachkompetenznachweisen. 5-tägige Schulungsveranstaltung beim BSI. Prüfung wurde bestanden. Die Kosten für die Lizenzierung sind entrichtet. Der Lizenzierungsvertrag zwischen BSI und Auditor ist unterzeichnet (Personenlizenz). 118.05.06 57 Was hat sich bei der Lizenzierung geändert? Zeugnis über den Studiumsabschluss oder Nachweise einer vergleichbaren Ausbildung 5-jährige Berufserfahrung im Bereich Informationstechnik 2-jährige IT-Sicherheitserfahrung 5-tägige Schulung von insgesamt 40 Stunden 4 Audits von zusammen mindestens 20 Personentagen 118.05.06 58 29
Fragen??????? 118.05.06 59 Das GSHB 2005 Die IT-Grundschutz-Kataloge IT-GSHB 2005 Baustein-Katalog (ca. 70 Bausteine) Gefährdungs-Katalog (ca. 380 Gefährdungen) 4 3 2 1 Maßnahmen-Katalog (ca. 930 Maßnahmen) 3100 Seiten 118.05.06 60 30
Das GSHB 2005 Anpassung des Bausteins ISMS Initiierung Initiierung des des IT-Sicherheitsprozesses: - - Übernahme Übernahme der der Verantwortung Verantwortung durch durch die die Leitung Leitung - - Erstellung Erstellung einer einer IT-Sicherheitsleitlinie IT-Sicherheitsleitlinie - - Einrichtung Einrichtung der der IT-Sicherheitsorganisation IT-Sicherheitsorganisation Erstellung Erstellung des des IT-Sicherheitskonzeptes Umsetzung: Umsetzung: Realisierung Realisierung fehlender fehlender Maßnahmen Maßnahmen in in den den Bereichen Bereichen Infrastruktur, Infrastruktur, Organisation, Organisation, Personal, Personal, Technik, Technik, Kommunikation Kommunikation und und Notfallvorsorge, Notfallvorsorge, insbesondere insbesondere - - Sensibilisierung Sensibilisierung für für IT-Sicherheit IT-Sicherheit - - Schulung Schulung zur zur IT-Sicherheit IT-Sicherheit Aufrechterhaltung Aufrechterhaltung im im laufenden laufenden Betrieb Betrieb Baustein B 1.0 IT-Sicherheitsmanagement 118.05.06 61 IT-Grundschutz-Kataloge 2005 Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Bausteine + Gefährdungen + Maßnahmen Loseblattsammlung 118.05.06 62 31
Das Grundschutz-Kataloge 2005 Bausteine 2005 neu 7. Ergänzungslieferung Neue Bausteine IT-Sicherheitssensibilisierung und -schulung (Schicht 1) Mobiler Arbeitsplatz (Schicht 2) Besprechungs-, Vortrags- und Schulungsräume (Schicht2) Client unter Windows XP (Schicht 3) Überarbeitete Bausteine: IT-Sicherheitsmanagement Laptop Organisation und Personal allg. Server und allg.client 118.05.06 63 Dienstleistungen und Produkte rund um den IT-Grundschutz - Sicherheitsbedarf, Anspruch Webkurs zum Selbststudium Leitfaden IT-Sicherheit Hilfsmittel & Musterrichtlinien Software: GSTOOL Beispiele: GS-Profile + ISO 27001- Zertifikat CERT Viren Internet Zertifizierung E-Government Kryptographie Mobilfunk kritische Infrastrukturen Biometrie... 118.05.06 64 32
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Angelika Jaschob Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)1888-9582-5160 Fax: +49 (0)1888-9582-905160 angelika.jaschob@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de 118.05.06 65 33