Neues zum IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz 5. IT-Grundschutz-Tag 2012 22.11.2012
Inhalte Status Weiterentwicklung IT-Grundschutz IT-Grundschutz-Kataloge Umstrukturierungen in den IT-Grundschutz-Katalogen Prüffragen ISO 27001 Zertifizierung auf der Basis von IT- Grundschutz GSTOOL Überblickspapiere Diskussion Holger Schildt Folie 2
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Holger Schildt Folie 3
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen der ISO 2700x Anpassung Risikoanalyse Virtualisierung Schutzbedarf und BIA enger abstimmen Und diverses mehr Holger Schildt Folie 4
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Holger Schildt Folie 5
IT-Grundschutz-Kataloge 5 4 3 2 1 Veröffentlichung generell Neue Bausteine EV-Modell Prüffragen Holger Schildt Folie 6
Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Holger Schildt Folie 7
Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro Holger Schildt Folie 8
Neue Bausteine B 3.304 Virtualisierung B 3.305 Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung IT-Grundschutz-Kataloge 12. Ergänzungslieferung Überarbeitete Bausteine B 3.401 TK-Anlage B 5.4 Webserver Gestrichene Bausteine B 3.403 Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver Holger Schildt Folie 9
IT-Grundschutz-Kataloge 12. Ergänzungslieferung Status Als Druckwerk veröffentlicht Dezember 2011 Als PDF auf BSI-Webseite veröffentlicht Februar 2012 Metadatenupdate sowie zugehörige HTML-Aktualisierung für GSTOOL 4.7 Juni 2012 Online-HTML-Version ist Stand 11. EL! Holger Schildt Folie 10
IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Holger Schildt Folie 11
Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management B 1.13 Sensibilisierung B 3.404 Mobiltelefon / B 3.405 PDA Neue Bausteine Cloud-Management Webservices Cloud-Nutzung Cloud-Storage Anwendungsentwicklung Holger Schildt Folie 12
E-V-Modell Holger Schildt Folie 13
E-V-Modell (1) Ziel: Weg: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch Holger Schildt Folie 14
E-V-Modell (2) Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine Holger Schildt Folie 15
E-V-Modell Schicht 1 Beispiel: Einteilung in elementare und vertiefende Bausteine B 1.0 Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfall-Management B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.7 Kryptokonzept B 1.8 Incident Handling B 1.9 Hard- und Software- Management B 1.10 Standardsoftware B 1.11 Outsourcing B 1.12 Archivierung B 1.13 Sicherheitssensibilisierung und -schulung B 1.14 Patch- und Änderungsmanagement B 1.15 Löschen und Vernichten von Daten B 1.16 Anforderungsmanagement Holger Schildt Folie 16
E-V-Modell Schicht 2 Benötigt: B 2.0 Allgemeine Gebäudesicherheit (B 2.1 Gebäude) B 2.2 Elektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume B 2.12 IT-Verkabelung Holger Schildt Folie 17
E-V-Modell Schicht 3 B 3.101 Allgemeiner Server B 3.102 Server unter Unix B 3.103 Server unter Windows NT B 3.105 Server unter Novell Netware Version 4.x B 3.106 Server unter Windows 2000 B 3.107 S/390- und zseries- Mainframe B 3.108 Windows Server 2003 B 3.201 Allgemeiner Client B 3.202 Allgemeines nicht vernetztes IT-System B 3.203 Laptop B 3.204 Client unter Unix B 3.205 Client unter Windows NT B 3.207 Client unter Windows 2000 B 3.208 Internet-PC B 3.209 Client unter Windows XP B 3.301 Sicherheitsgateway (Firewall) B 3.302 Router und Switches B 3.303 Speichersysteme und Speichernetze B 3.304 Virtualisierung B 3.305 Terminalserver B 3.401 TK-Anlage B 3.402 Faxgerät (evtl. nach TK- Anlage) B 3.404 Mobiltelefon B 3.405 PDA B 3.406 Drucker, Kopierer und Multifunktionsgeräte Holger Schildt Folie 18
E-V-Modell Schicht 4 Benötigt: B 4.0 Allgemeine IT-Kommunikation / Vernetzung B 4.1 Heterogene Netze -> B 4.1 Netzarchitektur B 4.2 Netz- und Systemmanagement -> B 4.2 Netz-Management B 4.3 Modem (mit B 4.0 alle folgenden vertiefend) B 4.4 VPN B 4.5 LAN-Anbindung eines IT-Systems über ISDN B 4.6 WLAN B 4.7 VoIP B 4.8 Bluetooth Holger Schildt Folie 19
E-V-Modell Schicht 5 B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 Groupware B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell edirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 B 5.13 SAP System B 5.14 Mobile Datenträger B 5.15 Allgemeiner Verzeichnisdienst B 5.16 Active Directory B 5.17 Samba B 5.18 DNS-Server B 5.19 Internet-Nutzung Holger Schildt Folie 20
Zusammenfassung Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO 27001- Zertifikat Selbsteinschätzung Holger Schildt Folie 22
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits: www.bsi.bund.de/iso27001-zertifikate Holger Schildt Folie 23
ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und extern) Für Behörden gegenüber Bürgern oder Unternehmen Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern (z. B. Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche Anforderungen Identifikation von Mitarbeitern und Unternehmensleitung mit Sicherheitszielen Optimierung der internen Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen Vermeidung von Imageschäden Holger Schildt Folie 24
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Ausgestellte Zertifikate 2010 19 Zertifikate erteilt 2011 16 Zertifikate 2012 19 Zertifikate erteilt, 13 laufen bzw. sind in Planung 2013 12 Zertifizierungsanträge liegen schon vor Stand: 20.11.2012 Holger Schildt Folie 25
Informationen zum GSTOOL Holger Schildt Folie 26
IT-Grundschutz Hilfsmittel GSTOOL Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Sicherheitsanalyse Risikoanalyse Basis-Sicherheitscheck Anfallende Informationen werden über die grafische Benutzeroberfläche in eine Datenbank übernommen. Übersichtliche grafische Darstellung für Überblick über den aktuellen Sicherheitsstatus der betrachteten Objekte. Die Informationen können übersichtlich strukturiert mittels diverser Standardberichte ausgegeben werden. Holger Schildt Folie 27
GSTOOL 4.x Sachstand GSTOOL 4.x Funktionserweiterungen (möglich) Metadatenupdates (sicher) Support (sicher) Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Servicepack 3 derzeit in Arbeit (Verzögerungen aufgrund Arbeiten für GSTOOL 5.0) Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 etwa 1 Jahr Parallelbetrieb und Support beider GSTOOL- Versionen später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich Holger Schildt Folie 28
GSTOOL 5.0 Projektverlauf Projektverlauf Projektlaufzeit Ende 2008 bis Ende 2010 Kooperationen Bundesministerium für wirtschaftliche Zusammenarbeit (BMZ) => Projektneustart Ende 2009 mit geändertem Entwicklungsziel Bundesanstalt für Landwirtschaft und Ernährung (BLE) => Erweiterung des Funktionsumfangs Projektlaufzeit neu bis Ende 2011 Holger Schildt Folie 29
GSTOOL 5.0 Gesamtkoordination BMI BMZ BLE Bayer AG Benutzer GSTOOL BSI BMF B-POL BW BfdI B21 ZIVIT L-POL C23 C14 Holger Schildt Folie 30
GSTOOL 5.0 Projektverlauf: (erlebte) Risiken Herausforderungen / Risiken Kooperationen Verwendung von Mitteln aus Konjunkturpaket unterschätzte Komplexität der Anwendung Fehler im Projektmanagement unzureichende Qualitätssicherung Ausscheiden einer Partnerfirma wechselnde Geschäftsführung Häufig wechselnde Projektleiter wechselnde Programmierteams Gesamtkoordination Holger Schildt Folie 31
Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen Holger Schildt Folie 32
Überblickspapiere Was gibt es? Holger Schildt Folie 33
Geplante IT-Grundschutz-Tage 22.11.2012 in Berlin: IT-Grundschutz-Tag mit SerNet zu "Auditierung und IT-Grundschutz" 27.02.2013 in Berlin: IT-Grundschutz-Tag mit HiSolutions zu "Notfallmanagement" 18.04.2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster zu "Schutz vor Kriminalität und Spionage mit IT-Grundschutz" Herbst 2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu "Cloud- Zertifizierung" 09.10.2013 in Nürnberg: it-sa und viele weitere Holger Schildt Folie 34
Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 22.11.2012
Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: 0228-9582-5369 E-Mail: grundschutz@bsi.bund.de GSTOOL-Hotline Telefon: 0228-9582-5299 E-Mail: gstool@bsi.bund.de Neu: XING-Forum IT-Grundschutz https://www.bsi.bund.de/grundschutz Holger Schildt Folie 36
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee 195-198 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-9582-5405 grundschutz@bsi.bund.de www.bsi.bund.de/grundschutz IT-Grundschutz Gruppe im XING-Forum: https://www.xing.com/net/itgrundschutz Holger Schildt Folie 37