Neues zum IT-Grundschutz

Ähnliche Dokumente
Wo stehen wir und wo wollen wir hin? Neues zum IT-Grundschutz

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Wo stehen wir und wo wollen wir hin? Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Ausblick und Diskussion

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

GSTOOL 5.0 Die nächste Generation

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND

Neues vom IT-Grundschutz Aktuelle Entwicklungen, Modernisierung und Diskussion

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

Neues vom IT-Grundschutz: Ausblick und Diskussion

Glücklich mit Grundschutz Isabel Münch

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick

IT-Grundschutz - der direkte Weg zur Informationssicherheit

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Neues vom IT-Grundschutz: Ausblick und Modernisierung

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

15 Jahre IT-Grundschutz

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

IT-Grundschutz - Informationssicherheit ohne Risiken und Nebenwirkungen

Modernisierung des IT-Grundschutzes

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Compliance und IT-Sicherheit

Neues vom IT-Grundschutz: Ausblick und Diskussion

Vorgehensweisen des neuen IT-Grundschutzes

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch 1998

Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Cloud Computing mit IT-Grundschutz

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

IT-Grundschutz und Zertifizierung

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Aktueller Stand der Modernisierung des IT-Grundschutzes

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Aktueller Stand der Modernisierung des IT-Grundschutzes

Neue Trends IT-Grundschutzhandbuch

Zieleinlauf: Die neuen Standards, Bausteine und Profile

Übergabe DE-CIX Internet Exchange (BSI-IGZ )

Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

npa warum Basis-Sicherheitscheck? krz Forum 2010 Jeanette Timme

CeBIT 2016 Modernisierung des IT-Grundschutzes. Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Page 1 of 50. IT Grundschutz Compliance on Amazon Web Services

Verinice.XP Grundschutztool verinice beim Brandenburgischen IT-Dienstleister (ZIT-BB)

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz heute und morgen

Die Modernisierung des IT-Grundschutzes

by Trigonum GmbH

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick. Christoph Wiemers IT-Grundschutz

Praktizierter Grundschutz in einem mittelständigen Unternehmen

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

E-Government-Initiative für D und den neuen Personalausweis

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Verbindliche Prüfthemen für die IS-Kurzrevision

IT-Grundschutz Informationssicherheit in der Praxis. Isabel Münch Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen

Ausblick und Diskussion

- Design hochverfügbarer Server- und Storage-Umgebungen - Server- und Storage-Assessments Datenanalyse und -klassifizierung

IT-Grundschutz-Profil für Handwerksbetriebe

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

IT-Grundschutz: Cloud-Bausteine

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

IT-Grundschutz Systematische IT- und Internet- Sicherheit

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Automatisierter IT-Grundschutz Hannover

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

Zertifizierung IT-Sicherheitsbeauftragter

Neustrukturierung des IT-Grundschutzes

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Modernisierung des IT-Grundschutz. Berlin, den 15. September 2015

Informationssicherheit Überblick über Standards und Zertifizierung. 07. Juni 2013, Frankfurt

Modernisierung IT-Grundschutz. Auswertung der Workshops

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

IT-Grundschutz-Methodik im Kontext von Outsourcing

Prüffragen im IT-Grundschutz Zielsetzung, Erstellung, Anwendung. Dirk Weil

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

IT-Grundschutz Einführung und Anwendung auf Datenbanken

krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz

Transkript:

Neues zum IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz 5. IT-Grundschutz-Tag 2012 22.11.2012

Inhalte Status Weiterentwicklung IT-Grundschutz IT-Grundschutz-Kataloge Umstrukturierungen in den IT-Grundschutz-Katalogen Prüffragen ISO 27001 Zertifizierung auf der Basis von IT- Grundschutz GSTOOL Überblickspapiere Diskussion Holger Schildt Folie 2

IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Holger Schildt Folie 3

IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen der ISO 2700x Anpassung Risikoanalyse Virtualisierung Schutzbedarf und BIA enger abstimmen Und diverses mehr Holger Schildt Folie 4

IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Holger Schildt Folie 5

IT-Grundschutz-Kataloge 5 4 3 2 1 Veröffentlichung generell Neue Bausteine EV-Modell Prüffragen Holger Schildt Folie 6

Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Holger Schildt Folie 7

Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro Holger Schildt Folie 8

Neue Bausteine B 3.304 Virtualisierung B 3.305 Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung IT-Grundschutz-Kataloge 12. Ergänzungslieferung Überarbeitete Bausteine B 3.401 TK-Anlage B 5.4 Webserver Gestrichene Bausteine B 3.403 Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver Holger Schildt Folie 9

IT-Grundschutz-Kataloge 12. Ergänzungslieferung Status Als Druckwerk veröffentlicht Dezember 2011 Als PDF auf BSI-Webseite veröffentlicht Februar 2012 Metadatenupdate sowie zugehörige HTML-Aktualisierung für GSTOOL 4.7 Juni 2012 Online-HTML-Version ist Stand 11. EL! Holger Schildt Folie 10

IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Holger Schildt Folie 11

Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management B 1.13 Sensibilisierung B 3.404 Mobiltelefon / B 3.405 PDA Neue Bausteine Cloud-Management Webservices Cloud-Nutzung Cloud-Storage Anwendungsentwicklung Holger Schildt Folie 12

E-V-Modell Holger Schildt Folie 13

E-V-Modell (1) Ziel: Weg: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch Holger Schildt Folie 14

E-V-Modell (2) Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine Holger Schildt Folie 15

E-V-Modell Schicht 1 Beispiel: Einteilung in elementare und vertiefende Bausteine B 1.0 Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfall-Management B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.7 Kryptokonzept B 1.8 Incident Handling B 1.9 Hard- und Software- Management B 1.10 Standardsoftware B 1.11 Outsourcing B 1.12 Archivierung B 1.13 Sicherheitssensibilisierung und -schulung B 1.14 Patch- und Änderungsmanagement B 1.15 Löschen und Vernichten von Daten B 1.16 Anforderungsmanagement Holger Schildt Folie 16

E-V-Modell Schicht 2 Benötigt: B 2.0 Allgemeine Gebäudesicherheit (B 2.1 Gebäude) B 2.2 Elektrotechnische Verkabelung B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.7 Schutzschränke B 2.8 Häuslicher Arbeitsplatz B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume B 2.12 IT-Verkabelung Holger Schildt Folie 17

E-V-Modell Schicht 3 B 3.101 Allgemeiner Server B 3.102 Server unter Unix B 3.103 Server unter Windows NT B 3.105 Server unter Novell Netware Version 4.x B 3.106 Server unter Windows 2000 B 3.107 S/390- und zseries- Mainframe B 3.108 Windows Server 2003 B 3.201 Allgemeiner Client B 3.202 Allgemeines nicht vernetztes IT-System B 3.203 Laptop B 3.204 Client unter Unix B 3.205 Client unter Windows NT B 3.207 Client unter Windows 2000 B 3.208 Internet-PC B 3.209 Client unter Windows XP B 3.301 Sicherheitsgateway (Firewall) B 3.302 Router und Switches B 3.303 Speichersysteme und Speichernetze B 3.304 Virtualisierung B 3.305 Terminalserver B 3.401 TK-Anlage B 3.402 Faxgerät (evtl. nach TK- Anlage) B 3.404 Mobiltelefon B 3.405 PDA B 3.406 Drucker, Kopierer und Multifunktionsgeräte Holger Schildt Folie 18

E-V-Modell Schicht 4 Benötigt: B 4.0 Allgemeine IT-Kommunikation / Vernetzung B 4.1 Heterogene Netze -> B 4.1 Netzarchitektur B 4.2 Netz- und Systemmanagement -> B 4.2 Netz-Management B 4.3 Modem (mit B 4.0 alle folgenden vertiefend) B 4.4 VPN B 4.5 LAN-Anbindung eines IT-Systems über ISDN B 4.6 WLAN B 4.7 VoIP B 4.8 Bluetooth Holger Schildt Folie 19

E-V-Modell Schicht 5 B 5.1 Peer-to-Peer-Dienste B 5.2 Datenträgeraustausch B 5.3 Groupware B 5.4 Webserver B 5.5 Lotus Notes B 5.6 Faxserver B 5.7 Datenbanken B 5.8 Telearbeit B 5.9 Novell edirectory B 5.10 Internet Information Server B 5.11 Apache Webserver B 5.12 Exchange 2000 / Outlook 2000 B 5.13 SAP System B 5.14 Mobile Datenträger B 5.15 Allgemeiner Verzeichnisdienst B 5.16 Active Directory B 5.17 Samba B 5.18 DNS-Server B 5.19 Internet-Nutzung Holger Schildt Folie 20

Zusammenfassung Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO 27001- Zertifikat Selbsteinschätzung Holger Schildt Folie 22

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits: www.bsi.bund.de/iso27001-zertifikate Holger Schildt Folie 23

ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und extern) Für Behörden gegenüber Bürgern oder Unternehmen Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern (z. B. Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche Anforderungen Identifikation von Mitarbeitern und Unternehmensleitung mit Sicherheitszielen Optimierung der internen Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen Vermeidung von Imageschäden Holger Schildt Folie 24

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Ausgestellte Zertifikate 2010 19 Zertifikate erteilt 2011 16 Zertifikate 2012 19 Zertifikate erteilt, 13 laufen bzw. sind in Planung 2013 12 Zertifizierungsanträge liegen schon vor Stand: 20.11.2012 Holger Schildt Folie 25

Informationen zum GSTOOL Holger Schildt Folie 26

IT-Grundschutz Hilfsmittel GSTOOL Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Sicherheitsanalyse Risikoanalyse Basis-Sicherheitscheck Anfallende Informationen werden über die grafische Benutzeroberfläche in eine Datenbank übernommen. Übersichtliche grafische Darstellung für Überblick über den aktuellen Sicherheitsstatus der betrachteten Objekte. Die Informationen können übersichtlich strukturiert mittels diverser Standardberichte ausgegeben werden. Holger Schildt Folie 27

GSTOOL 4.x Sachstand GSTOOL 4.x Funktionserweiterungen (möglich) Metadatenupdates (sicher) Support (sicher) Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Servicepack 3 derzeit in Arbeit (Verzögerungen aufgrund Arbeiten für GSTOOL 5.0) Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 etwa 1 Jahr Parallelbetrieb und Support beider GSTOOL- Versionen später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich Holger Schildt Folie 28

GSTOOL 5.0 Projektverlauf Projektverlauf Projektlaufzeit Ende 2008 bis Ende 2010 Kooperationen Bundesministerium für wirtschaftliche Zusammenarbeit (BMZ) => Projektneustart Ende 2009 mit geändertem Entwicklungsziel Bundesanstalt für Landwirtschaft und Ernährung (BLE) => Erweiterung des Funktionsumfangs Projektlaufzeit neu bis Ende 2011 Holger Schildt Folie 29

GSTOOL 5.0 Gesamtkoordination BMI BMZ BLE Bayer AG Benutzer GSTOOL BSI BMF B-POL BW BfdI B21 ZIVIT L-POL C23 C14 Holger Schildt Folie 30

GSTOOL 5.0 Projektverlauf: (erlebte) Risiken Herausforderungen / Risiken Kooperationen Verwendung von Mitteln aus Konjunkturpaket unterschätzte Komplexität der Anwendung Fehler im Projektmanagement unzureichende Qualitätssicherung Ausscheiden einer Partnerfirma wechselnde Geschäftsführung Häufig wechselnde Projektleiter wechselnde Programmierteams Gesamtkoordination Holger Schildt Folie 31

Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen Holger Schildt Folie 32

Überblickspapiere Was gibt es? Holger Schildt Folie 33

Geplante IT-Grundschutz-Tage 22.11.2012 in Berlin: IT-Grundschutz-Tag mit SerNet zu "Auditierung und IT-Grundschutz" 27.02.2013 in Berlin: IT-Grundschutz-Tag mit HiSolutions zu "Notfallmanagement" 18.04.2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster zu "Schutz vor Kriminalität und Spionage mit IT-Grundschutz" Herbst 2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu "Cloud- Zertifizierung" 09.10.2013 in Nürnberg: it-sa und viele weitere Holger Schildt Folie 34

Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 22.11.2012

Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: 0228-9582-5369 E-Mail: grundschutz@bsi.bund.de GSTOOL-Hotline Telefon: 0228-9582-5299 E-Mail: gstool@bsi.bund.de Neu: XING-Forum IT-Grundschutz https://www.bsi.bund.de/grundschutz Holger Schildt Folie 36

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee 195-198 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-9582-5405 grundschutz@bsi.bund.de www.bsi.bund.de/grundschutz IT-Grundschutz Gruppe im XING-Forum: https://www.xing.com/net/itgrundschutz Holger Schildt Folie 37

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback