IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004
IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server, Clients, Serverraum, E-Mail...) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten, keine klassische Risikoanalyse Empfehlung von Standard-Sicherheitsmaßnahmen konkrete Maßnahmenbeschreibung kostenlose Verteilung www.bsi.bund.de/gshb M. Mehrhoff 12.05.2004 Folie 2
Ideen des IT-Grundschutzes Organisation Infrastruktur Personal Technik Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein Information Security Management System ) Sammlung von Standard- Sicherheitsmaßnahmen für typische IT-Systeme ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-Sicherheit M. Mehrhoff 12.05.2004 Folie 3
Die IT-Grundschutz-Methodik IT-Strukturanalyse: Analyse des Ist-Zustands Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) ca. 80% ergänz. Sicherheitsanalyse bei hohem Schutzbedarf ca. 20% Konsolidierung der Maßnahmen Realisierung der Maßnahmen M. Mehrhoff 12.05.2004 Folie 4
Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine des IT-Grundschutzhandbuchs M. Mehrhoff 12.05.2004 Folie 5
Basis-Sicherheitscheck IT-Grundschutz-Modell Internet Exchange- Server (Windows NT) Primärer Domänen- Controller (Windows NT) File-Server (Novell Netware) Kommunikations - Server (Unix) Backup Domänen- Controller (Windows NT) Router Switch IP IP Switch Firewall Router Standleitung Router Switch Server für Personalverwaltun g (Windows NT) 15 Client- Computer (Windows NT) 75 Client- Computer (Windows NT) Liegenschaft Bonn Liegenschaft Berlin 40 Client- Computer (Windows NT) Maßnahmenempfehlungen Soll-/Ist-Vergleich Realisierte Maßnahmen IT-Sicherheitskonzept: umzusetzende Maßnahmen M. Mehrhoff 12.05.2004 Folie 6
IT-Grundschutzhandbuch Bausteine (Auswahl) Übergreifende Aspekte Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Virenschutzkonzept Hard- und Software- Management Outsourcing Infrastruktur Gebäude Verkabelung Büroraum Serverraum häuslicher Arbeitsplatz Rechenzentr. IT-Systeme Unix-Server Novell Netw. Windows 2k TK-Anlage Telearbeit Netze Netz-,Systemmanagement Firewall Remote Access Router u. Switches Anwendungen E-Mail WWW-Server Datenbanken IIS/ Apache Exchange/ Outlook Archivierung IT-Verbund M. Mehrhoff 12.05.2004 Folie 7
IT-Grundschutz bedeutet... Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten M. Mehrhoff 12.05.2004 Folie 8
Dienstleistungen rund um den IT- Grundschutz Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit geplant: - Webkurs Bsp. 1 GSTOOL GS- Zertifikat Bsp. 2 Bsp.3 + Risikoanalyse auf Basis des GSHB Kompendium Hochsicherheit CERT Viren Internet Zertifizierung E-Government Kryptographie Mobilfunk kritische Infrastrukturen Biometrie... M. Mehrhoff 12.05.2004 Folie 9
Leitfaden IT-Sicherheit Zielsetzung Zielgruppe: Einsteiger, eilige Leser, Management, kleine und mittlere Unternehmen und Behörden Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf höchstens 50 Seiten Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutzhandbuch light" Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT-Sicherheit M. Mehrhoff 12.05.2004 Folie 10
Leitfaden IT-Sicherheit Gliederung 1 Einleitung 2 IT-Sicherheit im Fokus 3 Wichtige Begriffe rund um die IT-Sicherheit 4 Vorschriften und Gesetzesanforderungen 5 So nicht: Schadensfälle als warnendes Beispiel 6 Die häufigsten Versäumnisse 7 Wichtige Sicherheitsmaßnahmen im Überblick 8 Das IT-Grundschutzhandbuch des BSI 9 Standards und Zertifizierung der eigenen IT-Sicherheit 10 Checklisten, Beispiel 11 Weiterführende Informationen M. Mehrhoff 12.05.2004 Folie 11
Der Web-Kurs Inhalte M. Mehrhoff 12.05.2004 Folie 12
Der Web-Kurs Übungen M. Mehrhoff 12.05.2004 Folie 13
Der Web-Kurs Sensibilisierung M. Mehrhoff 12.05.2004 Folie 14
GSTOOL Überblick Das GSTOOL leistet eine Unterstützung bei der Anwendung des IT-Grundschutzhandbuches. aktuelle Version 3.0 zum Download (30 Tage Testversion): http://www.bsi.bund.de/gstool Statistik: 3300 Lizenzen vergeben (April 04) Newsletter zum GSTOOL: Mail an: gstool@bsi.bund.de mit dem Betreff: subscribe ab Mitte 2004 auch auf Englisch erhältlich M. Mehrhoff 12.05.2004 Folie 15
M. Mehrhoff 12.05.2004 Folie 16Folie 16
GSTOOL Leistungsmerkmale - fachlich Erfassung von IT-Systemen, Anwendungen, Netzen u.s.w. Erfassung zusätzlicher Informationen Schutzbedarfsfeststellung Modellierung Schichtenmodell nach IT-Grundschutz Maßnahmenumsetzung Basis-Sicherheitscheck IT-Grundschutz-Zertifikat Kostenauswertung Revisionsunterstützung Berichtserstellung M. Mehrhoff 12.05.2004 Folie 17
IT-Grundschutz-Zertifizierung Überblick Das IT-Grundschutz-Zertifikat bescheinigt die Umsetzung der Vorgehensweise gemäß IT-Grundschutzhandbuch seit 2002 Zertifizierungsverfahren veröffentlicht Schemadokumente zum Download: www.bsi.bund.de/gshb/zert seit Januar 2004 auch auf Englisch erhältlich auf der BSI-CD enthalten M. Mehrhoff 12.05.2004 Folie 18
IT-Grundschutz-Zertifizierung Ausprägungen Selbsterklärung Einstiegsstufe Selbsterkläung Aufbaustufe Zertifikat Anzahl der Maßnahmen Anforderungen an den Prüfer Prüfung des Auditreports keine keine lizenzierter Auditor keine keine BSI Kosten (BSI) 20 20 2500 M. Mehrhoff 12.05.2004 Folie 19
IT-Grundschutz-Zertifizierung Vergleich der Siegelstufen M. Mehrhoff 12.05.2004 Folie 20
IT-Grundschutz-Zertifizierung Status Quo Selbsterklärungen 10 Selbsterklärungen Einstiegsstufe 1 Selbsterklärung Aufbaustufe Zertifikate 5 Zertifikate vergeben mehrere Anträge mehrere Ankündigungen Auditoren 125 Auditoren M. Mehrhoff 12.05.2004 Folie 21
IT-Grundschutz-Zertifizierung Erfahrungen IT-GS-Zertifizierung ist sowohl für kleine Unternehmen als auch für große Rechenzentren geeignet! Umsetzung GSHB: 6-12 Monate Aufwand des Auditors: ca. 10 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung M. Mehrhoff 12.05.2004 Folie 22
IT-Grundschutz-Zertifizierung Vorteile Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte M. Mehrhoff 12.05.2004 Folie 23
Wie geht es rund ums IT- Grundschutzhandbuch weiter? Umstrukturierung des IT-Grundschutzhandbuches neue Bausteine neue Hilfsmittel neue Version des GSTOOLs Erstellung von generischen Profilen als Beispiele der IT- Grundschutz-Vorgehensweise M. Mehrhoff 12.05.2004 Folie 24
IT-Grundschutz-Informationen IT-Grundschutz-Hotline Telefon: 0228-9582-369 E-Mail: gshb@bsi.bund.de IT-Grundschutz-Zertifikat E-Mail: gssiegel@bsi.bund.de IT-Grundschutz-Tool Telefon: 0228-9582-299 E-Mail: gstool@bsi.bund.de http://www.bsi.bund.de M. Mehrhoff 12.05.2004 Folie 25
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Michael Mehrhoff Postfach 200363 53133 Bonn Tel: +49 (0)1888-9582-189 Fax: +49 (0)1888-9582-90189 michael.mehrhoff@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de M. Mehrhoff 12.05.2004 Folie 26