IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015
Agenda Das BSI Informationssicherheit Definition und Beispiele Standards Vorstellung und Tätigkeitsfelder ISO und BSI Idee, Aufbau und Veröffentlichungen Folie 2
Das BSI Kurzvorstellung Bundesamt für Sicherheit in der Informationstechnik: Unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung: 1991 per Gesetz als natioale Behörde für IT-Sicherheit Standort: Bonn Geschäftsbereich des BMI Mitarbeiter: 575 Jahresbudget: 88 Mio. (Stand 31.12.2013) Folie 3
Das BSI Tätigkeitsfelder Regierung und Verwaltung Bürger IT-Sicherheitsberatung Sensibilisierungskampagnen Entwicklung von Kryptosystemen BSI-Internetangebote CERT Bund Informationsmaterialien Betrieb des Regierungsnetzes Service-Center für Privatanwender Unterstützung E-Government Cyber-Abwehrzentrum Unterstützung von Großprojekten (z.b. npa, Galileo) Wissenschaft Wirtschaft Mitwirkung beim IT-Sicherheitsforschungsprogramm Zertifizierung von Produkten des BMBF Kooperation mit ISPs Finanzielle Förderung von Kompetenzzentren für Kooperation mit UP KRITIS die IT-Sicherheitsforschung: Allianz für Cyber-Sicherheit BSI ist einer der Assessoren BSI Kooperation mit Universitäten Holger Schildt 4
Informationssicherheit Informationssicherheit hat den Schutz von Informationen als Ziel. Grundwerte der Informationssicherheit sind dabei u.a. die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen Informationen können dabei auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Informationssicherheit liefert mehr als reine IT-Sicherheit 5
Informationssicherheit In der Praxis Technische Sicherheitslösungen Firewalls Virenschutzprogramme Intrusion- und Detection-Systeme Spam-Filter... Sinnvolle Umsetzung Im Einklang mit Geschäftsprozessen? Werden auch nicht technische Aspekte berücksichtigt? Wurden die Investitionen an der richtigen Stelle getätigt und sind sie angemessen? Folie 6
Was hat dieses Bild mit Informationssicherheit zu tun? Teure Investition bedeutet keine höhere Sicherheit 7
Informationssicherheit Beispiele Smartphones Persönliche Daten Kamera, GPS und Datenverbindungen Soziale Netze Cloud-Anbindung Zweckmäßigkeit Risiko Folie 8
Informationssicherheit Sicherheit ist...... kein Produkt Sicherheit kann man nicht kaufen. Sicherheit muss man schaffen! Natürlich muss man dazu auch auf vorhandene Produkte zurückgreifen.... kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen. Sicherheit muss aufrechterhalten werden! Natürlich kann man Aufbau und Aufrechterhaltung von Sicherheit auch teilweise in Projekten abwickeln.... ein Prozess Chefsache Folie 9
Informationssicherheit in einer Organisation Viele Wege führen zur Informationssicherheit... Welcher Weg ist der effektivste? Folie 10
Standards ISO ISO 27001:2005 Information technology - Security techniques - Information security management systems - Requirements erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001) Qualität (ISO 9001) Umwelt (ISO 14001) dient als Grundlage einer Zertifizierung ISO 27002:2005 Information technology - Security techniques - Code of practice for information security management keine Spezifikation und kein Zertifizierungsstandard dient zum besseren Verständnis der in der ISO 27001 definierten Anforderungen Folie 11
Die Idee Typische Komponenten Typische Gefährdungen, Schwachstellen und Risiken Konkrete Umsetzungshinweise für das Sicherheitsmanagement Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen Vorbildliche Lösungen aus der Praxis Best Practice -Ansätze Folie 12
Die Ziele verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind. Folie 13
seit 2005 BSI-Standards + Loseblattsammlung Folie 14
Standards BSI BSI 100-1 Managementsysteme für Informationssicherheit (ISMS) BSI 100-2 -Vorgehensweise BSI 100-3 Risikoanalyse auf der Basis von BSI 100-4 Notfallmanagement Folie 15
-Kataloge 1 Einführung 2 3 Modellierungshinweise 4 Baustein-Kataloge 5 Gefährdungs-Kataloge Maßnahmen-Kataloge Folie 16
Themengebiete der Bausteine SCHICHT I ÜBERGREIFENDE ASPEKTE SCHICHT II INFRASTRUKTUR SCHICHT III IT-SYSTEME SCHICHT IV NETZE SCHICHT V ANWENDUNGEN Folie 17
Struktur der Bausteine Gefährdungskatalog Maßnahmenkatalog Höhere Gewalt Infrastruktur Organisation Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Bausteine Personal Hard-/Software Kommunikation Notfallvorsorge Folie 18
Zertifizierung nach ISO 27001 Zertifizierung nach ISO 27001 auf der Basis von implementiert die ISO 27001 Prüfschema für ISO 27001-Audits: www.bsi.bund.de/iso27001-zertifikate Folie 19
Publikationen Hilfsmittel Leitfaden Informationssicherheit Goldene Regeln Kapitel ("Bausteine") Profile Gefährdungskataloge Maßnahmenkataloge Folie 20
Publikationen Leitfaden Informationssicherheit Idee: Komprimiert die wichtigsten Fakten zur Informationssicherheit Zielgruppe: Einsteiger, Management, eilige Leser, kleine bis mittlere Unternehmen und Behörden Darstellung: nachvollziehbar, realitätsnah Schwerpunkt: Organisation und Prozesse, technische Hinweise, ohne Details Motivation zur vertieften Beschäftigung mit Informationssicherheit Kompakter Überblick: und die wichtigsten Sicherheitsmaßnahmen Folie 21
Publikationen Goldene Regeln Zielgruppe: Management, Einsteiger Überblick: Wichtigste Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite Nicht mehr als 10 Regeln Folie 22
Publikationen Überblickspapiere Als Download verfügbar Android Apple ios Online-Speicher Smartphones Netzzugangskontrolle Vorabversionen von Bausteinen Windows 8 Folie 23
Publikationen Das Profil für den Mittelstand passt Maßnahmen an die Anforderungen der Informationstechnik für den Mittelstand an, zeigt, dass die -Methodik auch im Mittelstand sinnvoll angewendet werden kann, bietet mehr Sicherheit in der mittelständigen Wirtschaft. Folie 24
Wo gibt es das alles? als Buch auf der BSI-Webseite www.bsi.bund.de/grundschutz Folie 25
Jetzt auch auf Twitter @IT_Grundschutz Das Hashtag zum -Tag #itgstag Folie 26
Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? -Hotline Telefon: 0228-9582-5369 E-Mail: grundschutz@bsi.bund.de GSTOOL-Hotline Telefon: 0228-9582-5299 E-Mail: gstool@bsi.bund.de XING-Forum https://www.bsi.bund.de/grundschutz Folie 27
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-9582-5405 grundschutz@bsi.bund.de www.bsi.bund.de/grundschutz Gruppe im XING-Forum: https://www.xing.com/net/itgrundschutz Folie 28