BSI IT-Grundschutz reloaded: so funktioniert es auch in der Praxis it-sa 2016 Nürnberg, den 19. Oktober
Knud Brandis Partner Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA) Qualifikation Mitautor BSI IT-Grundschutzhandbuch bzw. BSI IT-Grundschutzkataloge Zertifizierter Auditor für ISO 27001 der Basis von IT-Grundschutz (BSI) DE-Mail Auditor (BSI), IS-Revisor (BSI) Certified Information System Security Professional (CISSP) Certified Information Security Manager (CISM) Certified Information System Auditor (CISA) Qualifizierter Sicherheitsgutachter Telematikinfrastruktur (gematik) ITIL Expert (APMG) 2
PERSICON im Kurzportrait Hauptsitz Gründung Mitarbeiter Friedrichstraße 100 10117 Berlin 2003 50 Spezialist für Datensicherheit Über 200 Mandanten aus Wirtschaft, Bundes- und Landesministerien Rechtskonformität und Vertrauensschutz durch Einsatz von Berufsträgern 3
Informationssysteme sind das Herz Ihres Business. Wir schützen beides. Informationssicherheitsmanagementsysteme gemäß BSI IT-Grundschutz und ISO 27001 Cybersecurity & Penetration Testing Datenschutz und IT-Compliance Sicherheitskonzepte und Risikoanalysen Kontinuitäts- und Notfallmanagement Lieferantenaudits und Ordnungsmäßigkeit von Outsourcing Ausbildung von IT-Sicherheits- und Datenschutzbeauftragten 4
Kompetenz mit Brief und Siegel IT-Sicherheitsdienstleister des Bundes Sachverständige Prüfstelle für Datenschutz und IT-Sicherheit (ULD) Akkreditierte Zertifizierungsstelle für ISO 27001 5
Überblick BSI IT-Grundschutz 6
Bundesamt für Sicherheit in der Informationstechnik (BSI) 1991 als nationale Behörde für IT-Sicherheit gegründet Hauptsitz ist Bonn Gehört zum Geschäftsbereich des Bundesministeriums des Innern (BMI) Herausgeber von IT-Grundschutz und GSTOOL Aufgaben gemäß BSI-Gesetz (Auszug): Förderung der Sicherheit in der Informationstechnik Zentrale Meldestelle für die Sicherheit in der Informationstechnik Abwehr von Gefahren für die Kommunikationstechnik des Bundes nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit 7
BSI IT-Grundschutz (1) Nationaler Standard für Informationssicherheitsmanagement mit weitgehender Kompatibilität zur internationalen Norm ISO 27001 Regelt die Einrichtung, Betrieb und Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS) Verpflichtende Anwendung für den öffentlichen Sektor Zertifizierungsfähig - Zertifizierungsstelle ist das BSI (keine DAkkS-Akkreditierung) 8
BSI IT-Grundschutz (2) Enthält detaillierte Standardsicherheitsmaßnahmen für typische IT-Umgebungen Berücksichtigt technische, organisatorische und infrastrukturelle Aspekte Detaillierte Gefährdungs- und Maßnahmenkataloge Maßnahmenorientierter Ansatz Maßnahmen sind teilweise redundant, produktbezogen und abhängig von spezifischen Produktversionen (z.b. Windows 7 ) Unterstützung durch IT-gestützte Werkzeuge (z.b. GSTOOL) Gegenentwurf zur Risikoanalyse durch initialen Verzicht auf eine Risikoanalyse für Objekte mit Schutzbedarf normal 9
Intranet Dateiablage SAP-System Mailserver Webseite TK- Anlage BSI IT-Grundschutz und der Schutzbedarf Drei Schutzbedarfskategorien: normal, hoch und sehr hoch Aufgrund fehlender methodischer Relevanz der Differenzierung im Schutzbedarf zwischen hoch und sehr hoch kann ggf. hierauf verzichtet werden Der Schutzbedarf ist jeweils getrennt für die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität zu betrachten. sehr hoher Schutzbedarf Risikoanalyse regelmäßig notwendig hoher Schutzbedarf Risikoanalyse regelmäßig nicht notwendig wenn die IT- Grundschutzmaßnahmen umgesetzt sind oder werden normaler Schutzbedarf Beispielhafte Schutzobjekte ( Assets ) 10
BSI IT-Grundschutz und die Risikoanalyse Risikoanalysen sind erst dann notwendig, wenn der Schutzbedarf höher als normal ist, untypische IT-Einsatzszenarien eintreten (z.b. Schiff, Nordpol, Flugzeug ) oder keine passenden Maßnahmen- und Gefährdungsbausteine vorliegen. Der optional anzuwendende BSI-Standard 100-3 beschreibt die vom BSI empfohlene Methodik zur Risikoanalyse. Es kann jedoch auch eine andere Methodik bzw. Norm (z.b. ISO 27005) zum (einheitlichen/konsistenten) Einsatz kommen. 11
Struktur des BSI IT-Grundschutzes Relevante BSI-Standards zum Informationssicherheitsmanagement IT-Grundschutzkataloge BSI-Standard 100-1 ISMS: Managementsysteme für Informationssicherheit BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise BSI-Standard 100-3 Risikoanalyse auf der Basis von BSI IT- Grundschutz BSI-Standard 100-4 Notfallmanagement Beschriebt die Anwendung Kapitel B1: Übergreifende Aspekte Kapitel B2: Infrastruktur Kapitel B3: IT-Systeme Kapitel B4: Netze Kapitel B5: IT-Anwendungen Enthalten jeweils Gefährdungen und Maßnahmen 12 Rein erklärender und kein normativer Charakter Verpflichtende Anwendung Kann substituiert werden Optionale Anwendung
Erstellung eines Sicherheitskonzeptes gemäß BSI Strukturanalyse Schutzbedarfsfeststellung Grundschutzanalyse Modellierung und Basis-Sicherheitscheck Ergänzende Sicherheits- und Risikoanalyse Maßnahmenplanung und Umsetzung Audit 13
IT-Grundschutz reloaded 14
Alternative Vorgehensweise IT-Grundschutz reloaded Dokumentations- und Änderungswesen (informiert permanent über relevante technische und organisatorische Änderungen am Betrachtungsgegenstand) Start Schulung, IT-SiBE, Def. IV ( ) A0-Dokumente & Maßnahmen Schicht 1 Modellierung und Basis- Sicherheitscheck Schutzbedarfsfeststellung, Sicherheits- & Risikoanalyse Maßnahmenplanung und Umsetzung (inklusive übergreifendes Notfallkonzept ÜNK ) Audit Implementierung und fortlaufende Weiterentwicklung übergreifender Basisprozesse (Beispiele: Lieferantensteuerung, interne Audits, Dokumentenlenkung, Vorfallmanagement & Meldewesen, Berechtigungswesen, Datenklassifikation- und Anforderungsmanagement ) 15
Kernpunkte der alternativen Vorgehensweise 1. Managementverantwortung übernehmen und leben 2. Organisationsübergreifende integrierte Sicherheitsvorgaben 3. Prozess- statt Maßnahmenorientierung 4. Betriebs- statt Projektfokus 5. Parallelisierung der Implementierungsphasen/Aufgaben statt Wasserfallmodell 6. Auskunfts- und Änderungsfähigkeit von IT- und Gesamtorganisation sicherstellen (Konfigurationsmanagement) 7. Synergieeffekte zu Datenschutz, Notfallwesen und ggf. Geheim- und Sabotageschutz nutzen 8. Aktive Einbindung der Fachbereiche inkl. Aufgabendelegation (Asset Owner definieren Anforderungen an Sicherheit und übernehmen die Verantwortung für deren Einhaltung) 9. Implementierung und fortlaufende Weiterentwicklung übergreifender Basisprozesse 10. Reife des Betriebs konstant dort erhöhen wo sinnvoll 11. Modularisierung von Sicherheitskonzepten und Nutzung von Automatisierungsmöglichkeiten 16 (Ergänzend/alternativ zu den allgemeinen Aspekten des IT-Grundschutzes)
Kernpunkte der alternativen Vorgehensweise: Parallelisierung der Implementierungsphasen Kein starrer Wasserfall Zeitversetzte Abarbeitung/Parallelisierung Iterationen einplanen Fortlaufende Umsetzung Auf Grundschutzmaßnahmen konzentrieren Aktive Nutzung von Alternativmaßnahmen Eigenmaßnahmen als Ergebnisse von Risikoanalysen verstehen denn das sind sie, auch wenn es einem manchmal nicht bewusst ist 17
Kernpunkte der alternativen Vorgehensweise: Prozessorientierung ein zentraler Prozess statt dezentraler und redundanter Maßnahmen Verweis (Standardtext) im BSC auf Umsetzung der Maßnahme im zentralen Prozess Idealerweise Informationsverbund-übergreifender Prozess oder zumindest Informationsverbundübergreifende Anforderungen an Implementierung, Betrieb und Überwachung eines solchen zentralen Prozesses Aufbauorganisation folgt Ablauforganisation folgt Sicherheitszielen Implementierung und fortlaufende Weiterentwicklung übergreifender Basisprozesse, beispielsweise Lieferantensteuerung interne Audits Dokumentationswesen und Dokumentenlenkung Vorfallmanagement und Meldewesen Änderungswesen und Anforderungsmanagement ( ) 18
Organisationsleitung ISMS (Vorgaben und Prozesse mit bereichsübergreifendem Geltungsbereich) Personal Produktion Fachbereiche Reporting über Zielerreichung (Ist) Anforderungen und Vorgaben (Soll) IT-Betrieb (interne und externe Dienstleister) 19
Kernpunkte der alternativen Vorgehensweise: Synergieeffekte nutzen Primär Datenschutz Notfallwesen Sekundär IT-Servicemanagement Qualitätsmanagement Anlagen- und Gebäudesicherheit Arbeitssicherheit Beispiele: Sicherheit als Sammelbegriff definieren der alle Synergiethemen bündelt Integrierte Vorgaben alle allgemeinen Aspekte für Sicherheit regeln (Beauftragte, Reporting, Organisation) und nur spezifische Fragen für den jeweilig relevanten Aspekt regeln (Unabhängigkeit des DSB, Vertraulichkeit bei Korruptionsmeldungen ) Interne Audits konsolidiert für alle Bereiche durchführen Spezialthemen Geheim- und Sabotageschutz Geldwäsche- und Korruptionsbekämpfung 20
Kernpunkte der alternativen Vorgehensweise: Betriebsfokus Fokus der Implementierung sollte der spätere Betrieb des ISMS und nicht die Implementierung mit seinem Projektcharakter sein Synergien zwischen ISMS und IT-Betrieb durch gemeinsames Vorgehens- und Prozessmodell (an ITIL angelehnt) Integration von Sicherheitsaufgaben in den Regelbetrieb (sowohl IT-Betrieb aber auch Geschäftsbetrieb in den einzelnen Fachabteilungen) Aktive Einbindung der Fachbereiche inkl. Aufgabendelegation z.b. Asset Owner Bei Nichtbeachtung besteht das Risiko des Parallelbetriebs mehrerer Managementsysteme Höhere Aufwände Geringe Akzeptanz Qualitätsrisiken Papiertiger de facto kein Managementsystem geringere Sicherheit/hohe Risiken 21
Sicherheit in einem vereinfachten Prozessmodell für den IT-Betrieb Konsument Leistungserbringer Kunde Kunden- und Anforderungssteuerung Kapazitäts-, Notfall-, Datenschutzund Sicherheitsmanagement* Kosten- und Leistungsrechnung Taktische Ebene Operative Ebene Änderungswesen/Change Management) Anwender Incident Management Problem Management Release Management Dokumentationswesen/Configuration Management (Informationslieferant für alle Prozesse) 22 *Der Prozess Sicherheitsmanagement bzw. der Sicherheitsbeauftragte stellt sicher, dass die jeweiligen Sicherheitsaufgaben in allen andern Prozessen adressiert und erfüllt sind, übernimmt jedoch nur in Ausnahmefällen operative Sicherheitsaufgaben
Vorgabedokumente und Dokumentenlenkung im ISMS 23
Geforderte Regelungsinhalte gemäß BSI IT-Grundschutz Für eine Zertifizierung gemäß BSI IT-Grundschutz werden mindestens folgende Regelungsinhalte gefordert: Leitlinie zur Informationssicherheit Richtlinie zur Risikoanalyse Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen Richtlinie zur internen ISMS-Auditierung Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen Weitere Regelungsinhalte können im Verlauf der Zertifizierung angefordert oder vor Ort eingesehen werden. Hinweis: Es tauchen im BSI IT-Grundschutz weit über 200 Hinweise zu geforderten Regelungsinhalten auf, ohne dass diese jeweils zwingend als dedizierte Dokumente gefordert sind oder sich hier eine zwingend vorgegebene Struktur ableiten ließe. 24
Dokumentenarten und deren Abgrenzung (1) Vorgabedokumente (VD) Nachweisdokumente/Aufzeichnungen (ND) Umsetzungskonzepte (UK) Definieren einen zu erreichenden Soll- Zustand Haben anweisenden Charakter (normativ) Sind in einer hierarchischen Struktur angeordnet Unterliegen der Dokumentenlenkung Belegen einen erreichten Ist-Zustand Haben nachweisenden Charakter (deskriptiv) Dienen als Nachweis der Erfüllung von Vorgaben und Anforderungen Ermöglichen Revisionssicherheit Sollten nicht änderbar sein Können der Dokumentenlenkung unterliegen Beschreiben die initiale Umsetzung der Soll-Anforderungen Haben konzeptionellen/planenden Charakter Zeigen den Weg ausgehend vom Ist- Zustand hin zum Soll-Zustand auf (Projekt) Gelten nur für einen vorübergehenden Zeitraum (bis zur Zielerreichung / zum Projektende) Unterliegen in der Regel einer häufigen Fortschreibung Hinweis: Im BSI IT-Grundschutz wird der Begriff Konzept teilweise auch für Vorgabedokumente genutzt. 25
Dokumentenarten und deren Abgrenzung (2) Begleitdokumente (BD) Standards (S) Handbücher (HB) Beinhalten zusätzliche Informationen zu einem Vorgabedokument Sollen helfen, das Verständnis und die Akzeptanz bei Freigabe, Veröffentlichung und Durchsetzung des Vorgabedokuments zu steigern Zu jedem Vorgabedokument empfiehlt sich ein Begleitdokument. Sind vordefinierte, einheitliche Lösungsansätze, die beschreiben, wie und mit welchen Mitteln der in Vorgabedokumenten definierte Soll- Zustand zu erreichen ist Dienen als Umsetzungsvorlage für (individuelle) Umsetzungskonzepte Sind regelmäßig auf geänderte Rahmenbedingungen anzupassen Sind grundsätzlich zu lenken Sind eine Sammlung verschiedener Vorgabe- und Nachweisdokumente zu einem gemeinsamen Thema Können einer Dokumentenlenkung unterliegen, wenn die enthaltenen Dokumente nicht selbst gelenkt sind 26
Prozess der Dokumentenlenkung Der Prozess der Lenkung von Vorgabe- und Nachweisdokumenten ( Dokumentenlenkung ) stellt sicher, dass Vorgabe- und Nachweisdokumente sowie Standards kontrolliert und nachvollziehbar erstellt, geändert, freigegeben, regelmäßig auf geänderte Rahmenbedingungen angepasst, den Adressaten geeignet bekannt gegeben und bei Ungültigkeit aus dem Verkehr genommen werden. Des Weiteren definiert der Prozess die hierfür autorisierten Personen, Rollen oder Gremien. 27
(PVD 1.01) Strategische Ebene (PVD 1.02) Soll Strategisches Umsetzungskonzept Ist Arbeitsanweisungen Arbeitsanweisungen Organisationsleitung Taktische Ebene Arbeitsanweisungen Arbeitsanweisungen (PVD 2.xx) Taktische Umsetzungskonzepte Arbeitsanweisungen Arbeitsanweisungen Bereichsleitung Operative Ebene Arbeitsanweisungen Arbeitsanweisungen Arbeitsanweisungen Arbeitsanweisungen (PVD 3.xx.xx) Operative Umsetzungskonzepte Fachleitung 28
PERSICON Dokumentenlandkarte (vereinfachter Überblick) Strategische Ebene (PVD 1.01) (PVD 1.02) Organisationsleitung Taktische Ebene (PVD 2.01) (PVD 2.02) (PVD 2.03) (PVD 2.04) (PVD 2.05) (PVD 2.06) (PVD 2.07) (PVD 2.08) Bereichsleitung Operative Ebene Fachleitung 29
Vielen Dank für Ihre Aufmerksamkeit. PERSICON. Datensicherheit neu definiert. PERSICON consultancy GmbH Friedrichstraße 100, 10117 Berlin Geschäftsführer: Knud Brandis Tel: +49 (30) 6881988-80 Fax: +49 (30) 6881988-99 info@persicon.com www.persicon.com