BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Ähnliche Dokumente
Vorgehensweisen des neuen IT-Grundschutzes

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Die Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

Modernisierung des IT-Grundschutz. Berlin, den 15. September 2015

CeBIT 2016 Modernisierung des IT-Grundschutzes. Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Neues vom IT-Grundschutz Aktuelle Entwicklungen, Modernisierung und Diskussion

Aktueller Stand der Modernisierung des IT-Grundschutzes

Aktueller Stand der Modernisierung des IT-Grundschutzes

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Der neue IT-Grundschutz im Kontext der ISO 27001

IT-Grundschutz heute und morgen

IT-Grundschutz Informationssicherheit in der Praxis. Isabel Münch Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Modernisierung des IT-Grundschutzes. Isabel Münch / Holger Schildt / Birger Klein

Modernisierung des IT-Grundschutzes

Kommunale Profile im Rahmen der IT- Grundschutz-Modernisierung

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

DS-GVO und IT-Grundschutz

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Quo vadis, IT-Grundschutz?

Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Der niedersächsische Weg das Beste aus zwei Welten

Bericht aus der AG Modernisierung

BSI IT-Grundschutz, ISO & Datenschutz

15 Jahre IT-Grundschutz

Ausblick und Diskussion

1. IT-Grundschutz-Tag 2014

Agenda INTELLIGENT. EINFACH. PREMIUM.

Brandschutzbeauftragter (TÜV )

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Automatisierter IT-Grundschutz Hannover

BSI Grundschutz & ISMS nach ISO 27001

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

[15-1] e.html

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

BSI Technische Richtlinie

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

Neues aus dem IT-Grundschutz Ausblick und Diskussion

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Schablonen für die Informationssicherheit

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

IT-Grundschutz-Methodik im Kontext von Outsourcing

BSI IT-Grundschutz in der Praxis

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

Auf den Schultern von Riesen ISIS12 als Vorstufe zum BSI IT-Grundschutz

Copyright 2017 Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee , Bonn

Informationssicherheit

ISMS.1: Sicherheitsmanagement

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Weiterentwicklung IT-Sicherheitskonzeption: Entwicklung neuer BSI-Grundschutz in den Kommunen

Neues vom IT-Grundschutz: Ausblick und Diskussion

IT-Grundschutz-Profile Strukturbeschreibung. Version 1.0

Prüffragen im IT-Grundschutz Zielsetzung, Erstellung, Anwendung. Dirk Weil

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

Grundlagen des Datenschutzes und der IT-Sicherheit

Mitglieder- und Partnertag 10 Jahre ego-mv

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

IT-Grundschutz Einführung und Anwendung auf Datenbanken

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Inhaltsverzeichnis BSI-Standard IT-Grundschutz-Methodik

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

CON.6 Löschen und Vernichten

IT-Sicherheit an der Freien Universität Berlin

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

IT-Grundschutz-Profile Strukturbeschreibung COMMUNITY DRAFT

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

Informationssicherheitsmanagement und Compliance

IT-Sicherheit beim Landkreis Goslar

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Bundespolizei. Projekt Automatisierter Grundschutz. it-sa Michael Jokisch, Referat 51 IT-Strategie und Sicherheitsmanagement

Informationssicherheit - Nachhaltig und prozessoptimierend

Modernisierung des IT-Grundschutzes

Bedeutung der Kommunen in der gesamtstaatlichen Aufgabe Cyber-Sicherheit

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Zertifizierung IT-Sicherheitsbeauftragter

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

Transkript:

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders 27. September 2016 Simone Hock & Denny Dittrich

Inhalt Darstellung der Neuerungen im IT-Grundschutz im Rahmen der BSI-Modernisierung 2017 Gegenüberstellung mit dem klassischen IT-Grundschutz 2 27. September 2016 Simone Hock & Denny Dittrich

Gliederung Gründe für die Modernisierung Zeitlicher Verlauf der Modernisierung Kernaspekte der Modernisierung Vorgehensweisen Bausteine Profile Ausblick zur Umsetzung der Modernisierung 3 27. September 2016 Simone Hock & Denny Dittrich

Gründe für die Modernisierung Neue Anforderungen Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre Optimierung und Aktualisierung Aktuelle und praxisnahe Verfahren Gewährleistung von Kontinuität 4 27. September 2016 Simone Hock & Denny Dittrich

Zeitlicher Verlauf Modernisierter 16. Ergänzungslieferung IT-Grundschutz ab vsl. Herbst 2017 14. Ergänzungslieferung 12/2014 11/2016 2014 Findungsphase Beteiligung der Stakeholder 2015 Konzeption Weiterhin Abstimmung mit Stakeholdern 15. Ergänzungslieferung 04/2016 vsl. Sommer 2018 2016 2017 Community Draft: Veröffentlichung neuer BSI-Standards und mehrerer Bausteine 2018 Modernisierung durchgeführt Veröffentlichung neuer BSI-Standards und modernisierter Kataloge 5 27. September 2016 Simone Hock & Denny Dittrich

Kernaspekte der Modernisierung Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz 6 27. September 2016 Simone Hock & Denny Dittrich

Kernthema Vorgehensweisen Absicherung Zertifizierung Risikoanalyse Vorgehensweisen Umsetzungsreihenfolge Reifegradbestimmung 7 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Absicherung IT-Grundschutz-Methodik nach BSI-Standard 100-2 3 Arten der Absicherung: Basisabsicherung Kernabsicherung Standardabsicherung 8 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Absicherung IT-Grundschutz-Methodik Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Risikoanalyse Konsolidierung Basis-Sicherheitscheck (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen 9 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Absicherung IT-Grundschutz-Methodik nach BSI-Standard 100-2 3 Arten der Absicherung: Basisabsicherung Kernabsicherung Standardabsicherung 10 27. September 2016 Simone Hock & Denny Dittrich

Kernabsicherung Vorgehensweisen Neue Absicherung - Überblick Standardabsicherung Basisabsicherung 11 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Absicherung - Basisabsicherung Vereinfachter Einstieg Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Vorteil: Basisabsicherung Zugeschnitten für Bedürfnisse der kleine und mittlere Unternehmen sowie Institutionen 12 27. September 2016 Simone Hock & Denny Dittrich

Kernabsicherung Vorgehensweisen Neue Absicherung - Kernabsicherung Konzentration auf kleinen, sehr wichtigen Informationsverbund Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Vorteil: Zeitersparnis im Vorgehen Beschleunigte Absicherung 13 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Absicherung - Standardabsicherung Methodik in Grundzügen unverändert Vollumfänglicher Sicherheitsprozess nach bekannten BSI-Standard 100-2 Standardabsicherung Vorteil: Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz möglich 14 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Umsetzungsreihenfolge Bisher keine Vorgaben zur Umsetzungsreihenfolge Umsetzung in 3 Phasen Phase 1: Vorrangige Umsetzung Phase 2: Weitere relevante Bausteine Phase 3: Bausteine nachrangig für Basisabsicherung nur ggf. relevant 15 27. September 2016 Simone Hock & Denny Dittrich

Vorgehensweisen Neue Umsetzungsreihenfolge ISMS (Sicherheitsmanagement) ORP.1 (Organisation) ORP.2 (Personal) ORP.3 (Sensibilisierung und Schulung) ORP.4 (Identitäts- und Berechtigungsmanagement) OPS.1.1 (Kern IT-Betrieb / Kernaufgaben) APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) DER (Detektion und Reaktion) ORP.5 (Anforderungsmanagement (Compliance)) CON.1 (Kryptokonzept) CON.2 (Datenschutz) CON.5 (Informationssicherheit im Projektmanagement) OPS.2 (IT-Betrieb von Dritten) OPS.3 (IT-Betrieb für Dritte) OPS.4 (Betriebliche Aspekte) CON.3 (Hochverfügbarkeitskonzeption) CON.4 (Softwareentwicklung) CON.6 (Informationssicherheit auf Auslandsreisen) OPS.1.2 (Weiterführende Aufgaben (IT-Betrieb)) Phase 1 Phase 2 Phase 3 16 27. September 2016 Simone Hock & Denny Dittrich

Kernthema Bausteine Qualifizierungsstufen Veröffentlichungsprozess Bausteine Bausteineinteilung Dokumentenstruktur 17 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Bausteineinteilung 5-teiliges Schichtenmodell: Übergreifende Aspekte Infrastruktur Zweiteilung: Prozess-Bausteine System-Bausteine IT-Systeme Netze Anwendungen 18 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Bausteineinteilung ISMS (Informationssicherheitsmanagementsystem) Prozess-Bausteine System-Bausteine DER (Detektion und Reaktion) 19 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Bausteineinteilung ISMS (Informationssicherheitsmanagementsystem) ORP (Organisation und Personal) CON Prozess-Bausteine (Konzepte & Vorgehensweisen) OPS (Betrieb) APP (Anwendungen) SYS (IT-Systeme) NET System-Bausteine (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) DER (Detektion und Reaktion) 20 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Qualifizierungsstufen Einstufung der Maßnahmen nach Wichtigkeit für Zertifizierung Basismaßnahmen Vorrang vor anderen Maßnahmen A B C Z W Einstieg Aufbau Zertifikat Zusätzlich Wissen Standardmaßnahmen Umzusetzen für normales Schutzniveau Maßnahmen für erhöhten Schutzbedarf Umzusetzen für hohes und sehr hohes Schutzniveau 21 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Dokumentenstruktur - Aufbau Beschreibung Gefährdungslage mit Verweis auf Gefährdungskataloge Maßnahmenempfehlung mit Verweis auf Maßnahmenkataloge Beschreibung Spezifische Gefährdungslage Anforderungen Weiterführende Informationen (z.b. Veröffentlichungen) Anlagen (z.b. Kreuztabellen) 22 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Dokumentenstruktur - Aufbau 23 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Dokumentenstruktur - Aufbau 24 27. September 2016 Simone Hock & Denny Dittrich

Bausteine Neue Dokumentenstruktur - Umfang Je nach Baustein 1-6 Seiten + Gefährdungen + Maßnahmen Max. 10 Seiten Beschreiben Gefährdungen und Anforderungen ohne Verlinkung Ergänzend zu Baustein Umsetzungsempfehlungen mit Lebenszyklus Maßnahmen Weiterführenden Informationen 25 27. September 2016 Simone Hock & Denny Dittrich

Kernthema Profile Profile 26 27. September 2016 Simone Hock & Denny Dittrich

Profile Neues Klientel Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen an die jeweiligen Bedürfnisse Berücksichtigung der Möglichkeiten und Risiken der Institution Bezug auf typische IT-Szenarien Profilerstellung durch Dritte Keine BSI-Vorgabe Eventuell Nachweis für Umsetzung (z.b. Testat) und Anerkennung ausgewählter Profile durch BSI 27 27. September 2016 Simone Hock & Denny Dittrich

Ausblick Migration vom alten zum neuen Sicherheitskonzept Parallele Existenz beider Modelle im Übergangszeitraum Zusammenarbeit zwischen BSI und Herstellern von IT-Grundschutz-Tools Migrationsleitfaden zur Überführung (geplant) Migrationstabellen mit Gegenüberstellung von klassischen Maßnahmen und Anforderungen der modernisierten Bausteinen 28 27. September 2016 Simone Hock & Denny Dittrich

M 2.336 M 2.335 M 2.192 M 2.475 M 2.193 M 2.337 M 2.195 M 2.199 M 2.200 M 2.201 M 2.197 M 2.338 M 2.339 M 6.16 (A) (A) (A) (A) (A) (A) (A) (A) (C) (C) (A) (Z) (Z) (Z) Ausblick Migration vom alten zum neuen Sicherheitskonzept Basis-Anforderungen ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene X ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie X ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit X ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten ISMS.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten X ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit X ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen X ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess X ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse X Standard-Anforderungen ISMS.1.A10 Erstellung eines Sicherheitskonzepts X ISMS.1.A11 Aufrechterhaltung der Informationssicherheit X ISMS.1.A12 Management-Berichte zur Informationssicherheit X ISMS.1.A13 Dokumentation des Sicherheitsprozesses X ISMS.1.A14 Sensibilisierung zur Informationssicherheit X Anforderungen bei erhöhtem Schutzbedarf ISMS.1.A14 Erstellung von zielgruppengerechten Sicherheitsrichtlinien X ISMS.1.A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit X ISMS.1.A16 Abschließen von Versicherungen X 29 27. September 2016 Simone Hock & Denny Dittrich

Vielen Dank für Ihre Aufmerksamkeit! 30 27. September 2016 Simone Hock & Denny Dittrich

Erfahren Sie mehr Sie finden uns unter: www.sid.sachsen.de Riesaer Straße 7 01129 Dresden Telefon 0351 3264 5101 Telefax 0351 3264 5109

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback