Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion

Ähnliche Dokumente
Wo stehen wir und wo wollen wir hin? Ausblick und Diskussion

Wo stehen wir und wo wollen wir hin? Neues zum IT-Grundschutz

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues zum IT-Grundschutz

IT-Grundschutz - Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

Neues vom IT-Grundschutz: Ausblick und Modernisierung

GSTOOL 5.0 Die nächste Generation

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Neues vom IT-Grundschutz: Ausblick und Diskussion

15 Jahre IT-Grundschutz

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

Neue Trends IT-Grundschutzhandbuch

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Modernisierung des IT-Grundschutzes

Neues vom IT-Grundschutz Aktuelle Entwicklungen, Modernisierung und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

Die Modernisierung des IT-Grundschutzes

Vorgehensweisen des neuen IT-Grundschutzes

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Prüffragen im IT-Grundschutz Zielsetzung, Erstellung, Anwendung. Dirk Weil

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Quo vadis, IT-Grundschutz?

Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

IT-Grundschutzhandbuch

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Aktueller Stand der Modernisierung des IT-Grundschutzes

Aktueller Stand der Modernisierung des IT-Grundschutzes

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Automatisierter IT-Grundschutz Hannover

IT-Sicherheitszertifikat

BSI IT-Grundschutz in der Praxis

IT-Grundschutz: Cloud-Bausteine

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO auf Basis von IT-Grundschutz

Cloud Computing mit IT-Grundschutz

Verinice.XP Grundschutztool verinice beim Brandenburgischen IT-Dienstleister (ZIT-BB)

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

IT-Grundschutz heute und morgen

Informatikdienste. Meeting IT-Verantwortliche Lotus Groupware

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Cara Lazara 3, Banja Luka, Bosnien und Herzegowina stefanmisanovic.com - Handy

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

ISO / ISO Vorgehen und Anwendung

Feature Sheet essendi xc

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

Modernisierung des IT-Grundschutzes

Brandschutzbeauftragter (TÜV )

Profil von Patrick van Dijk Juli 2015

Welche regulatorischen Vorgaben müssen Betreiber und Anwender berücksichtigen?

Profil von Patrick van Dijk

CeBIT 2016 Modernisierung des IT-Grundschutzes. Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Oracle Administration, Migration, Applikationsbetreuung

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

1. IT-Grundschutz-Tag 2014

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

BSI Grundschutz & ISMS nach ISO 27001

IKT Architektur Übersicht über Änderungen

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Profil von Patrick van Dijk

Community Draft. In diesem Baustein soll aufgezeigt werden, wie WLANs sicher genutzt werden können.

Anwendung Rechnernetze. 7.Semester INF - WS 2005/2006 Vorstellung der Projekte (Prof. Dr. Uwe Heuert)

Lösungen die standhalten.

MUSTER. [ Originalbericht ist i.a. VS NUR FÜR DEN DIENSTGEBRAUCH einzustufen ] IS-Revisionsbericht. IS-Kurzrevision auf Basis von IT-Grundschutz.

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation

Umsetzung BSI Grundschutz

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Übergabe DE-CIX Internet Exchange (BSI-IGZ )

IT-Grundschutz-Methodik im Kontext von Outsourcing

Anforderungskatalog Cloud Computing C5. Cloud Computing Compliance Controls Catalogue (C5)

Profil eines Entwicklers

IT-Grundschutz Informationssicherheit in der Praxis. Isabel Münch Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen

Transkript:

Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 3. IT-Grundschutz-Tag 2012 Sicherheitsmaßnahmen mit IT-Grundschutz

Neue Themen in den IT-Grundschutz-Katalogen 1 2 3 4 5 2

Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern 3

Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro 4

IT-Grundschutz-Kataloge 12. Ergänzungslieferung Neue Bausteine B 3.304 Virtualisierung B 3.305 Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung Überarbeitete Bausteine B 3.401 TK-Anlage B 5.4 Webserver Gestrichene Bausteine B 3.403 Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver 5

IT-Grundschutz-Kataloge 13. Ergänzungslieferung Überarbeitung B der Bausteine 2.1 Allgemeines Gebäude Neue Bausteine MS Windows 7 MS Server 2008 R2 OpenLDAP Mac OS X Web-Anwendungen Lotus Notes 6

IT-Grundschutz-Kataloge Ausblick Überarbeitung der Bausteine B 1.13 Schulung und Sensibilisierung B 3.404 Mobiltelefon B 3.405 PDA B 4.1 Netzarchitektur (Heterogene Netze) B 4.2 Netz-Management (Netz- und Systemmanagement) Neue Bausteine Cloud-Management Web-Services Protokollierung Identitäts und Berechtigungsmanagement 7

Anstehende Änderungen beim IT-Grundschutz 8

Umstrukturierung IT-Grundschutz-Kataloge Kritik Komplexität des IT-Grundschutzes nimmt zu Viele Bausteine: "Wer soll das noch prüfen?" Prüffragen je Maßnahme Wünsche Bereitstellung von Prüflisten Schnellere Prüfung Beschränkung auf wesentliche Bausteine Typisierung von Bausteinen 9

E-V-Modell Das Ziel und der Weg Ziel: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion Weg: elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch 10

E-V-Modell Das Ergebnis und das Vorgehen Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine 11

Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich 12

Prüffragen Weiteres Vorgehen Fleißarbeit: Laufendes Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge! Werden zur Zeit ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!) Konsolidierung pro Baustein (noch mehr Arbeit!) Ziel: Veröffentlichung der Prüffragen zusammen mit den ITGrundschutz-Katalogen der 13. EL 13

E-V-Modell & Prüffragen Zusammenspiel Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO 27001Zertifikat Selbsteinschätzung 14

Elementare Gefährdungen Motivation Aufgabenstellung: Risikoanalyse auf Basis BSI-Standard 100-3 ist aufwendig, da Gefährdungsliste mittlerweile sehr lang Lösungsvorschläge: Verschlankung/Downsizing der Gefährdungskataloge Strukturierung der Gefährdungen Vorgehensweise: Anregungen aus ISO 27005, EBIOS, ISF Ziel: handhabbare Anzahl von "elementaren" Gefährdungen Wo notwendig, vertiefende Gefährdungen in Bausteinen für Sensibilisierung 15

Elementare Gefährdungen Beispiele G 0.01 Feuer G 0.05 Naturkatastrophen G 0.10 Ausfall oder Störung von Versorgungsnetzen G 0.15 Abhören G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle G 0.25 Ausfall von Geräten und Systemen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.35 Nötigung, Erpressung oder Korruption (statt Imageschaden) G 0.40 Verhinderung von Diensten (DoS) G 0.45 Datenverlust 16

Goldene Regeln Überblick Goldene Regeln für Überblick Zielgruppe Management, Einsteiger Thematisch zwischen Leitfaden und GSK Ziele Überblick über die wichtigsten Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite "goldene Regeln", nicht mehr als 10 goldene Regeln (Separate) Veröffentlichung der Goldenen Regeln zusammen mit den IT-Grundschutz-Katalogen der 12. EL 17

Goldene Regeln Beispiel 18

Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen 19

Überblickspapiere Was gibt es? 20

Informationen zum GSTOOL 21

GSTOOL 4.x Wie geht es weiter? GSTOOL 4.x Versionsänderungen Metadatenupdates Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Einstellung etwa der Weiterentwicklung in 2012 1 Jahr Parallelbetrieb von GSTOOL 4.x und GSTOOL 5.0 später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich 22

GSTOOL 4.x Metadatenupdate Metadatenupdate für GSTOOL 4.x derzeit in Bearbeitung Schwierigkeiten aufgrund Programm- und Datenbankwechsel beim Redaktionsmanagementsystem ITGrundschutz Exportmodul für Toolexport nicht nutzbar aufgrund diverser Softwarefehler beabsichtigte manuelle Datenübertragung aus XML-Export in eine Access-Datenbank ist fehlgeschlagen Auftrag an Programmierfirma war geplant (schwieriger Vertragsabschluss) Notlösung: wird zur Zeit händisch erstellt Veröffentlichung geplant für November 2011 Juni / Juli 2012 23

GSTOOL 5 Öffentliche GSTOOL 5.0 Beta-Version detaillierte Informationen per GSTOOL-Newsletter Rückmeldungen (Fehlermeldungen) zur Beta-Version erbeten neu z.b. Netzplan, IS-Revision, Verfahrensregister, Fragebögen Technik JAVA, Webclient, Oracle Datenbank Unterstützte Betriebssysteme Windows-Systeme ab XP SP3 Linux (RedHat, SuSE, Debian) Produktivbetrieb aufgrund voraussichtlich erst Ende 2012 von diverser Probleme mit Auftragnehmer 24

Geplante IT-Grundschutztage 2012 09.02.2012 in Bonn: "Schutz sensibler Informationen in der Praxis" mit SIZ 29.03.2012 in Berlin: "IT-Grundschutz-Tag zu Windows 2008" mit HiSolutions in Bremen: "Sicherheitsmaßnahmen mit IT-Grundschutz" mit IS-Bremen 17.10.2012 in Nürnberg: auf der it-sa zu Webanwendungen mit TÜV-IT 22.11.2012 in Berlin: wird zur Zeit mit SerNet geplant und viele weitere im Jahr 2013 25

Wo gibt es das alles? auf der BSI-DVD als Buch auf der BSI-Webseite www.bsi.bund.de 26

Fragen 27

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-10-9582-5369 grundschutz@bsi.bund.de www.bsi.bund.de www.bsi.bund.de/grundschutz www.xing.com/net/itgrundschutz 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback