Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 3. IT-Grundschutz-Tag 2012 Sicherheitsmaßnahmen mit IT-Grundschutz
Neue Themen in den IT-Grundschutz-Katalogen 1 2 3 4 5 2
Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern 3
Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro 4
IT-Grundschutz-Kataloge 12. Ergänzungslieferung Neue Bausteine B 3.304 Virtualisierung B 3.305 Terminal-Server B 4.8 Bluetooth B 5.3 Groupware B 5.18 DNS-Server B 5.19 Internet-Nutzung Überarbeitete Bausteine B 3.401 TK-Anlage B 5.4 Webserver Gestrichene Bausteine B 3.403 Anrufbeantworter B 5.10 Internet Information Server B 5.11 Apache Webserver 5
IT-Grundschutz-Kataloge 13. Ergänzungslieferung Überarbeitung B der Bausteine 2.1 Allgemeines Gebäude Neue Bausteine MS Windows 7 MS Server 2008 R2 OpenLDAP Mac OS X Web-Anwendungen Lotus Notes 6
IT-Grundschutz-Kataloge Ausblick Überarbeitung der Bausteine B 1.13 Schulung und Sensibilisierung B 3.404 Mobiltelefon B 3.405 PDA B 4.1 Netzarchitektur (Heterogene Netze) B 4.2 Netz-Management (Netz- und Systemmanagement) Neue Bausteine Cloud-Management Web-Services Protokollierung Identitäts und Berechtigungsmanagement 7
Anstehende Änderungen beim IT-Grundschutz 8
Umstrukturierung IT-Grundschutz-Kataloge Kritik Komplexität des IT-Grundschutzes nimmt zu Viele Bausteine: "Wer soll das noch prüfen?" Prüffragen je Maßnahme Wünsche Bereitstellung von Prüflisten Schnellere Prüfung Beschränkung auf wesentliche Bausteine Typisierung von Bausteinen 9
E-V-Modell Das Ziel und der Weg Ziel: geeignete Kennzeichnung von Bausteinen zur Komplexitätsreduktion Weg: elementare (elementary) Bausteine: generisch, zertifizierungsrelevant vertiefende (completive) Bausteine: spezifisch, produktspezifisch 10
E-V-Modell Das Ergebnis und das Vorgehen Ergebnis: Reduktion der Zertifizierungsrelevanz insgesamt auch in den elementaren Bausteinen Menge der zertifizierungsrelevanten Forderungen überdenken vertiefende Bausteine sollten frei von zertifizierungsrelevanten Forderungen sein Vorgehen: Diverse Bausteine müssen überarbeitet werden mindestens 3 neue Bausteine (Identitäts- und Berechtigungsmanagement, Allgemeines Gebäude, Allgemeine Vernetzung) Prüffragen für alle Bausteine 11
Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich 12
Prüffragen Weiteres Vorgehen Fleißarbeit: Laufendes Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge! Werden zur Zeit ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!) Konsolidierung pro Baustein (noch mehr Arbeit!) Ziel: Veröffentlichung der Prüffragen zusammen mit den ITGrundschutz-Katalogen der 13. EL 13
E-V-Modell & Prüffragen Zusammenspiel Sicherheit erzeugen Sicherheit prüfen Bausteine elementare Bausteine vertiefende Bausteine Maßnahmen elementare Prüffragen vertiefende Prüffragen ISO 27001Zertifikat Selbsteinschätzung 14
Elementare Gefährdungen Motivation Aufgabenstellung: Risikoanalyse auf Basis BSI-Standard 100-3 ist aufwendig, da Gefährdungsliste mittlerweile sehr lang Lösungsvorschläge: Verschlankung/Downsizing der Gefährdungskataloge Strukturierung der Gefährdungen Vorgehensweise: Anregungen aus ISO 27005, EBIOS, ISF Ziel: handhabbare Anzahl von "elementaren" Gefährdungen Wo notwendig, vertiefende Gefährdungen in Bausteinen für Sensibilisierung 15
Elementare Gefährdungen Beispiele G 0.01 Feuer G 0.05 Naturkatastrophen G 0.10 Ausfall oder Störung von Versorgungsnetzen G 0.15 Abhören G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle G 0.25 Ausfall von Geräten und Systemen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.35 Nötigung, Erpressung oder Korruption (statt Imageschaden) G 0.40 Verhinderung von Diensten (DoS) G 0.45 Datenverlust 16
Goldene Regeln Überblick Goldene Regeln für Überblick Zielgruppe Management, Einsteiger Thematisch zwischen Leitfaden und GSK Ziele Überblick über die wichtigsten Sicherheitsempfehlungen eines Bausteins Pro Baustein eine Seite "goldene Regeln", nicht mehr als 10 goldene Regeln (Separate) Veröffentlichung der Goldenen Regeln zusammen mit den IT-Grundschutz-Katalogen der 12. EL 17
Goldene Regeln Beispiel 18
Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen 19
Überblickspapiere Was gibt es? 20
Informationen zum GSTOOL 21
GSTOOL 4.x Wie geht es weiter? GSTOOL 4.x Versionsänderungen Metadatenupdates Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Einstellung etwa der Weiterentwicklung in 2012 1 Jahr Parallelbetrieb von GSTOOL 4.x und GSTOOL 5.0 später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich 22
GSTOOL 4.x Metadatenupdate Metadatenupdate für GSTOOL 4.x derzeit in Bearbeitung Schwierigkeiten aufgrund Programm- und Datenbankwechsel beim Redaktionsmanagementsystem ITGrundschutz Exportmodul für Toolexport nicht nutzbar aufgrund diverser Softwarefehler beabsichtigte manuelle Datenübertragung aus XML-Export in eine Access-Datenbank ist fehlgeschlagen Auftrag an Programmierfirma war geplant (schwieriger Vertragsabschluss) Notlösung: wird zur Zeit händisch erstellt Veröffentlichung geplant für November 2011 Juni / Juli 2012 23
GSTOOL 5 Öffentliche GSTOOL 5.0 Beta-Version detaillierte Informationen per GSTOOL-Newsletter Rückmeldungen (Fehlermeldungen) zur Beta-Version erbeten neu z.b. Netzplan, IS-Revision, Verfahrensregister, Fragebögen Technik JAVA, Webclient, Oracle Datenbank Unterstützte Betriebssysteme Windows-Systeme ab XP SP3 Linux (RedHat, SuSE, Debian) Produktivbetrieb aufgrund voraussichtlich erst Ende 2012 von diverser Probleme mit Auftragnehmer 24
Geplante IT-Grundschutztage 2012 09.02.2012 in Bonn: "Schutz sensibler Informationen in der Praxis" mit SIZ 29.03.2012 in Berlin: "IT-Grundschutz-Tag zu Windows 2008" mit HiSolutions in Bremen: "Sicherheitsmaßnahmen mit IT-Grundschutz" mit IS-Bremen 17.10.2012 in Nürnberg: auf der it-sa zu Webanwendungen mit TÜV-IT 22.11.2012 in Berlin: wird zur Zeit mit SerNet geplant und viele weitere im Jahr 2013 25
Wo gibt es das alles? auf der BSI-DVD als Buch auf der BSI-Webseite www.bsi.bund.de 26
Fragen 27
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-10-9582-5369 grundschutz@bsi.bund.de www.bsi.bund.de www.bsi.bund.de/grundschutz www.xing.com/net/itgrundschutz 28