IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

Ähnliche Dokumente
IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutzhandbuch

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Praktizierter Grundschutz in einem mittelständigen Unternehmen

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

Inhaltsverzeichnis. 1 Einleitung 3

Datenschutz & Datensicherheit

Ein IT-Grundschutzprofil für eine große Institution

Staatlich geprüfte IT-Sicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit

Zertifizierung IT-Sicherheitsbeauftragter

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin,

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Compliance und IT-Sicherheit

IT-Grundschutz und Zertifizierung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Lösungen die standhalten.

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutzhandbuch

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Berufsakademie Gera Themen für die Projektarbeit

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

EDV-Dienstleistung für Industrie und Handel

Das IT-Verfahren TOOTSI

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

A) Initialisierungsphase

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

BSI-Standard Notfallmanagement

IT-Grundschutz umsetzen mit GSTOOL

3612 Seiten IT-Sicherheit - ISO auf der Basis von IT-Grundschutz

Übersicht Kompakt-Audits Vom

Dr. Martin Meints, ULD 29. August 2005

Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz-Novellierung Security Forum Hagenberger Kreis. Joern Maier, Director Information Security Management

ISO Zertifizierung

BFW Heidelberg 04/ /1985 staatlich geprüfter Maschinenbautechniker Fachrichtung AV und NC-Technik. Elster AG 10/ /1981 Dreher

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Cloud Computing mit IT-Grundschutz

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7.

Open Source Einsatz in der Stadt Wien

E i n f ü h r u n g u n d Ü b e r s i c h t

Resümee eines abgeschlossenen Zertifizierungsprojektes. NÜRNBERGER Versicherungsgruppe

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04

Cyber-Sicherheits- Check

Zentrum für Informationssicherheit

BYOD und ISO Sascha Todt. Bremen,

Daten Monitoring und VPN Fernwartung

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Umsetzung BSI Grundschutz

Leitlinien für Informationssicherheit. Düsseldorf,

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO auf Basis von IT-Grundschutz

IT-Sicherheit betrifft alle

Diplomarbeit zur Erlangung des Grades Diplom Informatiker


IT-Sicherheit im Prozessleitsystemen am Beispiel der E.ON edis AG

Der "Leitfaden IT-Sicherheit" gibt einen kompakten Überblick über die wichtigsten organisatorische, infrastrukturellen und technischen IT-

Modernisierung des IT-Grundschutzes

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

IT-Sicherheit in der Energiewirtschaft

IT-Grundschutz: Cloud-Bausteine

Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen

Kai Jendrian

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

E-Government-Initiative für D und den neuen Personalausweis

Sicherheit von Serverräumen Sicherheit von Serverräumen

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

SIT in Berlin EIN GEMEINSAMER RZ-BETRIEB IN SÜDWESTFALEN. Thomas Coenen Geschäftsführer KDZ-WS und SIT

Datenschutz und IT-Grundschutz für Museen

08. Juni Best Practice Mandantenfähige Remote Access Plattform

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon:

Praktischer Datenschutz

Ergänzung zum BSI-Standard 100-3, Version 2.5

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

Strukturierte Informationssicherheit

Citrix Access Gateway - sicherer Zugriff auf Unternehmensressourcen

Übergabe DE-CIX Internet Exchange (BSI-IGZ )

Datenschutz und Informationssicherheit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Leistungsportfolio Security

LEISTUNGSBESCHREIBUNG

Transkript:

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement Dr. Lydia Tsintsifa Bundesamt für Sicherheit in der Informationstechnik IT-Symposium 2005 07.04.2005 Agenda ❺ IT-Sicherheitsmanagement mit IT-Grundschutz ❺ IT-Grundschutz Profile: Motivation und Überblick ❺ Vorstellung der einzelne Profile ❺ Rahmenbedingungen ❺ Vorgehen und Inhalt ❺ Zusammenfassung Dr. Lydia Tsintsifa 07.04.2005 Folie 2

IT-Sicherheitsmanagement mit IT-Grundschutz (1) ❺ IT-Sicherheitsmanagement (=Systematisches Vorgehen zum Erreichen eines angemessenen IT-Sicherheitsniveaus in Bezug auf Verfügbarkeit, Integrität, Vertraulichkeit) ❺ Optimaler Einsatz der Ressourcen für IT-Sicherheit ❺ Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb --> mittelfristige Kosteneinsparungen ❺ Attraktivität für Kunden und Geschäftspartner durch Vertrauen ❺ Versicherungen honorieren zunehmend IT-Sicherheit Dr. Lydia Tsintsifa 07.04.2005 Folie 3 IT-Sicherheitsmanagement mit IT-Grundschutz (2) ❺ Aus den Unternehmenszielen werden die Sicherheitsziele festgelegt ❺ Schutz der unternehmenskritischen Werte in Bezug auf: ❺ Verfügbarkeit ❺ Integrität ❺ Vertraulichkeit ❺ Welches Schutzniveau ist für jeden dieser Aspekte angemessen? (Kosten - Nutzen Verhältnis) ❺ Hier bedarf es einer verbindlichen Aussage der Geschäftsführung! ❺ Nutzung von Referenzwerken und Standards erhöht die Effizienz Dr. Lydia Tsintsifa 07.04.2005 Folie 4

IT-Grundschutz Der Sicherheitsprozess Management IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Revision IT-Sicherheitskonzept Detaillierungsgrad IT-Leitung Kontrolle Systemadministration Betrieb Planung Umsetzung Schulung Dr. Lydia Tsintsifa 07.04.2005 Folie 5 IT-Sicherheitsmanagement Dokumente und Richtlinien Detaillierungsgrad Änderungen Leitlinie allgemeine Sicherheitsziele allgemeine Sicherheitskonzeption ❺ausführliche technische Anforderung ❺zugehörige Maßnahmen detaillierte Regelungen ❺konkrete Produkteinstellungen ❺verwendete Mechanismen Management IT-Leitung Administration Dr. Lydia Tsintsifa 07.04.2005 Folie 6

IT-Grundschutz Erstellung des IT-Sicherheitskonzeptes ❺ Aufbau eines Standard- Sicherheitsniveaus, das auch für sensiblere Bereiche ausbaufähig ist Organisation Personal ❺ Infrastrukturelle, organisatorische, personelle und technische Standard- Sicherheitsmaßnahmen Infrastruktur Technologie Dr. Lydia Tsintsifa 07.04.2005 Folie 7 IT-Grundschutz Erstellung des IT-Sicherheitskonzeptes IT-Verbund IT-Strukturanalyse Analyse des IST-Zustands Welche Systeme und Anwendungen? - Infrastruktur - Organisation - Personal - Technik ~ 80% Feststellung des Schutzbedarfs IT-Grundschutzanalyse Modellierung Basis IT-Sicherheitscheck (Soll-Ist Vergleich) Ergänz. Sicherheitsanalyse (hoher Schutzbedarf) Konsolidierung der Maßnahmen Realisierung der Maßnahmen IT-Sicherheitskonzept ~ 20% Dr. Lydia Tsintsifa 07.04.2005 Folie 8

IT-Grundschutzhandbuch Bausteine (Auswahl) Übergreifende Aspekte ❺ Sicherheitsmanagement ❺ Organisation ❺ Personal ❺ Notfall-Vorsorgekonzept ❺ Datensicherungskonzept ❺ Virenschutzkonzept ❺ Hard- und Software- Management ❺ Outsourcing Infrastruktur ❺ Gebäude ❺ Verkabelung ❺ Büroraum ❺ Serverraum ❺ häuslicher Arbeitsplatz ❺ Rechenzentr. IT-Systeme ❺ Unix-Server ❺ Novell Netw. ❺ Windows 2k ❺ TK-Anlage ❺ Telearbeit Netze ❺ Netz-,Systemmanagement ❺ Firewall ❺ Remote Access ❺ Router u. Switches Anwendungen ❺ E-Mail ❺ WWW-Server ❺ Datenbanken ❺ IIS/ Apache ❺ Exchange/ Outlook ❺ Archivierung IT-Verbund Dr. Lydia Tsintsifa 07.04.2005 Folie 9 IT-Grundschutz Zertifizierung Was kann zertifiziert werden? ❺ Ein oder mehrere Geschäftsprozesse ❺ Eine oder mehrere Fachaufgaben ❺ Eine oder mehrere Organisationseinheiten ❺ Es braucht nicht gleich das gesamte Unternehmen zu sein! Bedingung: ❺ IT-Verbund muss eine sinnvolle Mindestgröße haben! Dr. Lydia Tsintsifa 07.04.2005 Folie 10

IT-Grundschutz Zertifizierung Aktuell Stand Februar 2005 ❺ 11 Zertifikate erteilt ❺ Sehr unterschiedliche Unternehmensgrößen ❺ Von "10 Server, 4 Gruppen von Clients" bis "Rechenzentrum mit 800 Servern" ❺ Branchen: IT-Firmen, Dienstleister, Banken Dr. Lydia Tsintsifa 07.04.2005 Folie 11 Materialien und Tools ❺ IT-Grundschutzhandbuch ❺ Webkurs IT-Grundschutz ❺ Leitfaden IT-Sicherheit ❺ GSTOOL ❺ Risikoanalyse auf der Basis von IT-Grundschutz ❺ Musterrichtlinien ❺ IT-Grundschutz Profile ❺ www.bsi.de Dr. Lydia Tsintsifa 07.04.2005 Folie 12

IT-Grundschutz Profile Motivation ❺ Umfrage unter allen IT-Grundschutz-Anwendern (2003) ❺ Großes Interesse für die IT-Grundschutz Zertifizierung ❺ Viele Fragen an der Grundschutz-Hotline, insbesondere zu den Themen: ❺ Modellierung eines konkreten IT-Verbundes ❺ Einsatz des GSTOOL ❺ Zertifizierung eines konkreten IT-Verbundes nach IT- Grundschutz Dr. Lydia Tsintsifa 07.04.2005 Folie 13 IT-Grundschutz Profile Überblick ❺ IT-Grundschutz Profile: Beispiele für die Anwendung der Vorgehensweise nach IT-Grundschutzhandbuch ❺ Veröffentlicht seit November 2004 ❺ 3 Beispiele: kleine, mittlere, große Institution ❺ Download unter: www.bsi.bund.de/gshb/ Dr. Lydia Tsintsifa 07.04.2005 Folie 14

Profil für eine kleine Institution ❺ Anwendergruppe: Steuerberaterbüro, Anwaltskanzlei, kleine Behörde, ❺ Voraussetzungen: Wenige IT-Systeme, geringes IT-Sicherheitswissen ❺ einfache Vorgehensweise, Verwendung von Checklisten und Beispielen ❺ Geschäftsinteresse steht im Vordergrund Dr. Lydia Tsintsifa 07.04.2005 Folie 15 Profil für eine kleine Institution ❺ GSHB-Methodik anhand eines durchgehenden Beispiels : ❺ Kleiner Familienbetrieb mit 3 Angestellten ❺ Einsatz von PCs und Laptops ❺ Führung der Kundenkartei, Erstellung von Angeboten & Rechnungen ❺ Vorgehen bei der Erstellung des IT-Sicherheitskonzeptes ❺ Maßgeschneiderte Umsetzung ❺ Geringer Umfang (ca. 35 Seiten) Dr. Lydia Tsintsifa 07.04.2005 Folie 16

Kleine Institution Verantwortlichkeit ❺ Leitung trägt die gesamte Verantwortung für IT-Sicherheit ❺ Verantwortung der Leitung auch für konkrete Aufgaben: ❺ Sicherheitsleitlinie erstellen ❺ Risikobewertung durchführen ❺ PC Pass erstellen ❺ Sicherheitsmaßnahmen umsetzen ❺ Alle Vorgänge und Maßnahmen dokumentieren ❺ Hilfsmittel im Dokument: IT-Sicherheitsleitlinie, PC-Pass, Definition von Schutzbedarfsklassen, Checkliste, Maßnahmenlisten Dr. Lydia Tsintsifa 07.04.2005 Folie 17 Kleine Institution IT-Sicherheitsleitlinie ❺ Umfang von 1,5 Seiten ❺ Bedeutung von ❺ Ausfall der IT (keine bzw. geringe Beeinträchtigung des Geschäftsbetriebs) ❺ Verfügbarkeit (Ausfälle nur in geringem Maße tolerierbar) ❺ Vertraulichkeit (höchste Ansprüche) ❺ Institutsleiter übernimmt Rolle des IT-Sicherheitsbeauftragten ❺ Schulung von Mitarbeitern zu IT-Sicherheitsmaßnahmen ❺ Hinweise auf Datenschutzgesetz Dr. Lydia Tsintsifa 07.04.2005 Folie 18

Kleine Institution IT-Strukturanalyse ❺ PC-Pass: ❺ Betriebssystem, installierte Software, Administrator ❺ Hinweise auf Hardware-, Installations- und Konfigurationsdokumentation ❺ Ansprechpartner, Hotline-Nummern ❺ PC-Pass Einsatz für: ❺ alle Systeme ❺ weitere Geräte: Telefonanlage, Mobiltelefon, Kopierer, Anrufbeantworter, etc. Dr. Lydia Tsintsifa 07.04.2005 Folie 19 Kleine Institution Netzplan Dr. Lydia Tsintsifa 07.04.2005 Folie 20

Kleine Institution Schutzbedarfsfeststellung Definition Schutzbedarfskategorien: ❺ ❺ ❺ ❺ Zwei Schutzbedarfsklassen: normal und hoch Beispiel für die Einstufung finanzieller Schäden Mögliche Gefahren werden erläutert Vorgaben für Schutzbedarfskategorien sind leicht adaptierbar Vorgehen Schutzbedarfsfeststellung: ❺ ❺ ❺ ❺ Der Schutzbedarf der Anwendungen wird in den PC-Pass eingetragen Der Schutzbedarf für die Systeme wird daraus abgeleitet Kommunikationsverbindungen: kritische Internetanbindung des Verbundes Schutzbedarf für Räume durch Vererbung Dr. Lydia Tsintsifa 07.04.2005 Folie 21 Kleine Institution Modellierung Nr. Baustein anzuwenden auf Übergeordnete Komponenten B 3.0 IT-Sicherheitsmanagement gesamten IT-Verbund B 3.1 Organisation gesamten IT-Verbund B 3.2 Personal gesamten IT-Verbund B 3.4 Datensicherungskonzept gesamten IT-Verbund B 3.6 Computer-Virenschutzkonzept gesamten IT-Verbund B 3.9 Hard- und Software-Management gesamten IT-Verbund B 9.1 Standardsoftware gesamten IT-Verbund Dr. Lydia Tsintsifa 07.04.2005 Folie 22

Kleine Institution Basis-Sicherheitscheck ❺ Welche Standard-Sicherheitsmaßnahmen sind bereits umgesetzt und wo ist noch Handlungsbedarf? ❺ Erläuterungen zu den Bausteinen: ❺ Datensicherungskonzept ❺ E-Mail ❺ Windows 200 Client ❺ Servergestütztes Netz ❺ direkt verwendbare Checkliste für alle Maßnahmen Dr. Lydia Tsintsifa 07.04.2005 Folie 23 Profil für eine mittlere Institution ❺ Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution ❺ Repräsentation eines Unternehmens mit mehreren Servern und wenig IT-Grundschutz Erfahrung ❺ Ausführliche Erläuterung der Anwendung des IT- Grundschutzhandbuchs ❺ Beispielhafte Anwendung des GSTOOL Dr. Lydia Tsintsifa 07.04.2005 Folie 24

Profil für eine mittlere Institution ❺ IT-Grundschutz Vorgehensweise in 7 Phasen Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 ❺ Phase 1: Initiierung des IT-Sicherheitsprozesses ❺ Phase 2: Durchführung einer IT-Strukturanalyse ❺ Phase 3: Durchführung einer Schutzbedarfsfeststellung ❺ Phase 4: Modellierung nach IT-Grundschutz ❺ Phase 5: Durchführung des Basis-Sicherheitsschecks ❺ Phase 6: Realisierung von IT-Sicherheitsmaßnahmen ❺ Phase 7: Zertifizierung Dr. Lydia Tsintsifa 07.04.2005 Folie 25 Profil für eine mittlere Institution ❺ Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz Vorgehensweise ❺ Hervorhebung der Schritte, die ❺ durch das GSTOOL unterstützt werden ❺ die bei einer nicht tool-gestützten Vorgehensweise zu beachten sind ❺ Anwendung des GSTOOL, dargestellt durch Screenshots Dr. Lydia Tsintsifa 07.04.2005 Folie 26

Profil für eine mittlere Institution ❺ Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor) ❺ Stabstelle für QM und IT-Sicherheit ❺ Größe des IT-Verbundes: ca. 20 Clients und 4 Server ❺ Anbindung an das Internet über DSL ❺ Existenz interner Teilnetze ❺ IT-Anwendungen/Systeme eines Projektteams haben erhöhten Schutzbedarf und werden gesondert gruppiert Dr. Lydia Tsintsifa 07.04.2005 Folie 27 Mittlere Institution IT-Sicherheitsleitlinie ❺ Umfang von 4 Seiten ❺ Bedeutung von ❺ Verfügbarkeit (Ausfälle nur in geringem Maße tolerierbar) ❺ Vertraulichkeit (höchste Ansprüche) ❺ Benennung eines IT-Sicherheitsbeauftragten ❺ Festlegung von Verantwortlichkeiten ❺ Schulung von Mitarbeitern zu IT-Sicherheitsmaßnahmen ❺ Revision der IT-Sicherheitskonzeption Dr. Lydia Tsintsifa 07.04.2005 Folie 28

TALK / DATA TALK RSCS TR RDTD CD TA LK / DA TA TALK RS CS TR RD TD CD Mittlere Institution IT-Strukturanalyse ❺ Tabellarische Übersichten ❺ Beispiele zur Gruppenbildung ❺ Anwendung des GSTOOL ❺ Beispiel-Datenbank wird zur Verfügung gestellt IT-Strukturanalyse: Erfassung der IT-Systeme und der Anwendungen Schutzbedarfsfeststellung IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck mit Soll-Ist Vergleich Ergänzende Sicherheitsanalyse: Bei hohem Schutzbedarf Bei zusätzlichem Analysebedarf Realisierungsplanung: Konsolidierung der Maßnahmen Umsetzung der Maßnahmen Dr. Lydia Tsintsifa 07.04.2005 Folie 29 Mittlere Institution Netzplan Telefon Vermittlungsstelle Telefongesellschaft Internet Internet Telefon Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Internet Mailserver Firewall Kopierer File-/Printserver R210 Paketfilter Switch R205 Drucker Server Zeiterfassung Telefonanlage Splitter PC Gast PC Herr Dacher R203 R103 PC Herr Baumeister Server Mail Firewall Kopierer PC Herr Idt R204 PC Herr Jacobi PC Herr Albrecht R101 Server File/Print Paketfilter Switch Drucker PC Frau Claasen R201 PC Herr Gerhart FW-Int Fax Anrufbeantw. PC Frau Ahrens R101a Instituts LAN PC Frau Heuer R202 PCs Mitarbeiter PC Frau Feist Org/Fin LAN FW-Int R301 R311 PC Org./Finanz PC Projekt A PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCs Mitarbeiter Herr Mertens PCs Mitarbeiter R312 Abt. Drucker PC MA Fax PC Frau Eiler PC Herr Kurth PC Herr Lucht PC Herr Mertens R301a R302 R303 R304 Anrufbeantworter Dr. Lydia Tsintsifa 07.04.2005 Folie 30

Mittlere Institution Schutzbedarfsfeststellung ❺ Drei Kategorien: normal, hoch und sehr hoch ❺ Beispiele für Schadensszenarien anhand des Beispiel IT-Verbunds In der beispielhaften Institution würde z. B. ein Ausfall des internen Fileservers die Aufgabenerfüllung beeinträchtigen. Eine Folge könnte die verspätete Auslieferung von Dokumenten an die Kunden der Institution sein. Dies ist in Abhängigkeit von evtl. vereinbarten Vertragsstrafen bei der Schutzbedarfsfeststellung zu berücksichtigen. ❺ Detaillierte Beispiele der durchgeführten Schutzbedarfsfeststellung anhand des GSTOOL Dr. Lydia Tsintsifa 07.04.2005 Folie 31 Mittlere Institution IT-Grundschutzanalyse Modellierung: ❺ IT-Grundschutz Schichtenmodell ❺ Modellierung mit dem GSTOOL ❺ Hinweise für eine Modellierung ohne das GSTOOL Basis-Sicherheitscheck: ❺ Fokussierung auf organisatorische Aspekte ❺ Hilfestellung bei ❺ Vorbereitung der Interviews ❺ Durchführung der Interviews Dr. Lydia Tsintsifa 07.04.2005 Folie 32

Mittlere Institution Realisierung ❺ Erläuterung und Hinweise innerhalb der Schritte: ❺ Schritt 1 Sichtung der Untersuchungsergebnisse ❺ Schritt 2 Konsolidierung der Maßnahmen ❺ Schritt 3 Kosten- und Aufwandsschätzung ❺ Schritt 4 Festlegung der Umsetzungsreihenfolge der Maßnahmen ❺ Schritt 5 Festlegung der Verantwortlichkeit ❺ Schritt 6 Realisierungsbegleitende Maßnahmen Die Mitarbeiter sollten möglichst frühzeitig in die Planungen mit einbezogen werden: Sie sind es, die mit den neuen Maßnahmen leben müssen. ❺ Besonderer Hinweis auf die Aufrechterhaltung der IT-Sicherheit Dr. Lydia Tsintsifa 07.04.2005 Folie 33 Profil für eine große Institution ❺ Zugrunde gelegtes Beispiel: Rechenzentrum (ca. 100 Server) ❺ IT-Sicherheitserfahrung und IT-Grundschutzkenntnis sind vorhanden ❺ Ziel: Unterstützung des IT-Sicherheitsbeauftragten ❺ Erläuterungen zu den einzelnen Phasen des IT-Grundschutzhandbuchs ❺ Darstellung der Nutzungsmöglichkeiten und Grenzen des GSTOOL ❺ Lösungsvorschläge für phasenbezogenen Problemstellungen Dr. Lydia Tsintsifa 07.04.2005 Folie 34

Profil für eine große Institution ❺ Darstellung der üblichen Probleme innerhalb der jeweiligen Umsetzungsphase 4.2 Häufige Probleme bei der Erstellung der Sicherheits-Leitlinie 4.2.1 Personelle Probleme 4.2.1.1 Benennung des IT-Sicherheitsbeauftragten 4.2.1.2 Fehlende personelle Ressourcen 4.2.1.3 Fehlendes Bewusststein bei der Institutsleitung 4.2.2 Inhaltliche Probleme 4.2.2.1 Detaillierungsgrad der Sicherheits-Leitlinie 4.2.2.2 Nutzung vorhandener Dokumente 4.2.2.3 Berücksichtigung von Kundenanforderungen 4.2.2.4 Definition des IT-Sicherheitsmanagement-Teams ❺ Hinweise und Lösungsansätze zu diesen Problemen Dr. Lydia Tsintsifa 07.04.2005 Folie 35 Große Institution Das Organigramm Datenschutz- und Sicherheitsbeauftragter RZ-Leiter Sekretärin Teamleiter Technik Teamleiter Unix Teamleiter Firewall Teamleiter Mainframe Verwaltung Teamleiter Internet-Server Teamleiter Windows Teamleiter Operating Dr. Lydia Tsintsifa 07.04.2005 Folie 36

Große Institution Das Sicherheitsmanagement-Team ❺ Der IT-Sicherheitsbeauftragte als oberste Instanz Sicherheitsbeauftragter und Datenschutzbeauftragter ❺ Technische und organisatorische Unterstützung durch die einzelnen Bereiche Sicherheitsverantwortlicher Technik Sicherheitsverantwortlicher Firewall Sicherheitsverantwortlicher Internet-Server Sicherheitsverantwortlicher Windows Sicherheitsverantwortlicher Unix Sicherheitsverantwortlicher Operating Sicherheitsverantwortlicher Mainframe Dr. Lydia Tsintsifa 07.04.2005 Folie 37 Profil für eine große Institution ❺ Anbindung an das Internet ❺ Anbindung an verschiedene Kunden per DDV ❺ Definition des Rechenzentrums als IT-Verbund ❺ Bereiche Operating und Büroumgebung sind nicht Teil des IT-Verbunds ❺ Einsatz eines Mainframes Dr. Lydia Tsintsifa 07.04.2005 Folie 38

TALK / DATA TALK RSCS TRRD TDCD Große Institution Netzplan Internet Kundennetz Remote-Access System DDV externer Paketfilter DMZ 2 WWW-Server DMZ 1 VPN-Gateway Switch Internet Firewall Öffentliche Telefonanlage Vermittlungsstelle der Telefongesellschaft interner Paketfilter Mail-Server DNS-Server Switch Switch Switch PC RZ Leiter PCs Teamleiter PCs RZ Mitarbeiter Büroumgebung RZ-Personal Operator PCs Systems Management Operating Server Windows Server 1 Windows Server Switch RZ-Firewall Terminal-Server Backup-System Windows Server Windows Server 2 RZ-Switch Mainframe Windows Server Switch Switch Notstromversorgung USV + BHKW Windows Server Switch Host Switch Unix Server Unix Server Unix Server 1 Unix Server Unix Server Unix Server 2 Dr. Lydia Tsintsifa 07.04.2005 Folie 39 Große Institution IT-Sicherheitsleitlinie ❺ Umfang von 6 Seiten ❺ Basis für eine IT-Sicherheitsleitlinie eines Rechenzentrums ❺ Berücksichtigung der Kundenanforderungen ❺ Benennung eines IT-Sicherheitsbeauftragten und Definition eines IT- Sicherheitsmanagement-Teams ❺ Festlegung von Verantwortlichkeiten ❺ Allgemeine IT-Sicherheitsstrategien ❺ Schulung von Mitarbeitern zu IT-Sicherheitsmaßnahmen ❺ Revision von IT-Sicherheitsmaßnahmen Dr. Lydia Tsintsifa 07.04.2005 Folie 40

Große Institution Modellierung ❺ Detaillierte Erläuterung des Prinzips ❺ Modellierung anhand des GSTOOL Dr. Lydia Tsintsifa 07.04.2005 Folie 41 Große Institution Sicherheitsscheck, Zertifizierung Basis-Sicherheitscheck ❺ Erläuterung der ergänzenden Sicherheitsanalyse ❺ Darstellung von Problemen in allen Phasen Durchführung Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Zertifizierung ❺ Darstellung der Ausbaustufen ❺ Erläuterung von Problemen bei der Vorbereitung Maßnahmenauswahl zur Behandlung von Risiken Konsolidierung des IT- Sicherheitskonzepts Dr. Lydia Tsintsifa 07.04.2005 Folie 42

IT-Grundschutz Profile Zusammenfassung ❺ Praxis-orientierte Hilfestellung für die Implementierung des IT-Grundschutzes ❺ Hilfestellung, Beispiel-Dokumente und Tipps ❺ Beispiele für den Einsatz des GSTOOL Dr. Lydia Tsintsifa 07.04.2005 Folie 43 Fragen und Diskussion??????? Dr. Lydia Tsintsifa 07.04.2005 Folie 44

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Lydia Tsintsifa IT-Sicherheitsmanagement, IT-Grundschutz Tel: +49 (0)1888-9582-240 Fax: +49 (0)1888-9582-90240 lydia.tsintsifa@bsi.bund.de IT-Grundschutz Hotline: Tel: +49 (0)1888-9582-369 gshb@bsi.bund.de GSTOOL Hotline: Tel: +49 (0)1888-9582-299 gstool@bsi.bund.de Dr. Lydia Tsintsifa 07.04.2005 Folie 45

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback