Aktueller Stand der Modernisierung des IT-Grundschutzes 3. IT-Grundschutz-Tag 2017, 04.07.2017 Holger Schildt, Birger Klein Referat IT-Grundschutz
Agenda 1. 2. 3. 4. 5. Kernaspekte der Modernisierung des IT-Grundschutzes BSI-Standards zum IT-Grundschutz Bausteine des IT-Grundschutz-Kompendiums IT-Grundschutz-Profile Ausblick und Diskussion H. Schildt, B. Klein Seite 2
Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz H. Schildt, B. Klein Seite 3
2. BSI-Standards zum IT-Grundschutz BSI-Standard 200-1 BSI-Standard 200-2 einschl. Leitfaden zur Basis-Absicherung BSI-Standard 200-3
BSI-Standards zum IT-Grundschutz Community Drafts H. Schildt, B. Klein Seite 5
BSI-Standard 200-1 Managementsysteme für Informationssicherheit Definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) Zielgruppe: Management Kompatibel mit ISO/IEC 27001 Interpretation der Norm Aktualisierung basierend auf BSI-Standard 100-1 Anpassungen an Fortschreibung der ISO-Standards Anpassungen an BSI-Standard 200-2 H. Schildt, B. Klein Seite 6
BSI-Standard 200-1 Antworten auf folgende Fragen Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? Wie werden Sicherheitsmaßnahmen ausgewählt und Sicherheitskonzepte erstellt? Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? H. Schildt, B. Klein Seite 7
BSI-Standard 200-2 IT-Grundschutz-Methodik Neukonzeption basierend auf BSI-Standard 100-2 Neue Vorgehensweisen zum Einstieg Erweiterung um Virtualisierung, Cloud-, ICS- und IoT-Absicherung Anpassungen an Fortschreibung der ISO- Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit 100-4 Beispiel BoV durch RecPlast ausgetauscht H. Schildt, B. Klein Seite 8
BSI-Standard 200-2 Überblick Vorgehensweisen Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung H. Schildt, B. Klein Seite 9
BSI-Standard 200-2 Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest H. Schildt, B. Klein Seite 10
BSI-Standard 200-2 Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung H. Schildt, B. Klein Seite 11
Ergänzung zum BSI-Standard 200-2 Leitfaden zur Basis-Absicherung H. Schildt, B. Klein Seite 12
Leitfaden zur Basis-Absicherung Mehrwert & Zielgruppe Warum ein Leitfaden? kompakter und übersichtlicher Einstieg in die Informationssicherheit elementare Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus in einer Institution Drei Schritte für Institutionen die sich erstmalig mit Informationssicherheit befassen wollen, die erste Sicherheitsmaßnahmen in der Breite umsetzen wollen und deren Geschäftsprozesse überschaubarem Gefährdungspotenzial unterliegen. Drei Schritte zur Erhöhung der Informationssicherheit für KMU, Selbstständige und kleinere Behörden! H. Schildt, B. Klein Seite 13
Leitfaden zur Basis-Absicherung Die drei Phasen des Sicherheitsprozesses 1. Initiierung des Sicherheitsprozesses Funktionen und Verantwortlichkeiten Geltungsbereich: Informationsverbund Sicherheitsziele und Leitlinie 2. Organisation des Sicherheitsprozesses Ausbau einer Organisation zur Informationssicherheit Integration in Abläufe und Prozesse Konzeption und Planung 3. Durchführung des Sicherheitsprozesses Modellierung nach IT-Grundschutz IT-Grundschutz-Check Umsetzung der Sicherheitskonzeption H. Schildt, B. Klein Seite 14
BSI-Standard 200-2: Basis-Absicherung Durchführung des Sicherheitsprozesses H. Schildt, B. Klein Seite 15
BSI-Standard 200-2 Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung H. Schildt, B. Klein Seite 16
BSI-Standard 200-2 Standard-Absicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (bisherigem) BSI-Standard 100-2 Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standard-Absicherung H. Schildt, B. Klein Seite 17
BSI-Standard 200-2 Standard-Absicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen H. Schildt, B. Klein Seite 18
BSI-Standard 200-2 Wege zur Standard-Absicherung Einstieg Basis-Absicherung Kern-Absicherung Kern-Absicherung Basis-Absicherung Standard-Absicherung H. Schildt, B. Klein Seite 19
BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Nun: Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3 Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf H. Schildt, B. Klein Seite 20
BSI-Standard 200-3 Vorgehensweise H. Schildt, B. Klein Seite 21
BSI-Standard 200-3 Einstufung von Risiken H. Schildt, B. Klein Seite 22
3. Bausteine des IT-Grundschutz-Kompendiums
IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management H. Schildt, B. Klein Seite 24
IT-Grundschutz-Kompendium Überblick H. Schildt, B. Klein Seite 25
IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name H. Schildt, B. Klein Seite 26
Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick H. Schildt, B. Klein Seite 27
Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER H. Schildt, B. Klein Seite 28
Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen H. Schildt, B. Klein Seite 29
Struktur GS-Kompendium System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 E-Mail/ Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle H. Schildt, B. Klein Seite 30
Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle H. Schildt, B. Klein Seite 31
Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 32
Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 33
Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 34
Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. H. Schildt, B. Klein Seite 35
Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung H. Schildt, B. Klein Seite 36
Veröffentlichungen Bausteine als Community Draft ISMS (implementierte Anforderungen) APP.2.2 Active Directory APP.3.1 Web- Anwendungen APP.3.3 Fileserver APP.3.4 Samba APP.3.6 DNS-Server APP.4.3 Datenbanksysteme APP.5.1 Groupware APP.5.2 Office-Produkte CON.2 Datenschutz CON.4 Standardsoftware CON.6 Informationssicherheit auf Auslandsreisen DER.1 Detektion von sicherheitsrelevanten Ereignissen DER.2.2 Vorsorge für die IT-Forensik IND.1 ICS Betrieb INF.1 Allgemeines Gebäude INF.3 Elektrotechnische Verkabelung INF.4 IT-Verkabelung INF.8 Häuslicher Arbeitsplatz NET.2.1 WLAN-Betrieb NET.2.2 WLAN-Nutzung NET.3.2 Firewall OPS.1.1.1 Ordnungsgemäße IT- Administration OPS.1.2.2 Archivierung OPS.1.2.3 Datenträgeraustausch OPS.2.1 Outsourcing- Anwender OPS.2.4 Remote Administration OPS.3.1 Outsourcing- Anbieter ORP.1 Organisation ORP.2 Personal ORP.3 Sensibilisierung und Schulung ORP.5 Anforderungsmanagement SYS.1.1 Allgemeiner Server SYS.1.2.2 Windows Server 2012 SYS.2.1 Allgemeiner Client SYS.2.2.2 Client unter Windows 8.1 SYS.2.2.3 Client unter Windows 10 SYS.3.1 Laptop/Notebook SYS.3.2.2 MDM SYS.3.2.3 ios for Enterprise SYS.3.4 Mobile Datenträger SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte SYS.4.4 Allgemeines IoT- Gerät Stand: 26.06.2017 H. Schildt, B. Klein Seite 37
Veröffentlichungen Bausteine als Community Draft Zahlreiche weitere Bausteine derzeit in der End-QS Protokollierung Bereinigung Netzarchitektur & -design DNS Mobiler Arbeitsplatz Telearbeitsplatz Smartphone & Tablet Android H. Schildt, B. Klein Seite 38
Rückmeldungen zu Working Drafts SYS.2.2.3 Client unter Windows 10 H. Schildt, B. Klein Seite 39
4. IT-Grundschutz-Profile
IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS.1.1.1 SYS.2.2.3 APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS.1.1.3 SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS.1.1.5 INF.1 OPS.1.1.4 H. Schildt, B. Klein Seite 41
IT-Grundschutz-Profile ein Blick in Institutionen H. Schildt, B. Klein Seite 42
IT-Grundschutz-Profile Adaption als Schablone ISMS SYS.2.2.3 OPS.1.1.3 SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS.1.1.3 OPR.1 OPS.4 ISMS SYS.1.2. SYS.2.2.3 APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 H. Schildt, B. Klein Seite 43
IT-Grundschutz-Profile Definition Ein IT-Grundschutz-Profil ist ein Muster- Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z.b. Strukturanalyse, Schutzbedarfsfeststellung, Modellierung) und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Institutionen adaptiert werden kann! H. Schildt, B. Klein Seite 44
IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert H. Schildt, B. Klein Seite 45
IT-Grundschutz-Profile Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils H. Schildt, B. Klein Seite 46
IT-Grundschutz-Profile Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO 27001-Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile H. Schildt, B. Klein Seite 47
IT-Grundschutz-Profile Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur H. Schildt, B. Klein Seite 48
IT-Grundschutz-Profile Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: Auf geeignete Weise Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ] Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [ ] H. Schildt, B. Klein Seite 49
IT-Grundschutz-Profile Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc. H. Schildt, B. Klein Seite 50
IT-Grundschutz-Profile Status und Ziele Status Working-Draft ecommerce Diskussion mit zahlreichen Stakeholdern Veröffentlichung eines Artikels Erstellung einer Strukturbeschreibung Masterarbeit zur Erstellung eines IT-Grundschutz-Profils Ziele Maschinenlesbar Veröffentlichung von Pilot-Profilen Langfristig: öffentlicher Marktplatz mit IT-Grundschutz-Profilen H. Schildt, B. Klein Seite 51
5. Ausblick
Veröffentlichungen Zeitliche Abfolge März 2016 Erste Bausteine nach neuer Struktur Oktober 2016 März 2017 BSI-Standard 200-3 it-sa BSI-Standard 200-2 CeBIT April 2017 BSI-Standard 200-1 Hannover- Messe Mai 2017 Leitfaden zur Basis- Absicherung BSI-Kongress Oktober 2017 Vorstellung finale Standards und IT-GS-Kompendium Redaktionsschluss BSI-Standards: 30.06.2017 Redaktionsschluss GS-Bausteine: 31.07.2017 it-sa H. Schildt, B. Klein Seite 53
IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) H. Schildt, B. Klein Seite 54
IT-Grundschutz-Migration Unterstützung durch das BSI Auditorentag 2017 am 07.06.2017 in Bonn Herstellerworkshop Integration des modernisierten IT-Grundschutzes in die Tools und Anpassung der Datenbank-Schnittstellen IT-Grundschutz-Tag Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der IT-Grundschutz-Modernisierung am 22.06.2017 in Bonn am 04.07.2017 in Berlin Konzept und Leitfaden zur Migration derzeit in Arbeit H. Schildt, B. Klein Seite 55
Nächste Veranstaltungen 3. IT-Grundschutz-Tag 2017, 04.07.2017, Berlin Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der Modernisierung 4. IT-Grundschutz-Tag 2017 am 11.10.2017 in Nürnberg geplant: IT-Grundschutz-Tag im Q1 in Berlin geplant: IT-Grundschutz-Tag am 19.06.2017 in Limburg Termine der Allianz für Cyber-Sicherheit 17. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit, 01.09.2017, Darmstadt Cyber-Sicherheit in der mobilen Kommunikation H. Schildt, B. Klein Seite 56
Vielen Dank für Ihre Aufmerksamkeit! Kontakt grundschutz@bsi.bund.de Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de H. Schildt, B. Klein Seite 57