Aktueller Stand der Modernisierung des IT-Grundschutzes

Ähnliche Dokumente
Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

CeBIT 2016 Modernisierung des IT-Grundschutzes. Isabel Münch und Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Modernisierung des IT-Grundschutz. Berlin, den 15. September 2015

Neues vom IT-Grundschutz Aktuelle Entwicklungen, Modernisierung und Diskussion

IT-Grundschutz heute und morgen

Kommunale Profile im Rahmen der IT- Grundschutz-Modernisierung

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Ausblick und Diskussion

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Wo stehen wir und wo wollen wir hin? Neues zum IT-Grundschutz

Quo vadis, IT-Grundschutz?

Der niedersächsische Weg das Beste aus zwei Welten

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

15 Jahre IT-Grundschutz

Copyright 2017 Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee , Bonn

Automatisierter IT-Grundschutz Hannover

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Neues vom IT-Grundschutz: Ausblick und Diskussion

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Brandschutzbeauftragter (TÜV )

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

BSI Grundschutz & ISMS nach ISO 27001

Wo stehen wir und wo wollen wir hin? Ausblick und Diskussion

1. IT-Grundschutz-Tag 2014

Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Modernisierung des IT-Grundschutzes

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Neues zum IT-Grundschutz

Modernisierung des IT-Grundschutzes

MUSTER. [ Originalbericht ist i.a. VS NUR FÜR DEN DIENSTGEBRAUCH einzustufen ] IS-Revisionsbericht. IS-Kurzrevision auf Basis von IT-Grundschutz.

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

BSI Technische Richtlinie

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

Ausblick und Diskussion

IT-Grundschutz Einführung und Anwendung auf Datenbanken

IT-Grundschutz-Profile:

Cloud Computing mit IT-Grundschutz

IT-Grundschutzhandbuch 1998

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

[15-1] e.html

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Neue Trends IT-Grundschutzhandbuch

Übersicht über die IT- Sicherheitsstandards

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

CON.6 Löschen und Vernichten

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

ORP.5: Compliance Management (Anforderungsmanagement)

ENTSPANNT LERNEN CYBER AKADEMIE- SUMMER SCHOOL. Lead-Auditor nach ISO/IEC Juli IT-Grundschutz-Experte

Cyber Security der Brandschutz des 21. Jahrhunderts

Bruno Tenhagen. Zertifizierung nach ISO/IEC 27001

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

IT-Sicherheit beim Landkreis Goslar

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

Automatisierter IT-Grundschutz

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Die Konkretisierung zum Baustein Smartphone - der Baustein ios

Neues vom IT-Grundschutz: Ausblick und Diskussion

VdS 3473 Informationssicherheit für KMU

Auf den Schultern von Riesen ISIS12 als Vorstufe zum BSI IT-Grundschutz

IT-Sicherheit für KMUs

Bundespolizei. Projekt Automatisierter Grundschutz. it-sa Michael Jokisch, Referat 51 IT-Strategie und Sicherheitsmanagement

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

EcoStep 5.0. Aktualisierung des integrierten Managementsystems für kleine und mittlere Unternehmen

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

GRC TOOLBOX PRO Vorstellung & News

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

IT-Grundschutz - Informationssicherheit ohne Risiken und Nebenwirkungen

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

IT-Grundschutz-Novellierung Security Forum Hagenberger Kreis. Joern Maier, Director Information Security Management

Zertifizierung IT-Sicherheitsbeauftragter

IT-Grundschutzhandbuch

Aus der Praxis für die Praxis: Die Cloud im behördlichen Umfeld

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen

Grundlagen des Datenschutzes und der IT-Sicherheit

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

Transkript:

Aktueller Stand der Modernisierung des IT-Grundschutzes 3. IT-Grundschutz-Tag 2017, 04.07.2017 Holger Schildt, Birger Klein Referat IT-Grundschutz

Agenda 1. 2. 3. 4. 5. Kernaspekte der Modernisierung des IT-Grundschutzes BSI-Standards zum IT-Grundschutz Bausteine des IT-Grundschutz-Kompendiums IT-Grundschutz-Profile Ausblick und Diskussion H. Schildt, B. Klein Seite 2

Modernisierung Kernaspekte Bausteine Vorgehensweisen Profile Modernisierter IT-Grundschutz H. Schildt, B. Klein Seite 3

2. BSI-Standards zum IT-Grundschutz BSI-Standard 200-1 BSI-Standard 200-2 einschl. Leitfaden zur Basis-Absicherung BSI-Standard 200-3

BSI-Standards zum IT-Grundschutz Community Drafts H. Schildt, B. Klein Seite 5

BSI-Standard 200-1 Managementsysteme für Informationssicherheit Definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) Zielgruppe: Management Kompatibel mit ISO/IEC 27001 Interpretation der Norm Aktualisierung basierend auf BSI-Standard 100-1 Anpassungen an Fortschreibung der ISO-Standards Anpassungen an BSI-Standard 200-2 H. Schildt, B. Klein Seite 6

BSI-Standard 200-1 Antworten auf folgende Fragen Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? Wie werden Sicherheitsmaßnahmen ausgewählt und Sicherheitskonzepte erstellt? Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? H. Schildt, B. Klein Seite 7

BSI-Standard 200-2 IT-Grundschutz-Methodik Neukonzeption basierend auf BSI-Standard 100-2 Neue Vorgehensweisen zum Einstieg Erweiterung um Virtualisierung, Cloud-, ICS- und IoT-Absicherung Anpassungen an Fortschreibung der ISO- Standards Informationsklassifizierung stärker herausgearbeitet Informationsfluss im Informationssicherheitsprozess überarbeitet, Angleichung mit 100-4 Beispiel BoV durch RecPlast ausgetauscht H. Schildt, B. Klein Seite 8

BSI-Standard 200-2 Überblick Vorgehensweisen Schutzbedarf normal Kern-Absicherung Standard-Absicherung Basis-Absicherung H. Schildt, B. Klein Seite 9

BSI-Standard 200-2 Einstieg Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstiegs in Informationssicherheit Ermittlung Rahmenbedingungen Formulierung allgemeiner Sicherheitsziele Bestimmung des angestrebten Sicherheitsniveaus Ersterfassung Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise Legt Geltungsbereich fest H. Schildt, B. Klein Seite 10

BSI-Standard 200-2 Basis-Absicherung Vereinfachter Einstieg in das Sicherheitsmanagement Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen Erstabsicherung in der Breite Umsetzung essentieller Anforderungen Auf die Bedürfnisse von KMUs zugeschnitten Auch für kleine Institutionen geeignet Basis-Absicherung H. Schildt, B. Klein Seite 11

Ergänzung zum BSI-Standard 200-2 Leitfaden zur Basis-Absicherung H. Schildt, B. Klein Seite 12

Leitfaden zur Basis-Absicherung Mehrwert & Zielgruppe Warum ein Leitfaden? kompakter und übersichtlicher Einstieg in die Informationssicherheit elementare Schritte zur Überprüfung und Steigerung des Informationssicherheitsniveaus in einer Institution Drei Schritte für Institutionen die sich erstmalig mit Informationssicherheit befassen wollen, die erste Sicherheitsmaßnahmen in der Breite umsetzen wollen und deren Geschäftsprozesse überschaubarem Gefährdungspotenzial unterliegen. Drei Schritte zur Erhöhung der Informationssicherheit für KMU, Selbstständige und kleinere Behörden! H. Schildt, B. Klein Seite 13

Leitfaden zur Basis-Absicherung Die drei Phasen des Sicherheitsprozesses 1. Initiierung des Sicherheitsprozesses Funktionen und Verantwortlichkeiten Geltungsbereich: Informationsverbund Sicherheitsziele und Leitlinie 2. Organisation des Sicherheitsprozesses Ausbau einer Organisation zur Informationssicherheit Integration in Abläufe und Prozesse Konzeption und Planung 3. Durchführung des Sicherheitsprozesses Modellierung nach IT-Grundschutz IT-Grundschutz-Check Umsetzung der Sicherheitskonzeption H. Schildt, B. Klein Seite 14

BSI-Standard 200-2: Basis-Absicherung Durchführung des Sicherheitsprozesses H. Schildt, B. Klein Seite 15

BSI-Standard 200-2 Kern-Absicherung Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund Zeitersparnis im Vorgehen beschleunigte Absicherung dieser Ressourcen in der Tiefe Kern-Absicherung H. Schildt, B. Klein Seite 16

BSI-Standard 200-2 Standard-Absicherung Die Methode bleibt in den Grundzügen unverändert Implementierung eines vollumfänglichen Sicherheitsprozesses nach (bisherigem) BSI-Standard 100-2 Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standard-Absicherung H. Schildt, B. Klein Seite 17

BSI-Standard 200-2 Standard-Absicherung Strukturanalyse Schutzbedarfsfeststellung Modellierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Jetzt: Basis-Sicherheitscheck IT-Grundschutz-Check (2) Aufrechterhaltung und Kontinuierliche Verbesserung Realisierung der Maßnahmen H. Schildt, B. Klein Seite 18

BSI-Standard 200-2 Wege zur Standard-Absicherung Einstieg Basis-Absicherung Kern-Absicherung Kern-Absicherung Basis-Absicherung Standard-Absicherung H. Schildt, B. Klein Seite 19

BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Nun: Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3 Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basis-Anforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf H. Schildt, B. Klein Seite 20

BSI-Standard 200-3 Vorgehensweise H. Schildt, B. Klein Seite 21

BSI-Standard 200-3 Einstufung von Risiken H. Schildt, B. Klein Seite 22

3. Bausteine des IT-Grundschutz-Kompendiums

IT-Grundschutz-Kataloge 15. Ergänzungslieferung Neue Bausteine Client unter Windows 8 Identitäts- und Berechtigungsmanagement Softwareentwicklung SOA Eingebettetes System Überarbeitete Bausteine B 4.1 Netzarchitektur B 4.2 Netz-Management H. Schildt, B. Klein Seite 24

IT-Grundschutz-Kompendium Überblick H. Schildt, B. Klein Seite 25

IT-Grundschutz-Kompendium Überblick IT-Grundschutz-Kataloge bisher: Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Neu: IT-Grundschutz-Kompendium Einführung in die IT-Grundschutz-Methodik Modellierung Bausteine Elementare Gefährdungen Neue Strukturen Andere Inhalte Neuer Name H. Schildt, B. Klein Seite 26

Struktur des IT-Grundschutz- Kompendiums Vollständiger Überblick H. Schildt, B. Klein Seite 27

Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP CON OPS System-Bausteine APP SYS NET INF IND DER H. Schildt, B. Klein Seite 28

Struktur GS-Kompendium Prozess-Bausteine ISMS ORP (Organisation und Personal) CON (Konzepte und Vorgehensweisen) OPS (Betrieb) DER (Detektion & Reaktion) ISMS.1 Sicherheitsmanagement ORP.1 Organisation CON.1 Kryptokonzept OPS.1 Eigener IT- Betrieb DER.1 Detektion ORP.2 Personal CON.2 Datenschutz OPS.2 IT-Betrieb von Dritten DER.2 Security Incident Management ORP.3 Sensibilisierung und Schulung CON.3 Hochverfügbarkeitskonzeption OPS.3 IT-Betrieb für Dritte DER.3 Sicherheitsprüfungen ORP.4 Identitäts- und Berechtigungsmanagement CON.4 Softwareentwicklung OPS.4 Betriebliche Aspekte DER.4 BCM/Notfallmanagement ORP.5 Anforderungsmanagement (Compliance) CON.5 Informationssicherheit im Projektmgt DER.5 Reporting & Compliance Baustein Schicht CON.6 Informationssicherheit auf Auslandsreisen H. Schildt, B. Klein Seite 29

Struktur GS-Kompendium System-Bausteine APP (Anwendungen) SYS (IT-Systeme) NET (Netze und Kommunikation) INF (Infrastruktur) IND (Industrielle IT) APP.1 E-Mail/ Groupware/ Kommunikation SYS.1 Server NET.1 Netze INF.1 Gebäude INF.7 Datenträgerarchiv IND.1 ERP/MES- Anbindung von ICS APP.2 Verzeichnisdienst SYS.2 Desktop- Systeme NET.2 Funknetze INF.2 Rechenzentrum INF.8 Arbeitsplatz IND.2 ICS- Komponenten APP.3 Netzbasierte Dienste SYS.3 Mobile Devices NET.3 Netzkomponenten INF.3 Elektrotechnische Verkabelung INF.9 Telearbeitsplatz IND.3 Produktionsnetze APP.4 Business- Anwendungen SYS.4 Sonstige Systeme NET.4 Telekommunikation INF.4 IT-Verkabelung INF10 Mobiler Arbeitsplatz IND.4 Industrielle Fernwartung APP.5 Client- Anwendungen INF.5 Technikraum INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum Baustein Schicht INF.6 Schutzschrank INF.12 Werkhalle H. Schildt, B. Klein Seite 30

Bausteine GS-Kompendium Dokumentenstruktur Umfang: ca. 10 Seiten! Beschreibung Einleitung Zielsetzung Abgrenzung Verantwortliche Spezifische Gefährdungslage Anforderungen (keine Maßnahmen) Basis-Anforderungen Standard-Anforderungen Anforderungen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle H. Schildt, B. Klein Seite 31

Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 32

Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 33

Bausteine GS-Kompendium Dokumentenstruktur H. Schildt, B. Klein Seite 34

Umsetzungshinweise Dokumentenstruktur Umfang: beliebig Gliederung lehnt sich an Bausteine an Beschreibung Einleitung Lebenszyklus Maßnahmen als Umsetzungshilfen Basis-Maßnahmen Standard-Maßnahmen Maßnahmen bei erhöhtem Schutzbedarf Referenzen auf weiterführende Informationen Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc. H. Schildt, B. Klein Seite 35

Bausteine und Umsetzungshinweise Veröffentlichungsprozess Arbeitsentwürfe (Working Drafts) sehr grobe Entwürfe nur BSI-interne Verwendung Community- Entwürfe (Community Drafts) Akzeptabler Reifegrad Grundlage für die Diskussion mit der Community Finaler Entwurf (Final Draft) Nach Einbindung der relevanten Kommentare der Community Version aktuell gültige IT-Grundschutz- Fassung H. Schildt, B. Klein Seite 36

Veröffentlichungen Bausteine als Community Draft ISMS (implementierte Anforderungen) APP.2.2 Active Directory APP.3.1 Web- Anwendungen APP.3.3 Fileserver APP.3.4 Samba APP.3.6 DNS-Server APP.4.3 Datenbanksysteme APP.5.1 Groupware APP.5.2 Office-Produkte CON.2 Datenschutz CON.4 Standardsoftware CON.6 Informationssicherheit auf Auslandsreisen DER.1 Detektion von sicherheitsrelevanten Ereignissen DER.2.2 Vorsorge für die IT-Forensik IND.1 ICS Betrieb INF.1 Allgemeines Gebäude INF.3 Elektrotechnische Verkabelung INF.4 IT-Verkabelung INF.8 Häuslicher Arbeitsplatz NET.2.1 WLAN-Betrieb NET.2.2 WLAN-Nutzung NET.3.2 Firewall OPS.1.1.1 Ordnungsgemäße IT- Administration OPS.1.2.2 Archivierung OPS.1.2.3 Datenträgeraustausch OPS.2.1 Outsourcing- Anwender OPS.2.4 Remote Administration OPS.3.1 Outsourcing- Anbieter ORP.1 Organisation ORP.2 Personal ORP.3 Sensibilisierung und Schulung ORP.5 Anforderungsmanagement SYS.1.1 Allgemeiner Server SYS.1.2.2 Windows Server 2012 SYS.2.1 Allgemeiner Client SYS.2.2.2 Client unter Windows 8.1 SYS.2.2.3 Client unter Windows 10 SYS.3.1 Laptop/Notebook SYS.3.2.2 MDM SYS.3.2.3 ios for Enterprise SYS.3.4 Mobile Datenträger SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte SYS.4.4 Allgemeines IoT- Gerät Stand: 26.06.2017 H. Schildt, B. Klein Seite 37

Veröffentlichungen Bausteine als Community Draft Zahlreiche weitere Bausteine derzeit in der End-QS Protokollierung Bereinigung Netzarchitektur & -design DNS Mobiler Arbeitsplatz Telearbeitsplatz Smartphone & Tablet Android H. Schildt, B. Klein Seite 38

Rückmeldungen zu Working Drafts SYS.2.2.3 Client unter Windows 10 H. Schildt, B. Klein Seite 39

4. IT-Grundschutz-Profile

IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1 ORP.4 IND.1 ISMS SYS.1.2. IND.3.1 SYS.1.1 OPS.1.1.1 SYS.2.2.3 APP.3.1 ORP.2 APP.5.6 SYS.3.1 OPS.1.1.3 SYS.4.1 ORP.3 SYS.3.3 OPR.1 OPS.1.1.5 INF.1 OPS.1.1.4 H. Schildt, B. Klein Seite 41

IT-Grundschutz-Profile ein Blick in Institutionen H. Schildt, B. Klein Seite 42

IT-Grundschutz-Profile Adaption als Schablone ISMS SYS.2.2.3 OPS.1.1.3 SYS.3.3 ORP.4 SYS.3.1 INF.1 SYS.3.1 OPS.1.1.3 OPR.1 OPS.4 ISMS SYS.1.2. SYS.2.2.3 APP.3.1 IND.1 IND.3.1 APP.3.1 APP.5.6 SYS.3.3 SYS.4.1 INF.1 APP.1.1 APP.5.6 SYS.1.1 H. Schildt, B. Klein Seite 43

IT-Grundschutz-Profile Definition Ein IT-Grundschutz-Profil ist ein Muster- Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), es bereitet das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise (z.b. Strukturanalyse, Schutzbedarfsfeststellung, Modellierung) und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine so auf, dass es als Schablone von ähnlichen Institutionen adaptiert werden kann! H. Schildt, B. Klein Seite 44

IT-Grundschutz-Profile Überblick Werkzeug für anwenderspezifische Empfehlungen Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich Berücksichtigt Möglichkeiten und Risiken der Institution Profile beziehen sich auf typische IT-Szenarien, z.b. Prozesse in Institutionen wie Kommunalverwaltung in Bundesland XY, Krankenhaus Wasserwerk als Kritische Infrastruktur Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und nicht durch das BSI erstellt Nicht als BSI-Vorgabe zu verstehen! Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert H. Schildt, B. Klein Seite 45

IT-Grundschutz-Profile Aufbau (1/5) Formale Aspekte Titel Autor Verantwortlich Registrierungsnummer Versionsstand Revisionszyklus Vertraulichkeit Status der Anerkennung durch das BSI Management Summary Kurzzusammenfassung der Zielgruppe, Zielsetzung und Inhalte des IT-Grundschutz-Profils H. Schildt, B. Klein Seite 46

IT-Grundschutz-Profile Aufbau (2/5) Geltungsbereich Zielgruppe Angestrebter Schutzbedarf Zugrundeliegende IT-Grundschutz-Vorgehensweise ISO 27001-Kompatibilität Rahmenbedingungen Abgrenzung Bestandteile des IT-Grundschutz-Profils Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte Verweise auf andere IT-Grundschutz-Profile H. Schildt, B. Klein Seite 47

IT-Grundschutz-Profile Aufbau (3/5) Referenzarchitektur Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund Informationsverbund mit Prozessen, (Infrastruktur,) Netz-Komponenten, IT-Systemen und Anwendungen Textuell und graphisch mit eindeutigen Bezeichnungen Wenn möglich, Gruppenbildung Umgang bei Abweichungen zur Referenzarchitektur H. Schildt, B. Klein Seite 48

IT-Grundschutz-Profile Aufbau (4/5) Umzusetzende Anforderungen und Maßnahmen Zuordnung von Prozess- und System-Bausteinen auf Untersucherungsgegenstand Umsetzungsvorgabe möglich: Auf geeignete Weise Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise Durch Umsetzung von [ ] Auswahl der umzusetzenden Anforderungen eines Bausteins: Verzicht auf (einzelne) Standardanforderungen Verbindliche Erfüllung von Anforderungen für erhöhtem Schutzbedarf Zusätzliche Anforderungen Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung [ ] H. Schildt, B. Klein Seite 49

IT-Grundschutz-Profile Aufbau (5/5) Anwendungshinweise Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept Risikobehandlung Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen Unterstützende Informationen Hinweise, wo vertiefende Informationen zu finden sind Anhang Glossar, zusätzliche Bausteine, etc. H. Schildt, B. Klein Seite 50

IT-Grundschutz-Profile Status und Ziele Status Working-Draft ecommerce Diskussion mit zahlreichen Stakeholdern Veröffentlichung eines Artikels Erstellung einer Strukturbeschreibung Masterarbeit zur Erstellung eines IT-Grundschutz-Profils Ziele Maschinenlesbar Veröffentlichung von Pilot-Profilen Langfristig: öffentlicher Marktplatz mit IT-Grundschutz-Profilen H. Schildt, B. Klein Seite 51

5. Ausblick

Veröffentlichungen Zeitliche Abfolge März 2016 Erste Bausteine nach neuer Struktur Oktober 2016 März 2017 BSI-Standard 200-3 it-sa BSI-Standard 200-2 CeBIT April 2017 BSI-Standard 200-1 Hannover- Messe Mai 2017 Leitfaden zur Basis- Absicherung BSI-Kongress Oktober 2017 Vorstellung finale Standards und IT-GS-Kompendium Redaktionsschluss BSI-Standards: 30.06.2017 Redaktionsschluss GS-Bausteine: 31.07.2017 it-sa H. Schildt, B. Klein Seite 53

IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen Eigene benutzerdefinierte Bausteine Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) Bausteine müssen migriert werden BSI erstellt Migrationshilfe (Autorenhinweise) H. Schildt, B. Klein Seite 54

IT-Grundschutz-Migration Unterstützung durch das BSI Auditorentag 2017 am 07.06.2017 in Bonn Herstellerworkshop Integration des modernisierten IT-Grundschutzes in die Tools und Anpassung der Datenbank-Schnittstellen IT-Grundschutz-Tag Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der IT-Grundschutz-Modernisierung am 22.06.2017 in Bonn am 04.07.2017 in Berlin Konzept und Leitfaden zur Migration derzeit in Arbeit H. Schildt, B. Klein Seite 55

Nächste Veranstaltungen 3. IT-Grundschutz-Tag 2017, 04.07.2017, Berlin Auf der Zielgeraden: Aktuelle Entwicklungen und Ergebnisse der Modernisierung 4. IT-Grundschutz-Tag 2017 am 11.10.2017 in Nürnberg geplant: IT-Grundschutz-Tag im Q1 in Berlin geplant: IT-Grundschutz-Tag am 19.06.2017 in Limburg Termine der Allianz für Cyber-Sicherheit 17. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit, 01.09.2017, Darmstadt Cyber-Sicherheit in der mobilen Kommunikation H. Schildt, B. Klein Seite 56

Vielen Dank für Ihre Aufmerksamkeit! Kontakt grundschutz@bsi.bund.de Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik Referat IT-Grundschutz Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de H. Schildt, B. Klein Seite 57

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback