des IT-Grundschutzes Isabel Münch Holger Schildt Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cybersicherheit 1. IT-Grundschutz-Tag 015
Neuausrichtung 0 Jahre IT-Grundschutz und nun? Neue Anforderungen nach 0 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 0 Jahre Holger Schildt
Fahrplan IT-Grundschutz "Neu" Konzeption: 015 Realisierung: 015 Migration: 016 IT-Grundschutz "Classic" Ergänzungslieferungen bis 015 GSTOOL-Pflege: Metadaten-Updates für die Ergänzungslieferungen Support bis mindestens Ende 016 Holger Schildt
Findungsphase Analyse und Diskussion in mehreren Workshops: 10.09.01: IT-SiBe-Treffen 1.0.01: BSI-interner Workshop 5.0.01: GS-Auditorentag 11.0.01: CeBIT-Diskussion 0.0.01: Workshop mit Auditoren 07.05.01: Workshop mit Auditoren 1.05.01: Workshop mit Tool-Herstellern.05.01: Workshop mit Ressort-IT-SiBes des Bundes 7.05.01: Workshop mit Power-Usern 06.10.01: Workshop IT-SiBe-Tagung der Länder 11.11.01: Workshop mit Kommunen Bedarfsumfrage nach IT-Grundschutz-Leistungen Holger Schildt
Durchführung der Workshops Bisher ungefähr 00 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge Auswahl der BSI-Thesen nach Zielgruppe Teilnehmer bewerteten BSI-Thesen Bewertungsskala 1 bis 5 (1: Zustimmung - 5: Ablehnung) Hinweis: Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde! Holger Schildt 5
Fragebogen Modernisierungsvorschläge Holger Schildt 6
sansätze Stärkere Berücksichtigung der Zielgruppe kleine und mittlere Institutionen Typische Größe: 50-5000 Mitarbeiter/innen Vorgehensweise, Aufwand und Maßnahmenauswahl berücksichtigen stärker die realen Möglichkeiten von kleinen und mittleren Institutionen Bleibt auch für große Institutionen nützlich, diese nutzen IT-Grundschutz jedoch meist als ein Hilfsmittel neben anderen 1 -wird gewünscht Holger Schildt 7
Mögliche Neuerungen Skalierung der Maßnahmen Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Maßnahmen für erhöhten Schutzbedarf (als Beispiele, keine Vorgaben) 1 -wird gewünscht Holger Schildt 8
Mögliche Neuerungen Angebot verschiedener Vorgehensweisen Bottom-Up: 0:80 Umsetzung der Erstmaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzepts (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse,...) "Kronjuwelen-Ansatz": Primär Cyber-Sicherheit für die wichtigsten Schutzobjekte 1 - wird gewünscht Holger Schildt 9
Mögliche Neuerungen Verschlankung der Bausteine Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc. Studien Alte Bausteine Hersteller-Dokumentation Tools 1 - wird gewünscht Holger Schildt 10
Mögliche Neuerungen Fixierte Schutzbedarfsklassen BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig 1 - Wird gewünscht Holger Schildt 11
Mögliche Neuerungen Integration aller BSI-Empfehlungen in einem Werk IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen IT-Grundschutz ICS-Empfehlungen Studien Publikationen zur Studien (BSI / extern) Cyber-Sicherheit 100-, UMRA? ISi-Reihe HV-Kompendium HV-Kompendium? ICS-Sicherheit ggf. andere BSI-Publikationen 1 - wird gewünscht Holger Schildt 1
Mögliche Neuerungen Reduktion des Redaktionsaufwandes Verzicht auf gedruckte Version der IT-Grundschutz-Kataloge Ausschließlich HTML-Version? Ausschließlich pdf-version ohne Web-Auftritt? Vereinfachte Sprachschärfe (muss, soll, sollte, ist zu, ) Unterjährige Herausgabe neuer Bausteine, Verzicht auf Ergänzungslieferungen Verzicht auf selten genutzte Zusatzinformationen (s.u.) 1 - wird gewünscht Holger Schildt 1
Mögliche Neuerungen Verzicht auf Wiederverwendung von Maßnahmen Wiederverwendung von Maßnahmen: erzeugen heute viele Seiteneffekte generieren Maßnahmen mit vielen Fallunterscheidungen Also: autarke Bausteine ohne Wiederverwendung von Maßnahmen Erhebliche Komplexitätsreduktion im Erstellungsprozess 1 - wird gewünscht Holger Schildt 1
Mögliche Neuerungen Beteiligung der Community IT-Grundschutz-WIKI Gemeinsame Fortentwicklung von Bausteinen, Umsetzungsrahmen, Hilfsmitteln etc. Erstellung von Prüffragen durch Community Freigabe und Veröffentlichung durch BSI 1 - wird gewünscht Holger Schildt 15
Mögliche Neuerungen Entwicklung von GS-Profilen GS-Profil = Auswahl anzuwendender Bausteine und Maßnahmen für typische Institution, berücksichtigt Möglichkeiten und Risiken der Institution Beispiel: GS-Profil: Kommunalverwaltung in Bundesland XY GS-Profil: Krankenhaus GS-Profil: Wasserwerk als kritische Infrastruktur Anwendbar als "Schablone" Erstellung durch / mit Stakeholder Zertifizierung nach GS-Profilen wird diskutiert 1 - wird gewünscht Holger Schildt 16
Aktueller Bearbeitungsstand Publikationen www.bsi.bund.de diverse Artikel Analyse der "Baustein-Kataloge" Welche werden benötigt? Abgrenzung untereinander? Wie kategorisieren? Entwicklung von Pilot-Bausteinen Allgemeiner Server Anforderungsmanagement Datenträgeraustausch Internetnutzung ios Notfallmanagement Mac OS X Patchmanagement Personal Sichere Softwareentwicklung Windows 008 WLAN Holger Schildt 17
Aktueller Bearbeitungsstand Demonstration Ronny Frankenstein (HiSolutions AG) Holger Schildt 18