20 Jahre IT-Grundschutz – Zeit für eine Modernisierung und Die

20 Jahre IT-Grundschutz –
Zeit für eine Modernisierung und
Die neuen Vorgehensweisen
Holger Schildt
IT-Grundschutz und Allianz für Cyber-Sicherheit
Agenda
1.
• Einleitung und Motivation
2.
• Vorgehensweisen des IT-Grundschutzes
3.
• IT-Grundschutz-Profile
5.
• Diskussion – Teil 1
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 2
20 Jahre IT-Grundschutz –
und nun?
• Neue Anforderungen nach 20 Jahren
• Optimierung und Aktualisierung der
Vorgehensweise und IT-Grundschutz-Kataloge
• Bedarf der Anwender an aktuellen und praxisnahen Verfahren
• Gewährleistung der Kontinuität:
• Weiterentwicklung der „alten“ IT-Grundschutz-Welt
• Neuausrichtung durch (größtenteils) separate Ressourcen
• Übergeordnetes Ziel: Erhöhung der Attraktivität und
Wegbereitung für die nächsten 20 Jahre
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 3
Ziele der IT-GrundschutzModernisierung
• Schnellere Bereitstellung von Inhalten/Empfehlungen
(Aktualität)
• Bessere Strukturierung und Verschlankung der
IT-Grundschutz-Kataloge
• Skalierbarkeit an Größe und Schutzbedarf der Institution
• Stärkere Betonung der Risikomanagement-Prozesse
• Integration von industrieller IT und von Detektionsprozessen
• Weiterhin Kompatibilität zu den ISO-Normen
(insb. ISO/IEC 27001:2013)
• Stärkere Berücksichtigung von anwenderspezifischen
Anforderungen
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 4
Abstimmung in Findungsphase
Analyse und Diskussion in mehreren Workshops
• 06.10.2014: IT-SiBe-Tagung der
• 10.09.2013: IT-SiBe-Treffen
Länder
• 12.02.2014: BSI-interner Workshop
• 11.11.2014: mit Kommunen
• 25.02.2014: GS-Auditorentag
• 11.03.2014: CeBIT-Diskussion
• 28.01.2015: mit Tool-Herstellern
• 30.04.2014: mit Auditoren
• 18.03.2015: CeBIT-Diskussion
• 07.05.2014: mit Auditoren
• 29.04.2015: BSI-interner Workshop
• 13.05.2014: mit Tool-Herstellern
• 30.04.2015: mit Anwendern (II)
• 22.05.2014: mit Ressort-IT-SiBes
• 05.05.2015: mit Anwendern (II)
des Bundes
• 24.06.2015: mit Länder-Vertretern
• 27.05.2014: mit Power-Usern
• 24.07.2015: BSI-interner Workshop
… und in unzähligen weiteren Terminen
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 5
Modernisierung
Kernaspekte
Vorgehensweisen
Bausteine
Profile
„Modernisierter“
IT-Grundschutz
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 6
Vorgehensweisen
Einstieg
Entscheidung der Leitungsebene, Informationssicherheit zu verbessern
Benennung des Verantwortlichen für Informationssicherheit
Konzeption und Planung des Einstieg in Informationssicherheit
• Ermittlung Rahmenbedingungen
• Formulierung allgemeiner Sicherheitsziele
• Bestimmung angestrebtes Sicherheitsniveau
Ersterfassung
• Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen
Entscheidung über weitere Vorgehensweise
• Legt Geltungsbereich fest
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 7
Schutzbedarf
normal
Kernabsicherung
Vorgehensweisen
Überblick
Standardabsicherung
Basisabsicherung
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 8
Vorgehensweisen
Hilfsmittel zur Auswahl
Veröffentlichung als separate Handreichung
Unterstützung durch geeignete Fragen bei Entscheidung
Orientierungshilfe, keine verbindliche Empfehlung
Gegenüberstellung der Vor- und Nachteile
Hinweise für umfangreicheren Auswahlprozess
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 9
Vorgehensweisen
Basisabsicherung
• Vereinfachter Einstieg in das
Sicherheitsmanagement
• Grundlegende Erstabsicherung
der Geschäftsprozesse und
Ressourcen
• Erstabsicherung in der Breite
• Umsetzung essentieller
Anforderungen
Basisabsicherung
• Auf die Bedürfnisse von
KMUs zugeschnitten
• Auch für kleine Institutionen geeignet
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 10
Vorgehensweisen
Bonsai-ISMS der Basisabsicherung
Erstellung einer Leitlinie zur Informationssicherheit
Organisation des Sicherheitsprozesses
• Rollen und Aufgaben festlegen
• Informationssicherheit in Abläufe und Prozesse integrieren
• Umsetzung überwachen
Bereitstellung von Ressourcen
• Angemessen und wirtschaftlich,
aber Informationssicherheit kostet Geld!
Einbindung aller Mitarbeiter in den Sicherheitsprozess
Auswahl und Anpassung von Bausteinen
• Umsetzungsreihenfolge der Bausteine
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 11
Vorgehensweisen
Umsetzungsreihenfolge der Bausteine
R1
• Diese Bausteine sollten für die Basisabsicherung vorrangig
umgesetzt werden, da sie die Grundlage für einen effektiven
Sicherheitsprozess bilden.
R2
• Im Rahmen der Basisabsicherung sollte geprüft werden, ob diese
Bausteine für den Informationsverbund relevant sind. Ist dies der
Fall, sollten sie als nächstes umgesetzt werden.
R3
• Diese Bausteine sind für die Basisabsicherung typischerweise
nicht erforderlich. Falls doch, wird empfohlen, diese erst nach
den anderen Bausteinen zu betrachten.
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 12
Alle
nichtgenannten
Prozess-Bausteine
Alle
nichtgenannten
System-Bausteine
Reihenfolge 3
ISMS
Organisation
Personal
Sensibilisierung & Schulung
Identitäts- &
Berechtigungsmanagement
(Ordnungsmäßige
IT-Administration)
Patch-Management
Malware-Schutz
Backup
(Protokollierung)
(Löschen & Vernichten)
Reihenfolge 2
Reihenfolge 1
Vorgehensweisen
Umsetzungsreihenfolge der Bausteine
in
process
Hochverfügbarkeitskonzeption
Softwareentwicklung
Informationssicherheit auf
Auslandsreisen
Änderungsmanagement
Archivierung
Datenträgeraustausch
Telearbeit
BYOD
Beschaffung,
Ausschreibung & Einkauf
Verkauf/Aussonderung von IT
Festlegung der Reihenfolge, nicht der Wertigkeit!
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 13
• Schutz herausragender,
besonders gefährdeter
Geschäftsprozesse und Ressourcen
(Kronjuwelen)
• Unterschied zu IT-Grundschutz Classic:
Fokussierung auf einen kleinen, aber
sehr wichtigen Informationsverbund
• Zeitersparnis im Vorgehen
• beschleunigte Absicherung
dieser Ressourcen in der Tiefe
Kernabsicherung
Vorgehensweisen
Kernabsicherung
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 14
Vorgehensweisen
Standardabsicherung
• Die Methode bleibt in den
Grundzügen unverändert
• Implementierung eines
vollumfänglichen
Sicherheitsprozesses
nach (jetzigem) BSI-Standard 100-2
• Weiterhin ISO 27001 Zertifizierung
auf der Basis von IT-Grundschutz
vorgesehen
Standardabsicherung
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 15
Vorgehensweisen
Standardabsicherung
Strukturanalyse
Modellierung
Basis-Sicherheitscheck
Ergänzende Sicherheitsanalyse
Risikoanalyse
Konsolidierung
Basis-Sicherheitscheck (2)
Aufrechterhaltung und
Kontinuierliche Verbesserung
Schutzbedarfsfeststellung
Realisierung der Maßnahmen
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 16
Vorgehensweisen
Bestimmung des Reifegrads
• Vereinfacht die
Aufrechterhaltung und
kontinuierliche Verbesserung
• Für Standard-Absicherung
vorgesehen
• Ermöglicht einheitliche und
differenzierte Bewertung
eines ISMS
in
process
Überprüfung der vollständigen
Bearbeitung und Umsetzung
Erkennung von Verbesserungsund Weiterentwicklungspotentiale
Ermöglicht direkten Vergleich
verschiedener Institutionen
Detaillierter Nachweis gegenüber
Dritten
Bewertung und Steuerung durch
Leitungsebene
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 17
Vorgehensweisen
Bewertung des Reifegrads
0
1
2
3
4
5
in
process
Es existiert kein ISMS und es ist auch keines geplant
ISMS ist geplant aber nicht etabliert.
ISMS ist zum Teil etabliert,
ISMS ist voll etabliert und dokumentiert. Es findet keine Überprüfung auf Effektivität statt.
Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft.
Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft und verbessert.
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 18
Vorgehensweisen
Wege zur Standardabsicherung
Kernabsicherung
Einstieg
Kernabsicherung
Basisabsicherung
Basisabsicherung
Standardabsicherung
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 19
Vorgehensweisen
Neufassung der Risikoanalyse
Bislang:
IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
Bündelung aller risikobezogenen Arbeitsschritte in einem neuen
BSI-Standard 200-x
Implementation eines Risikoentscheidungsprozesses
Keine Risikoakzeptanz bei den Basisanforderungen
Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und
Anforderungen bei erhöhtem Schutzbedarf
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 20
IT-Grundschutz-Profile
Überblick
• Werkzeug für anwenderspezifische Empfehlungen
• Berücksichtigt Möglichkeiten und Risiken der Institution
• Profile beziehen sich auf typische IT-Szenarien, z.B.
• Kommunalverwaltung in Bundesland XY,
• Krankenhaus
• Wasserwerk als kritische Infrastruktur
• Profile werden in der Regel durch Dritte
(Verbände, Branchen,...), nicht durch das BSI erstellt
• Nicht als BSI-Vorgabe zu verstehen!
• Nachweis für Umsetzung (z. B. Testat) wird diskutiert
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 21
IT-Grundschutz-Profile
Profile als pauschalisierte Vorauswahl
Beschreibung des
Informationsverbunds
Basierende
Vorgehensweise
Auswahl Bausteine
Auswahl Anforderungen
(opt.) Ergänzende
Anforderungen
in
process
• Übersicht der berücksichtigten Objekte
• Eventuell Referenzarchitektur
• Beschreibt die Anwendung des Profils
• Vereinfacht die Vergleichbarkeit mit anderen Profilen
• Portfolio aus „offiziellen“ und „benutzerdefinierten“ Bausteinen
• Zusammenstellung aus ausgewählten Bausteinen
• Einzelne Anforderungen aus nicht ausgewählten Bausteinen
• Branchenspezifische Anforderungen
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 22
Vielen Dank für Ihre
Aufmerksamkeit!
Kontakt
Holger Schildt
[email protected]
Tel. +49 (0)22899-9582-5369
Fax +49 (0)22899-10-9582-5369
Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz und Allianz für Cyber-Sicherheit
Godesberger Allee 185-189
53175 Bonn
www.bsi.bund.de
H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 23