20 Jahre IT-Grundschutz – Zeit für eine Modernisierung und Die
Transcrição
20 Jahre IT-Grundschutz – Zeit für eine Modernisierung und Die
20 Jahre IT-Grundschutz – Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. • Einleitung und Motivation 2. • Vorgehensweisen des IT-Grundschutzes 3. • IT-Grundschutz-Profile 5. • Diskussion – Teil 1 H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 2 20 Jahre IT-Grundschutz – und nun? • Neue Anforderungen nach 20 Jahren • Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge • Bedarf der Anwender an aktuellen und praxisnahen Verfahren • Gewährleistung der Kontinuität: • Weiterentwicklung der „alten“ IT-Grundschutz-Welt • Neuausrichtung durch (größtenteils) separate Ressourcen • Übergeordnetes Ziel: Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 3 Ziele der IT-GrundschutzModernisierung • Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) • Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge • Skalierbarkeit an Größe und Schutzbedarf der Institution • Stärkere Betonung der Risikomanagement-Prozesse • Integration von industrieller IT und von Detektionsprozessen • Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) • Stärkere Berücksichtigung von anwenderspezifischen Anforderungen H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 4 Abstimmung in Findungsphase Analyse und Diskussion in mehreren Workshops • 06.10.2014: IT-SiBe-Tagung der • 10.09.2013: IT-SiBe-Treffen Länder • 12.02.2014: BSI-interner Workshop • 11.11.2014: mit Kommunen • 25.02.2014: GS-Auditorentag • 11.03.2014: CeBIT-Diskussion • 28.01.2015: mit Tool-Herstellern • 30.04.2014: mit Auditoren • 18.03.2015: CeBIT-Diskussion • 07.05.2014: mit Auditoren • 29.04.2015: BSI-interner Workshop • 13.05.2014: mit Tool-Herstellern • 30.04.2015: mit Anwendern (II) • 22.05.2014: mit Ressort-IT-SiBes • 05.05.2015: mit Anwendern (II) des Bundes • 24.06.2015: mit Länder-Vertretern • 27.05.2014: mit Power-Usern • 24.07.2015: BSI-interner Workshop … und in unzähligen weiteren Terminen H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 5 Modernisierung Kernaspekte Vorgehensweisen Bausteine Profile „Modernisierter“ IT-Grundschutz H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 6 Vorgehensweisen Einstieg Entscheidung der Leitungsebene, Informationssicherheit zu verbessern Benennung des Verantwortlichen für Informationssicherheit Konzeption und Planung des Einstieg in Informationssicherheit • Ermittlung Rahmenbedingungen • Formulierung allgemeiner Sicherheitsziele • Bestimmung angestrebtes Sicherheitsniveau Ersterfassung • Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen Entscheidung über weitere Vorgehensweise • Legt Geltungsbereich fest H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 7 Schutzbedarf normal Kernabsicherung Vorgehensweisen Überblick Standardabsicherung Basisabsicherung H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 8 Vorgehensweisen Hilfsmittel zur Auswahl Veröffentlichung als separate Handreichung Unterstützung durch geeignete Fragen bei Entscheidung Orientierungshilfe, keine verbindliche Empfehlung Gegenüberstellung der Vor- und Nachteile Hinweise für umfangreicheren Auswahlprozess H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 9 Vorgehensweisen Basisabsicherung • Vereinfachter Einstieg in das Sicherheitsmanagement • Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen • Erstabsicherung in der Breite • Umsetzung essentieller Anforderungen Basisabsicherung • Auf die Bedürfnisse von KMUs zugeschnitten • Auch für kleine Institutionen geeignet H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 10 Vorgehensweisen Bonsai-ISMS der Basisabsicherung Erstellung einer Leitlinie zur Informationssicherheit Organisation des Sicherheitsprozesses • Rollen und Aufgaben festlegen • Informationssicherheit in Abläufe und Prozesse integrieren • Umsetzung überwachen Bereitstellung von Ressourcen • Angemessen und wirtschaftlich, aber Informationssicherheit kostet Geld! Einbindung aller Mitarbeiter in den Sicherheitsprozess Auswahl und Anpassung von Bausteinen • Umsetzungsreihenfolge der Bausteine H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 11 Vorgehensweisen Umsetzungsreihenfolge der Bausteine R1 • Diese Bausteine sollten für die Basisabsicherung vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden. R2 • Im Rahmen der Basisabsicherung sollte geprüft werden, ob diese Bausteine für den Informationsverbund relevant sind. Ist dies der Fall, sollten sie als nächstes umgesetzt werden. R3 • Diese Bausteine sind für die Basisabsicherung typischerweise nicht erforderlich. Falls doch, wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten. H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 12 Alle nichtgenannten Prozess-Bausteine Alle nichtgenannten System-Bausteine Reihenfolge 3 ISMS Organisation Personal Sensibilisierung & Schulung Identitäts- & Berechtigungsmanagement (Ordnungsmäßige IT-Administration) Patch-Management Malware-Schutz Backup (Protokollierung) (Löschen & Vernichten) Reihenfolge 2 Reihenfolge 1 Vorgehensweisen Umsetzungsreihenfolge der Bausteine in process Hochverfügbarkeitskonzeption Softwareentwicklung Informationssicherheit auf Auslandsreisen Änderungsmanagement Archivierung Datenträgeraustausch Telearbeit BYOD Beschaffung, Ausschreibung & Einkauf Verkauf/Aussonderung von IT Festlegung der Reihenfolge, nicht der Wertigkeit! H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 13 • Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) • Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund • Zeitersparnis im Vorgehen • beschleunigte Absicherung dieser Ressourcen in der Tiefe Kernabsicherung Vorgehensweisen Kernabsicherung H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 14 Vorgehensweisen Standardabsicherung • Die Methode bleibt in den Grundzügen unverändert • Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard 100-2 • Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen Standardabsicherung H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 15 Vorgehensweisen Standardabsicherung Strukturanalyse Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Risikoanalyse Konsolidierung Basis-Sicherheitscheck (2) Aufrechterhaltung und Kontinuierliche Verbesserung Schutzbedarfsfeststellung Realisierung der Maßnahmen H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 16 Vorgehensweisen Bestimmung des Reifegrads • Vereinfacht die Aufrechterhaltung und kontinuierliche Verbesserung • Für Standard-Absicherung vorgesehen • Ermöglicht einheitliche und differenzierte Bewertung eines ISMS in process Überprüfung der vollständigen Bearbeitung und Umsetzung Erkennung von Verbesserungsund Weiterentwicklungspotentiale Ermöglicht direkten Vergleich verschiedener Institutionen Detaillierter Nachweis gegenüber Dritten Bewertung und Steuerung durch Leitungsebene H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 17 Vorgehensweisen Bewertung des Reifegrads 0 1 2 3 4 5 in process Es existiert kein ISMS und es ist auch keines geplant ISMS ist geplant aber nicht etabliert. ISMS ist zum Teil etabliert, ISMS ist voll etabliert und dokumentiert. Es findet keine Überprüfung auf Effektivität statt. Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft. Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft und verbessert. H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 18 Vorgehensweisen Wege zur Standardabsicherung Kernabsicherung Einstieg Kernabsicherung Basisabsicherung Basisabsicherung Standardabsicherung H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 19 Vorgehensweisen Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-x Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 20 IT-Grundschutz-Profile Überblick • Werkzeug für anwenderspezifische Empfehlungen • Berücksichtigt Möglichkeiten und Risiken der Institution • Profile beziehen sich auf typische IT-Szenarien, z.B. • Kommunalverwaltung in Bundesland XY, • Krankenhaus • Wasserwerk als kritische Infrastruktur • Profile werden in der Regel durch Dritte (Verbände, Branchen,...), nicht durch das BSI erstellt • Nicht als BSI-Vorgabe zu verstehen! • Nachweis für Umsetzung (z. B. Testat) wird diskutiert H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 21 IT-Grundschutz-Profile Profile als pauschalisierte Vorauswahl Beschreibung des Informationsverbunds Basierende Vorgehensweise Auswahl Bausteine Auswahl Anforderungen (opt.) Ergänzende Anforderungen in process • Übersicht der berücksichtigten Objekte • Eventuell Referenzarchitektur • Beschreibt die Anwendung des Profils • Vereinfacht die Vergleichbarkeit mit anderen Profilen • Portfolio aus „offiziellen“ und „benutzerdefinierten“ Bausteinen • Zusammenstellung aus ausgewählten Bausteinen • Einzelne Anforderungen aus nicht ausgewählten Bausteinen • Branchenspezifische Anforderungen H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 22 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Holger Schildt [email protected] Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de H. Schildt | 3. IT-Grundschutz-Tag 2015 | Seite 23