Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit PITS, Berlin, 14.09.2016

Agenda

1. 2. 3. 4. 5.

• Einleitung und Motivation • Kernaspekte der Modernisierung des IT-Grundschutzes

• IT-Grundschutz-Tool • Aktualisierung der IT-Grundschutz-Kataloge • Ausblick

| Seite 2

Ziele der IT-GrundschutzModernisierung • Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) • Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge • Skalierbarkeit an Größe und Schutzbedarf der Institution • Stärkere Betonung der Risikomanagement-Prozesse • Integration von industrieller IT und von Detektionsprozessen • Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) • Stärkere Berücksichtigung von anwenderspezifischen Anforderungen

| Seite 3

Modernisierung Kernaspekte

Vorgehensweisen Bausteine

Profile

„Modernisierter“

IT-Grundschutz

| Seite 4

Schutzbedarf normal

Kernabsicherung

Vorgehensweisen Überblick

Standardabsicherung

Basisabsicherung | Seite 5

Vorgehensweisen Basisabsicherung • Vereinfachter Einstieg in das Sicherheitsmanagement • Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen • Erstabsicherung in der Breite • Umsetzung essentieller Anforderungen Basisabsicherung • Auf die Bedürfnisse von KMUs zugeschnitten • Auch für kleine Institutionen geeignet

| Seite 6

• Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) • Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund • Zeitersparnis im Vorgehen • beschleunigte Absicherung dieser Ressourcen in der Tiefe

Kernabsicherung

Vorgehensweisen Kernabsicherung

| Seite 7

Vorgehensweisen Standardabsicherung • Die Methode bleibt in den Grundzügen unverändert • Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard 100-2 • Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen

Standardabsicherung

| Seite 8

Vorgehensweisen Wege zur Standardabsicherung

Kernabsicherung

Einstieg

Kernabsicherung

Basisabsicherung

Basisabsicherung Standardabsicherung

| Seite 9

Vorgehensweisen Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3 Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf

| Seite 10

IT-Grundschutz-Kompendium Überblick

| Seite 11

IT-Grundschutz-Kompendium Überblick • IT-Grundschutz-Kataloge bisher: • Baustein-Kataloge • Gefährdungs-Kataloge • Maßnahmen-Kataloge • Neu: IT-Grundschutz-Kompendium • Einführung in die IT-Grundschutz-Methodik • Modellierung • Bausteine • Elementare Gefährdungen • Neue Strukturen • Andere Inhalte • Neuer Name

| Seite 12

Struktur des IT-GrundschutzKompendiums Vollständiger Überblick

| Seite 13

Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP

CON

OPS System-Bausteine

APP

SYS

NET

INF

IND

DER | Seite 14

Struktur GS-Kompendium Prozess-Bausteine ISMS

ISMS.1 Sicherheitsmanagement

Baustein

ORP (Organisation und Personal)

CON (Konzepte und Vorgehensweisen)

ORP.1 Organisation

CON.1 Kryptokonzept

OPS.1 Eigener ITBetrieb

DER.1 Detektion

ORP.2 Personal

CON.2 Datenschutz

OPS.2 IT-Betrieb von Dritten

DER.2 Security Incident Management

ORP.3 Sensibilisierung und Schulung

CON.3 Hochverfügbarkeitskonzeption

OPS.3 IT-Betrieb für Dritte

DER.3 Sicherheitsprüfungen

ORP.4 Identitäts- und Berechtigungsmanagement

CON.4 Softwareentwicklung

OPS.4 Betriebliche Aspekte

DER.4 BCM/Notfallmanagement

ORP.5 Anforderungsmanagement (Compliance)

CON.5 Informationssicherheit im Projektmgt

Schicht

CON.6 Informationssicherheit auf Auslandsreisen

OPS (Betrieb)

DER (Detektion & Reaktion)

DER.5 Reporting & Compliance

| Seite 15

Struktur GS-Kompendium System-Bausteine APP (Anwendungen)

SYS (IT-Systeme)

NET (Netze und Kommunikation)

INF (Infrastruktur)

IND (Industrielle IT)

APP.1 E-Mail/ Groupware/ Kommunikation

SYS.1 Server

NET.1 Netze

INF.1 Gebäude

INF.7 Datenträgerarchiv

IND.1 ERP/MESAnbindung von ICS

APP.2 Verzeichnisdienst

SYS.2 DesktopSysteme

NET.2 Funknetze

INF.2 Rechenzentrum

INF.8 Arbeitsplatz

IND.2 ICSKomponenten

APP.3 Netzbasierte Dienste

SYS.3 Mobile Devices

NET.3 Netzkomponenten

INF.3 Elektrotechnische Verkabelung

INF.9 Telearbeitsplatz

IND.3 Produktionsnetze

APP.4 BusinessAnwendungen

SYS.4 Sonstige Systeme

NET.4 Telekommunikation

INF.4 IT-Verkabelung

INF10 Mobiler Arbeitsplatz

IND.4 Industrielle Fernwartung

INF.5 Technikraum

INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum

INF.6 Schutzschrank

INF.12 Werkhalle

APP.5 ClientAnwendungen

Baustein

Schicht

| Seite 16

Bausteine GS-Kompendium Dokumentenstruktur • Umfang: ca. 10 Seiten! • Beschreibung • Einleitung • Zielsetzung • Abgrenzung • Verantwortliche • Spezifische Gefährdungslage • Anforderungen (keine Maßnahmen) • Basis-Anforderungen • Standard-Anforderungen • Anforderungen bei erhöhtem Schutzbedarf • Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle

| Seite 17

Bausteine GS-Kompendium Dokumentenstruktur

| Seite 18

Bausteine GS-Kompendium Dokumentenstruktur

| Seite 19

Bausteine GS-Kompendium Dokumentenstruktur

| Seite 20

Umsetzungshinweise Dokumentenstruktur • Umfang: beliebig • Gliederung lehnt sich an Bausteine an • Beschreibung • Einleitung • Lebenszyklus • Maßnahmen als Umsetzungshilfen • Basis-Maßnahmen • Standard-Maßnahmen • Maßnahmen bei erhöhtem Schutzbedarf • Referenzen auf weiterführende Informationen • Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc.

| Seite 21

Bausteine und Umsetzungshinweise Veröffentlichungsprozess

Arbeitsentwürfe (Working Drafts) • sehr grobe Entwürfe • nur BSI-interne Verwendung

CommunityEntwürfe (Community Drafts) • Akzeptabler Reifegrad • Grundlage für die Diskussion mit der Community

Finaler Entwurf (Final Draft) • Nach Einbindung der relevanten Kommentare der Community

Version • aktuell gültige IT-GrundschutzFassung

| Seite 22

Bausteine GS-Kompendium Auszug Working Drafts

Parallel werden ungefähr 100 Bausteine erstellt (Tendenz steigend, Zwischenstand von März 2016) | Seite 23

IT-Grundschutz-Profile Überblick • Werkzeug für anwenderspezifische Empfehlungen / Schablone für ausgewählte Szenarien • Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich • Profile beziehen sich auf typische IT-Szenarien, z.B. Prozesse in Institutionen wie • Kommunalverwaltung in Bundesland XY, • Krankenhaus • Wasserwerk als Kritische Infrastruktur • Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt • Nicht als BSI-Vorgabe zu verstehen! • Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert | Seite 24

IT-Grundschutz-Profile ein Blick in Institutionen

| Seite 25

IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1

ORP.4

ISMS

OPS.1.1.1

IND.1 SYS.1.2. SYS.2.2.3

IND.3.1

SYS.1.1

ORP.2

APP.3.1

APP.5.6

SYS.3.1

OPS.1.1.3 OPS.1.1.5

ORP.3

SYS.4.1

INF.1

SYS.3.3 OPR.1 OPS.1.1.4

| Seite 26

IT-Grundschutz-Profile Adaption als Schablone SYS.2.2.3

ISMS

SYS.3.3

SYS.3.1

ORP.4

INF.1

SYS.3.1

OPS.1.1.3

OPS.1.1.3

OPR.1

OPS.4

ISMS

SYS.1.2. SYS.2.2.3

APP.3.1

IND.1

IND.3.1

APP.3.1

SYS.3.3

SYS.4.1

INF.1

APP.1.1

APP.5.6

SYS.1.1

APP.5.6

| Seite 27

Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung

GSTOOL-Pflege: • Metadaten-Updates für die Ergänzungslieferungen • Austauschschnittstelle • Support bis mindestens Ende 2016

2017 • Veröffentlichung neuer BSI• Community Draft: Standards und modernisierter Veröffentlichung Kataloge neuer BSIStandards und mehrerer Bausteine

2016 2015

2014 • „Findungsphase“ • Beteiligung der Stakeholder

• Konzeption • Weiterhin Abstimmung mit Stakeholdern

| Seite 28

IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard 100-2 • IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten • wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen • • • •

Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen

Eigene benutzerdefinierte Bausteine • Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) • Bausteine müssen migriert werden • BSI erstellt Migrationshilfe (Autorenhinweise)

| Seite 29

IT-Grundschutz-Modernisierung Auswirkungen Zertifizierung Zertifizierungsschema • IT-Grundschutz auch nach der Modernisierung kompatibel mit ISO 27001 • Ab wann ist IT-Grundschutz-Kompendium Prüfgrundlage? => Prüfgrundlage kann sein: vorige Version bis ½ Jahr nach Erscheinen der neuen Version Zeitliche Konsequenzen ohne Modernisierung • 15. Ergänzungslieferung erschien im April 2016 => 14. Ergänzungslieferung kann genutzt werden bis 30.11.2016 Zeitliche Konsequenzen durch Modernisierung • Statt 16. Ergänzungslieferung IT-Grundschutz-Kataloge nun IT-Grundschutz-Kompendium • Finalisierung im Herbst 2017 => 15. Ergänzungslieferung kann genutzt werden bis Sommer 2018 (Puffer für Übergang eingerechnet)

| Seite 30

Vielen Dank für Ihre Aufmerksamkeit!

Kontakt [email protected] Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de

| Seite 31