Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit PITS, Berlin, 14.09.2016
Agenda
1. 2. 3. 4. 5.
• Einleitung und Motivation • Kernaspekte der Modernisierung des IT-Grundschutzes
• IT-Grundschutz-Tool • Aktualisierung der IT-Grundschutz-Kataloge • Ausblick
| Seite 2
Ziele der IT-GrundschutzModernisierung • Schnellere Bereitstellung von Inhalten/Empfehlungen (Aktualität) • Bessere Strukturierung und Verschlankung der IT-Grundschutz-Kataloge • Skalierbarkeit an Größe und Schutzbedarf der Institution • Stärkere Betonung der Risikomanagement-Prozesse • Integration von industrieller IT und von Detektionsprozessen • Weiterhin Kompatibilität zu den ISO-Normen (insb. ISO/IEC 27001:2013) • Stärkere Berücksichtigung von anwenderspezifischen Anforderungen
| Seite 3
Modernisierung Kernaspekte
Vorgehensweisen Bausteine
Profile
„Modernisierter“
IT-Grundschutz
| Seite 4
Schutzbedarf normal
Kernabsicherung
Vorgehensweisen Überblick
Standardabsicherung
Basisabsicherung | Seite 5
Vorgehensweisen Basisabsicherung • Vereinfachter Einstieg in das Sicherheitsmanagement • Grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen • Erstabsicherung in der Breite • Umsetzung essentieller Anforderungen Basisabsicherung • Auf die Bedürfnisse von KMUs zugeschnitten • Auch für kleine Institutionen geeignet
| Seite 6
• Schutz herausragender, besonders gefährdeter Geschäftsprozesse und Ressourcen (Kronjuwelen) • Unterschied zu IT-Grundschutz Classic: Fokussierung auf einen kleinen, aber sehr wichtigen Informationsverbund • Zeitersparnis im Vorgehen • beschleunigte Absicherung dieser Ressourcen in der Tiefe
Kernabsicherung
Vorgehensweisen Kernabsicherung
| Seite 7
Vorgehensweisen Standardabsicherung • Die Methode bleibt in den Grundzügen unverändert • Implementierung eines vollumfänglichen Sicherheitsprozesses nach (jetzigem) BSI-Standard 100-2 • Weiterhin ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz vorgesehen
Standardabsicherung
| Seite 8
Vorgehensweisen Wege zur Standardabsicherung
Kernabsicherung
Einstieg
Kernabsicherung
Basisabsicherung
Basisabsicherung Standardabsicherung
| Seite 9
Vorgehensweisen Neufassung der Risikoanalyse Bislang: IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge Bündelung aller risikobezogenen Arbeitsschritte in einem neuen BSI-Standard 200-3 Implementation eines Risikoentscheidungsprozesses Keine Risikoakzeptanz bei den Basisanforderungen Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf
| Seite 10
IT-Grundschutz-Kompendium Überblick
| Seite 11
IT-Grundschutz-Kompendium Überblick • IT-Grundschutz-Kataloge bisher: • Baustein-Kataloge • Gefährdungs-Kataloge • Maßnahmen-Kataloge • Neu: IT-Grundschutz-Kompendium • Einführung in die IT-Grundschutz-Methodik • Modellierung • Bausteine • Elementare Gefährdungen • Neue Strukturen • Andere Inhalte • Neuer Name
| Seite 12
Struktur des IT-GrundschutzKompendiums Vollständiger Überblick
| Seite 13
Struktur GS-Kompendium Nachfolger des Schichtenmodells ISMS Prozess-Bausteine ORP
CON
OPS System-Bausteine
APP
SYS
NET
INF
IND
DER | Seite 14
Struktur GS-Kompendium Prozess-Bausteine ISMS
ISMS.1 Sicherheitsmanagement
Baustein
ORP (Organisation und Personal)
CON (Konzepte und Vorgehensweisen)
ORP.1 Organisation
CON.1 Kryptokonzept
OPS.1 Eigener ITBetrieb
DER.1 Detektion
ORP.2 Personal
CON.2 Datenschutz
OPS.2 IT-Betrieb von Dritten
DER.2 Security Incident Management
ORP.3 Sensibilisierung und Schulung
CON.3 Hochverfügbarkeitskonzeption
OPS.3 IT-Betrieb für Dritte
DER.3 Sicherheitsprüfungen
ORP.4 Identitäts- und Berechtigungsmanagement
CON.4 Softwareentwicklung
OPS.4 Betriebliche Aspekte
DER.4 BCM/Notfallmanagement
ORP.5 Anforderungsmanagement (Compliance)
CON.5 Informationssicherheit im Projektmgt
Schicht
CON.6 Informationssicherheit auf Auslandsreisen
OPS (Betrieb)
DER (Detektion & Reaktion)
DER.5 Reporting & Compliance
| Seite 15
Struktur GS-Kompendium System-Bausteine APP (Anwendungen)
SYS (IT-Systeme)
NET (Netze und Kommunikation)
INF (Infrastruktur)
IND (Industrielle IT)
APP.1 E-Mail/ Groupware/ Kommunikation
SYS.1 Server
NET.1 Netze
INF.1 Gebäude
INF.7 Datenträgerarchiv
IND.1 ERP/MESAnbindung von ICS
APP.2 Verzeichnisdienst
SYS.2 DesktopSysteme
NET.2 Funknetze
INF.2 Rechenzentrum
INF.8 Arbeitsplatz
IND.2 ICSKomponenten
APP.3 Netzbasierte Dienste
SYS.3 Mobile Devices
NET.3 Netzkomponenten
INF.3 Elektrotechnische Verkabelung
INF.9 Telearbeitsplatz
IND.3 Produktionsnetze
APP.4 BusinessAnwendungen
SYS.4 Sonstige Systeme
NET.4 Telekommunikation
INF.4 IT-Verkabelung
INF10 Mobiler Arbeitsplatz
IND.4 Industrielle Fernwartung
INF.5 Technikraum
INF.11 Besprechungs-, Veranstaltungs-, Schulungsraum
INF.6 Schutzschrank
INF.12 Werkhalle
APP.5 ClientAnwendungen
Baustein
Schicht
| Seite 16
Bausteine GS-Kompendium Dokumentenstruktur • Umfang: ca. 10 Seiten! • Beschreibung • Einleitung • Zielsetzung • Abgrenzung • Verantwortliche • Spezifische Gefährdungslage • Anforderungen (keine Maßnahmen) • Basis-Anforderungen • Standard-Anforderungen • Anforderungen bei erhöhtem Schutzbedarf • Referenzen auf weiterführende Informationen Anlage: Kreuzreferenztabelle
| Seite 17
Bausteine GS-Kompendium Dokumentenstruktur
| Seite 18
Bausteine GS-Kompendium Dokumentenstruktur
| Seite 19
Bausteine GS-Kompendium Dokumentenstruktur
| Seite 20
Umsetzungshinweise Dokumentenstruktur • Umfang: beliebig • Gliederung lehnt sich an Bausteine an • Beschreibung • Einleitung • Lebenszyklus • Maßnahmen als Umsetzungshilfen • Basis-Maßnahmen • Standard-Maßnahmen • Maßnahmen bei erhöhtem Schutzbedarf • Referenzen auf weiterführende Informationen • Alte IT-GS-Bausteine, Studien, Herstellerdokumentation etc.
| Seite 21
Bausteine und Umsetzungshinweise Veröffentlichungsprozess
Arbeitsentwürfe (Working Drafts) • sehr grobe Entwürfe • nur BSI-interne Verwendung
CommunityEntwürfe (Community Drafts) • Akzeptabler Reifegrad • Grundlage für die Diskussion mit der Community
Finaler Entwurf (Final Draft) • Nach Einbindung der relevanten Kommentare der Community
Version • aktuell gültige IT-GrundschutzFassung
| Seite 22
Bausteine GS-Kompendium Auszug Working Drafts
Parallel werden ungefähr 100 Bausteine erstellt (Tendenz steigend, Zwischenstand von März 2016) | Seite 23
IT-Grundschutz-Profile Überblick • Werkzeug für anwenderspezifische Empfehlungen / Schablone für ausgewählte Szenarien • Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse möglich • Profile beziehen sich auf typische IT-Szenarien, z.B. Prozesse in Institutionen wie • Kommunalverwaltung in Bundesland XY, • Krankenhaus • Wasserwerk als Kritische Infrastruktur • Profile werden in der Regel durch Dritte (Verbände, Branchen, ...) und nicht durch das BSI erstellt • Nicht als BSI-Vorgabe zu verstehen! • Nachweis für Umsetzung (z. B. Testat) und Anerkennung ausgewählter Profile durch BSI wird diskutiert | Seite 24
IT-Grundschutz-Profile ein Blick in Institutionen
| Seite 25
IT-Grundschutz-Profile ein Blick auf Beispielbausteine APP.1.1
ORP.4
ISMS
OPS.1.1.1
IND.1 SYS.1.2. SYS.2.2.3
IND.3.1
SYS.1.1
ORP.2
APP.3.1
APP.5.6
SYS.3.1
OPS.1.1.3 OPS.1.1.5
ORP.3
SYS.4.1
INF.1
SYS.3.3 OPR.1 OPS.1.1.4
| Seite 26
IT-Grundschutz-Profile Adaption als Schablone SYS.2.2.3
ISMS
SYS.3.3
SYS.3.1
ORP.4
INF.1
SYS.3.1
OPS.1.1.3
OPS.1.1.3
OPR.1
OPS.4
ISMS
SYS.1.2. SYS.2.2.3
APP.3.1
IND.1
IND.3.1
APP.3.1
SYS.3.3
SYS.4.1
INF.1
APP.1.1
APP.5.6
SYS.1.1
APP.5.6
| Seite 27
Zeitliche Planung Parallele Veröffentlichung der 15. Ergänzungslieferung
GSTOOL-Pflege: • Metadaten-Updates für die Ergänzungslieferungen • Austauschschnittstelle • Support bis mindestens Ende 2016
2017 • Veröffentlichung neuer BSI• Community Draft: Standards und modernisierter Veröffentlichung Kataloge neuer BSIStandards und mehrerer Bausteine
2016 2015
2014 • „Findungsphase“ • Beteiligung der Stakeholder
• Konzeption • Weiterhin Abstimmung mit Stakeholdern
| Seite 28
IT-Grundschutz-Modernisierung Auswirkungen Sicherheitskonzepte Was passiert nach BSI-Standard 100-2 • IT-Grundschutz-Vorgehensweise bleibt als Standard-Absicherung erhalten • wird leicht überarbeitet Bausteine aus offiziellen IT-Grundschutz-Katalogen • • • •
Bausteine werden bei Modernisierung überarbeitet und aktualisiert Nummerierungen ändern sich einige Inhalte werden neu gruppiert BSI erstellt Migrationstabellen
Eigene benutzerdefinierte Bausteine • Abgleich mit neuen Bausteinen (wie bei Ergänzungslieferungen) • Bausteine müssen migriert werden • BSI erstellt Migrationshilfe (Autorenhinweise)
| Seite 29
IT-Grundschutz-Modernisierung Auswirkungen Zertifizierung Zertifizierungsschema • IT-Grundschutz auch nach der Modernisierung kompatibel mit ISO 27001 • Ab wann ist IT-Grundschutz-Kompendium Prüfgrundlage? => Prüfgrundlage kann sein: vorige Version bis ½ Jahr nach Erscheinen der neuen Version Zeitliche Konsequenzen ohne Modernisierung • 15. Ergänzungslieferung erschien im April 2016 => 14. Ergänzungslieferung kann genutzt werden bis 30.11.2016 Zeitliche Konsequenzen durch Modernisierung • Statt 16. Ergänzungslieferung IT-Grundschutz-Kataloge nun IT-Grundschutz-Kompendium • Finalisierung im Herbst 2017 => 15. Ergänzungslieferung kann genutzt werden bis Sommer 2018 (Puffer für Übergang eingerechnet)
| Seite 30
Vielen Dank für Ihre Aufmerksamkeit!
Kontakt
[email protected] Tel. +49 (0)22899-9582-5369 Fax +49 (0)22899-10-9582-5369 Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz und Allianz für Cyber-Sicherheit Godesberger Allee 185-189 53175 Bonn www.bsi.bund.de
| Seite 31