Neues vom IT-Grundschutz: Ausblick und Modernisierung Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

it-sa

Agenda

Weiterentwicklung

der IT-Grundschutz-Kataloge GSTOOL Modernisierung des IT-Grundschutz

Holger Schildt

2

Weiterentwicklung der IT-Grundschutz-Kataloge  "Stillstand

ist Rückstand"  Dennoch kann nicht jedes Thema berücksichtigt werden  Es muss ermittelt werden, was benötigt wird  Faktoren

für Themenauswahl

Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen  Anfragen auf GS-Hotline  Themen in den Medien  Umfragen bei unseren Anwendern 

Holger Schildt

3

IT-Grundschutz-Kataloge 14. Ergänzungslieferung  Neue

Bausteine:

Cloud-Management  Cloud-Storage  Web-Services  Cloud-Nutzung  Allgemeine Anwendung 

 Überarbeitete

Bausteine:

B 1.13 Sensibilisierung und Schulung zur Informationssicherheit  B 3.404 Mobiltelefon  B 3.405 Smartphones, Tablets und PDAs 

 Ziel: Holger Schildt

Veröffentlichung 2014 4

GSTOOL Wie geht es weiter?  Zukünftig

keine Tool-Entwicklung durch das BSI  Weiterhin Vertrieb des GSTOOL 4.x  Support für mindestens zwei weitere Jahre  Marktverfügbare

IT-Grundschutz-Tools

Müssen Modernisierung des IT-Grundschutz unterstützen  Diskussion mit Herstellern 

Import von Sicherheitskonzepten  Zukünftige Strukturelemente 



Ziel: Vielfältiges Tool- und Hilfsmittel-Angebot

Holger Schildt

5

Neuausrichtung 20 Jahre IT-Grundschutz – und nun?  Neue

Anforderungen nach 20 Jahren  Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge  Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden.  Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt  Neuausrichtung durch (größtenteils) separaten Ressourcen 

 Ziel:

Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre

Holger Schildt

6

Neuausrichtung 20 Jahre IT-Grundschutz – und nun?  IT-Grundschutz

"Neu"

Konzeption: 2014  Realisierung und Migration: 2015 

 IT-Grundschutz

"Classic"

Ergänzungslieferungen bis 2015  GSTOOL-Pflege: 

Metadaten-Updates für die Ergänzungslieferungen  Support bis mindestens Ende 2016 

Holger Schildt

7

Modernisierung Beteiligung der Stakeholder  Durchführung

mehrerer Workshops  Bisher ungefähr 70 Teilnehmer  Vorstellung von BSI-Thesen in den Kategorien Analyse  Vorschläge 

 Teilnehmer 

bewerteten BSI-Thesen

Bewertungsskala 1 bis 5 (1: Zustimmung ; 5: Ablehnung)

 Hinweis:

Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde!

Holger Schildt

8

Modernisierung Mögliche Neuerungen  Skalierung

der Maßnahmen

Erst-Maßnahmen (wenige, wichtig, dringlich)  Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf  Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine Vorgaben) 

60 50 40 30 20

1 -wird gewünscht 2 3 4 5 - wird abgelehnt

10

Holger Schildt

0

9

Modernisierung Mögliche Neuerungen  Angebot

verschiedener Vorgehensweisen

Bottom-Up: 80:20 Umsetzung der Erst- und Basismaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse  Erstellung eines Sicherheitskonzept (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse, ...)  Kronjuwelen: Umsetzung der Erstmaßnahmen, Identifikation und Schutz der schützenswertesten Assets 

35 30 25 20 15 10

1 - wird gewünscht 2 3 4 5 - wird abgelehnt

5

Holger Schildt

0

10

Modernisierung Mögliche Neuerungen  Verschlankung

der Bausteine

Rund 10 Seiten für einen Baustein (für den CISO)  Kürzere Erstellungszeiten, einfachere Aktualisierung  Verbesserte Lesbarkeit der Bausteine  Ergänzt um Umsetzungshinweise für Admins etc. 

Studien  Alte Bausteine  Hersteller-Dok.  Tools 

60 50 40 30 20

1 - wird gewünscht 2 3 4 5 - wird abgelehnt

10

Holger Schildt

0

11

Modernisierung Mögliche Neuerungen  Integration

aller BSI-Empfehlungen in einem Werk

IT-Grundschutz  ISi-Schriftenreihe  ACS-Empfehlungen  ICS-Empfehlungen  Studien  100-4, UMRA ?  HV-Kompendium ? 

Holger Schildt

50 45 40 35 30 25 20 15 10 5 0

IT-Grundschutz Studien (BSI / extern)

Publikationen zur Cyber-Sicherheit

ICS-Sicherheit

ISi-Reihe

HV-Kompendium

ggf. andere BSI-Publikationen

1 - wird gewünscht 2 3 4 5 - wird abgelehnt

12

Modernisierung Mögliche Neuerungen  Entwicklung

von GS-Profilen

GS-Profil = Auswahl anzuwendender Bausteine für typische Institution, berücksichtigt Möglichkeiten der Institution (vgl. CC-Protection Profile)  Anwendbar als "Schablone"  Pauschaler Verzicht bestehender oder Auswahl zusätzlicher Empfehlung  Erstellung durch Stakeholder  Eventuell Zertifizierung nach GS-Profilen 

Holger Schildt

45 40 35 30 25 20 15 10 5 0

1 - wird gewünscht 2 3 4 5 - wird abgelehnt

13

Modernisierung Mögliche Neuerungen  Fixierte

Schutzbedarfsklassen

BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert  Eine Adaption beim Anwender entfällt für typische KMU  Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig 

 Fazit:

Ablehnung durch Anwender – damit auch vom BSI! 14 12 10 8 6 4

1 - Wird gewünscht 2 3 4 5 - wird abgelehnt

2

Holger Schildt

0

14

Modernisierung Wie geht es weiter?  Suche

nach einem prägnantem Namen (Bisher Arbeitstitel: IT-Grundschutz Neu)  Auswertung der Workshops und der aktuellen Umfrage  Weitere Gespräche mit Nutzern  Erstellung der ersten Konzepte bis Ende 2014 

Diese werden zur Diskussion gestellt!

 Realisierung

Holger Schildt

und Migration: 2015

15

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-10-9582-5369 [email protected] www.bsi.bund.de www.bsi-fuer-buerger.de

Holger Schildt

16