Neues vom IT-Grundschutz: Ausblick und Modernisierung Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz
it-sa
Agenda
Weiterentwicklung
der IT-Grundschutz-Kataloge GSTOOL Modernisierung des IT-Grundschutz
Holger Schildt
2
Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand
ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren
für Themenauswahl
Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern
Holger Schildt
3
IT-Grundschutz-Kataloge 14. Ergänzungslieferung Neue
Bausteine:
Cloud-Management Cloud-Storage Web-Services Cloud-Nutzung Allgemeine Anwendung
Überarbeitete
Bausteine:
B 1.13 Sensibilisierung und Schulung zur Informationssicherheit B 3.404 Mobiltelefon B 3.405 Smartphones, Tablets und PDAs
Ziel: Holger Schildt
Veröffentlichung 2014 4
GSTOOL Wie geht es weiter? Zukünftig
keine Tool-Entwicklung durch das BSI Weiterhin Vertrieb des GSTOOL 4.x Support für mindestens zwei weitere Jahre Marktverfügbare
IT-Grundschutz-Tools
Müssen Modernisierung des IT-Grundschutz unterstützen Diskussion mit Herstellern
Import von Sicherheitskonzepten Zukünftige Strukturelemente
Ziel: Vielfältiges Tool- und Hilfsmittel-Angebot
Holger Schildt
5
Neuausrichtung 20 Jahre IT-Grundschutz – und nun? Neue
Anforderungen nach 20 Jahren Optimierung und Aktualisierung der Vorgehensweise und IT-Grundschutz-Kataloge Der "neue" IT-Grundschutz muss dem Bedarf der Anwender an einem aktuellen und praxisnahen Verfahren gerecht werden. Gewährleistung der Kontinuität: Weiterentwicklung der "alten" IT-Grundschutz-Welt Neuausrichtung durch (größtenteils) separaten Ressourcen
Ziel:
Erhöhung der Attraktivität und Wegbereitung für die nächsten 20 Jahre
Holger Schildt
6
Neuausrichtung 20 Jahre IT-Grundschutz – und nun? IT-Grundschutz
"Neu"
Konzeption: 2014 Realisierung und Migration: 2015
IT-Grundschutz
"Classic"
Ergänzungslieferungen bis 2015 GSTOOL-Pflege:
Metadaten-Updates für die Ergänzungslieferungen Support bis mindestens Ende 2016
Holger Schildt
7
Modernisierung Beteiligung der Stakeholder Durchführung
mehrerer Workshops Bisher ungefähr 70 Teilnehmer Vorstellung von BSI-Thesen in den Kategorien Analyse Vorschläge
Teilnehmer
bewerteten BSI-Thesen
Bewertungsskala 1 bis 5 (1: Zustimmung ; 5: Ablehnung)
Hinweis:
Die folgenden Punkte, wo und wie der IT-Grundschutz optimiert werden kann, sind nur eine unvollständige Auswahl, deren Umsetzung nicht abschließend entschieden wurde!
Holger Schildt
8
Modernisierung Mögliche Neuerungen Skalierung
der Maßnahmen
Erst-Maßnahmen (wenige, wichtig, dringlich) Basis-Maßnahmen (Stand der Technik) für den normalen Schutzbedarf Hochsicherheits-Maßnahmen für Vertraulichkeit und Verfügbarkeit (als Beispiele, keine Vorgaben)
60 50 40 30 20
1 -wird gewünscht 2 3 4 5 - wird abgelehnt
10
Holger Schildt
0
9
Modernisierung Mögliche Neuerungen Angebot
verschiedener Vorgehensweisen
Bottom-Up: 80:20 Umsetzung der Erst- und Basismaßnahmen mit Modellierung, ohne Schutzbedarfsfeststellung, ohne Risikoanalyse Erstellung eines Sicherheitskonzept (wie heute: Prozesse, Schutzbedarf, Modellierung, Risikoanalyse, ...) Kronjuwelen: Umsetzung der Erstmaßnahmen, Identifikation und Schutz der schützenswertesten Assets
35 30 25 20 15 10
1 - wird gewünscht 2 3 4 5 - wird abgelehnt
5
Holger Schildt
0
10
Modernisierung Mögliche Neuerungen Verschlankung
der Bausteine
Rund 10 Seiten für einen Baustein (für den CISO) Kürzere Erstellungszeiten, einfachere Aktualisierung Verbesserte Lesbarkeit der Bausteine Ergänzt um Umsetzungshinweise für Admins etc.
Studien Alte Bausteine Hersteller-Dok. Tools
60 50 40 30 20
1 - wird gewünscht 2 3 4 5 - wird abgelehnt
10
Holger Schildt
0
11
Modernisierung Mögliche Neuerungen Integration
aller BSI-Empfehlungen in einem Werk
IT-Grundschutz ISi-Schriftenreihe ACS-Empfehlungen ICS-Empfehlungen Studien 100-4, UMRA ? HV-Kompendium ?
Holger Schildt
50 45 40 35 30 25 20 15 10 5 0
IT-Grundschutz Studien (BSI / extern)
Publikationen zur Cyber-Sicherheit
ICS-Sicherheit
ISi-Reihe
HV-Kompendium
ggf. andere BSI-Publikationen
1 - wird gewünscht 2 3 4 5 - wird abgelehnt
12
Modernisierung Mögliche Neuerungen Entwicklung
von GS-Profilen
GS-Profil = Auswahl anzuwendender Bausteine für typische Institution, berücksichtigt Möglichkeiten der Institution (vgl. CC-Protection Profile) Anwendbar als "Schablone" Pauschaler Verzicht bestehender oder Auswahl zusätzlicher Empfehlung Erstellung durch Stakeholder Eventuell Zertifizierung nach GS-Profilen
Holger Schildt
45 40 35 30 25 20 15 10 5 0
1 - wird gewünscht 2 3 4 5 - wird abgelehnt
13
Modernisierung Mögliche Neuerungen Fixierte
Schutzbedarfsklassen
BSI gibt Schutzbedarfsklassen vor, auf denen die Maßnahmenauswahl im IT-Grundschutz basiert Eine Adaption beim Anwender entfällt für typische KMU Wenn Anwender seine eigenen Schutzbedarfsklassen definiert, dann ist ein aufwendiger Maßnahmenauswahl- und Risikoakzeptanzprozess zusätzlich notwendig
Fazit:
Ablehnung durch Anwender – damit auch vom BSI! 14 12 10 8 6 4
1 - Wird gewünscht 2 3 4 5 - wird abgelehnt
2
Holger Schildt
0
14
Modernisierung Wie geht es weiter? Suche
nach einem prägnantem Namen (Bisher Arbeitstitel: IT-Grundschutz Neu) Auswertung der Workshops und der aktuellen Umfrage Weitere Gespräche mit Nutzern Erstellung der ersten Konzepte bis Ende 2014
Diese werden zur Diskussion gestellt!
Realisierung
Holger Schildt
und Migration: 2015
15
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Holger Schildt Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-10-9582-5369
[email protected] www.bsi.bund.de www.bsi-fuer-buerger.de
Holger Schildt
16