Die Modernisierung des IT-Grundschutzes - BSI

CeBIT 2016
Modernisierung des
IT-Grundschutzes
Isabel Münch und Holger Schildt
IT-Grundschutz und Allianz für Cyber-Sicherheit
Agenda
1.
• Aktueller Stand der Modernisierung
2.
• Blick in die neuen Bausteine
3.
• Status der IT-Grundschutz-Profile
4.
• Offene Diskussion
I. Münch & H. Schildt | CeBIT 2016 | Seite 2
1. Einleitung und
Motivation
Motivation
Vorgehensweisen
20 Jahre IT-Grundschutz –
und nun?
• Neue Anforderungen nach 20 Jahren
• Optimierung und Aktualisierung der
Vorgehensweise und IT-Grundschutz-Kataloge
• Bedarf der Anwender an aktuellen und praxisnahen Verfahren
• Gewährleistung der Kontinuität:
• Weiterentwicklung der „alten“ IT-Grundschutz-Welt
• Neuausrichtung durch (größtenteils) separate Ressourcen
• Übergeordnetes Ziel: Erhöhung der Attraktivität und
Wegbereitung für die nächsten 20 Jahre
I. Münch & H. Schildt | CeBIT 2016 | Seite 4
Ziele der IT-GrundschutzModernisierung
• Schnellere Bereitstellung von Inhalten/Empfehlungen
(Aktualität)
• Bessere Strukturierung und Verschlankung der
IT-Grundschutz-Kataloge
• Skalierbarkeit an Größe und Schutzbedarf der Institution
• Stärkere Betonung der Risikomanagement-Prozesse
• Integration von industrieller IT und von Detektionsprozessen
• Weiterhin Kompatibilität zu den ISO-Normen
(insb. ISO/IEC 27001:2013)
• Stärkere Berücksichtigung von anwenderspezifischen
Anforderungen
I. Münch & H. Schildt | CeBIT 2016 | Seite 5
Zeitliche Planung
Parallele Veröffentlichung
der 15. Ergänzungslieferung
GSTOOL-Pflege:
• Metadaten-Updates für die Ergänzungslieferungen
• Austauschschnittstelle
• Support bis mindestens Ende 2016
2017
2016
2015
2014
• „Findungsphase“
• Beteiligung
der
Stakeholder
• Konzeption
• Weiterhin
Abstimmung
mit
Stakeholdern
• Veröffentlichung
neuer BSIStandards und
modernisierter
Kataloge
• Veröffentlichung
neuer BSIStandards und
modernisierter
Kataloge
I. Münch & H. Schildt | CeBIT 2016 | Seite 6
IT-Grundschutz-Kataloge
15. Ergänzungslieferung
Neue Bausteine
• Client unter Windows 8
• Identitäts- und Berechtigungsmanagement
• Softwareentwicklung
• SOA
• Eingebettetes System
• Überarbeitete Bausteine
• B 4.1 Netzarchitektur
• B 4.2 Netz-Management
•
I. Münch & H. Schildt | CeBIT 2016 | Seite 7
Modernisierung
Kernaspekte
Vorgehensweisen
Bausteine
Profile
„Modernisierter“
IT-Grundschutz
I. Münch & H. Schildt | CeBIT 2016 | Seite 8
Vorgehensweisen
Einstieg
Entscheidung der Leitungsebene, die Informationssicherheit zu verbessern
Benennung des Verantwortlichen für Informationssicherheit
Konzeption und Planung des Einstiegs in Informationssicherheit
• Ermittlung Rahmenbedingungen
• Formulierung allgemeiner Sicherheitsziele
• Bestimmung des angestrebten Sicherheitsniveaus
Ersterfassung
• Von Geschäftsprozessen/Fachaufgaben, Anwendungen und IT-Systemen
Entscheidung über weitere Vorgehensweise
• Legt Geltungsbereich fest
I. Münch & H. Schildt | CeBIT 2016 | Seite 9
Schutzbedarf
normal
Kernabsicherung
Vorgehensweisen
Überblick
Standardabsicherung
Basisabsicherung
I. Münch & H. Schildt | CeBIT 2016 | Seite 10
Vorgehensweisen
Hilfsmittel zur Auswahl
Veröffentlichung als separate Handreichung
Unterstützung durch geeignete Fragen bei Entscheidung
Orientierungshilfe, keine verbindliche Empfehlung
Gegenüberstellung der Vor- und Nachteile
Hinweise für umfangreicheren Auswahlprozess
I. Münch & H. Schildt | CeBIT 2016 | Seite 11
Vorgehensweisen
Basisabsicherung
• Vereinfachter Einstieg in das
Sicherheitsmanagement
• Grundlegende Erstabsicherung
der Geschäftsprozesse und
Ressourcen
• Erstabsicherung in der Breite
• Umsetzung essentieller
Anforderungen
Basisabsicherung
• Auf die Bedürfnisse von
KMUs zugeschnitten
• Auch für kleine Institutionen geeignet
I. Münch & H. Schildt | CeBIT 2016 | Seite 12
Vorgehensweisen
Bonsai-ISMS der Basisabsicherung
Erstellung einer Leitlinie zur Informationssicherheit
Organisation des Sicherheitsprozesses
• Rollen und Aufgaben festlegen
• Informationssicherheit in Abläufe und Prozesse integrieren
• Umsetzung überwachen
Bereitstellung von Ressourcen
• Angemessen und wirtschaftlich,
aber Informationssicherheit kostet Geld!
Einbindung aller Mitarbeiter in den Sicherheitsprozess
Auswahl und Anpassung von Bausteinen
• Umsetzungsreihenfolge der Bausteine
I. Münch & H. Schildt | CeBIT 2016 | Seite 13
Vorgehensweisen
Umsetzungsreihenfolge der Bausteine
R1
• Diese Bausteine sollten für die Basisabsicherung vorrangig
umgesetzt werden, da sie die Grundlage für einen effektiven
Sicherheitsprozess bilden.
R2
• Im Rahmen der Basisabsicherung sollte geprüft werden, ob diese
Bausteine für den Informationsverbund relevant sind. Ist dies der
Fall, sollten sie als nächstes umgesetzt werden.
R3
• Diese Bausteine sind für die Basisabsicherung typischerweise
nicht erforderlich. Falls doch, wird empfohlen, diese erst nach
den anderen Bausteinen zu betrachten.
I. Münch & H. Schildt | CeBIT 2016 | Seite 14
Organisation
Personal
Sensibilisierung & Schulung
Identitäts- &
Berechtigungsmanagement
(Ordnungsmäßige
IT-Administration)
Patch-Management
Malware-Schutz
Backup
(Protokollierung)
(Löschen & Vernichten)
Alle
nichtgenannten
Prozess-Bausteine
Alle
nichtgenannten
System-Bausteine
Reihenfolge 3
ISMS
Reihenfolge 2
Reihenfolge 1
Vorgehensweisen
Umsetzungsreihenfolge der Bausteine
in
progress
Hochverfügbarkeitskonzeption
Softwareentwicklung
Informationssicherheit auf
Auslandsreisen
Änderungsmanagement
Archivierung
Datenträgeraustausch
Telearbeit
BYOD
Beschaffung,
Ausschreibung & Einkauf
Verkauf/Aussonderung von IT
Festlegung der Reihenfolge, nicht der Wertigkeit!
I. Münch & H. Schildt | CeBIT 2016 | Seite 15
•
•
•
•
Schutz herausragender,
besonders gefährdeter
Geschäftsprozesse und Ressourcen
(Kronjuwelen)
Unterschied zu IT-Grundschutz Classic:
Fokussierung auf einen kleinen, aber
sehr wichtigen Informationsverbund
Zeitersparnis im Vorgehen
beschleunigte Absicherung
dieser Ressourcen in der Tiefe
Kernabsicherung
Vorgehensweisen
Kernabsicherung
I. Münch & H. Schildt | CeBIT 2016 | Seite 16
Vorgehensweisen
Standardabsicherung
•
•
•
Die Methode bleibt in den
Grundzügen unverändert
Implementierung eines
vollumfänglichen
Sicherheitsprozesses
nach (jetzigem) BSI-Standard 100-2
Weiterhin ISO 27001 Zertifizierung
auf der Basis von IT-Grundschutz
vorgesehen
Standardabsicherung
I. Münch & H. Schildt | CeBIT 2016 | Seite 17
Vorgehensweisen
Standardabsicherung
Strukturanalyse
Modellierung
Basis-Sicherheitscheck
Ergänzende Sicherheitsanalyse
Risikoanalyse
Konsolidierung
Basis-Sicherheitscheck (2)
Aufrechterhaltung und
Kontinuierliche Verbesserung
Schutzbedarfsfeststellung
Realisierung der Maßnahmen
I. Münch & H. Schildt | CeBIT 2016 | Seite 18
Vorgehensweisen
Bestimmung des Reifegrads
• Vereinfacht die
Aufrechterhaltung und
kontinuierliche Verbesserung
• Für Standard-Absicherung
vorgesehen
• Ermöglicht einheitliche und
differenzierte Bewertung
eines ISMS
in
progress
Überprüfung der vollständigen
Bearbeitung und Umsetzung
Erkennung von Verbesserungs- und
Weiterentwicklungspotentialen
Ermöglicht direkten Vergleich
verschiedener Institutionen
Detaillierter Nachweis gegenüber
Dritten
Bewertung und Steuerung durch
Leitungsebene
I. Münch & H. Schildt | CeBIT 2016 | Seite 19
Vorgehensweisen
Bewertung des Reifegrads
0
1
2
3
4
5
in
progress
Es existiert kein ISMS und es ist auch keines geplant
ISMS ist geplant aber nicht etabliert.
ISMS ist zum Teil etabliert.
ISMS ist voll etabliert und dokumentiert. Es findet keine Überprüfung auf Effektivität statt.
Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft.
Zusätzlich zum Reifegrad 3 wird das ISMS regelmäßig überprüft und verbessert.
I. Münch & H. Schildt | CeBIT 2016 | Seite 20
Vorgehensweisen
Wege zur Standardabsicherung
Kernabsicherung
Einstieg
Kernabsicherung
Basisabsicherung
Basisabsicherung
Standardabsicherung
I. Münch & H. Schildt | CeBIT 2016 | Seite 21
Vorgehensweisen
Neufassung der Risikoanalyse
Bislang:
IT-Grundschutz-spezifisches Verfahren auf der Basis der Gefährdungskataloge
Bündelung aller risikobezogenen Arbeitsschritte in einem neuen
BSI-Standard 200-x
Implementation eines Risikoentscheidungsprozesses
Keine Risikoakzeptanz bei den Basisanforderungen
Explizite Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und
Anforderungen bei erhöhtem Schutzbedarf
I. Münch & H. Schildt | CeBIT 2016 | Seite 22
2. Blick in die Bausteine
Struktur der Kataloge
Vollständiger Überblick
I. Münch & H. Schildt | CeBIT 2016 | Seite 24
Struktur der Kataloge
Nachfolger des Schichtenmodells
ISMS
Prozess-Bausteine
ORP
CON
OPS
System-Bausteine
APP
SYS
NET
INF
IND
DER
I. Münch & H. Schildt | CeBIT 2016 | Seite 25
Struktur der Kataloge
Prozess-Bausteine
ISMS
ISMS.1
Sicherheitsmanagement
Baustein
ORP
(Organisation und
Personal)
CON
(Konzepte und
Vorgehensweisen)
ORP.1
Organisation
CON.1
Kryptokonzept
OPS.1
Eigener ITBetrieb
DER.1
Detektion
ORP.2
Personal
CON.2
Datenschutz
OPS.2
IT-Betrieb von
Dritten
DER.2
Security Incident
Management
ORP.3
Sensibilisierung
und Schulung
CON.3
Hochverfügbarkeitskonzeption
OPS.3
IT-Betrieb für
Dritte
DER.3
Sicherheitsprüfungen
ORP.4
Identitäts- und
Berechtigungsmanagement
CON.4
Softwareentwicklung
OPS.4
Betriebliche
Aspekte
DER.4
BCM/Notfallmanagement
ORP.5
Anforderungsmanagement
(Compliance)
CON.5
Informationssicherheit im
Projektmgt
Schicht
CON.6
Informationssicherheit auf
Auslandsreisen
OPS
(Betrieb)
DER
(Detektion &
Reaktion)
DER.5
Reporting &
Compliance
I. Münch & H. Schildt | CeBIT 2016 | Seite 26
Struktur der Kataloge
System-Bausteine
APP
(Anwendungen)
SYS
(IT-Systeme)
NET
(Netze und
Kommunikation)
INF
(Infrastruktur)
IND
(Industrielle IT)
APP.1
E-Mail/
Groupware/
Kommunikation
SYS.1
Server
NET.1
Netze
INF.1
Gebäude
INF.7
Datenträgerarchiv
IND.1
ERP/MESAnbindung von
ICS
APP.2
Verzeichnisdienst
SYS.2
DesktopSysteme
NET.2
Funknetze
INF.2
Rechenzentrum
INF.8
Arbeitsplatz
IND.2
ICSKomponenten
APP.3
Netzbasierte
Dienste
SYS.3
Mobile Devices
NET.3
Netzkomponenten
INF.3
Elektrotechnische
Verkabelung
INF.9
Telearbeitsplatz
IND.3
Produktionsnetze
APP.4
BusinessAnwendungen
SYS.4
Sonstige
Systeme
NET.4
Telekommunikation
INF.4
IT-Verkabelung
INF10
Mobiler
Arbeitsplatz
IND.4
Industrielle
Fernwartung
INF.5
Technikraum
INF.11
Besprechungs-,
Veranstaltungs-,
Schulungsraum
INF.6
Schutzschrank
INF.12
Werkhalle
APP.5
ClientAnwendungen
Baustein
Schicht
I. Münch & H. Schildt | CeBIT 2016 | Seite 27
Modernisierte Bausteine
Dokumentenstruktur
Umfang: ca. 10 Seiten!
Beschreibung
• Einleitung
• Zielsetzung
• Abgrenzung
• Verantwortliche
• Spezifische Gefährdungslage
• Anforderungen (keine Maßnahmen)
• Basis-Anforderungen
• Standard-Anforderungen
• Anforderungen bei erhöhtem Schutzbedarf
• Referenzen auf weiterführende Informationen
•
•
Anlage: Kreuzreferenztabelle
I. Münch & H. Schildt | CeBIT 2016 | Seite 28
Umsetzungshinweise
Dokumentenstruktur
Umfang: beliebig
Gliederung lehnt sich an Bausteine an
Beschreibung
• Einleitung
• Lebenszyklus
• Maßnahmen als Umsetzungshilfen
• Basis-Maßnahmen
• Standard-Maßnahmen
• Maßnahmen bei erhöhtem Schutzbedarf
• Referenzen auf weiterführende Informationen
• Alte IT-GS-Bausteine, Studien,
Herstellerdokumentation etc.
•
•
•
I. Münch & H. Schildt | CeBIT 2016 | Seite 29
Bausteine und Umsetzungshinweise
Veröffentlichungsprozess
Arbeitsentwürfe
(Working Drafts)
• sehr grobe Entwürfe
• nur BSI-interne
Verwendung
CommunityEntwürfe
(Community Drafts)
• Akzeptabler Reifegrad
• Grundlage für die
Diskussion mit der
Community
Finaler Entwurf
(Final Draft)
• Nach Einbindung der
relevanten Kommentare
der Community
Version
• aktuell gültige
IT-GrundschutzFassung
I. Münch & H. Schildt | CeBIT 2016 | Seite 30
Modernisierte Bausteine
Auszug Working Drafts
Parallel werden ungefähr 100 Bausteinen erstellt
(Tendenz steigend, Zwischenstand vom 29.02.2015)
I. Münch & H. Schildt | CeBIT 2016 | Seite 31
Modernisierte Bausteine
Piloten
Personal
Mobile Datenträger
Allgemeiner Server
iOS for Enterprise
ICS-Betrieb
(Schulung und Sensibilisierung)
(WLAN-Betrieb)
(WLAN-Nutzung)
(Allgemeiner Client)
I. Münch & H. Schildt | CeBIT 2016 | Seite 32
Modernisierte Bausteine
ORP.2 Personal
Überblick
•
•
•
•
Migration des Bausteins „B 1.2 Personal“
Zuordnung: Prozess-Baustein / Organisation und Personal
Umfang: Baustein und Umsetzungshinweise
Status: Community Draft
Bausteinbeschreibung
• Umgang mit den Mitarbeitern einer Institution und den damit verbundenen Prozessen
Bausteinzielsetzung
• Sicherer Umgang mit Mitarbeitern von deren Einstellung bis zum Ausscheiden aus einer Institution
• Entwicklung eines Sicherheitsbewusstseins bei den Mitarbeitern durch die Personalabteilung
• Anforderungen für eigene Mitarbeiter und für Fremdpersonal
Bausteinabgrenzung (Behandlung durch separate Bausteine)
• Der Baustein beinhaltet primär Anforderungen, die durch die Personalabteilung umzusetzen sind.
• Anforderungen, die an eine bestimmte Funktion geknüpft sind, finden sich in den entsprechenden Bausteinen.
• Anforderungen, die von den Mitarbeitern umzusetzen sind, finden sich ebenfalls in den entsprechenden Bausteinen.
I. Münch & H. Schildt | CeBIT 2016 | Seite 33
Modernisierte Bausteine
SYS.1.1 Allgemeiner Server
Überblick
•
•
•
•
Migration des Bausteins „B 3.101 Allgemeiner Server“
Zuordnung: System-Baustein / IT-Systeme / Server
Umfang: Baustein und Umsetzungshinweise
Status: Community Draft
Bausteinbeschreibung
• Server mit beliebigem (Standard-) Betriebssystem
• Dienste werden anderen IT-Systemen über Netze bereitgestellt
Bausteinzielsetzung
• Schutz von Informationen, die auf Servern erstellt, bearbeitet, gespeichert oder versendet werden
Bausteinabgrenzung (Behandlung durch separate Bausteine)
• Betriebssystemspezifische Aspekte
• Betriebene Serverdienste
I. Münch & H. Schildt | CeBIT 2016 | Seite 34
Modernisierte Bausteine
SYS.3.4 Mobile Datenträger
Überblick
•
•
•
•
Migration des Bausteins „B 5.14 Mobile Datenträger“
Zuordnung: System-Baustein / Mobile Devices
Umfang: Baustein und Umsetzungshinweise
Status: Community Draft
Bausteinbeschreibung
• Umgang mit mobilen Datenträgern wie externe Festplatten, CD-ROMs, DVDs, Speicherkarten,
Magnetbänder und USB-Sticks
Bausteinzielsetzung
• Schutz der auf den mobilen Datenträgern gespeicherten Informationen
Bausteinabgrenzung (Behandlung durch separate Bausteine)
• Austausch von Datenträgern und Informationen
• Papier und „analoge“ Datenträger
I. Münch & H. Schildt | CeBIT 2016 | Seite 36
Modernisierte Bausteine
SYS.3.2.1 iOS (for Enterprise)
Überblick
•
•
•
•
neu erstellter Baustein
Zuordnung: Systembaustein / Mobile Devices / Tablet/Phablet/Smartphone
Umfang: Baustein und Umsetzungshinweise
Status: Community Draft
Bausteinbeschreibung
• iOS-basierte Geräte im Unternehmenseinsatz
• Nutzung mobiler Endgeräte, eingebunden in ein Mobile Device Management
Bausteinzielsetzung
• Bildung schutzbedarfsgerechter Konfigurationsprofile
Bausteinabgrenzung (Behandlung durch separate Bausteine)
• Absicherung der MDM-Infrastruktur
• Integration in Kollaborations-Infrastruktur
I. Münch & H. Schildt | CeBIT 2016 | Seite 38
Modernisierte Bausteine
IND.1 ICS-Betrieb
Überblick
•
•
•
•
neu erstellter Baustein
Zuordnung: System-Bausteine / Industrielle Steuerungssstem (Industrial Control Systems, ICS)
Umfang: Baustein und Umsetzungshinweise
Status: Community Draft
Bausteinbeschreibung
• organisatorische Anforderungen für die Einbindung der ICS in das ISMS
• Übergreifende Beschreibung der Absicherung des ICS-Betriebes
Bausteinzielsetzung
• Anforderungen zur Absicherung von ICS-Systemen
• Baustein ICS-Betrieb für allgemeine Anforderungen
Bausteinabgrenzung (Behandlung durch separate Bausteine)
• komponentenspezifische ICS-Bausteine
• organisatorische Bausteine
I. Münch & H. Schildt | CeBIT 2016 | Seite 41
3. Status der
IT-Grundschutz-Profile
IT-Grundschutz-Profile
Überblick
•
•
•
•
•
•
•
Werkzeug für anwenderspezifische Empfehlungen
Individuelle Anpassungen des IT-Grundschutzes an die
jeweiligen Bedürfnisse möglich
Berücksichtigt Möglichkeiten und Risiken der Institution
Profile beziehen sich auf typische IT-Szenarien, z.B.
• Kommunalverwaltung in Bundesland XY,
• Krankenhaus
• Wasserwerk als kritische Infrastruktur
Profile werden in der Regel durch Dritte (Verbände, Branchen,...) und
nicht durch das BSI erstellt
Nicht als BSI-Vorgabe zu verstehen!
Nachweis für Umsetzung (z. B. Testat) und
Anerkennung ausgewählter Profile durch BSI wird diskutiert
I. Münch & H. Schildt | CeBIT 2016 | Seite 43
IT-Grundschutz-Profile
Pilotprofil „eCommerce“
Zielgruppe: Anbieter von eCommerceDiensten
Betrachtet bewusst nicht bisheriges
„Kernklientel“ des IT-Grundschutzes
Ergänzung zu den Anforderungen des
IT-Grundschutzes
Basiert auf spezifischen Baustein
„ePayment“
(noch nicht vorhanden)
Status: Working Draft
Experimentelle Annäherung
an das Thema Profile
Veröffentlichung des Versionsstands
ist (noch) nicht geplant
I. Münch & H. Schildt | CeBIT 2016 | Seite 44
IT-Grundschutz-Profile
Pilotprofil „eCommerce“
Einblick in das Dokument
(Working Draft,
Dokument kann nur gezeigt werden)
I. Münch & H. Schildt | CeBIT 2016 | Seite 45
Zeitliche Planung
Parallele Veröffentlichung
der 15. Ergänzungslieferung
GSTOOL-Pflege:
• Metadaten-Updates für die Ergänzungslieferungen
• Austauschschnittstelle
• Support bis mindestens Ende 2016
2017
2016
2015
2014
• „Findungsphase“
• Beteiligung
der
Stakeholder
• Konzeption
• Weiterhin
Abstimmung
mit
Stakeholdern
• Veröffentlichung
neuer BSIStandards und
modernisierter
Kataloge
• Veröffentlichung
neuer BSIStandards und
modernisierter
Kataloge
I. Münch & H. Schildt | CeBIT 2016 | Seite 46
4. Offene Diskussion
Vielen Dank für Ihre
Aufmerksamkeit!
Kontakt
Isabel Münch & Holger Schildt
[email protected]
Tel. +49 (0)22899-9582-5369
Fax +49 (0)22899-10-9582-5369
Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz und Allianz für Cyber-Sicherheit
Godesberger Allee 185-189
53175 Bonn
www.bsi.bund.de
I. Münch & H. Schildt | CeBIT 2016 | Seite 48

Download Report