Die neuen IT-Grundschutz-Bausteine und deren Struktur

Die neuen
IT-Grundschutz-Bausteine
und deren Struktur
Florian Hillebrand
IT-Grundschutz und Allianz für Cyber-Sicherheit
Agenda
1.
• Struktur der Kataloge
2.
• Dokumentenstruktur
3.
• Veröffentlichungsprozess
4.
• Diskussion – Teil 2
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 2
Ziele der IT-GrundschutzModernisierung
• Schnellere Bereitstellung von Inhalten/Empfehlungen
(Aktualität)
• Bessere Strukturierung und Verschlankung der
IT-Grundschutz-Kataloge
• Skalierbarkeit an Größe und Schutzbedarf der Institution
• Stärkere Betonung der Risikomanagement-Prozesse
• Integration von industrieller IT und von Detektionsprozessen
• Weiterhin Kompatibilität zu den ISO-Normen
(insb. ISO/IEC 27001:2013)
• Stärkere Berücksichtigung von anwenderspezifischen
Anforderungen
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 3
Struktur der Kataloge
Nachfolger des Schichtenmodells
ISMS
Prozess-Bausteine
ORP
CON
OPS
System-Bausteine
APP
SYS
NET
INF
IND
DER
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 4
Struktur der Kataloge
Vollständiger Überblick
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 5
Struktur der Kataloge
Prozess-Bausteine
ISMS
ISMS.1
Sicherheitsmanagement
ORP
(Organisation und
Personal)
CON
(Konzepte und
Vorgehensweisen)
ORP.1
Organisation
CON.1
Kryptokonzept
OPS.1
Eigener ITBetrieb
DER.1
Detektion
ORP.2
Personal
CON.2
Datenschutz
OPS.2
IT-Betrieb von
Dritten
DER.2
Security Incident
Management
ORP.3
Sensibilisierung
und Schulung
CON.3
Hochverfügbarkeitskonzeption
OPS.3
IT-Betrieb für
Dritte
DER.3
Sicherheitsprüfungen
ORP.4
Identitäts- und
Berechtigungsmanagement
CON.4
Softwareentwicklung
OPS.4
Betriebliche
Aspekte
DER.4
BCM/Notfallmanagement
ORP.5
Anforderungsmanagement
(Compliance)
CON.5
Informationssicherheit im
Projektmgmt.
CON.6
Informationssicherheit auf
Auslandsreisen
OPS
(Betrieb)
DER
(Detektion &
Reaktion)
DER.5
Reporting &
Compliance
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 6
Struktur der Kataloge
System-Bausteine
APP
(Anwendungen)
SYS
(IT-Systeme)
NET
(Netze und
Kommunikation)
INF
(Infrastruktur)
IND
(Industrielle IT)
APP.1
E-Mail/
Groupware/
Kommunikation
SYS.1
Server
NET.1
Netze
INF.1
Gebäude
INF.7
Datenträgerarchiv
IND.1
ERP/MESAnbindung von
ICS
APP.2
Verzeichnisdienst
SYS.2
DesktopSysteme
NET.2
Funknetze
INF.2
Rechenzentrum
INF.8
Arbeitsplatz
IND.2
ICSKomponenten
APP.3
Netzbasierte
Dienste
SYS.3
Mobile Devices
NET.3
Netzkomponenten
INF.3
Elektrotechnische
Verkabelung
INF.9
Telearbeitsplatz
IND.3
Produktionsnetze
APP.4
BusinessAnwendungen
SYS.4
Sonstige
Systeme
NET.4
Telekommunikation
INF.4
IT-Verkabelung
INF10
Mobiler
Arbeitsplatz
IND.4
Industrielle
Fernwartung
INF.5
Technikraum
INF.11
Besprechungs-,
Veranstaltungs-,
Schulungsraum
INF.6
Schutzschrank
INF.12
Werkhalle
APP.5
ClientAnwendungen
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 7
Modernisierte Bausteine
Piloten
iOS
Personal
Webserver
WLAN-Betrieb
WLAN-Nutzung
Allgemeiner Client
Allgemeiner Server
Gebäude
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 8
Modernisierte Bausteine
Dokumentenstruktur
• Umfang: ca. 10 Seiten!
• Beschreibung
• Einleitung
• Zielsetzung
• Abgrenzung
• Verantwortliche
• Spezifische Gefährdungslage
• Anforderungen (keine Maßnahmen)
• Basis-Anforderungen
• Standard-Anforderungen
• Anforderungen bei erhöhtem Schutzbedarf
• Referenzen auf weiterführende Informationen
Anlage: Kreuzreferenztabelle
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 9
Umsetzungshinweise
Dokumentenstruktur
• Umfang: beliebig
• Gliederung lehnt sich an Bausteine an
• Beschreibung
• Einleitung
• Lebenszyklus
• Maßnahmen als Umsetzungshilfen
• Basis-Maßnahmen
• Standard-Maßnahmen
• Maßnahmen bei erhöhtem Schutzbedarf
• Referenzen auf weiterführende Informationen
• Alte IT-GS-Bausteine, Studien,
Herstellerdokumentation etc.
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 10
Bausteine und Umsetzungshinweise
Veröffentlichungsprozess
Arbeitsentwürfe
(Working Drafts)
• sehr grobe Entwürfe
• nur BSI-interne
Verwendung
CommunityEntwürfe
(Community Drafts)
• Akzeptabler Reifegrad
• Grundlage für die
Diskussion mit der
Community
Finaler Entwurf
(Final Draft)
• Nach Einbindung der
relevanten Kommentare
der Community
Version
• aktuell gültige
IT-GrundschutzFassung
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 11
Vielen Dank für Ihre
Aufmerksamkeit!
Kontakt
Florian Hillebrand
[email protected]
Tel. +49 (0)22899-9582-5369
Fax +49 (0)22899-10-9582-5369
Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz und Allianz für Cyber-Sicherheit
Godesberger Allee 185-189
53175 Bonn
www.bsi.bund.de
F. Hillebrand | 3. IT-Grundschutz-Tag 2015 | Seite 12

Download Report