einführung in die vorgehensweise nach it-grundschutz
DESCRIPTION
Einführung in die Vorgehensweise nach IT-Grundschutz. Musterfolien für Schulungen zur. Bundesamt für Sicherheit in der Informationstechnik (BSI). Hinweis. - PowerPoint PPT PresentationTRANSCRIPT
Einführung in die Vorgehensweise nach
IT-Grundschutz
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Musterfolien für Schulungen zur
2<Name>
Hinweis
Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT-Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.
3<Name>
Überblick
Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke
BSI-Sicherheitsstandards IT-Grundschutz-Kataloge
IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung
ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
Hilfsmittel rund um denIT-Grundschutz
4<Name>
IT-Sicherheit ist ...gefährdet
Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ... Organisatorische Mängel: Fehlende oder unklare
Regelungen, fehlende Konzepte, ... Menschliche Fehlhandlungen: "Die größte
Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash, ... Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...
5<Name>
Bedrohungen in der PraxisBeispiele
Irrtum und Nachlässigkeit Malware Internetdienste (WWW, E-Mail,…) Hacking und Cracking Wirtschaftsspionage Diebstahl von IT-Einrichtungen ...
6<Name>
KES-Studie 2006Bedeutung der Gefahrenbereiche
7<Name>
Unzureichende Software-TestsBeispiel: British Airways
Informationweek, April 2001Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.
8<Name>
Informationen… … sind Werte, die (wie auch die übrigen Geschäftswerte)
wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen.
… sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden.
Quelle: ISO/IEC 17799:2005, Einleitung
Schutz von Informationen
9<Name>
Nachgewiesene IT-Sicherheit lohnt sich ...
Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb
mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und
Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich
mit IT-Sicherheitszielen und sind stolz auf das Erreichte Versicherungen honorieren zunehmend IT-Sicherheit
10<Name>
Typische Probleme in der Praxis
Resignation, Fatalismus und Verdrängung Kommunikationsprobleme Sicherheit wird als technisches Problem mit technischen
Lösungen gesehen Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten unsystematisches Vorgehen bzw. falsche Methodik Management: fehlendes Interesse, schlechtes Vorbild Sicherheitskonzepte richten sich an Experten, die IT-
Benutzer werden vergessen
11<Name>
Konsequenzen fehlender Regelungen... oder: Jeder tut, was er will!
Konfusion im Notfall Was ist zu tun? Wer hilft?
lückenhafte Datensicherung Notebooks, Telearbeitsplätze, lokale Datenhaltung
fehlende Klassifizierung von Informationen Verschlüsselung, Weitergabe und Austausch von Informationen
gefährliche Internetnutzung Was alle machen, kann doch nicht unsicher sein?
Disziplinlosigkeit Ignoranz und Arroganz statt geregelter Prozesse Konsequenzen bleiben aus, sind zu hart, sind willkürlich
12<Name>
Irrtum und Nachlässigkeit
Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit
Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1):
70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall
90% davon erklären dies durch einfache Anwenderfehler
1) Quelle: Broadcasters Res. International Information Security
13<Name>
KES-StudieStellenwert der Sicherheit
…beim Top-Management:
Quelle: KES 2006
14<Name>
Stellenwert der Sicherheit
„IT-Sicherheit ist Chefsache“
15<Name>
IT-Sicherheit im Spannungsfeld
Sicherheit
KostenBequemlichkeit
Häufige Situation: Sicher, Bequem, Billig
„Suchen Sie sich zwei davon aus!“
16<Name>
Methodik für IT-Sicherheit?
Viele Wege führen zur IT-Sicherheit...
Welcher Weg ist der effektivste?
17<Name>
Typische Abläufe und IT-Komponenten überall ähnlich
Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit
Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet
IT-GrundschutzDie Idee ...
18<Name>
IT-GrundschutzPrinzipien
Typische Abläufe von Geschäftsprozessen und Komponenten, bei
denen geschäftsrelevante Informationen verarbeitet werden, werden
betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch
organisatorische und personelle Aspekte, physische Infrastruktur, ...)
Typische Schadensszenarien für die Ermittlung des Schutzbedarfs
werden vorgegeben
Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen
Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit
Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden
19<Name>
Ziel des IT-Grundschutzes
IT-Grundschutz verfolgt einen ganzheitlichen Ansatz.
Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen.
An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.
20<Name>
Ziel des IT-Grundschutzes
Durch infrastrukturelle, organisatorische, personelle undtechnische
Standard-Sicherheitsmaßnahmen
ein
Standard-Sicherheitsniveau
aufbauen, das auch für sensiblereBereiche
ausbaufähig
ist.
21<Name>
Infra
stru
ktur Technik
Perso
nalOrganisation
Verschiedene Facetten von IT-Grundschutz
Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein „Information Security Management System“)
Sammlung von Standard-Sicherheitsmaßnahmen
ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-
Sicherheit
22<Name>
IT-Grundschutz - Vorteile
arbeitsökonomische Anwendungsweise durchSoll-Ist-Vergleich
kompakte IT-Sicherheitskonzepte durchVerweis auf Referenzquelle
praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit
Erweiterbarkeit und Aktualisierbarkeit
23<Name>
Empfehlungen für IT-Grundschutz
Der Bundesbeauftragte für den Datenschutz Bundesregierung
(zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung)
Die Rechnungshöfe des Bundes und der Länder Landesverwaltung Rheinland-Pfalz
für Behörden, Gerichte und sonstige Stellen der Landesverwaltung Rheinischer Sparkassen- und Giroverband, Prüfungsstelle Deutsche Genossenschafts-Revision Wirtschaftsprüfungs-gesellschaft
GmbH
über 3.000 registrierte Anwender weltweit über 10.000 Lizenzen für das GSTOOL
24<Name>
Erreichbares SicherheitsniveauS
ich
erh
eits
niv
eau
Sicherheitsaspekte
normalerSchutzbedarf
25<Name>
Erreichbares Sicherheitsniveau
für die Schutzbedarfskategorie "normal" im Allgemeinen ausreichend und angemessen
für die Schutzbedarfskategorie "hoch" und "sehr hoch" Basisschutz und Ausgangsbasis zusätzliche Sicherheitsmaßnahmen sollten durch
ergänzende Sicherheitsanalyse ermittelt werden(BSI-Standard 100-3)
Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind
26<Name>
IT-GrundschutzHistorie
IT-Grundschutzhandbuch 1995
18 Bausteine
200 Maßnahmen
150 Seiten
IT-Grundschutzhandbuch 2004
58 Bausteine
720 Maßnahmen
2550 Seiten
27<Name>
IT-GrundschutzAktuell
seit 2005
+BSI-Standards Loseblattsammlung
28<Name>
BSI-Sicherheitsstandards
BSI-Standard 100-1:Managementsysteme für Informationssicherheit
BSI-Standard 100-2:Vorgehensweise nach
IT-Grundschutz
BSI-Standard 100-3:Risikoanalyse auf der
Basis von IT-Grundschutz
BSI-Standard 100-4:Notfallmanagement
sowie Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz –Prüfschema für Auditoren-
29<Name>
BSI-Standards zur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit
BSI Standard 100-2:IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz
IT-Grundschutz-Kataloge
Kapitel 1: Einleitung
Kapitel 2: Schichtenmodell und Modellierung
Kapitel 3: Glossar
Kapitel 4: Rollen
• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
BSI-Standard 100-1- BSI-Standard zur IT Sicherheit -
BSI Standard 100-4:Notfallmanagement
30<Name>
BSI-Standard 100-1 ISMS
Zielgruppe: Management Allgemeine Anforderungen
an ein ISMS Kompatibel mit ISO 27001 Empfehlungen aus
ISO 13335 und 17799 Didaktische Aufbereitung
ISMS: Managementsysteme für Informationssicherheit
Ressourcen
Strategie
Mitarbeiter
Management-Prinzipien
ISMS
ISMS = Information - Security - Management - System
31<Name>
Komponenten: Management-Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess
IT-Sicherheitsleitlinie(einschl. IT-Sicherheitsziele und -strategie)
IT-Sicherheitskonzept IT-Sicherheitsorganisation
BSI-Standard 100-1Komponenten eines ISMS
32<Name>
BSI-Standard 100-1Inhalte
1. Einleitung
2. Einführung in Informationssicherheit
3. ISMS-Definition und Prozessbeschreibung
4. Management-Prinzipien
5. Ressourcen für IT-Betrieb und IT-Sicherheit
6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess
7. Der IT-Sicherheitsprozess
8. IT-Sicherheitskonzept
9. Das ISMS des BSI: IT-Grundschutz
33<Name>
BSI-Standard 100-1Managementsystem
34<Name>
Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele,
Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse, ...)
IT-Sicherheitsstrategie
BSI-Standard 100-1IT-Sicherheitsstrategie
• Sicherheitsziele• Umsetzung der Strategie durch Sicherheitsorganisation
und IT-Sicherheitskonzept• Dokumentation der Strategie in der IT-Sicherheitsleitlinie• Regelmäßige Überprüfung und Verbesserung!
35<Name>
BSI-Standard 100-1IT-Sicherheitsstrategie
IT-Sicherheitsstrategie als zentrale Komponente des ISMS:
• IT-Sicherheitskonzept
• IT-Sicherheitsorganisation
Hilfsmittel zur Umsetzung:
IT-Sicherheitsleitlinie(englisch: security policy)
Dokumentation, Bekenntnis
IT-Sicherheitsstrategie
Ziele Rahmenbedingungen
36<Name>
Sicherheit unterliegt einer kontinuierlichen Dynamik(z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt)
Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern!
IT-Systemeinführung planen IT-Sicherheitsmaßnahmen definieren und umsetzen. Erfolgskontrolle regelmäßig durchführen Schwachpunkte oder Verbesserungsmöglichkeiten finden Maßnahmen verbessern (Änderungen planen und umsetzen) IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen
BSI-Standard 100-1Prozessbeschreibung
37<Name>
BSI-Standard 100-1Lebenszyklus
38<Name>
BSI-Standard 100-1Komponenten eines ISMS
Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT-Sicherheitskonzeptes und einer IT-Sicherheitsorganisation
StrukturenProzesse,Abläufe
Regeln,Anwei-sungen
Maß-nahmen
Beschrei-bung der
IT-Struktur
Risiko-bewer-
tung
Hilfsmittel zur UmsetzungIT-Sicherheitsstrategie
IT-Sicherheitsorganisation IT-Sicherheitskonzept
39<Name>
Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards 27001und 13335 ist
generisch als Rahmenvorgaben zu verstehen
Gestaltungsspielraum in der Praxis Herausforderung:
ISMS effektiv und effizient gestalten Schlüsselfrage:
Risikobewertung
BSI-Standard 100-1ISMS des BSI: IT-Grundschutz
Ressourcen
Strategie
Mitarbeiter
Management-Prinzipien
ISMS
40<Name>
IT-Grundschutz-Vorgehensweise: Anwendungsansatz für die Etablierung und
Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen
Vorteile der IT-Grundschutzmethode: für die meisten Anwendungsfälle geeignet Kostengünstig Praxiserprobt konkret vollständig kompatibel zu ISO 27001
BSI-Standard 100-1ISMS des BSI: IT-Grundschutz
Ressourcen
Strategie
Mitarbeiter
Management-Prinzipien
ISMS
41<Name>
BSI-Standards zur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit
BSI Standard 100-2:IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz
IT-Grundschutz-Kataloge
Kapitel 1: Einleitung
Kapitel 2: Schichtenmodell und Modellierung
Kapitel 3: Glossar
Kapitel 4: Rollen
• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
BSI-Standard 100-2- BSI-Standard zur IT Sicherheit -
BSI Standard 100-4:Notfallmanagement
42<Name>
BSI-Standard 100-2Wesentliche Merkmale
Aufbau und Betrieb eines IT-Sicherheitsmanagements(ISMS) in der Praxis
Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern
43<Name>
BSI-Standard 100-2Wesentliche Merkmale
Interpretation der Anforderungen aus ISO 13335, 17799 und 27001
Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen
Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung
Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen
44<Name>
BSI-Standard 100-2Inhalte
Einleitung IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach
IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und
kontinuierliche Verbesserung
45<Name>
• Analyse: Geschäftsprozesse, Unternehmensziele
• IT-Sicherheitsleitlinie• IT-Sicherheitsorganisation
• Analyse: Geschäftsprozesse, Unternehmensziele
• IT-Sicherheitsleitlinie• IT-Sicherheitsorganisation
• Informationen, IT-Systeme, Anwendungen
• Schutzbedarf (Szenarien)
• Informationen, IT-Systeme, Anwendungen
• Schutzbedarf (Szenarien)
• Sicherheitsmaßnahmen• Identifikation von Sicherheits-
lücken
• Sicherheitsmaßnahmen• Identifikation von Sicherheits-
lücken
Initiative der Geschäftsführung
Analyse der Rahmen-
bedingungen
Sicherheitscheck
2
3
1
Übersicht über denIT-Sicherheitsprozess
46<Name>
Übersicht über denIT-Sicherheitsprozess
• Liste geeigneter Maßnahmen• Kosten- und Nutzenanalyse• Auswahl umzusetzender
Maßnahmen• Dokumentation des Restrisikos
• Liste geeigneter Maßnahmen• Kosten- und Nutzenanalyse• Auswahl umzusetzender
Maßnahmen• Dokumentation des Restrisikos
• Implementierung• Test• Notfallvorsorge
• Implementierung• Test• Notfallvorsorge
• Sensibilisierung• Schulung• Audit, Kontrollen, Monitoring,
Revision• Notfallvorsorge
• Sensibilisierung• Schulung• Audit, Kontrollen, Monitoring,
Revision• Notfallvorsorge
Planung von Maßnahmen
Umsetzung von
Maßnahmen
Sicherheit im laufenden
Betrieb
5
6
4
47<Name>
BSI-Standard 100-2Übersicht IT-Sicherheitsprozess
Initiierung des IT-Sicherheitsprozesses
IT-Sicherheitskonzeption (einschl. Umsetzung)
Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung
48<Name>
BSI-Standard 100-2IT-Sicherheitsorganisation
49<Name>
BSI-Standard 100-2 Verantwortung der Leitungsebene
Verantwortung der Leitungsebene: Kontinuierlichen IT-Sicherheitsprozess
etablieren, d.h. u.a. Grundlegende IT-Sicherheitsziele definieren Angemessenes IT-Sicherheitsniveau
basierend auf Geschäftszielen und Fachaufgaben festlegen
IT-Sicherheitsstrategie zur Erreichung der IT-Sicherheitsziele entwickeln
IT-Sicherheitsorganisation aufbauen Erforderliche Mittel bereitstellen Alle Mitarbeiter einbinden
50<Name>
BSI-Standard 100-2Aufgaben im IT-Sicherheitsprozess
51<Name>
BSI-Standard 100-2Einrichtung des IT-Sicherheitsmanagements
Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der
IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts,
des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaß-
nahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu
den IT-Verantwortlichen sicher etc.
52<Name>
BSI-Standard 100-2Einrichtung des IT-Sicherheitsmanagements
Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der
Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren
Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme etc.
53<Name>
BSI-Standard 100-2IT-Sicherheitsleitlinie (Policy)
Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit
Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderung, Konkurrenzsituation
Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die
Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT-Sicherheitsleitlinie von der
Leitungsebene durchgesetzt wird:
Sicherheit ist Chefsache!
54<Name>
BSI-Standard 100-2IT-Sicherheitsleitlinie
Sicherheitsleitlinie
Geltungsbereich
Sicherheitsniveau
Sicherheitsziele
Sicherheitsstrategie
55<Name>
BSI-Standard 100-2IT-Grundschutz-Vorgehensweise
56<Name>
BSI-Standard 100-2Erstellung eines IT-Sicherheitskonzeptes
Methodik für ein effektives
IT-Sicherheitsmanagement
Aufwand im IT-
Sicherheitsprozess
reduzieren‚ durch Anwendung
von Standard-
Sicherheitsmaßnahmen
Integration einer Methode zur
Risikobetrachtung, unter
anderem für hohen und sehr
hohen Schutzbedarf
57<Name>
BSI-Standard 100-2Aufrechterhaltung und Verbesserung
Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung: IT-Sicherheitsprozess regelmäßig auf
seine Effektivität und Effizienz hin überprüfen
Erfolgskontrolle und Bewertung des IT-Sicherheitsprozesses durch die Leitungsebene
Erfolgskontrolle im Rahmen interner Audits (Unabhängigkeit!)
58<Name>
BSI-Standards zur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit
BSI Standard 100-2:IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz
IT-Grundschutz-KatalogeKapitel 1: Einleitung
Kapitel 2: Schichtenmodell und Modellierung
Kapitel 3: Glossar
Kapitel 4: Rollen
• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
BSI-Standard 100-3- BSI-Standard zur IT Sicherheit -
59<Name>
BSI-Standard 100-3 Risikoanalyse
60<Name>
BSI-Standard 100-3Risikoanalyse
Als Methoden stehen zur Verfügung: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-
Grundschutz klassische Risikoanalyse Penetrationstest Differenz-Sicherheitsanalyse
RISIKENRISIKEN
61<Name>
Risikoanalyse-Ansatz
Maßnahmen derIT-Grundschutz-Kataloge
Zusätzliche Maßnahmen derErgänzende Risikoanalyse
62<Name>
(1) Für normalen Schutzbedarf, übliche Einsatzszenarien und existierende Bausteine:
qualitative Methode zur Risikoanalyse und -bewertungin der IT-Grundschutz-Vorgehensweise enthalten
beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen
(2) Für den höheren Schutzbedarf, unübliche Einsatzszenarien, unzureichende Abdeckung mit Bausteinen und durch Management festgestellten Bedarf:
vereinfachte Risikoanalyse und -bewertungnach BSI-Standard 100-3
RisikoanalyseDas zweistufige BSI-Modell
63<Name>
BSI-Standard 100-3IT-Sicherheitskonzept
64<Name>
BSI-Standard 100-3Inhalte
1 Einleitung
2 Vorarbeiten
3 Erstellung der Gefährdungsübersicht
4 Ermittlung zusätzlicher Gefährdungen
5 Gefährdungsbewertung
6 Behandlung von Risiken
7 Konsolidierung des IT-Sicherheitskonzepts
8 Rückführung in den IT-Sicherheitsprozess
65<Name>
BSI-Standard 100-3Ergänzende Sicherheitsanalyse
Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher
Schutzbedarf vorliegt, zusätzlicher Analysebedarf
besteht oder für bestimmte Aspekte kein
geeigneter Baustein in den
IT-Grundschutz-Katalogen existiert.
IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-
Vergleich)
IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-
Vergleich)
Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen
Realisierung der MaßnahmenRealisierung der Maßnahmen
Ergänzende Sicherheitsbetrachtung
Management Report
Ergänzende Sicherheitsbetrachtung
Management Report
Risikoanalyse auf der Basis von IT-Grundschutz
Risikoanalyse auf der Basis von IT-Grundschutz
66<Name>
BSI-Standard 100-3Risikoanalyse nach IT-Grundschutz
Erstellung derGefährdungsübersicht
Ermittlung zusätzlicherGefährdungen
Gefährdungsbewertung
Maßnahmenauswahl zurBehandlung von Risiken
Konsolidierung desIT-Sicherheitskonzepts
1
3
5
2
4
67<Name>
BSI-Standard 100-3Behandlung von Risiken
Transfer
Überwachung
68<Name>
BSI-Standard 100-3Konsolidierung des IT-Sicherheitskonzeptes
IT-Sicherheitskonzept konsolidieren
IT-Sicherheitsmaßnahmen
für jedes Zielobjekt anhand folgender Kriterien
überprüfen Eignung der IT-Sicherheitsmaßnahmen zur Abwehr der
Gefährdungen Zusammenwirken der IT-Sicherheitsmaßnahmen Benutzerfreundlichkeit der IT-Sicherheitsmaßnahmen Angemessenheit der IT-Sicherheitsmaßnahme
69<Name>
Auf
rech
terh
altu
ng
Übe
rprü
fung
Info
rmat
ions
fluss
Ze
rtifi
zier
ung
IT-Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
Basis-Sicherheitscheck I
Ergänz . Sicherheitsanalyse
Basis-Sicherheitscheck II
Realisierung
Gefährdungsübersicht
Zusätzliche Gefährdungen
Gefährdungsbewertung
Behandlung von Risiken
Konsolidierung
Initiierung des IT-Sicherheitsprozesses
Standard-Sicherheit Risikoanalyse
Vorgehensweise nach IT-GrundschutzZusammenfassung
70<Name>
IT-Grundschutz-KatalogeÜbersicht
71<Name>
IT-Grundschutz-KatalogeInhalt
Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge
Gefä
hrd
un
gen
Bau
stein
e
Maßn
ah
men
++
Loseblattsammlung
72<Name>
IT-Grundschutz-KatalogeAufbau
73<Name>
IT-Grundschutz-KatalogeStruktur der Bausteine
Kapitel("Bausteine")
Kapitel("Bausteine")
Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen
Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen
Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge
Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge
74<Name>
IT-Grundschutz-KatalogeSchichtenmodell
SCHICHT V
ÜBERGREIFENDE ASPEKTE
INFRASTRUKTUR
IT-SYSTEME
NETZE
ANWENDUNGEN
SCHICHT IV
SCHICHT III
SCHICHT II
SCHICHT I
75<Name>
Betreffen den gesamten IT-Verbund
Bausteine: Incident Handling
Hard- und Software-Management
Standardsoftware
Outsourcing
Archivierung
IT-Sicherheitssensibilisierung und -schulung
IT-Grundschutz-KatalogeSchicht 1: Übergreifende Aspekte
IT-Sicherheitsmanagement
Organisation
Personal
Notfall-Vorsorgekonzept
Datensicherungskonzept
Computer-Virenschutzkonzept
Kryptokonzept
76<Name>
IT-Grundschutz-KatalogeSchicht 2: Infrastruktur
Gebäude
Verkabelung
Büroraum
Serverraum
Datenträgerarchiv
Raum für technische
Infrastruktur
Schutzschrank
häuslicher Arbeitsplatz
Rechenzentrum
Mobiler Arbeitsplatz
Besprechungs-, Veranstaltungs-
und Schulungsräume
Betreffen bauliche Gegebenheiten
Bausteine:
77<Name>
SONSTIGE IT-SYSTEMEB 3.4XX
NETZKOMPONENTENB 3.3XX
CLIENTSB 3.2XX
SERVERB 3.1XX
IT-SYSTEMESCHICHT III
IT-Grundschutz-Kataloge Schicht 3: IT-Systeme
78<Name>
IT-Grundschutz-Kataloge Schicht 3: IT-Systeme
Server:
Allgemeiner Server
Server unter Unix
Windows Server 2003
s/390 & zSeries-Mainframe
...
Clients:
Allgemeiner Client
Allg. nicht vernetztes IT-System
Client unter Unix
Laptop
Client unter Windows XP
...
Netzkomponenten:
Sicherheitsgateway (Firewall)
...
Sonstige:
Faxgerät
Anrufbeantworter
Mobiltelefon
PDA
...
Bausteine:
79<Name>
IT-Grundschutz-Kataloge Schicht 4: Netze
Bausteine:
Heterogene Netze
Netz- und Systemmanagement
Modem
Remote Access
LAN-Anbindung über ISDN
WLAN
VoIP
80<Name>
IT-Grundschutz-Kataloge Schicht 5: Anwendungen
Datenträgeraustausch
Lotus Notes
Faxserver
Datenbanken
Novell eDirectory
SAP
Webserver
Internet Information Server
Apache Webserver
Exchange/ Outlook 2000
Telearbeit
Peer-to-Peer-Dienste
Bausteine:
81<Name>
IT-Grundschutz-Kataloge Lebenszyklus der IT-Grundschutz-Bausteine
82<Name>
IT-Grundschutz-KatalogeAufbau aller IT-Grundschutz-Bausteine
Phase 1: Planung und Konzeption Phase 2: Beschaffung Phase 3: Umsetzung Phase 4: Betrieb Phase 5: Aussonderung/Stillegung Phase 6: Notfall-Vorsorge
Konformer Aufbau jedes IT-Grundschutz-Bausteins
83<Name>
Gefährdungs-Kataloge G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen
Beispiel: G 4.1 Ausfall der Stromversorgung
IT-Grundschutz-Kataloge Gefährdungs-Kataloge
84<Name>
IT-Grundschutz-Kataloge Typische Maßnahmen I
M1: Infrastruktur Schutz vor Einbrechern Brandschutzmaßnahmen Energieversorgung
M2: Organisation Zuständigkeiten Dokumentationen Arbeitsanweisungen
M3: Personal Vertretungsregelungen Schulung Maßnahmen beim Ausscheiden von Mitarbeitern
85<Name>
IT-Grundschutz-Kataloge Typische Maßnahmen II
M4: Hardware/Software Passwortgebrauch Protokollierung Vergabe von Berechtigungen
M5: Kommunikation Konfiguration Datenübertragung E-Mail, SSL, Firewall
M6: Notfallvorsorge Notfallpläne Datensicherung Vorsorgemaßnahmen (z. B. redundante Systemauslegung)
86<Name>
Kreuztabellen: Gefährdungen vs. Maßnahmen Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz
IT-Grundschutz-Kataloge Gefährdungen vs. Maßnahmen
G 1. 15
G 2. 1
G 2. 4
G 2. 47
G 2. 48
G 3. 3
G 3. 43
G 3. 44
G 5. 1
G 5. 2
G 5. 4
G 5. 71
M 1.15 A X X
M 1.23 A X X
M 1.45 A X X X X X
M 1.46 Z X
M 1.61 A X X X X X
87<Name>
IT-Grundschutz-KatalogeZusammenfassung
Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz besteht aus insgesamt ca. 3.600 Seiten...
Baustein-Kataloge (ca. 70 Bausteine) Gefährdungs-Kataloge (ca. 420 Gefährdungen) Maßnahmen-Kataloge (ca. 1.040 Maßnahmen)
Inhalte haben Empfehlungscharakter und sind keine "Gesetze" keine Garantie auf Vollständigkeit
IT-Grundschutz-Maßnahmen müssen individuell angepasst und angewandt werden
Stand 2006
88<Name>
IT-Grundschutz-Vorgehensweise
89<Name>
IT-Sicherheitskonzept
90<Name>
Der IT-VerbundDefinition
Unter einem IT-Verbund ist die Gesamtheit von
infrastrukturellen, organisatorischen, personellen und technischen Komponenten
zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwen-dungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.
91<Name>
IT-Sicherheitskonzepts Erstellung und Realisierung
92<Name>
IT-Strukturanalyse
Teilaufgaben Erstellung bzw. Aktualisierung eines Netzplans
(grafische Übersicht) Komplexitätsreduktion durch Gruppenbildung
Erhebung der IT-Systeme (Tabelle) Erfassung der IT-Anwendungen und der zugehörigen
Informationen (Tabelle)
93<Name>
IT-StrukturanalyseKomplexitätsreduktion im Netzplan
Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden.
Voraussetzungen: gleicher Typ gleiche oder nahezu gleiche Konfiguration gleiche oder nahezu gleiche Netzanbindung
(z. B. Anschluss am gleichen Switch) gleiche Rahmenbedingungen
(Administration und Infrastruktur) gleiche Anwendungen
94<Name>
IT-StrukturanalyseBeispiel: Gruppenbildung
N3: Switch
N5: Router Stand-leitung
N6: Router
N7: Switch
S5:Kom m unikations-
Server(Unix)
S3: Exchange-Server
(W indows NT)
S4: File-Server
(Novell Netware)
S2: Prim ärerDom änen-Controller
(W indows NT)
S1: Server fürPersonalverwaltung
(W indows NT)
C1: 5 C lient-Com puter
fürPersonalverwaltung
(W indows NT)
C2: 10 Client-Com puter
für Verwaltung(W indows NT)
N4: Switch
Internet
N1: Router
N2: Firewall
S6: BackupDom änen-Controller
(W indows NT)
C4: 40 Client-Com puter(W indows NT)
L iegenschaft B onn L iegenschaft B erlin
IP IP
C3: 75 Client-Com puter
für Fachabteilungen(W indows NT)
95<Name>
IT-StrukturanalyseErhebung der IT-Systeme
IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten Netzdrucker TK-Anlagen etc.
Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind,
zu berücksichtigen.
96<Name>
IT-StrukturanalyseDarstellung der IT-Systeme
Nr. Beschreibung Plattform Anz. Standort Status Anwender/Admin.
S1 Server fürPersonal-verwaltung
Windows NTServer
1 Bonn,R 1.01
inBetrieb
Personal-referat
S2 PrimärerDomänen-Controller
Windows NTServer
1 Bonn,R 3.10
inBetrieb
alleIT-Anwender
C6 Gruppe derLaptops für denStandort Berlin
Laptop unterWindows 95
2 Berlin,R 2.01
inBetrieb
alleIT-Anwenderin Berlin
N1 Router zumInternet-Zugang
Router 1 Bonn,R 3.09
inBetrieb
alleIT-Anwender
T1 TK-Anlage fürBonn
ISDN-TK-Anlage
1 Bonn,B.02
inBetrieb
alle Mitarb.in Bonn
notwendige Informationen
97<Name>
IT-StrukturanalyseErfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den
höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den
höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen,
die die kürzeste tolerierbare Ausfallzeit(höchster Bedarf an Verfügbarkeit) haben,
müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.
98<Name>
IT-StrukturanalyseBeispiel: Liste der IT-Anwendungen
Beschreibung der IT-Anwendungen IT-Systeme
Anw.-Nr.
IT-Anwendung/Informationen
Pers.-bez.
Daten
S1 S2 S3 S4 S5 S6 S7
A1 Personaldaten-verarbeitung
X X
A4 Benutzer-Authentisierung
X X X
A5 Systemmanagement X
A7 zentraleDokumentenverwaltung
X
Auszug aus der Liste der IT-Anwendungen
99<Name>
Schutzbedarfsfeststellung
Teilaufgaben Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für
IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume
anhand von typischen Schadensszenarien
Dokumentation der Ergebnisse
100<Name>
Schutzbedarfskategorie
normal Die Schadensauswirkungen sind begrenzt und überschaubar.
hoch Die Schadensauswirkungen können beträchtlich sein.
sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
Schutzbedarf ist meist nicht quantifizierbar. Beschränkung auf drei Kategorien
Schutzbedarfsfeststellung
101<Name>
Schutzbedarfsfeststellung
Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn... ?")
Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen
Individualisierung der Zuordnungstabelle!
102<Name>
SchutzbedarfsfeststellungBeispiel: IT-Anwendungen
IT-Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung pers.
Daten Grund-wert
Schutz-bedarf
Begründung
A1 Personaldaten-verarbeitung
Vertr. hoch schutzbedürft., personenbez.
Daten, Gehaltsinformationen
Integr. normal Fehler werden rasch erkannt und korrigiert.
Verf. normal Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden.
A2 Beihilfeab-wicklung
Vertr. hoch schutzbedürft., personenbez.
Daten, z.T. Hinweise auf Erkrankungen etc.
Integr. normal Fehler werden rasch erkannt und korrigiert.
Verf. normal Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden.
103<Name>
SchutzbedarfsfeststellungIT-Systeme
MaximumprinzipAuf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems.
KumulationseffektDurch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT-Systems erhöht sich dann entsprechend.
Verteilungseffekt Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein
IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen.
Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.
104<Name>
SchutzbedarfsfeststellungBeispiel: IT-Systeme
IT-System Schutzbedarfsfeststellung
Nr. Bezeichnung Grund-wert
Schutz-bedarf
Begründung
S1 Server für Personalverw.
Vertr. hoch Maximumprinzip
Integr. normal Maximumprinzip
Verf. normal Maximumprinzip
S2 Primärer Domänen-Controller
Vertr. normal Maximumprinzip
Integr. hoch Maximumprinzip
Verf. normal Verteilungseffekt: Eigentlich hoher SB wg. Anw. A4, aber hier laufen nur unwesentl. Teile der Anw.
105<Name>
SchutzbedarfsfeststellungKommunikationsverbindungen
Folgende Kommunikationsverbindungen sind kritisch: Außenverbindungen (1) Übertragung von hochschutzbedürftigen Informationen
Schutzbedarf resultiert aus Vertraulichkeit (2) Schutzbedarf resultiert aus Integrität (3) Schutzbedarf resultiert aus Verfügbarkeit (4)
Hochschutzbedürftige Informationen dürfen auf keinen Fall übertragen werden. (5)
Verbindungen im Netzplan grafisch hervorheben tabellarische Dokumentation
106<Name>
SchutzbedarfsfeststellungBeispiel: IT-Räume
107<Name>
Modellierung nach IT-Grundschutz
Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge
108<Name>
Basis-Sicherheitscheck
Switch
Router Stand-leitung
Router
Switch
Kommunikations- Server
(Unix)Exchange-Server(Windows NT)
File-Server(NovellNetware)
PrimärerDomänen-Controller(Windows NT)
Server fürPersonalverwaltung (Windows NT)
15 Client-Computer(Windows NT)
75 Client-Computer(Windows NT)
Switch
Internet
Router
Firewall
BackupDomänen-Controller(Windows NT)
40 Client-Computer(Windows NT)Liegenschaft
BonnLiegenschaftBerlin
IP IP
IT-Grundschutz-Modell
Soll-/Ist-VergleichMaßnahmen-empfehlungen
RealisierteMaßnahmen
umzusetzende Maßnahmen
109<Name>
Basis-SicherheitscheckUmsetzungsstatus
Mögliche Umsetzungsstatus einzelner Maßnahmen: "entbehrlich"
Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird.
nicht relevant, weil z. B. Dienste nicht aktiv
"ja" Alle Empfehlungen sind vollständig und wirksam
umgesetzt.
"teilweise" "nein"
110<Name>
IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-
Vergleich)
IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-
Vergleich)
Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen
Realisierung der MaßnahmenRealisierung der Maßnahmen
Ergänzende Sicherheitsbetrachtung
Management Report
Ergänzende Sicherheitsbetrachtung
Management Report
Risikoanalyse auf der Basis von IT-Grundschutz
Risikoanalyse auf der Basis von IT-Grundschutz
Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den
IT-Grundschutz-Katalogen existiert.
Ergänzende Sicherheitsanalyse
111<Name>
Konsolidierung der Maßnahmen
Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge mit den zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse
=> zu realisierende Maßnahmen
Konsolidierung der Maßnahmen
IT-Grundschutz-Analyse
höherwertigeMaßnahmen
IT-Grundschutz-Maßnahmen
Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen
Risikoanalyse
ergänzendeSicherheitsanalyse
112<Name>
Realisierung von IT-Sicherheitsmaßnahmen I
Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise
umgesetzt?
Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höher-
oder gleichwertige Maßnahmen ersetzt? Welche Maßnahmenempfehlungen müssen noch an die
individuellen Gegebenheiten angepasst werden?
Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw.
Personalkosten entstehen? Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten
Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
113<Name>
Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle Ressourcen erforderlich? Schritte 1,3,4 können entfallen
Realisierung vonIT-Sicherheitsmaßnahmen II
Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt
werden? Breitenwirkung beachten!
Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um?
Schritt 6: Realisierungsbegleitende Maßnahmen Schulung der Mitarbeiter Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz
der IT-Sicherheitsmaßnahmen
114<Name>
IT-Grundschutz bedeutet...
Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf
Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge
Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten
115<Name>
ISO/IEC 27001 auf einen Blick
ISO/IEC 27001:2005 “Information Security Management Systems – Requirements“
spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS)
ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe
kann als Grundlage für Vertragsbeziehungen zwischen Organisationen benutzt werden
erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001)
116<Name>
ISO/IEC 27002 auf einen Blick
ISO/IEC 27002 (bisher ISO/IEC 17799:2005) “Code of practice for information security management“
ist ein Leitfaden (keine Spezifikation und kein Zertifizierungsstandard)
Ergänzung zur ISO 27001 Detaillierung der normativen Anlage A der ISO 27001) dient zum besseren Verständnis der in der ISO 27001 definierten
Anforderungen (insbesondere aus Anhang A) Basis zur Entwicklung von organisationseigenen Verfahren und
Regelungen
117<Name>
BSI-Zertifizierung
Unterstützt durch• akkreditierte Prüfstellen• internationale Komitees für
- Kriterienentwicklung und
-Harmonisierung
- gegenseitige Anerkennung
Kunde, Nutzer,
Anwender
Produktzertifikat
bestätigt produktspezifische Sicherheitsfunktionalität und -qualität
IT-Grundschutz-Zertifikat
Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung.
bestätigt funktionierendes und effektives IT-Sicherheitsmanagement
IT-
Gru
nd
sch
utz
Bundesamt für Sicherheit in der Informationstechnik
Pro
du
kt
BSI-Zertifikat
Unterstützt durch• lizenzierte Auditoren• internationale Komitees für
- Kriterien-Entwicklung und
-Harmonisierung
- gegenseitige Anerkennung
118<Name>
ISO 27001 Zertifizierung auf Basis von IT-Grundschutz
IT-Grundschutz
ISO 27001
119<Name>
Zertifizierungsablauf
beauftragt Prüfung derUmsetzung von IT-Grundschutz
prüft IT-Verbunderstellt Prüfbericht
Antragsteller
Zertifizierungsstelle
gibt Prüfberichtan BSI
überprüft / lizenziert Auditorprüft Prüfbericht
vergibt / veröffentlicht Zertifikat
ISO-27001 Auditor auf Basis von IT-Grundschutz
120<Name>
ISO 27001 Zertifizierung Phasen der Zertifizirung
Initialisierung•Zertifizierungs-Antrag•Befugnis für die Durchführung eines Audits•Ggf. Abstimmung des IT-Verbundes
Initialisierung•Zertifizierungs-Antrag•Befugnis für die Durchführung eines Audits•Ggf. Abstimmung des IT-Verbundes
Bewertung des Audits• Erstellung des Auditreports• Nachprüfung
Bewertung des Audits• Erstellung des Auditreports• Nachprüfung
Durchführung des Audits• Prüfung der Dokumentation• Vorbereitung des Audit-Tätigkeiten vor Ort• Durchführung der Audit-Tätigkeiten vor Ort
Durchführung des Audits• Prüfung der Dokumentation• Vorbereitung des Audit-Tätigkeiten vor Ort• Durchführung der Audit-Tätigkeiten vor Ort
Re-Zertifizierungs-Audit
Re-Zertifizierungs-Audit
121<Name>
ISO 27001 Zertifizierung Stufenkonzept
Auditor-Testat„Einstiegsstufe“
ISO 27001-Zertifikat nach IT-Grundschutz
Auditor-Testat „Aufbaustufe“
Sicherheit
Ve
rtra
ue
nsw
ürd
igke
it
B
C
A
122<Name>
Umsetzung der Maßnahmen zur Qualifizierung nach IT-Grundschutz
ISO 27001-Zertifizirung Siegelstufen
A (Einstieg) Diese Maßnahmen müssen für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Auditortestat Einstiegsstufe, Auditortestat Aufbaustufe und ISO 27001-Zertifikat auf der Basis von IT-Grundschutz) umgesetzt sein. Diese Maßnahmen sind essentiell für die Sicherheit innerhalb des betrachteten Bausteins. Sie sind vorrangig umzusetzen.
B (Aufbau) Diese Maßnahmen müssen für das Auditortestat Aufbaustufe und für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz umgesetzt sein. Sie sind besonders wichtig für den Aufbau einer kontrollierbaren IT-Sicherheit. Eine zügige Realisierung ist anzustreben.
C (Zertifikat) Diese Maßnahmen müssen für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz umgesetzt sein. Sie sind wichtig für die Abrundung der IT-Sicherheit. Bei Engpässen können sie zeitlich nachrangig umgesetzt werden.
Z (zusätzlich) Diese Maßnahmen müssen weder für eine Auditor-Testat noch für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz verbindlich umgesetzt werden. Sie stellen Ergänzungen dar, die vor allem bei höheren Sicherheitsanforderungen erforderlich sein können.
123<Name>
Kategorisierung der Maßnahmen für die Grundschutz-Qualifizierung
Das Auditor-Testat "Einstiegsstufe" (Maßnahmen der Stufe A)
Das Auditor-Testat "Aufbaustufe" (Maßnahmen der Stufe A und B)
ISO 27001 Zertifikat auf der Basis von IT-Grundschutz (Maßnahmen der Stufe A, B und Csowie Maßnahmen aus Risikoanalyse)
ISO 2701 Zertifizierung Siegelstufen
124<Name>
ISO 27001 Zertifizierungund Auditor-Testate
45 € 45 € 2500 €
IT-Grundschutz-Auditor
ISO 27001 Auditor
ISO 27001 Zertifikat
Auditor-Testat„Aufbaustufe“
Auditor-Testat„Einstiegsstufe“
IT-Grundschutz-Auditor
125<Name>
ISO 27001 Zertifikate auf der Basis von IT-Grundschutz
Die BSI-Zertifizierung umfaßt sowohl eine Prüfung des ISMS als auch der konkreten
IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001 zertifiziert zugleich nach deutschen und
nach internationalen Standards ist aufgrund der zusätzlich geprüften technischen Aspekte
wesentlich aussagekräftiger als eine reine ISO-Zertifizierung Seit Anfang 2006
„ISO 27001-Zertifikate auf der Basis von IT-Grundschutz“ (Realisierung einer nationale Ausprägung der ISO 27001)
126<Name>
Warum Zertifizierung?
Optimierung interner Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen
IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit
hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit
IT-Sicherheitszielen und sind stolz auf das Erreichte
127<Name>
Erfahrungen mit der Zertifizierung
Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie auch für großen Rechenzentren geeignet!
Umsetzung IT-Grundschutz: 6 - 12 Monate Aufwand des Auditors: 15 - 30 Tage
Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung
durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung
128<Name>
Veröffentlichung der ISO 27001-Zertifikate auf Basis von IT-Grundschutz
Veröffentlichung
Internet unter www.bsi.bund.de
KES
diverse Publikationen
usw.
129<Name>
LizenzierungISO 27001-Auditor
Das BSI lizenziert den Auditor Für das Lizenzierungsverfahren wird vom BSI eine
Pauschalgebühr erhoben Eine Lizenz als Auditor ist 5 Jahre gültig. Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen Eine Verlängerung der Gültigkeit ist durch eine neue
Antragstellung möglich
zum Download von der Webseite:www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm
130<Name>
Voraussetzungen für die Lizenzierung
Zeugnis über Berufsabschluss
5-jährige Berufserfahrung im Bereich Informationstechnik
2-jährige IT-Sicherheitserfahrung
4 Audits von zusammen mindestens 20 Personentagen
5-tägige Schulungsveranstaltung von insgesamt 40 Stunden
Abschlußprüfung
Der Lizenzierungsvertrag zwischen BSI und Auditor ist unterzeichnet
(Personenlizenz)
131<Name>
Dienstleistungen und Produkte rund um den IT-Grundschutz
Webkurs zum Selbststudium
ISO 27001-Zertifikat
LeitfadenIT-Sicherheit
Software:„GSTOOL“
-
°
+
Sicherheitsbedarf,Anspruch
Beispiele:„GS-Profile“
Hilfsmittel & Musterrichtlinien
BSI Standard 100-1: ISMS
BSI Standard 100-2: IT-Grundschutz-Vorgehensweise
BSI Standard 100-3: Risikoanalyse
IT-Grundschutz-Kataloge
132<Name>
Dienstleistungen und Produkte rund um den IT-Grundschutz
CE
RT
Vire
n
Inte
rnet
Zer
ti-fiz
ieru
ng
kriti
sche
In
fras
truk
-tu
ren
E-G
over
n-m
ent
Kry
pto-
grap
hie
Bio
met
rie
Mob
ilfun
k
Webkurs zum Selbststudium
ISO 27001-Zertifikat
LeitfadenIT-Sicherheit
Software:"GSTOOL"
-
°
+
Sicherheitsbedarf,Anspruch
...
Beispiele:"GS-Profile"
Hilfsmittel & Musterrichtlinien
133<Name>
Leitfaden IT-Sicherheit
Hilfsmittel
134<Name>
Leitfaden IT-Sicherheit
Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden
Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf wenigen Seiten
Darstellung: nachvollziehbar, nah an der Realität
Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details
Kein "IT-Grundschutz light" Kurzüberblick über IT-Grundschutz und
Motivation zur vertieften Beschäftigung mit IT-Sicherheit
Sensibilisierensbeispielezum Download von der Webseite:www.bsi.bund.de/gshb/leitfaden/index.htm
135<Name>
Webkurs IT-Grundschutz
Hilfsmittel
136<Name>
Webkurs 2006 aktualisiert
Schneller Einstieg
(Ersatz für 1- bis 2-tägige Schulung)
Zielgruppe: IT-Sicherheitsbeauftragte,
IT- Mitarbeiter
Lernmodule mit Anleitungen, Beispielen, Übungen und Tests
Demonstration der Vorgehensweise anhand eines fiktiven
Unternehmens
Webkurs IT-Grundschutz
zum Download von der Webseite:www.bsi.bund.de/gshb/webkurs/index.htm
137<Name>
2 Lernzweige
Gliederung des Webkurs IT-Grundschutz
Für Anfänger im IT-Grundschutz(Webkurs)
Für Anwender die bereits vor 2005 mit dem IT-Grundschutz gearbeitet haben(Umsteigerkurs)
138<Name>
Musterrichtlinien & Beispielkonzepte
Hilfsmittel
139<Name>
Musterrichtlinien & BeispielkonzepteÜbersicht über das Angebot
IT-Sicherheitsleitlinie
Sicherheitsrichtlinie zur IT-Nutzung
Internetnutzung und E-Mail
Outsourcing
Datensicherung NotfallvorsorgeVirenschutz
Archivierung
Hinweise für Administratoren
Hinweise fürIT-Benutzer
Strategie
übergreifende Anweisungen
Richtlinien für einzelne Aspekte
Zusammenf. für Zielgruppen
zum Download von der Webseite:www.bsi.bund.de/gshb/deutsch/hilfmi/musterrichtlinien/
140<Name>
MusterrichtlinienIT-Sicherheitsleitlinie
Inhalt:
Stellenwert der IT Sicherheit
Bedeutung der IT für die Aufgabenerfüllung
Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation
Sicherheitsziele und Sicherheitsstrategie
Beschreibung der Organisationsstruktur für die Umsetzung des IT-
Sicherheitsprozesses
Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene
durchgesetzt wird:
Sicherheit ist Chefsache
141<Name>
MusterrichtlinienSicherheitsrichtlinie zur IT-Nutzung
Umgang mit schützenswerten Informationen (Informationseigentümer,
Klassifizierung von Informationen nach Schutzbedürftigkeit)
relevante Gesetze und Vorgaben
Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter,
Administrator, IT-Benutzer)
Ausbildung des Personals
Pflicht zur Einrichtung von Vertretungsregelungen
Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung,
Revision und Entsorgung)
grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu IT-
Systemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge)
Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)
142<Name>
BeispielkonzepteDatensicherungskonzept
Wo werden die Daten gespeichert? Welche Daten werden gesichert? Wer ist für die Datensicherungen zuständig? Wie wird gesichert? (Technik, Sicherungsmedien, Intervalle), Wie lange werden Datensicherungen aufbewahrt? Wie wird mit Notebooks verfahren, die nicht ständig am Netz
angeschlossen sind? Wie wird überprüft, ob die Datensicherungen tatsächlich zuverlässig
funktioniert haben? Wie können die Daten im Schadensfall rekonstruiert werden?
143<Name>
IT-Grundschutz-Profile
Hilfsmittel
144<Name>
IT-Grundschutz-Profile Überblick
3 Beispiele: kleine, mittlere, große Institution
IT-Grundschutz-Profile: Beispiele für die Anwendung der
Vorgehensweise nach IT-Grundschutz
Veröffentlicht seit November 2004
zum Download von der Webseite:www.bsi.bund.de/gshb/deutsch/hilfmi/beispielprofile/
145<Name>
AnwendungsbeispieleIT-Grundschutz-Profile
Beispiele zur Anwendung des IT-Grundschutzes für Institutionen
verschiedener Größe:
klein: (z. B. kleine Behörde, Anwaltskanzlei): 3 Clients, 1 Server
mittel: (z. B. Bankfiliale, KMU): 20 Clients, 4 Server
groß: (z. B. Rechenzentrum): 100 Server
Planung, Umsetzung, Pflege des IT-Sicherheitskonzeptes
IT-Sicherheitsprozess und Herangehensweise speziell auf die
jeweiligen Anwendergruppen angepasst
Umsetzung des mittleren und großen Profils im GSTOOL
146<Name>
Beispielprofil für eine mittlere Institution (1)
Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution Repräsentation eines Unternehmens mit mehreren Servern und
wenig IT-Grundschutz Erfahrung Ausführliche Erläuterung der Anwendung des IT-Grundschutzes Beispielhafte Anwendung des GSTOOL
147<Name>
Beispielprofil für eine mittlere Institution (2)
Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor)
Stabstelle für QM und IT-Sicherheit
Größe des IT-Verbundes: ca. 20 Clients und 4 Server
Anbindung an das Internet über DSL
Existenz interner Teilnetze
IT-Anwendungen/Systeme eines Projektteams haben erhöhten
Schutzbedarf und werden gesondert gruppiert
148<Name>
Beispielprofil für eine mittlere Institution (3)
Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen
Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung
Phase 1
Phase 2
Phase 3 Phase 4 Phase 5 Phase 6 Phase 7Phase 1
Phase 2
Phase 3 Phase 4 Phase 5 Phase 6 Phase 7
149<Name>
Beispielprofilfür eine mittlere Institution (4)
Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz-
Vorgehensweise
Hervorhebung der Schritte, die
durch das GSTOOL unterstützt werden
die bei einer nicht tool-gestützten Vorgehensweise zu beachten
sind
Anwendung des GSTOOL,
dargestellt durch Screenshots
150<Name>
Weitere Hilfsmittel
Formblätter, Maßnahmenlisten etc.
Kreuzreferenztabellen (Zuordnung von Maßnahmen zu
Gefährdungen)
Technische Zusatzinformationen zu Bausteinen
Dokumentationen und Studien
ITIL und Informationssicherheit
Zuordnungstabelle ISO 27001 / ISO 17799 und IT-Grundschutz
Muster und Beispiele von IT-Grundschutz-Anwendern
zum Download von der Webseite:www.bsi.bund.de/gshb/deutsch/hilfmi/hilfmi/index.htm
151<Name>
GSTOOL
Hilfsmittel
zum Download von der Webseite:www.bsi.bund.de/gstool/index.htm
152<Name>
GSTOOLBSI Tool IT-Grundschutz
153<Name>
Das GSTOOL ist eine Software zur Unterstützung
bei der Anwendung des IT-Grundschutzes
GSTOOLÜberblick
Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung
GSTOOL-Hotline: 0228 99 / 9582 - 5299
154<Name>
Netzwerkfähigkeit(SQL-Datenbank: MSDE2000 oder SQL-Server 2000)
Verwaltung mehrerer Sicherheitskonzepte in einem Tool Zweisprachigkeit: deutsch/englisch Historienführung einfaches Update der Datenbasis per Internet Export von Teilarbeitsbereichen zur Bearbeitung in
anderem GSTOOL Importfunktion für Datenbestände aus älteren Versionen Verschlüsselung von Exportdaten
GSTOOLLeistungsmerkmale (technisch)
155<Name>
GSTOOLBenutzeroberfläche
Baumdarstellung
Bearbeitungsmaske
Status-Leiste
Navigation
Toolbar
156<Name>
Anzahl der Gesamtpreis Update-PreisLizenzen GSTOOL 4.0 3.1 nach 4.0
1 998,38 € 110,98 €2 1.996,75 € 221,95 €3 2.845,38 € 316,29 €
4 oder 5 4.487,71 € 498,84 €6 bis 10 8.356,42 € 928,88 €
11 bis 20 15.275,17 € 1.697,95 €21 bis 40 26.117,55 € 2.903,16 €
Firmenlizenz auf Anfrage auf Anfrage
GSTOOLPreise
Deutsche Hochschulen erhalten beim Einsatz zu Lehrzwecken einen Nachlass i.H.v. 50%. Der Bezug ist für die unmittelbare deutsche öffentliche Verwaltung kostenfrei. Fragen, Wünsche, Anregungen zum Vertrieb: per E-Mail: [email protected]
telefonisch: 01805 / 274 100
Preise inkl. MwSt
157<Name>
GSTOOLHilfsmittel
GSTOOL-Handbuch
jede Funktion wird erklärt
319 Seiten
wird fortlaufend aktualisiert
Webkurs GSTOOL seit Oktober 2005
GSTOOL-Hotline 0228 99 / 9582 - 5299 [email protected]
zum Download von der Webseite:www.bsi.bund.de/gstool/handbuch/index.htm
158<Name>
Webkurs zum GSTOOL
Hilfsmittel
zum Download von der Webseite:www.bsi.bund.de/gstool/wbtgstool/index.htm
159<Name>
Der Webkurs GSTOOL
E-Learning-Kurs zur Einführung in Anwendung und
Administration des Tools (Grundlage: Version 4.0)
Ergänzung zu konventionellen Schulungen Handbuch Hotline FAQ
Anwender
(ersten Überblick)
Administratoren
(speziellen Leistungsmerkmalen)
Zielgruppen
160<Name>
Gliederung desWebkurses zum GSTOOL
Benutzer Aufnahme von Komponenten Erstellung von Verknüpfungen Festlegung des Schutzbedarfs Dokumentation des
IST-Zustandes
Administrators Einrichtung des GSTOOLs Verwaltung von
Zugriffsrechten Konfiguration der Datenbank Datenaustausch
161<Name>
IT-Grundschutz-Informationen
IT-Grundschutz HotlineTelefon: 0228 99 / 9582 - 5369E-Mail: [email protected]
GSTOOL HotlineTelefon: 0228 99 / 9582 - 5299E-Mail: [email protected]
http://www.bsi.bund.de/gshb
162<Name>
Fragen und Diskussion
?
?
?
?
?
?
?
163<Name>
Kontakt
Bundesamt für Sicherheit in der Informationstechnik (BSI)
<Name>Godesberger Allee 185-189
53175 Bonn
<Name>@bsi.bund.deTel: +49 (0)228 99-9582-<Nr.>
Fax: +49 (0)228 99-9582-10-<Nr.>
www.bsi.bund.dewww.bsi-fuer-buerger.de
IT-Grundschutz Hotline: [email protected]: +49 (0)228 99-9582-5369