einführung in die vorgehensweise nach it-grundschutz

Einführung in die Vorgehensweise nach

IT-Grundschutz

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Musterfolien für Schulungen zur

2<Name>

Hinweis

Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT-Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.

3<Name>

Überblick

Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke

BSI-Sicherheitsstandards IT-Grundschutz-Kataloge

IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Hilfsmittel rund um denIT-Grundschutz

4<Name>

IT-Sicherheit ist ...gefährdet

Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ... Organisatorische Mängel: Fehlende oder unklare

Regelungen, fehlende Konzepte, ... Menschliche Fehlhandlungen: "Die größte

Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash, ... Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...

5<Name>

Bedrohungen in der PraxisBeispiele

Irrtum und Nachlässigkeit Malware Internetdienste (WWW, E-Mail,…) Hacking und Cracking Wirtschaftsspionage Diebstahl von IT-Einrichtungen ...

6<Name>

KES-Studie 2006Bedeutung der Gefahrenbereiche

7<Name>

Unzureichende Software-TestsBeispiel: British Airways

Informationweek, April 2001Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten.Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

8<Name>

Informationen… … sind Werte, die (wie auch die übrigen Geschäftswerte)

wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen.

… sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden.

Quelle: ISO/IEC 17799:2005, Einleitung

Schutz von Informationen

9<Name>

Nachgewiesene IT-Sicherheit lohnt sich ...

Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb

mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und

Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich

mit IT-Sicherheitszielen und sind stolz auf das Erreichte Versicherungen honorieren zunehmend IT-Sicherheit

10<Name>

Typische Probleme in der Praxis

Resignation, Fatalismus und Verdrängung Kommunikationsprobleme Sicherheit wird als technisches Problem mit technischen

Lösungen gesehen Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten unsystematisches Vorgehen bzw. falsche Methodik Management: fehlendes Interesse, schlechtes Vorbild Sicherheitskonzepte richten sich an Experten, die IT-

Benutzer werden vergessen

11<Name>

Konsequenzen fehlender Regelungen... oder: Jeder tut, was er will!

Konfusion im Notfall Was ist zu tun? Wer hilft?

lückenhafte Datensicherung Notebooks, Telearbeitsplätze, lokale Datenhaltung

fehlende Klassifizierung von Informationen Verschlüsselung, Weitergabe und Austausch von Informationen

gefährliche Internetnutzung Was alle machen, kann doch nicht unsicher sein?

Disziplinlosigkeit Ignoranz und Arroganz statt geregelter Prozesse Konsequenzen bleiben aus, sind zu hart, sind willkürlich

12<Name>

Irrtum und Nachlässigkeit

Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit

Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1):

70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall

90% davon erklären dies durch einfache Anwenderfehler

1) Quelle: Broadcasters Res. International Information Security

13<Name>

KES-StudieStellenwert der Sicherheit

…beim Top-Management:

Quelle: KES 2006

14<Name>

Stellenwert der Sicherheit

„IT-Sicherheit ist Chefsache“

15<Name>

IT-Sicherheit im Spannungsfeld

Sicherheit

KostenBequemlichkeit

Häufige Situation: Sicher, Bequem, Billig

„Suchen Sie sich zwei davon aus!“

16<Name>

Methodik für IT-Sicherheit?

Viele Wege führen zur IT-Sicherheit...

Welcher Weg ist der effektivste?

17<Name>

Typische Abläufe und IT-Komponenten überall ähnlich

Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit

Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet

IT-GrundschutzDie Idee ...

18<Name>

IT-GrundschutzPrinzipien

Typische Abläufe von Geschäftsprozessen und Komponenten, bei

denen geschäftsrelevante Informationen verarbeitet werden, werden

betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch

organisatorische und personelle Aspekte, physische Infrastruktur, ...)

Typische Schadensszenarien für die Ermittlung des Schutzbedarfs

werden vorgegeben

Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen

Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit

Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden

19<Name>

Ziel des IT-Grundschutzes

IT-Grundschutz verfolgt einen ganzheitlichen Ansatz.

Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen.

An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.

20<Name>

Ziel des IT-Grundschutzes

Durch infrastrukturelle, organisatorische, personelle undtechnische

Standard-Sicherheitsmaßnahmen

ein

Standard-Sicherheitsniveau

aufbauen, das auch für sensiblereBereiche

ausbaufähig

ist.

21<Name>

Infra

stru

ktur Technik

Perso

nalOrganisation

Verschiedene Facetten von IT-Grundschutz

Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein „Information Security Management System“)

Sammlung von Standard-Sicherheitsmaßnahmen

ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-

Sicherheit

22<Name>

IT-Grundschutz - Vorteile

arbeitsökonomische Anwendungsweise durchSoll-Ist-Vergleich

kompakte IT-Sicherheitskonzepte durchVerweis auf Referenzquelle

praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit

Erweiterbarkeit und Aktualisierbarkeit

23<Name>

Empfehlungen für IT-Grundschutz

Der Bundesbeauftragte für den Datenschutz Bundesregierung

(zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung)

Die Rechnungshöfe des Bundes und der Länder Landesverwaltung Rheinland-Pfalz

für Behörden, Gerichte und sonstige Stellen der Landesverwaltung Rheinischer Sparkassen- und Giroverband, Prüfungsstelle Deutsche Genossenschafts-Revision Wirtschaftsprüfungs-gesellschaft

GmbH

über 3.000 registrierte Anwender weltweit über 10.000 Lizenzen für das GSTOOL

24<Name>

Erreichbares SicherheitsniveauS

ich

erh

eits

niv

eau

Sicherheitsaspekte

normalerSchutzbedarf

25<Name>

Erreichbares Sicherheitsniveau

für die Schutzbedarfskategorie "normal" im Allgemeinen ausreichend und angemessen

für die Schutzbedarfskategorie "hoch" und "sehr hoch" Basisschutz und Ausgangsbasis zusätzliche Sicherheitsmaßnahmen sollten durch

ergänzende Sicherheitsanalyse ermittelt werden(BSI-Standard 100-3)

Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind

26<Name>

IT-GrundschutzHistorie

IT-Grundschutzhandbuch 1995

18 Bausteine

200 Maßnahmen

150 Seiten

IT-Grundschutzhandbuch 2004

58 Bausteine

720 Maßnahmen

2550 Seiten

27<Name>

IT-GrundschutzAktuell

seit 2005

+BSI-Standards Loseblattsammlung

28<Name>

BSI-Sicherheitsstandards

BSI-Standard 100-1:Managementsysteme für Informationssicherheit

BSI-Standard 100-2:Vorgehensweise nach

IT-Grundschutz

BSI-Standard 100-3:Risikoanalyse auf der

Basis von IT-Grundschutz

BSI-Standard 100-4:Notfallmanagement

sowie Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz –Prüfschema für Auditoren-

29<Name>

BSI-Standards zur IT-Sicherheit

- Bereich IT-Sicherheitsmanagement -

BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit

BSI Standard 100-2:IT-Grundschutz-Vorgehensweise

BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz

IT-Grundschutz-Kataloge

Kapitel 1: Einleitung

Kapitel 2: Schichtenmodell und Modellierung

Kapitel 3: Glossar

Kapitel 4: Rollen

• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"

• Gefährdungskataloge

• Maßnahmenkataloge

BSI-Standard 100-1- BSI-Standard zur IT Sicherheit -

BSI Standard 100-4:Notfallmanagement

30<Name>

BSI-Standard 100-1 ISMS

Zielgruppe: Management Allgemeine Anforderungen

an ein ISMS Kompatibel mit ISO 27001 Empfehlungen aus

ISO 13335 und 17799 Didaktische Aufbereitung

ISMS: Managementsysteme für Informationssicherheit

Ressourcen

Strategie

Mitarbeiter

Management-Prinzipien

ISMS

ISMS = Information - Security - Management - System

31<Name>

Komponenten: Management-Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess

IT-Sicherheitsleitlinie(einschl. IT-Sicherheitsziele und -strategie)

IT-Sicherheitskonzept IT-Sicherheitsorganisation

BSI-Standard 100-1Komponenten eines ISMS

32<Name>

BSI-Standard 100-1Inhalte

1. Einleitung

2. Einführung in Informationssicherheit

3. ISMS-Definition und Prozessbeschreibung

4. Management-Prinzipien

5. Ressourcen für IT-Betrieb und IT-Sicherheit

6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess

7. Der IT-Sicherheitsprozess

8. IT-Sicherheitskonzept

9. Das ISMS des BSI: IT-Grundschutz

33<Name>

BSI-Standard 100-1Managementsystem

34<Name>

Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele,

Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse, ...)

IT-Sicherheitsstrategie

BSI-Standard 100-1IT-Sicherheitsstrategie

• Sicherheitsziele• Umsetzung der Strategie durch Sicherheitsorganisation

und IT-Sicherheitskonzept• Dokumentation der Strategie in der IT-Sicherheitsleitlinie• Regelmäßige Überprüfung und Verbesserung!

35<Name>

BSI-Standard 100-1IT-Sicherheitsstrategie

IT-Sicherheitsstrategie als zentrale Komponente des ISMS:

• IT-Sicherheitskonzept

• IT-Sicherheitsorganisation

Hilfsmittel zur Umsetzung:

IT-Sicherheitsleitlinie(englisch: security policy)

Dokumentation, Bekenntnis

IT-Sicherheitsstrategie

Ziele Rahmenbedingungen

36<Name>

Sicherheit unterliegt einer kontinuierlichen Dynamik(z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt)

Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern!

IT-Systemeinführung planen IT-Sicherheitsmaßnahmen definieren und umsetzen. Erfolgskontrolle regelmäßig durchführen Schwachpunkte oder Verbesserungsmöglichkeiten finden Maßnahmen verbessern (Änderungen planen und umsetzen) IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen

BSI-Standard 100-1Prozessbeschreibung

37<Name>

BSI-Standard 100-1Lebenszyklus

38<Name>

BSI-Standard 100-1Komponenten eines ISMS

Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT-Sicherheitskonzeptes und einer IT-Sicherheitsorganisation

StrukturenProzesse,Abläufe

Regeln,Anwei-sungen

Maß-nahmen

Beschrei-bung der

IT-Struktur

Risiko-bewer-

tung

Hilfsmittel zur UmsetzungIT-Sicherheitsstrategie

IT-Sicherheitsorganisation IT-Sicherheitskonzept

39<Name>

Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards 27001und 13335 ist

generisch als Rahmenvorgaben zu verstehen

Gestaltungsspielraum in der Praxis Herausforderung:

ISMS effektiv und effizient gestalten Schlüsselfrage:

Risikobewertung

BSI-Standard 100-1ISMS des BSI: IT-Grundschutz

Ressourcen

Strategie

Mitarbeiter


ISMS

40<Name>

IT-Grundschutz-Vorgehensweise: Anwendungsansatz für die Etablierung und

Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen

Vorteile der IT-Grundschutzmethode: für die meisten Anwendungsfälle geeignet Kostengünstig Praxiserprobt konkret vollständig kompatibel zu ISO 27001

BSI-Standard 100-1ISMS des BSI: IT-Grundschutz

Ressourcen

Strategie

Mitarbeiter


ISMS

41<Name>







Kapitel 1: Einleitung


Kapitel 3: Glossar

Kapitel 4: Rollen





BSI Standard 100-4:Notfallmanagement

42<Name>

BSI-Standard 100-2Wesentliche Merkmale

Aufbau und Betrieb eines IT-Sicherheitsmanagements(ISMS) in der Praxis

Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern

43<Name>

BSI-Standard 100-2Wesentliche Merkmale

Interpretation der Anforderungen aus ISO 13335, 17799 und 27001

Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen

Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung

Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen

44<Name>


Einleitung IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach

IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und

kontinuierliche Verbesserung

45<Name>

• Analyse: Geschäftsprozesse, Unternehmensziele

• IT-Sicherheitsleitlinie• IT-Sicherheitsorganisation

• Analyse: Geschäftsprozesse, Unternehmensziele

• IT-Sicherheitsleitlinie• IT-Sicherheitsorganisation

• Informationen, IT-Systeme, Anwendungen

• Schutzbedarf (Szenarien)

• Informationen, IT-Systeme, Anwendungen

• Schutzbedarf (Szenarien)

• Sicherheitsmaßnahmen• Identifikation von Sicherheits-

lücken

• Sicherheitsmaßnahmen• Identifikation von Sicherheits-

lücken

Initiative der Geschäftsführung

Analyse der Rahmen-

bedingungen

Sicherheitscheck

2

3

1

Übersicht über denIT-Sicherheitsprozess

46<Name>

Übersicht über denIT-Sicherheitsprozess

• Liste geeigneter Maßnahmen• Kosten- und Nutzenanalyse• Auswahl umzusetzender

Maßnahmen• Dokumentation des Restrisikos

• Liste geeigneter Maßnahmen• Kosten- und Nutzenanalyse• Auswahl umzusetzender

Maßnahmen• Dokumentation des Restrisikos

• Implementierung• Test• Notfallvorsorge

• Implementierung• Test• Notfallvorsorge

• Sensibilisierung• Schulung• Audit, Kontrollen, Monitoring,

Revision• Notfallvorsorge

• Sensibilisierung• Schulung• Audit, Kontrollen, Monitoring,

Revision• Notfallvorsorge

Planung von Maßnahmen

Umsetzung von

Maßnahmen

Sicherheit im laufenden

Betrieb

5

6

4

47<Name>

BSI-Standard 100-2Übersicht IT-Sicherheitsprozess

Initiierung des IT-Sicherheitsprozesses

IT-Sicherheitskonzeption (einschl. Umsetzung)

Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung

48<Name>

BSI-Standard 100-2IT-Sicherheitsorganisation

49<Name>

BSI-Standard 100-2 Verantwortung der Leitungsebene

Verantwortung der Leitungsebene: Kontinuierlichen IT-Sicherheitsprozess

etablieren, d.h. u.a. Grundlegende IT-Sicherheitsziele definieren Angemessenes IT-Sicherheitsniveau

basierend auf Geschäftszielen und Fachaufgaben festlegen

IT-Sicherheitsstrategie zur Erreichung der IT-Sicherheitsziele entwickeln

IT-Sicherheitsorganisation aufbauen Erforderliche Mittel bereitstellen Alle Mitarbeiter einbinden

50<Name>

BSI-Standard 100-2Aufgaben im IT-Sicherheitsprozess

51<Name>

BSI-Standard 100-2Einrichtung des IT-Sicherheitsmanagements

Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der

IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts,

des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaß-

nahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu

den IT-Verantwortlichen sicher etc.

52<Name>

BSI-Standard 100-2Einrichtung des IT-Sicherheitsmanagements

Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der

Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren

Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme etc.

53<Name>

BSI-Standard 100-2IT-Sicherheitsleitlinie (Policy)

Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit

Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderung, Konkurrenzsituation

Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die

Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT-Sicherheitsleitlinie von der

Leitungsebene durchgesetzt wird:

Sicherheit ist Chefsache!

54<Name>

BSI-Standard 100-2IT-Sicherheitsleitlinie

Sicherheitsleitlinie

Geltungsbereich

Sicherheitsniveau

Sicherheitsziele

Sicherheitsstrategie

55<Name>

BSI-Standard 100-2IT-Grundschutz-Vorgehensweise

56<Name>

BSI-Standard 100-2Erstellung eines IT-Sicherheitskonzeptes

Methodik für ein effektives

IT-Sicherheitsmanagement

Aufwand im IT-

Sicherheitsprozess

reduzieren‚ durch Anwendung

von Standard-

Sicherheitsmaßnahmen

Integration einer Methode zur

Risikobetrachtung, unter

anderem für hohen und sehr

hohen Schutzbedarf

57<Name>

BSI-Standard 100-2Aufrechterhaltung und Verbesserung

Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung: IT-Sicherheitsprozess regelmäßig auf

seine Effektivität und Effizienz hin überprüfen

Erfolgskontrolle und Bewertung des IT-Sicherheitsprozesses durch die Leitungsebene

Erfolgskontrolle im Rahmen interner Audits (Unabhängigkeit!)

58<Name>






IT-Grundschutz-KatalogeKapitel 1: Einleitung


Kapitel 3: Glossar

Kapitel 4: Rollen





59<Name>

BSI-Standard 100-3 Risikoanalyse

60<Name>

BSI-Standard 100-3Risikoanalyse

Als Methoden stehen zur Verfügung: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-

Grundschutz klassische Risikoanalyse Penetrationstest Differenz-Sicherheitsanalyse

RISIKENRISIKEN

61<Name>

Risikoanalyse-Ansatz

Maßnahmen derIT-Grundschutz-Kataloge

Zusätzliche Maßnahmen derErgänzende Risikoanalyse

62<Name>

(1) Für normalen Schutzbedarf, übliche Einsatzszenarien und existierende Bausteine:

qualitative Methode zur Risikoanalyse und -bewertungin der IT-Grundschutz-Vorgehensweise enthalten

beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen

(2) Für den höheren Schutzbedarf, unübliche Einsatzszenarien, unzureichende Abdeckung mit Bausteinen und durch Management festgestellten Bedarf:

vereinfachte Risikoanalyse und -bewertungnach BSI-Standard 100-3

RisikoanalyseDas zweistufige BSI-Modell

63<Name>

BSI-Standard 100-3IT-Sicherheitskonzept

64<Name>


1 Einleitung

2 Vorarbeiten

3 Erstellung der Gefährdungsübersicht

4 Ermittlung zusätzlicher Gefährdungen

5 Gefährdungsbewertung

6 Behandlung von Risiken

7 Konsolidierung des IT-Sicherheitskonzepts

8 Rückführung in den IT-Sicherheitsprozess

65<Name>

BSI-Standard 100-3Ergänzende Sicherheitsanalyse

Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher

Schutzbedarf vorliegt, zusätzlicher Analysebedarf

besteht oder für bestimmte Aspekte kein

geeigneter Baustein in den

IT-Grundschutz-Katalogen existiert.

IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-

Vergleich)


Vergleich)

Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen

Realisierung der MaßnahmenRealisierung der Maßnahmen

Ergänzende Sicherheitsbetrachtung

Management Report


Management Report

Risikoanalyse auf der Basis von IT-Grundschutz


66<Name>

BSI-Standard 100-3Risikoanalyse nach IT-Grundschutz

Erstellung derGefährdungsübersicht

Ermittlung zusätzlicherGefährdungen

Gefährdungsbewertung

Maßnahmenauswahl zurBehandlung von Risiken

Konsolidierung desIT-Sicherheitskonzepts

1

3

5

2

4

67<Name>

BSI-Standard 100-3Behandlung von Risiken

Transfer

Überwachung

68<Name>

BSI-Standard 100-3Konsolidierung des IT-Sicherheitskonzeptes

IT-Sicherheitskonzept konsolidieren

IT-Sicherheitsmaßnahmen

für jedes Zielobjekt anhand folgender Kriterien

überprüfen Eignung der IT-Sicherheitsmaßnahmen zur Abwehr der

Gefährdungen Zusammenwirken der IT-Sicherheitsmaßnahmen Benutzerfreundlichkeit der IT-Sicherheitsmaßnahmen Angemessenheit der IT-Sicherheitsmaßnahme

69<Name>

Auf

rech

terh

altu

ng

Übe

rprü

fung

Info

rmat

ions

fluss

Ze

rtifi

zier

ung

IT-Strukturanalyse

Schutzbedarfsfeststellung

Modellierung

Basis-Sicherheitscheck I

Ergänz . Sicherheitsanalyse

Basis-Sicherheitscheck II

Realisierung

Gefährdungsübersicht

Zusätzliche Gefährdungen

Gefährdungsbewertung

Behandlung von Risiken

Konsolidierung

Initiierung des IT-Sicherheitsprozesses

Standard-Sicherheit Risikoanalyse

Vorgehensweise nach IT-GrundschutzZusammenfassung

70<Name>

IT-Grundschutz-KatalogeÜbersicht

71<Name>

IT-Grundschutz-KatalogeInhalt

Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge

Gefä

hrd

un

gen

Bau

stein

e

Maßn

ah

men

++

Loseblattsammlung

72<Name>

IT-Grundschutz-KatalogeAufbau

73<Name>

IT-Grundschutz-KatalogeStruktur der Bausteine

Kapitel("Bausteine")

Kapitel("Bausteine")

Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen

Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen

Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge

Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge

74<Name>

IT-Grundschutz-KatalogeSchichtenmodell

SCHICHT V

ÜBERGREIFENDE ASPEKTE

INFRASTRUKTUR

IT-SYSTEME

NETZE

ANWENDUNGEN

SCHICHT IV

SCHICHT III

SCHICHT II

SCHICHT I

75<Name>

Betreffen den gesamten IT-Verbund

Bausteine: Incident Handling

Hard- und Software-Management

Standardsoftware

Outsourcing

Archivierung

IT-Sicherheitssensibilisierung und -schulung

IT-Grundschutz-KatalogeSchicht 1: Übergreifende Aspekte

IT-Sicherheitsmanagement

Organisation

Personal

Notfall-Vorsorgekonzept

Datensicherungskonzept

Computer-Virenschutzkonzept

Kryptokonzept

76<Name>

IT-Grundschutz-KatalogeSchicht 2: Infrastruktur

Gebäude

Verkabelung

Büroraum

Serverraum

Datenträgerarchiv

Raum für technische

Infrastruktur

Schutzschrank

häuslicher Arbeitsplatz

Rechenzentrum

Mobiler Arbeitsplatz

Besprechungs-, Veranstaltungs-

und Schulungsräume

Betreffen bauliche Gegebenheiten

Bausteine:

77<Name>

SONSTIGE IT-SYSTEMEB 3.4XX

NETZKOMPONENTENB 3.3XX

CLIENTSB 3.2XX

SERVERB 3.1XX

IT-SYSTEMESCHICHT III

IT-Grundschutz-Kataloge Schicht 3: IT-Systeme

78<Name>

IT-Grundschutz-Kataloge Schicht 3: IT-Systeme

Server:

Allgemeiner Server

Server unter Unix

Windows Server 2003

s/390 & zSeries-Mainframe

...

Clients:

Allgemeiner Client

Allg. nicht vernetztes IT-System

Client unter Unix

Laptop

Client unter Windows XP

...

Netzkomponenten:

Sicherheitsgateway (Firewall)

...

Sonstige:

Faxgerät

Anrufbeantworter

Mobiltelefon

PDA

...

Bausteine:

79<Name>

IT-Grundschutz-Kataloge Schicht 4: Netze

Bausteine:

Heterogene Netze

Netz- und Systemmanagement

Modem

Remote Access

LAN-Anbindung über ISDN

WLAN

VoIP

80<Name>

IT-Grundschutz-Kataloge Schicht 5: Anwendungen

Datenträgeraustausch

E-Mail

Lotus Notes

Faxserver

Datenbanken

Novell eDirectory

SAP

Webserver

Internet Information Server

Apache Webserver

Exchange/ Outlook 2000

Telearbeit

Peer-to-Peer-Dienste

Bausteine:

81<Name>

IT-Grundschutz-Kataloge Lebenszyklus der IT-Grundschutz-Bausteine

82<Name>

IT-Grundschutz-KatalogeAufbau aller IT-Grundschutz-Bausteine

Phase 1: Planung und Konzeption Phase 2: Beschaffung Phase 3: Umsetzung Phase 4: Betrieb Phase 5: Aussonderung/Stillegung Phase 6: Notfall-Vorsorge

Konformer Aufbau jedes IT-Grundschutz-Bausteins

83<Name>

Gefährdungs-Kataloge G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen

Beispiel: G 4.1 Ausfall der Stromversorgung

IT-Grundschutz-Kataloge Gefährdungs-Kataloge

84<Name>

IT-Grundschutz-Kataloge Typische Maßnahmen I

M1: Infrastruktur Schutz vor Einbrechern Brandschutzmaßnahmen Energieversorgung

M2: Organisation Zuständigkeiten Dokumentationen Arbeitsanweisungen

M3: Personal Vertretungsregelungen Schulung Maßnahmen beim Ausscheiden von Mitarbeitern

85<Name>

IT-Grundschutz-Kataloge Typische Maßnahmen II

M4: Hardware/Software Passwortgebrauch Protokollierung Vergabe von Berechtigungen

M5: Kommunikation Konfiguration Datenübertragung E-Mail, SSL, Firewall

M6: Notfallvorsorge Notfallpläne Datensicherung Vorsorgemaßnahmen (z. B. redundante Systemauslegung)

86<Name>

Kreuztabellen: Gefährdungen vs. Maßnahmen Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz

IT-Grundschutz-Kataloge Gefährdungen vs. Maßnahmen

G 1. 15

G 2. 1

G 2. 4

G 2. 47

G 2. 48

G 3. 3

G 3. 43

G 3. 44

G 5. 1

G 5. 2

G 5. 4

G 5. 71

M 1.15 A X X

M 1.23 A X X

M 1.45 A X X X X X

M 1.46 Z X

M 1.61 A X X X X X

87<Name>

IT-Grundschutz-KatalogeZusammenfassung

Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz besteht aus insgesamt ca. 3.600 Seiten...

Baustein-Kataloge (ca. 70 Bausteine) Gefährdungs-Kataloge (ca. 420 Gefährdungen) Maßnahmen-Kataloge (ca. 1.040 Maßnahmen)

Inhalte haben Empfehlungscharakter und sind keine "Gesetze" keine Garantie auf Vollständigkeit

IT-Grundschutz-Maßnahmen müssen individuell angepasst und angewandt werden

Stand 2006

88<Name>

IT-Grundschutz-Vorgehensweise

89<Name>

IT-Sicherheitskonzept

90<Name>

Der IT-VerbundDefinition

Unter einem IT-Verbund ist die Gesamtheit von

infrastrukturellen, organisatorischen, personellen und technischen Komponenten

zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.

Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwen-dungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

91<Name>

IT-Sicherheitskonzepts Erstellung und Realisierung

92<Name>

IT-Strukturanalyse

Teilaufgaben Erstellung bzw. Aktualisierung eines Netzplans

(grafische Übersicht) Komplexitätsreduktion durch Gruppenbildung

Erhebung der IT-Systeme (Tabelle) Erfassung der IT-Anwendungen und der zugehörigen

Informationen (Tabelle)

93<Name>

IT-StrukturanalyseKomplexitätsreduktion im Netzplan

Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden.

Voraussetzungen: gleicher Typ gleiche oder nahezu gleiche Konfiguration gleiche oder nahezu gleiche Netzanbindung

(z. B. Anschluss am gleichen Switch) gleiche Rahmenbedingungen

(Administration und Infrastruktur) gleiche Anwendungen

94<Name>

IT-StrukturanalyseBeispiel: Gruppenbildung

N3: Switch

N5: Router Stand-leitung

N6: Router

N7: Switch

S5:Kom m unikations-

Server(Unix)

S3: Exchange-Server

(W indows NT)

S4: File-Server

(Novell Netware)

S2: Prim ärerDom änen-Controller

(W indows NT)

S1: Server fürPersonalverwaltung

(W indows NT)

C1: 5 C lient-Com puter

fürPersonalverwaltung

(W indows NT)

C2: 10 Client-Com puter

für Verwaltung(W indows NT)

N4: Switch

Internet

N1: Router

N2: Firewall

S6: BackupDom änen-Controller

(W indows NT)

C4: 40 Client-Com puter(W indows NT)

L iegenschaft B onn L iegenschaft B erlin

IP IP

C3: 75 Client-Com puter

für Fachabteilungen(W indows NT)

95<Name>

IT-StrukturanalyseErhebung der IT-Systeme

IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten Netzdrucker TK-Anlagen etc.

Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind,

zu berücksichtigen.

96<Name>

IT-StrukturanalyseDarstellung der IT-Systeme

Nr. Beschreibung Plattform Anz. Standort Status Anwender/Admin.

S1 Server fürPersonal-verwaltung

Windows NTServer

1 Bonn,R 1.01

inBetrieb

Personal-referat

S2 PrimärerDomänen-Controller

Windows NTServer

1 Bonn,R 3.10

inBetrieb

alleIT-Anwender

C6 Gruppe derLaptops für denStandort Berlin

Laptop unterWindows 95

2 Berlin,R 2.01

inBetrieb

alleIT-Anwenderin Berlin

N1 Router zumInternet-Zugang

Router 1 Bonn,R 3.09

inBetrieb

alleIT-Anwender

T1 TK-Anlage fürBonn

ISDN-TK-Anlage

1 Bonn,B.02

inBetrieb

alle Mitarb.in Bonn

notwendige Informationen

97<Name>

IT-StrukturanalyseErfassung der IT-Anwendungen

Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den

höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den

höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen,

die die kürzeste tolerierbare Ausfallzeit(höchster Bedarf an Verfügbarkeit) haben,

müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

98<Name>

IT-StrukturanalyseBeispiel: Liste der IT-Anwendungen

Beschreibung der IT-Anwendungen IT-Systeme

Anw.-Nr.

IT-Anwendung/Informationen

Pers.-bez.

Daten

S1 S2 S3 S4 S5 S6 S7

A1 Personaldaten-verarbeitung

X X

A4 Benutzer-Authentisierung

X X X

A5 Systemmanagement X

A7 zentraleDokumentenverwaltung

X

Auszug aus der Liste der IT-Anwendungen

99<Name>


Teilaufgaben Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für

IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume

anhand von typischen Schadensszenarien

Dokumentation der Ergebnisse

100<Name>

Schutzbedarfskategorie

normal Die Schadensauswirkungen sind begrenzt und überschaubar.

hoch Die Schadensauswirkungen können beträchtlich sein.

sehr hoch Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Schutzbedarf ist meist nicht quantifizierbar. Beschränkung auf drei Kategorien


101<Name>


Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.

Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn... ?")

Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen

Individualisierung der Zuordnungstabelle!

102<Name>

SchutzbedarfsfeststellungBeispiel: IT-Anwendungen

IT-Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung pers.

Daten Grund-wert

Schutz-bedarf

Begründung

A1 Personaldaten-verarbeitung

Vertr. hoch schutzbedürft., personenbez.

Daten, Gehaltsinformationen

Integr. normal Fehler werden rasch erkannt und korrigiert.

Verf. normal Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden.

A2 Beihilfeab-wicklung

Vertr. hoch schutzbedürft., personenbez.

Daten, z.T. Hinweise auf Erkrankungen etc.

Integr. normal Fehler werden rasch erkannt und korrigiert.

Verf. normal Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden.

103<Name>

SchutzbedarfsfeststellungIT-Systeme

MaximumprinzipAuf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems.

KumulationseffektDurch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT-Systems erhöht sich dann entsprechend.

Verteilungseffekt Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein

IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen.

Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.

104<Name>

SchutzbedarfsfeststellungBeispiel: IT-Systeme

IT-System Schutzbedarfsfeststellung

Nr. Bezeichnung Grund-wert

Schutz-bedarf

Begründung

S1 Server für Personalverw.

Vertr. hoch Maximumprinzip

Integr. normal Maximumprinzip

Verf. normal Maximumprinzip

S2 Primärer Domänen-Controller

Vertr. normal Maximumprinzip

Integr. hoch Maximumprinzip

Verf. normal Verteilungseffekt: Eigentlich hoher SB wg. Anw. A4, aber hier laufen nur unwesentl. Teile der Anw.

105<Name>

SchutzbedarfsfeststellungKommunikationsverbindungen

Folgende Kommunikationsverbindungen sind kritisch: Außenverbindungen (1) Übertragung von hochschutzbedürftigen Informationen

Schutzbedarf resultiert aus Vertraulichkeit (2) Schutzbedarf resultiert aus Integrität (3) Schutzbedarf resultiert aus Verfügbarkeit (4)

Hochschutzbedürftige Informationen dürfen auf keinen Fall übertragen werden. (5)

Verbindungen im Netzplan grafisch hervorheben tabellarische Dokumentation

106<Name>

SchutzbedarfsfeststellungBeispiel: IT-Räume

107<Name>

Modellierung nach IT-Grundschutz

Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge

108<Name>

Basis-Sicherheitscheck

Switch

Router Stand-leitung

Router

Switch

Kommunikations- Server

(Unix)Exchange-Server(Windows NT)

File-Server(NovellNetware)

PrimärerDomänen-Controller(Windows NT)

Server fürPersonalverwaltung (Windows NT)

15 Client-Computer(Windows NT)

75 Client-Computer(Windows NT)

Switch

Internet

Router

Firewall

BackupDomänen-Controller(Windows NT)

40 Client-Computer(Windows NT)Liegenschaft

BonnLiegenschaftBerlin

IP IP

IT-Grundschutz-Modell

Soll-/Ist-VergleichMaßnahmen-empfehlungen

RealisierteMaßnahmen

umzusetzende Maßnahmen

109<Name>

Basis-SicherheitscheckUmsetzungsstatus

Mögliche Umsetzungsstatus einzelner Maßnahmen: "entbehrlich"

Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird.

nicht relevant, weil z. B. Dienste nicht aktiv

"ja" Alle Empfehlungen sind vollständig und wirksam

umgesetzt.

"teilweise" "nein"

110<Name>


Vergleich)


Vergleich)

Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen

Realisierung der MaßnahmenRealisierung der Maßnahmen


Management Report


Management Report



Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den

IT-Grundschutz-Katalogen existiert.

Ergänzende Sicherheitsanalyse

111<Name>

Konsolidierung der Maßnahmen

Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge mit den zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse

=> zu realisierende Maßnahmen

Konsolidierung der Maßnahmen

IT-Grundschutz-Analyse

höherwertigeMaßnahmen

IT-Grundschutz-Maßnahmen

Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen

Risikoanalyse

ergänzendeSicherheitsanalyse

112<Name>

Realisierung von IT-Sicherheitsmaßnahmen I

Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise

umgesetzt?

Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höher-

oder gleichwertige Maßnahmen ersetzt? Welche Maßnahmenempfehlungen müssen noch an die

individuellen Gegebenheiten angepasst werden?

Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw.

Personalkosten entstehen? Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten

Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.

113<Name>

Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle Ressourcen erforderlich? Schritte 1,3,4 können entfallen

Realisierung vonIT-Sicherheitsmaßnahmen II

Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt

werden? Breitenwirkung beachten!

Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um?

Schritt 6: Realisierungsbegleitende Maßnahmen Schulung der Mitarbeiter Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz

der IT-Sicherheitsmaßnahmen

114<Name>

IT-Grundschutz bedeutet...

Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf

Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge

Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten

115<Name>

ISO/IEC 27001 auf einen Blick

ISO/IEC 27001:2005 “Information Security Management Systems – Requirements“

spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS)

ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe

kann als Grundlage für Vertragsbeziehungen zwischen Organisationen benutzt werden

erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001)

116<Name>

ISO/IEC 27002 auf einen Blick

ISO/IEC 27002 (bisher ISO/IEC 17799:2005) “Code of practice for information security management“

ist ein Leitfaden (keine Spezifikation und kein Zertifizierungsstandard)

Ergänzung zur ISO 27001 Detaillierung der normativen Anlage A der ISO 27001) dient zum besseren Verständnis der in der ISO 27001 definierten

Anforderungen (insbesondere aus Anhang A) Basis zur Entwicklung von organisationseigenen Verfahren und

Regelungen

117<Name>

BSI-Zertifizierung

Unterstützt durch• akkreditierte Prüfstellen• internationale Komitees für

- Kriterienentwicklung und

-Harmonisierung

- gegenseitige Anerkennung

Kunde, Nutzer,

Anwender

Produktzertifikat

bestätigt produktspezifische Sicherheitsfunktionalität und -qualität

IT-Grundschutz-Zertifikat

Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung.

bestätigt funktionierendes und effektives IT-Sicherheitsmanagement

IT-

Gru

nd

sch

utz

Bundesamt für Sicherheit in der Informationstechnik

Pro

du

kt

BSI-Zertifikat

Unterstützt durch• lizenzierte Auditoren• internationale Komitees für

- Kriterien-Entwicklung und

-Harmonisierung

- gegenseitige Anerkennung

118<Name>

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

IT-Grundschutz

ISO 27001

119<Name>

Zertifizierungsablauf

beauftragt Prüfung derUmsetzung von IT-Grundschutz

prüft IT-Verbunderstellt Prüfbericht

Antragsteller

Zertifizierungsstelle

gibt Prüfberichtan BSI

überprüft / lizenziert Auditorprüft Prüfbericht

vergibt / veröffentlicht Zertifikat

ISO-27001 Auditor auf Basis von IT-Grundschutz

120<Name>

ISO 27001 Zertifizierung Phasen der Zertifizirung

Initialisierung•Zertifizierungs-Antrag•Befugnis für die Durchführung eines Audits•Ggf. Abstimmung des IT-Verbundes

Initialisierung•Zertifizierungs-Antrag•Befugnis für die Durchführung eines Audits•Ggf. Abstimmung des IT-Verbundes

Bewertung des Audits• Erstellung des Auditreports• Nachprüfung

Bewertung des Audits• Erstellung des Auditreports• Nachprüfung

Durchführung des Audits• Prüfung der Dokumentation• Vorbereitung des Audit-Tätigkeiten vor Ort• Durchführung der Audit-Tätigkeiten vor Ort

Durchführung des Audits• Prüfung der Dokumentation• Vorbereitung des Audit-Tätigkeiten vor Ort• Durchführung der Audit-Tätigkeiten vor Ort

Re-Zertifizierungs-Audit

Re-Zertifizierungs-Audit

121<Name>

ISO 27001 Zertifizierung Stufenkonzept

Auditor-Testat„Einstiegsstufe“

ISO 27001-Zertifikat nach IT-Grundschutz

Auditor-Testat „Aufbaustufe“

Sicherheit

Ve

rtra

ue

nsw

ürd

igke

it

B

C

A

122<Name>

Umsetzung der Maßnahmen zur Qualifizierung nach IT-Grundschutz

ISO 27001-Zertifizirung Siegelstufen

A (Einstieg) Diese Maßnahmen müssen für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Auditortestat Einstiegsstufe, Auditortestat Aufbaustufe und ISO 27001-Zertifikat auf der Basis von IT-Grundschutz) umgesetzt sein. Diese Maßnahmen sind essentiell für die Sicherheit innerhalb des betrachteten Bausteins. Sie sind vorrangig umzusetzen.

B (Aufbau) Diese Maßnahmen müssen für das Auditortestat Aufbaustufe und für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz umgesetzt sein. Sie sind besonders wichtig für den Aufbau einer kontrollierbaren IT-Sicherheit. Eine zügige Realisierung ist anzustreben.

C (Zertifikat) Diese Maßnahmen müssen für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz umgesetzt sein. Sie sind wichtig für die Abrundung der IT-Sicherheit. Bei Engpässen können sie zeitlich nachrangig umgesetzt werden.

Z (zusätzlich) Diese Maßnahmen müssen weder für eine Auditor-Testat noch für das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz verbindlich umgesetzt werden. Sie stellen Ergänzungen dar, die vor allem bei höheren Sicherheitsanforderungen erforderlich sein können.

123<Name>

Kategorisierung der Maßnahmen für die Grundschutz-Qualifizierung

Das Auditor-Testat "Einstiegsstufe" (Maßnahmen der Stufe A)

Das Auditor-Testat "Aufbaustufe" (Maßnahmen der Stufe A und B)

ISO 27001 Zertifikat auf der Basis von IT-Grundschutz (Maßnahmen der Stufe A, B und Csowie Maßnahmen aus Risikoanalyse)

ISO 2701 Zertifizierung Siegelstufen

124<Name>

ISO 27001 Zertifizierungund Auditor-Testate

45 € 45 € 2500 €

IT-Grundschutz-Auditor

ISO 27001 Auditor

ISO 27001 Zertifikat

Auditor-Testat„Aufbaustufe“

Auditor-Testat„Einstiegsstufe“

IT-Grundschutz-Auditor

125<Name>

ISO 27001 Zertifikate auf der Basis von IT-Grundschutz

Die BSI-Zertifizierung umfaßt sowohl eine Prüfung des ISMS als auch der konkreten

IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001 zertifiziert zugleich nach deutschen und

nach internationalen Standards ist aufgrund der zusätzlich geprüften technischen Aspekte

wesentlich aussagekräftiger als eine reine ISO-Zertifizierung Seit Anfang 2006

„ISO 27001-Zertifikate auf der Basis von IT-Grundschutz“ (Realisierung einer nationale Ausprägung der ISO 27001)

126<Name>

Warum Zertifizierung?

Optimierung interner Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen

IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit

hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit

IT-Sicherheitszielen und sind stolz auf das Erreichte

127<Name>

Erfahrungen mit der Zertifizierung

Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie auch für großen Rechenzentren geeignet!

Umsetzung IT-Grundschutz: 6 - 12 Monate Aufwand des Auditors: 15 - 30 Tage

Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung

durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung

128<Name>

Veröffentlichung der ISO 27001-Zertifikate auf Basis von IT-Grundschutz

Veröffentlichung

Internet unter www.bsi.bund.de

KES

diverse Publikationen

usw.

129<Name>

LizenzierungISO 27001-Auditor

Das BSI lizenziert den Auditor Für das Lizenzierungsverfahren wird vom BSI eine

Pauschalgebühr erhoben Eine Lizenz als Auditor ist 5 Jahre gültig. Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen Eine Verlängerung der Gültigkeit ist durch eine neue

Antragstellung möglich

zum Download von der Webseite:www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm

130<Name>

Voraussetzungen für die Lizenzierung

Zeugnis über Berufsabschluss

5-jährige Berufserfahrung im Bereich Informationstechnik

2-jährige IT-Sicherheitserfahrung

4 Audits von zusammen mindestens 20 Personentagen

5-tägige Schulungsveranstaltung von insgesamt 40 Stunden

Abschlußprüfung

Der Lizenzierungsvertrag zwischen BSI und Auditor ist unterzeichnet

(Personenlizenz)

131<Name>

Dienstleistungen und Produkte rund um den IT-Grundschutz

Webkurs zum Selbststudium

ISO 27001-Zertifikat

LeitfadenIT-Sicherheit

Software:„GSTOOL“

-

°

+

Sicherheitsbedarf,Anspruch

Beispiele:„GS-Profile“

Hilfsmittel & Musterrichtlinien

BSI Standard 100-1: ISMS

BSI Standard 100-2: IT-Grundschutz-Vorgehensweise

BSI Standard 100-3: Risikoanalyse


132<Name>

Dienstleistungen und Produkte rund um den IT-Grundschutz

CE

RT

Vire

n

Inte

rnet

Zer

ti-fiz

ieru

ng

kriti

sche

In

fras

truk

-tu

ren

E-G

over

n-m

ent

Kry

pto-

grap

hie

Bio

met

rie

Mob

ilfun

k

Webkurs zum Selbststudium

ISO 27001-Zertifikat

LeitfadenIT-Sicherheit

Software:"GSTOOL"

-

°

+

Sicherheitsbedarf,Anspruch

...

Beispiele:"GS-Profile"

Hilfsmittel & Musterrichtlinien

133<Name>

Leitfaden IT-Sicherheit

Hilfsmittel

134<Name>

Leitfaden IT-Sicherheit

Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden

Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf wenigen Seiten

Darstellung: nachvollziehbar, nah an der Realität

Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details

Kein "IT-Grundschutz light" Kurzüberblick über IT-Grundschutz und

Motivation zur vertieften Beschäftigung mit IT-Sicherheit

Sensibilisierensbeispielezum Download von der Webseite:www.bsi.bund.de/gshb/leitfaden/index.htm

135<Name>

Webkurs IT-Grundschutz

Hilfsmittel

136<Name>

Webkurs 2006 aktualisiert

Schneller Einstieg

(Ersatz für 1- bis 2-tägige Schulung)

Zielgruppe: IT-Sicherheitsbeauftragte,

IT- Mitarbeiter

Lernmodule mit Anleitungen, Beispielen, Übungen und Tests

Demonstration der Vorgehensweise anhand eines fiktiven

Unternehmens

Webkurs IT-Grundschutz

zum Download von der Webseite:www.bsi.bund.de/gshb/webkurs/index.htm

137<Name>

2 Lernzweige

Gliederung des Webkurs IT-Grundschutz

Für Anfänger im IT-Grundschutz(Webkurs)

Für Anwender die bereits vor 2005 mit dem IT-Grundschutz gearbeitet haben(Umsteigerkurs)

138<Name>

Musterrichtlinien & Beispielkonzepte

Hilfsmittel

139<Name>

Musterrichtlinien & BeispielkonzepteÜbersicht über das Angebot

IT-Sicherheitsleitlinie

Sicherheitsrichtlinie zur IT-Nutzung

Internetnutzung und E-Mail

Outsourcing

Datensicherung NotfallvorsorgeVirenschutz

Archivierung

Hinweise für Administratoren

Hinweise fürIT-Benutzer

Strategie

übergreifende Anweisungen

Richtlinien für einzelne Aspekte

Zusammenf. für Zielgruppen

zum Download von der Webseite:www.bsi.bund.de/gshb/deutsch/hilfmi/musterrichtlinien/

140<Name>

MusterrichtlinienIT-Sicherheitsleitlinie

Inhalt:

Stellenwert der IT Sicherheit

Bedeutung der IT für die Aufgabenerfüllung

Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation

Sicherheitsziele und Sicherheitsstrategie

Beschreibung der Organisationsstruktur für die Umsetzung des IT-

Sicherheitsprozesses

Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene

durchgesetzt wird:

Sicherheit ist Chefsache

141<Name>

MusterrichtlinienSicherheitsrichtlinie zur IT-Nutzung

Umgang mit schützenswerten Informationen (Informationseigentümer,

Klassifizierung von Informationen nach Schutzbedürftigkeit)

relevante Gesetze und Vorgaben

Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter,

Administrator, IT-Benutzer)

Ausbildung des Personals

Pflicht zur Einrichtung von Vertretungsregelungen

Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung,

Revision und Entsorgung)

grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu IT-

Systemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge)

Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)

142<Name>

BeispielkonzepteDatensicherungskonzept

Wo werden die Daten gespeichert? Welche Daten werden gesichert? Wer ist für die Datensicherungen zuständig? Wie wird gesichert? (Technik, Sicherungsmedien, Intervalle), Wie lange werden Datensicherungen aufbewahrt? Wie wird mit Notebooks verfahren, die nicht ständig am Netz

angeschlossen sind? Wie wird überprüft, ob die Datensicherungen tatsächlich zuverlässig

funktioniert haben? Wie können die Daten im Schadensfall rekonstruiert werden?

143<Name>

IT-Grundschutz-Profile

Hilfsmittel

144<Name>

IT-Grundschutz-Profile Überblick

3 Beispiele: kleine, mittlere, große Institution

IT-Grundschutz-Profile: Beispiele für die Anwendung der

Vorgehensweise nach IT-Grundschutz

Veröffentlicht seit November 2004

zum Download von der Webseite:www.bsi.bund.de/gshb/deutsch/hilfmi/beispielprofile/

145<Name>

AnwendungsbeispieleIT-Grundschutz-Profile

Beispiele zur Anwendung des IT-Grundschutzes für Institutionen

verschiedener Größe:

klein: (z. B. kleine Behörde, Anwaltskanzlei): 3 Clients, 1 Server

mittel: (z. B. Bankfiliale, KMU): 20 Clients, 4 Server

groß: (z. B. Rechenzentrum): 100 Server

Planung, Umsetzung, Pflege des IT-Sicherheitskonzeptes

IT-Sicherheitsprozess und Herangehensweise speziell auf die

jeweiligen Anwendergruppen angepasst

Umsetzung des mittleren und großen Profils im GSTOOL

146<Name>

Beispielprofil für eine mittlere Institution (1)

Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution Repräsentation eines Unternehmens mit mehreren Servern und

wenig IT-Grundschutz Erfahrung Ausführliche Erläuterung der Anwendung des IT-Grundschutzes Beispielhafte Anwendung des GSTOOL

147<Name>


Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor)

Stabstelle für QM und IT-Sicherheit

Größe des IT-Verbundes: ca. 20 Clients und 4 Server

Anbindung an das Internet über DSL

Existenz interner Teilnetze

IT-Anwendungen/Systeme eines Projektteams haben erhöhten

Schutzbedarf und werden gesondert gruppiert

148<Name>


Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen

Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung

Phase 1

Phase 2

Phase 3 Phase 4 Phase 5 Phase 6 Phase 7Phase 1

Phase 2

Phase 3 Phase 4 Phase 5 Phase 6 Phase 7

149<Name>

Beispielprofilfür eine mittlere Institution (4)

Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz-

Vorgehensweise

Hervorhebung der Schritte, die

durch das GSTOOL unterstützt werden

die bei einer nicht tool-gestützten Vorgehensweise zu beachten

sind

Anwendung des GSTOOL,

dargestellt durch Screenshots

150<Name>

Weitere Hilfsmittel

Formblätter, Maßnahmenlisten etc.

Kreuzreferenztabellen (Zuordnung von Maßnahmen zu

Gefährdungen)

Technische Zusatzinformationen zu Bausteinen

Dokumentationen und Studien

ITIL und Informationssicherheit

Zuordnungstabelle ISO 27001 / ISO 17799 und IT-Grundschutz

Muster und Beispiele von IT-Grundschutz-Anwendern

zum Download von der Webseite:www.bsi.bund.de/gshb/deutsch/hilfmi/hilfmi/index.htm

151<Name>

GSTOOL

Hilfsmittel

zum Download von der Webseite:www.bsi.bund.de/gstool/index.htm

152<Name>

GSTOOLBSI Tool IT-Grundschutz

153<Name>

Das GSTOOL ist eine Software zur Unterstützung

bei der Anwendung des IT-Grundschutzes

GSTOOLÜberblick

Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung

GSTOOL-Hotline: 0228 99 / 9582 - 5299

[email protected]

154<Name>

Netzwerkfähigkeit(SQL-Datenbank: MSDE2000 oder SQL-Server 2000)

Verwaltung mehrerer Sicherheitskonzepte in einem Tool Zweisprachigkeit: deutsch/englisch Historienführung einfaches Update der Datenbasis per Internet Export von Teilarbeitsbereichen zur Bearbeitung in

anderem GSTOOL Importfunktion für Datenbestände aus älteren Versionen Verschlüsselung von Exportdaten

GSTOOLLeistungsmerkmale (technisch)

155<Name>

GSTOOLBenutzeroberfläche

Baumdarstellung

Bearbeitungsmaske

Status-Leiste

Navigation

Toolbar

156<Name>

Anzahl der Gesamtpreis Update-PreisLizenzen GSTOOL 4.0 3.1 nach 4.0

1 998,38 € 110,98 €2 1.996,75 € 221,95 €3 2.845,38 € 316,29 €

4 oder 5 4.487,71 € 498,84 €6 bis 10 8.356,42 € 928,88 €

11 bis 20 15.275,17 € 1.697,95 €21 bis 40 26.117,55 € 2.903,16 €

Firmenlizenz auf Anfrage auf Anfrage

GSTOOLPreise

Deutsche Hochschulen erhalten beim Einsatz zu Lehrzwecken einen Nachlass i.H.v. 50%. Der Bezug ist für die unmittelbare deutsche öffentliche Verwaltung kostenfrei. Fragen, Wünsche, Anregungen zum Vertrieb: per E-Mail: [email protected]

telefonisch: 01805 / 274 100

Preise inkl. MwSt

157<Name>

GSTOOLHilfsmittel

GSTOOL-Handbuch

jede Funktion wird erklärt

319 Seiten

wird fortlaufend aktualisiert

Webkurs GSTOOL seit Oktober 2005

GSTOOL-Hotline 0228 99 / 9582 - 5299 [email protected]

zum Download von der Webseite:www.bsi.bund.de/gstool/handbuch/index.htm

158<Name>

Webkurs zum GSTOOL

Hilfsmittel

zum Download von der Webseite:www.bsi.bund.de/gstool/wbtgstool/index.htm

159<Name>

Der Webkurs GSTOOL

E-Learning-Kurs zur Einführung in Anwendung und

Administration des Tools (Grundlage: Version 4.0)

Ergänzung zu konventionellen Schulungen Handbuch Hotline FAQ

Anwender

(ersten Überblick)

Administratoren

(speziellen Leistungsmerkmalen)

Zielgruppen

160<Name>

Gliederung desWebkurses zum GSTOOL

Benutzer Aufnahme von Komponenten Erstellung von Verknüpfungen Festlegung des Schutzbedarfs Dokumentation des

IST-Zustandes

Administrators Einrichtung des GSTOOLs Verwaltung von

Zugriffsrechten Konfiguration der Datenbank Datenaustausch

161<Name>

IT-Grundschutz-Informationen

IT-Grundschutz HotlineTelefon: 0228 99 / 9582 - 5369E-Mail: [email protected]

GSTOOL HotlineTelefon: 0228 99 / 9582 - 5299E-Mail: [email protected]

http://www.bsi.bund.de/gshb

162<Name>

Fragen und Diskussion

?

?

?

?

?

?

?

163<Name>

Kontakt

Bundesamt für Sicherheit in der Informationstechnik (BSI)

<Name>Godesberger Allee 185-189

53175 Bonn

<Name>@bsi.bund.deTel: +49 (0)228 99-9582-<Nr.>

Fax: +49 (0)228 99-9582-10-<Nr.>

www.bsi.bund.dewww.bsi-fuer-buerger.de

IT-Grundschutz Hotline: [email protected]: +49 (0)228 99-9582-5369

einführung in die vorgehensweise nach it-grundschutz

Documents