Download
Download
Download
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Neues aus dem IT-Grundschutz<br />
Ausblick und Diskussion<br />
Holger Schildt<br />
Bundesamt für Sicherheit in der Informationstechnik<br />
Grundlagen der Informationssicherheit und IT-Grundschutz<br />
1. IT-Grundschutz-Tag 2013<br />
27.02.2013
Inhalte<br />
Status Weiterentwicklung IT-Grundschutz<br />
IT-Grundschutz-Kataloge<br />
Umstrukturierungen in den IT-Grundschutz-Katalogen<br />
Prüffragen<br />
Überblickspapiere<br />
ISO 27001 Zertifizierung auf der Basis von<br />
IT-Grundschutz<br />
GSTOOL<br />
Fragen und Diskussion<br />
Holger Schildt Folie 2
BSI-Standard 100-1:<br />
Managementsysteme für<br />
Informationssicherheit<br />
BSI-Standard 100-2:<br />
IT-Grundschutz-Vorgehensweise<br />
BSI-Standard 100-3:<br />
Risikoanalyse auf Basis von<br />
IT-Grundschutz<br />
BSI-Standard 100-4:<br />
Notfallmanagement<br />
IT-Grundschutz<br />
BSI-Standards<br />
Prüfschema:<br />
ISO 27001-Zertifizierung auf der Basis<br />
von IT-Grundschutz<br />
Holger Schildt Folie 3
BSI-Standard 100-1:<br />
Managementsysteme für<br />
Informationssicherheit<br />
BSI-Standard 100-2:<br />
IT-Grundschutz-Vorgehensweise<br />
BSI-Standard 100-3:<br />
Risikoanalyse auf Basis von<br />
IT-Grundschutz<br />
BSI-Standard 100-4:<br />
Notfallmanagement<br />
IT-Grundschutz<br />
BSI-Standards<br />
Prüfschema:<br />
ISO 27001-Zertifizierung auf der Basis<br />
von IT-Grundschutz<br />
• Änderungen der<br />
ISO 2700x<br />
• Anpassung<br />
Risikoanalyse<br />
• Virtualisierung<br />
• Schutzbedarf und<br />
BIA enger<br />
abstimmen<br />
•Und diverses<br />
mehr…<br />
Holger Schildt Folie 4
BSI-Standard 100-1:<br />
Managementsysteme für<br />
Informationssicherheit<br />
BSI-Standard 100-2:<br />
IT-Grundschutz-Vorgehensweise<br />
BSI-Standard 100-3:<br />
Risikoanalyse auf Basis von<br />
IT-Grundschutz<br />
BSI-Standard 100-4:<br />
Notfallmanagement<br />
IT-Grundschutz<br />
BSI-Standards<br />
Prüfschema:<br />
ISO 27001-Zertifizierung auf der Basis<br />
von IT-Grundschutz<br />
Änderungen zur<br />
Integration Cloud<br />
Computing<br />
Holger Schildt Folie 5
5<br />
4<br />
3<br />
2<br />
1<br />
IT-Grundschutz-Kataloge<br />
Veröffentlichung generell<br />
Neue Bausteine<br />
Prüffragen<br />
Holger Schildt Folie 6
Weiterentwicklung der<br />
IT-Grundschutz-Kataloge<br />
"Stillstand ist Rückstand"<br />
Dennoch kann nicht jedes Thema berücksichtigt werden<br />
Es muss ermittelt werden, was benötigt wird<br />
Faktoren für Themenauswahl<br />
Nachfrage auf Messen, Vorträgen<br />
und sonstigen Veranstaltungen<br />
Anfragen auf GS-Hotline<br />
Themen in den Medien<br />
Umfragen bei unseren Anwendern<br />
Holger Schildt Folie 7
Prinzip von<br />
Ergänzungslieferungen<br />
Regelmäßige Aktualisierung der<br />
IT-Grundschutz-Kataloge<br />
Beinhaltet überarbeite und neue<br />
Bausteine, Gefährdungen und Maßnahmen<br />
Verfügbare Versionen:<br />
Kostenfreie HTML-Version<br />
Kostenfreies Metadatenupdate für GSTOOL<br />
Kostenpflichtige gedruckte Version über<br />
Bundesanzeigerverlag<br />
Preis 12. EL: 115,80 Euro<br />
Preis Grundwerk 12. EL: 152,00 Euro<br />
Holger Schildt Folie 8
IT-Grundschutz-Kataloge<br />
12. Ergänzungslieferung<br />
Status<br />
Als Druckwerk veröffentlicht<br />
Dezember 2011<br />
Als PDF auf BSI-Webseite veröffentlicht<br />
Februar 2012<br />
Metadatenupdate sowie zugehörige<br />
HTML-Aktualisierung für GSTOOL 4.7<br />
Juni 2012<br />
Online-HTML-Version ist Stand 11. EL!<br />
Holger Schildt Folie 9
IT-Grundschutz-Kataloge<br />
13. Ergänzungslieferung<br />
Neue Bausteine<br />
Allgemeines Gebäude<br />
MS Windows 7<br />
MS Server 2008 R2<br />
Mac OS X<br />
Microsoft Exchange 2010<br />
Lotus Notes<br />
Protokollierung<br />
Web-Anwendungen<br />
OpenLDAP<br />
Prüffragen<br />
Holger Schildt Folie 10
Prüffragen<br />
Motivation<br />
Für Audit-, Anforderungen-,<br />
Aufrechterhaltung<br />
Zielgruppe sind Prüfer,<br />
Auditoren, etc.<br />
Zweck:<br />
sollen alle wesentlichen Kernaussagen des jeweiligen<br />
Bausteins enthalten<br />
geben Ziel und Grundrichtung vor<br />
letzte Checkliste, um Umsetzung von Maßnahmen zu<br />
kontrollieren<br />
ersetzen Kontrollfragen<br />
in Form und Detailtiefe einheitlich<br />
Holger Schildt Folie 11
Prüffragen<br />
Weiteres Vorgehen<br />
Fleißarbeit:<br />
Laufendes Projekt zur Erstellung der Prüffragen für alle<br />
Maßnahmen der IT-Grundschutz-Kataloge!<br />
Wurden ins Redaktionsmanagementsystem<br />
eingepflegt (viel Arbeit!)<br />
Konsolidierung pro Baustein (noch mehr Arbeit!)<br />
Ziel:<br />
Veröffentlichung der Prüffragen zusammen mit den IT-<br />
Grundschutz-Katalogen der 13. EL<br />
Holger Schildt Folie 12
Die Serie geht weiter…<br />
Weitere Ergänzungslieferungen:<br />
Überarbeitung der Bausteine<br />
B 4.1 Netzarchitektur<br />
B 4.2 Netz-Management<br />
B 1.13 Sensibilisierung<br />
B 3.404 Mobiltelefon / B 3.405 PDA<br />
Neue Bausteine<br />
Cloud-Management<br />
Webservices<br />
Cloud-Nutzung<br />
Cloud-Storage<br />
Anwendungsentwicklung<br />
Holger Schildt Folie 13
Überblickspapiere<br />
Motivation<br />
Anwenderwunsch nach Sicherheitsempfehlungen für<br />
spezielle Themengebiete, z. B. zu neuen<br />
Vorgehensweisen, Technologien oder Anwendungen<br />
Überblickspapiere<br />
Nach Anwenderbedarf<br />
(Umfrage)<br />
Kurz und knackig<br />
Zeitnah<br />
Thematische Abgrenzung zwischen<br />
Gefährdungen & Sicherheitsmaßnahmen<br />
Holger Schildt Folie 14
Überblickspapiere<br />
Was gibt es?<br />
Holger Schildt Folie 15
Zertifizierung nach ISO 27001<br />
auf der Basis von IT-Grundschutz<br />
Prüfschema für ISO 27001-Audits:<br />
www.bsi.bund.de/iso27001-zertifikate<br />
Holger Schildt Folie 16
ISO 27001-Zertifizierung<br />
auf der Basis von IT-Grundschutz<br />
Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und<br />
extern)<br />
Für Behörden gegenüber Bürgern oder Unternehmen<br />
Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern<br />
(z. B. Basel II), Aufsichtsorganen<br />
Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen<br />
Sicherheitsanforderungen<br />
Gesetzliche oder vertragliche Anforderungen<br />
Identifikation von Mitarbeitern und<br />
Unternehmensleitung mit Sicherheitszielen<br />
Optimierung der internen Prozesse<br />
geordneter effektiver IT-Betrieb<br />
mittelfristige Kosteneinsparungen<br />
Vermeidung von Imageschäden<br />
Holger Schildt Folie 17
Zertifizierung nach ISO 27001<br />
auf der Basis von IT-Grundschutz<br />
Ausgestellte Zertifikate<br />
2010<br />
19 Zertifikate erteilt<br />
2011<br />
16 Zertifikate<br />
2012<br />
23 Zertifikate erteilt<br />
2013<br />
1 Zertifikate erteilt,<br />
72 laufende Verfahren<br />
Akkreditierung bei DAkkS in Bearbeitung<br />
Stand: 20.02.2013<br />
Holger Schildt Folie 18
Informationen zum<br />
GSTOOL<br />
Holger Schildt Folie 19
IT-Grundschutz<br />
GSTOOL<br />
Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise<br />
IT-Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Modellierung<br />
Sicherheitsanalyse<br />
Risikoanalyse<br />
Basis-Sicherheitscheck<br />
Anfallende Informationen werden über die grafische<br />
Benutzeroberfläche in eine Datenbank übernommen.<br />
Übersichtliche grafische Darstellung für Überblick über den aktuellen<br />
Sicherheitsstatus der betrachteten Objekte.<br />
Die Informationen können übersichtlich strukturiert mittels diverser<br />
Standardberichte ausgegeben werden.<br />
Holger Schildt Folie 20
GSTOOL 4.x<br />
GSTOOL 4.x<br />
Sachstand<br />
Funktionserweiterungen (möglich)<br />
Metadatenupdates (sicher)<br />
Support (sicher)<br />
Fehlerbehebungen werden weiterhin via Servicepacks<br />
veröffentlicht<br />
Servicepack 3 derzeit in Arbeit (Verzögerungen aufgrund<br />
Arbeiten für GSTOOL 5.0)<br />
Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013<br />
mindestens 1 Jahr Parallelbetrieb und Support beider GSTOOL-<br />
Versionen<br />
später kostenpflichtiger Support durch Entwicklerfirma<br />
Steria Mummert Consulting möglich<br />
Holger Schildt Folie 21
Herausforderungen / Risiken<br />
Kooperationen<br />
GSTOOL 5.0<br />
Projektverlauf: (erlebte) Risiken<br />
Verwendung von Mitteln aus Konjunkturpaket<br />
unterschätzte Komplexität der Anwendung<br />
Fehler im Projektmanagement<br />
unzureichende Qualitätssicherung<br />
Ausscheiden einer Partnerfirma<br />
wechselnde Geschäftsführung<br />
Häufig wechselnde Projektleiter<br />
wechselnde Programmierteams<br />
Gesamtkoordination<br />
Holger Schildt Folie 22
GSTOOL 5.0<br />
Status<br />
Forderung einer fehlerfreien Version bis 13.01.2013<br />
Zulässig laut Leistungsbeschreibung:<br />
0 schwere Fehler<br />
5 wesentliche Fehler<br />
10 geringe Fehler<br />
Keine Fehler aus vorigen Prüfung<br />
Nach vier Wochen Prüfung: mindestens<br />
31 schwere,<br />
89 wesentliche und<br />
60 geringe Fehler identifiziert.<br />
Holger Schildt Folie 23
GSTOOL 5.0<br />
Konsequenz<br />
Das BSI konnte die im Januar 2013 durch den Auftragnehmer<br />
PERSICON labs GmbH gelieferte Software GSTOOL 5.0<br />
nicht abnehmen. Ausschlaggebend hierfür war, dass die<br />
gemäß Projektvertrag maximal zulässige Fehleranzahl<br />
überschritten wurde und das Produkt damit nicht den<br />
Erwartungen des BSI entsprach.<br />
Dem Auftragnehmer wurde im Vorfeld der Lieferung<br />
mitgeteilt, dass eine neuerliche Frist zur Nacherfüllung oder<br />
eine weitere Möglichkeit zur Mängelbeseitigung nicht in<br />
Aussicht gestellt werden kann.<br />
Das BSI steht in Kontakt zum Auftragnehmer und prüft<br />
derzeit das weitere Vorgehen.<br />
Holger Schildt Folie 24
IT-Grundschutz<br />
Geplante Veranstaltungen<br />
27.02.2013 in Berlin: IT-Grundschutz-Tag mit HiSolutions zu<br />
"Notfallmanagement im IT-Grundschutz"<br />
14. - 16. Mai 2013 in Bonn: 13. Deutscher IT-Sicherheitskongress<br />
"Informationssicherheit stärken - Vertrauen in die Zukunft schaffen"<br />
13. Juni 2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster<br />
zu "Mit IT-Grundschutz die Kronjuwelen vor Kriminalität und Spionage<br />
schützen"<br />
Herbst 2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu<br />
"Cloud-Zertifizierung"<br />
09. Oktober 2013 in Nürnberg: IT-Grundschutz-Tag auf it-sa<br />
… und viele weitere<br />
Holger Schildt Folie 25
Fragen und Diskussion<br />
Holger Schildt Folie 26
Vielen Dank<br />
für Ihre Aufmerksamkeit<br />
Noch Fragen?<br />
IT-Grundschutz-Hotline<br />
Telefon: 0228-9582-5369<br />
E-Mail: grundschutz@bsi.bund.de<br />
GSTOOL-Hotline<br />
Telefon: 0228-9582-5299<br />
E-Mail: gstool@bsi.bund.de<br />
XING-Forum IT-Grundschutz<br />
https://www.bsi.bund.de/grundschutz<br />
Holger Schildt Folie 27
Kontakt<br />
Bundesamt für Sicherheit in der<br />
Informationstechnik (BSI)<br />
Holger Schildt<br />
Godesberger Allee 195-198<br />
53175 Bonn<br />
Tel: +49 (0)22899-9582-5369<br />
Fax: +49 (0)22899-9582-5405<br />
grundschutz@bsi.bund.de<br />
www.bsi.bund.de/grundschutz<br />
IT-Grundschutz Gruppe im XING-Forum:<br />
https://www.xing.com/net/itgrundschutz<br />
Holger Schildt Folie 28