2.56k likes | 3.62k Views
Einführung in die Vorgehensweise nach IT-Grundschutz. Musterfolien für Schulungen zur. Bundesamt für Sicherheit in der Informationstechnik (BSI). Hinweis.
E N D
Einführung in die Vorgehensweise nach IT-Grundschutz Musterfolien für Schulungen zur Bundesamt für Sicherheit in der Informationstechnik (BSI)
Hinweis • Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT-Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.
Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke BSI-Sicherheitsstandards IT-Grundschutz-Kataloge IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung ISO 27001 Zertifizierung auf Basis von IT-Grundschutz Hilfsmittel rund um denIT-Grundschutz Überblick
IT-Sicherheit ist ...gefährdet • Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ... • Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ... • Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" • Technisches Versagen: Systemabsturz, Plattencrash, ... • Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...
Bedrohungen in der PraxisBeispiele • Irrtum und Nachlässigkeit • Malware • Internetdienste (WWW, E-Mail,…) • Hacking und Cracking • Wirtschaftsspionage • Diebstahl von IT-Einrichtungen • ...
Unzureichende Software-TestsBeispiel: British Airways Informationweek, April 2001Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten. Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.
Schutz von Informationen Informationen… • … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. • … sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung
Nachgewiesene IT-Sicherheit lohnt sich ... • Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb • mittelfristige Kosteneinsparungen • IT-Sicherheitsniveau ist messbar • Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen • Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte • Versicherungen honorieren zunehmend IT-Sicherheit
Typische Probleme in der Praxis • Resignation, Fatalismus und Verdrängung • Kommunikationsprobleme • Sicherheit wird als technisches Problem mit technischen Lösungen gesehen • Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten • unsystematisches Vorgehen bzw. falsche Methodik • Management: fehlendes Interesse, schlechtes Vorbild • Sicherheitskonzepte richten sich an Experten, die IT-Benutzer werden vergessen
Konsequenzen fehlender Regelungen... oder: Jeder tut, was er will! • Konfusion im Notfall • Was ist zu tun? Wer hilft? • lückenhafte Datensicherung • Notebooks, Telearbeitsplätze, lokale Datenhaltung • fehlende Klassifizierung von Informationen • Verschlüsselung, Weitergabe und Austausch von Informationen • gefährliche Internetnutzung • Was alle machen, kann doch nicht unsicher sein? • Disziplinlosigkeit • Ignoranz und Arroganz statt geregelter Prozesse • Konsequenzen bleiben aus, sind zu hart, sind willkürlich
Irrtum und Nachlässigkeit • Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit • Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1): • 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall • 90% davon erklären dies durch einfache Anwenderfehler 1)Quelle: Broadcasters Res. International Information Security
KES-StudieStellenwert der Sicherheit • …beim Top-Management: Quelle: KES 2006
„IT-Sicherheit ist Chefsache“ Stellenwert der Sicherheit
IT-Sicherheit im Spannungsfeld Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“ Sicherheit Bequemlichkeit Kosten
Methodik für IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste?
IT-GrundschutzDie Idee ... • Typische Abläufe und IT-Komponenten überall ähnlich • Wichtig: • Wiederverwendbarkeit • Anpassbarkeit • Erweiterbarkeit • Typische Gefährdungen, Schwachstellen und Risiken • Typische Geschäftsprozesse und Anwendungen • Typische IT-Komponenten • Gerüst für das IT-Sicherheitsmanagement wird gebildet
IT-GrundschutzPrinzipien • Typische Abläufe von Geschäftsprozessen und Komponenten, bei denen geschäftsrelevante Informationen verarbeitet werden, werden betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch organisatorische und personelle Aspekte, physische Infrastruktur, ...) • Typische Schadensszenarien für die Ermittlung des Schutzbedarfs werden vorgegeben • Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen • Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit • Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden
Ziel des IT-Grundschutzes • IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. • Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. • An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.
Ziel des IT-Grundschutzes Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.
Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein „Information Security Management System“) Sammlung von Standard-Sicherheitsmaßnahmen ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-Sicherheit Verschiedene Facetten von IT-Grundschutz Organisation Personal Technik Infrastruktur
IT-Grundschutz - Vorteile • arbeitsökonomische Anwendungsweise durchSoll-Ist-Vergleich • kompakte IT-Sicherheitskonzepte durchVerweis auf Referenzquelle • praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit • Erweiterbarkeit und Aktualisierbarkeit
Empfehlungen für IT-Grundschutz • Der Bundesbeauftragte für den Datenschutz • Bundesregierung(zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung) • Die Rechnungshöfe des Bundes und der Länder • Landesverwaltung Rheinland-Pfalzfür Behörden, Gerichte und sonstige Stellen der Landesverwaltung • Rheinischer Sparkassen- und Giroverband, Prüfungsstelle • Deutsche Genossenschafts-Revision Wirtschaftsprüfungs-gesellschaft GmbH • über 3.000 registrierte Anwender weltweit • über 10.000 Lizenzen für das GSTOOL
Erreichbares Sicherheitsniveau Sicherheitsniveau normaler Schutzbedarf Sicherheitsaspekte
Erreichbares Sicherheitsniveau Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind • für die Schutzbedarfskategorie "normal" • im Allgemeinen ausreichend und angemessen • für die Schutzbedarfskategorie "hoch" und "sehr hoch" • Basisschutz und Ausgangsbasis • zusätzliche Sicherheitsmaßnahmen sollten durch ergänzende Sicherheitsanalyse ermittelt werden(BSI-Standard 100-3)
IT-Grundschutzhandbuch 1995 • 18 Bausteine • 200 Maßnahmen • 150 Seiten IT-Grundschutzhandbuch 2004 • 58 Bausteine • 720 Maßnahmen • 2550 Seiten IT-GrundschutzHistorie
IT-GrundschutzAktuell seit 2005 + BSI-Standards Loseblattsammlung
BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3:Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4:Notfallmanagement BSI-Sicherheitsstandards sowieZertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz –Prüfschema für Auditoren-
IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen • Bausteinkataloge • Kapitel B1 "Übergreifende Aspekte" • Kapitel B2 "Infrastruktur" • Kapitel B3 "IT-Systeme" • Kapitel B4 "Netze" • Kapitel B5 "IT-Anwendungen" • Gefährdungskataloge • Maßnahmenkataloge BSI-Standard 100-1- BSI-Standard zur IT Sicherheit - BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis vonIT-Grundschutz BSI Standard 100-4: Notfallmanagement
BSI-Standard 100-1 ISMS ISMS: Managementsysteme für Informationssicherheit • Zielgruppe: Management • Allgemeine Anforderungen an ein ISMS • Kompatibel mit ISO 27001 • Empfehlungen aus ISO 13335 und 17799 • Didaktische Aufbereitung ISMS = Information - Security - Management - System
BSI-Standard 100-1Komponenten eines ISMS • Komponenten: • Management-Prinzipien • Ressourcen • Mitarbeiter • IT-Sicherheitsprozess • IT-Sicherheitsleitlinie(einschl. IT-Sicherheitsziele und -strategie) • IT-Sicherheitskonzept • IT-Sicherheitsorganisation
BSI-Standard 100-1Inhalte 1. Einleitung 2. Einführung in Informationssicherheit 3. ISMS-Definition und Prozessbeschreibung 4. Management-Prinzipien 5. Ressourcen für IT-Betrieb und IT-Sicherheit 6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess 7. Der IT-Sicherheitsprozess 8. IT-Sicherheitskonzept 9. Das ISMS des BSI: IT-Grundschutz
BSI-Standard 100-1IT-Sicherheitsstrategie Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele, Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse, ...) IT-Sicherheitsstrategie • Sicherheitsziele • Umsetzung der Strategie durch Sicherheitsorganisation und IT-Sicherheitskonzept • Dokumentation der Strategie in der IT-Sicherheitsleitlinie • Regelmäßige Überprüfung und Verbesserung!
BSI-Standard 100-1IT-Sicherheitsstrategie • IT-Sicherheitsstrategie als zentrale Komponente des ISMS:
BSI-Standard 100-1Prozessbeschreibung • Sicherheit unterliegt einer kontinuierlichen Dynamik(z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt) • Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern! • IT-Systemeinführung planen • IT-Sicherheitsmaßnahmen definieren und umsetzen. • Erfolgskontrolle regelmäßig durchführen • Schwachpunkte oder Verbesserungsmöglichkeiten finden • Maßnahmen verbessern (Änderungen planen und umsetzen) • IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen
BSI-Standard 100-1Komponenten eines ISMS • Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT-Sicherheitskonzeptes und einer IT-Sicherheitsorganisation
BSI-Standard 100-1ISMS des BSI: IT-Grundschutz • Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards 27001und 13335 ist • generisch • als Rahmenvorgaben zu verstehen Gestaltungsspielraum in der Praxis • Herausforderung: • ISMS effektiv und effizient gestalten • Schlüsselfrage: • Risikobewertung
BSI-Standard 100-1ISMS des BSI: IT-Grundschutz • IT-Grundschutz-Vorgehensweise: • Anwendungsansatz für die Etablierung und Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen • Vorteileder IT-Grundschutzmethode: • für die meisten Anwendungsfälle geeignet • Kostengünstig • Praxiserprobt • konkret • vollständig kompatibel zu ISO 27001
IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen • Bausteinkataloge • Kapitel B1 "Übergreifende Aspekte" • Kapitel B2 "Infrastruktur" • Kapitel B3 "IT-Systeme" • Kapitel B4 "Netze" • Kapitel B5 "IT-Anwendungen" • Gefährdungskataloge • Maßnahmenkataloge BSI-Standard 100-2- BSI-Standard zur IT Sicherheit - BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis vonIT-Grundschutz BSI Standard 100-4: Notfallmanagement
BSI-Standard 100-2Wesentliche Merkmale • Aufbau und Betrieb eines IT-Sicherheitsmanagements(ISMS) in der Praxis • Anleitungenzu: • Aufgaben des IT-Sicherheitsmanagements • Etablierung einer IT-Sicherheitsorganisation • Erstellung eines IT-Sicherheitskonzepts • Auswahl angemessener IT-Sicherheitsmaßnahmen • IT-Sicherheit aufrecht erhalten und verbessern
BSI-Standard 100-2Wesentliche Merkmale • Interpretation der Anforderungen aus ISO 13335, 17799 und 27001 • Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen • Verweis auf IT-Grundschutz-Kataloge zur detaillierten(auch technischen) Umsetzung • Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen
BSI-Standard 100-2Inhalte • Einleitung • IT-Sicherheitsmanagement mit IT-Grundschutz • Initiierung des IT-Sicherheitsprozesses • Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz • Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung
Übersicht über denIT-Sicherheitsprozess 1 • Analyse: Geschäftsprozesse, Unternehmensziele • IT-Sicherheitsleitlinie • IT-Sicherheitsorganisation Initiative der Geschäftsführung 2 • Informationen, IT-Systeme, Anwendungen • Schutzbedarf (Szenarien) Analyse der Rahmen-bedingungen 3 • Sicherheitsmaßnahmen • Identifikation von Sicherheits-lücken Sicherheitscheck
Übersicht über denIT-Sicherheitsprozess 4 • Liste geeigneter Maßnahmen • Kosten- und Nutzenanalyse • Auswahl umzusetzender Maßnahmen • Dokumentation des Restrisikos Planung von Maßnahmen 5 • Implementierung • Test • Notfallvorsorge Umsetzung von Maßnahmen • Sensibilisierung • Schulung • Audit, Kontrollen, Monitoring, Revision • Notfallvorsorge 6 Sicherheit im laufenden Betrieb
BSI-Standard 100-2Übersicht IT-Sicherheitsprozess • Initiierung des IT-Sicherheitsprozesses • IT-Sicherheitskonzeption(einschl. Umsetzung) • Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung
BSI-Standard 100-2Verantwortung der Leitungsebene • Verantwortung der Leitungsebene: • Kontinuierlichen IT-Sicherheitsprozess etablieren, d.h. u.a. • Grundlegende IT-Sicherheitsziele definieren • Angemessenes IT-Sicherheitsniveau basierend auf Geschäftszielen und Fachaufgaben festlegen • IT-Sicherheitsstrategie zur Erreichung der IT-Sicherheitsziele entwickeln • IT-Sicherheitsorganisation aufbauen • Erforderliche Mittel bereitstellen • Alle Mitarbeiter einbinden