Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einführung in die Vorgehensweise nach IT-Grundschutz

Ähnliche Präsentationen


Präsentation zum Thema: "Einführung in die Vorgehensweise nach IT-Grundschutz"—  Präsentation transkript:

1 Einführung in die Vorgehensweise nach IT-Grundschutz
Musterfolien für Schulungen zur Einführung in die Vorgehensweise nach IT-Grundschutz Bundesamt für Sicherheit in der Informationstechnik (BSI)

2 Hinweis Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT-Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.

3 Überblick Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke
BSI-Sicherheitsstandards IT-Grundschutz-Kataloge IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung ISO Zertifizierung auf Basis von IT-Grundschutz Hilfsmittel rund um den IT-Grundschutz

4 IT-Sicherheit ist ... gefährdet
Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash, ... Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...

5 Bedrohungen in der Praxis Beispiele
Irrtum und Nachlässigkeit Malware Internetdienste (WWW, ,…) Hacking und Cracking Wirtschaftsspionage Diebstahl von IT-Einrichtungen ...

6 KES-Studie 2006 Bedeutung der Gefahrenbereiche

7 Unzureichende Software-Tests Beispiel: British Airways
Informationweek, April 2001 Chaos bei British Airways Ein Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten. Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

8 Schutz von Informationen
… sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. … sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung

9 Nachgewiesene IT-Sicherheit lohnt sich ...
Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte Versicherungen honorieren zunehmend IT-Sicherheit Überschrift: Schriftart Arial Fett, Schriftgröße 30 pt. Text: Schriftart Arial, Schriftgröße 24 pt. Einrückung: 1 Tabstopp, gleiche Schriftart und –größe wie Text Verfasser im Folienmaster ändern: nur Kürzel eintragen

10 Typische Probleme in der Praxis
Resignation, Fatalismus und Verdrängung Kommunikationsprobleme Sicherheit wird als technisches Problem mit technischen Lösungen gesehen Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten unsystematisches Vorgehen bzw. falsche Methodik Management: fehlendes Interesse, schlechtes Vorbild Sicherheitskonzepte richten sich an Experten, die IT-Benutzer werden vergessen

11 Konsequenzen fehlender Regelungen ... oder: Jeder tut, was er will!
Konfusion im Notfall Was ist zu tun? Wer hilft? lückenhafte Datensicherung Notebooks, Telearbeitsplätze, lokale Datenhaltung fehlende Klassifizierung von Informationen Verschlüsselung, Weitergabe und Austausch von Informationen gefährliche Internetnutzung Was alle machen, kann doch nicht unsicher sein? Disziplinlosigkeit Ignoranz und Arroganz statt geregelter Prozesse Konsequenzen bleiben aus, sind zu hart, sind willkürlich

12 Irrtum und Nachlässigkeit
Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1): 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall 90% davon erklären dies durch einfache Anwenderfehler 1) Quelle: Broadcasters Res. International Information Security

13 KES-Studie Stellenwert der Sicherheit
…beim Top-Management: Quelle: KES 2006

14 Stellenwert der Sicherheit
„IT-Sicherheit ist Chefsache“

15 IT-Sicherheit im Spannungsfeld
Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“ Sicherheit Bequemlichkeit Kosten

16 Methodik für IT-Sicherheit?
Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste?

17 IT-Grundschutz Die Idee ...
Typische Abläufe und IT-Komponenten überall ähnlich Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet

18 IT-Grundschutz Prinzipien
Typische Abläufe von Geschäftsprozessen und Komponenten, bei denen geschäftsrelevante Informationen verarbeitet werden, werden betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch organisatorische und personelle Aspekte, physische Infrastruktur, ...) Typische Schadensszenarien für die Ermittlung des Schutzbedarfs werden vorgegeben Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden

19 Ziel des IT-Grundschutzes
IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.

20 Ziel des IT-Grundschutzes
Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.

21 Verschiedene Facetten von IT-Grundschutz
Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein „Information Security Management System“) Sammlung von Standard-Sicherheitsmaßnahmen ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-Sicherheit Organisation Personal Technik Infrastruktur

22 IT-Grundschutz - Vorteile
arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit

23 Empfehlungen für IT-Grundschutz
Der Bundesbeauftragte für den Datenschutz Bundesregierung (zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung) Die Rechnungshöfe des Bundes und der Länder Landesverwaltung Rheinland-Pfalz für Behörden, Gerichte und sonstige Stellen der Landesverwaltung Rheinischer Sparkassen- und Giroverband, Prüfungsstelle Deutsche Genossenschafts-Revision Wirtschaftsprüfungs-gesellschaft GmbH über registrierte Anwender weltweit über Lizenzen für das GSTOOL

24 Erreichbares Sicherheitsniveau
normaler Schutzbedarf Sicherheitsaspekte

25 Erreichbares Sicherheitsniveau
Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind für die Schutzbedarfskategorie "normal" im Allgemeinen ausreichend und angemessen für die Schutzbedarfskategorie "hoch" und "sehr hoch" Basisschutz und Ausgangsbasis zusätzliche Sicherheitsmaßnahmen sollten durch ergänzende Sicherheitsanalyse ermittelt werden (BSI-Standard 100-3)

26 IT-Grundschutz Historie
IT-Grundschutzhandbuch 1995 18 Bausteine 200 Maßnahmen 150 Seiten IT-Grundschutzhandbuch 2004 58 Bausteine 720 Maßnahmen 2550 Seiten

27 IT-Grundschutz Aktuell
seit 2005 BSI-Standards + Loseblattsammlung

28 BSI-Sicherheitsstandards
BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz sowie Zertifizierung nach ISO auf der Basis von IT-Grundschutz -Prüfschema für Auditoren-

29 BSI-Standard 100-1 - BSI-Standard zur IT Sicherheit -
IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

30 BSI-Standard ISMS ISMS: Managementsysteme für Informationssicherheit Zielgruppe: Management Allgemeine Anforderungen an ein ISMS Kompatibel mit ISO 27001 Empfehlungen aus ISO und 17799 Didaktische Aufbereitung

31 BSI-Standard 100-1 Komponenten eines ISMS
Management-Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess IT-Sicherheitsleitlinie (einschl. IT-Sicherheitsziele und -strategie) IT-Sicherheitskonzept IT-Sicherheitsorganisation

32 BSI-Standard 100-1 Inhalte
1. Einleitung 2. Einführung in Informationssicherheit 3. ISMS-Definition und Prozessbeschreibung 4. Management-Prinzipien 5. Ressourcen für IT-Betrieb und IT-Sicherheit 6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess 7. Der IT-Sicherheitsprozess 8. IT-Sicherheitskonzept 9. Das ISMS des BSI: IT-Grundschutz

33 BSI-Standard 100-1 Managementsystem

34 BSI-Standard 100-1 IT-Sicherheitsstrategie
Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele, Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse, ...) IT-Sicherheitsstrategie Sicherheitsziele Umsetzung der Strategie durch Sicherheitsorganisation und IT-Sicherheitskonzept Dokumentation der Strategie in der IT-Sicherheitsleitlinie Regelmäßige Überprüfung und Verbesserung!

35 BSI-Standard 100-1 IT-Sicherheitsstrategie
IT-Sicherheitsstrategie als zentrale Komponente des ISMS:

36 BSI-Standard 100-1 Prozessbeschreibung
Sicherheit unterliegt einer kontinuierlichen Dynamik (z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt) Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern! IT-Systemeinführung planen IT-Sicherheitsmaßnahmen definieren und umsetzen. Erfolgskontrolle regelmäßig durchführen Schwachpunkte oder Verbesserungsmöglichkeiten finden Maßnahmen verbessern (Änderungen planen und umsetzen) IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen

37 BSI-Standard 100-1 Lebenszyklus

38 BSI-Standard 100-1 Komponenten eines ISMS
Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT-Sicherheitskonzeptes und einer IT-Sicherheitsorganisation

39 BSI-Standard 100-1 ISMS des BSI: IT-Grundschutz
Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards und ist generisch als Rahmenvorgaben zu verstehen  Gestaltungsspielraum in der Praxis Herausforderung: ISMS effektiv und effizient gestalten Schlüsselfrage: Risikobewertung

40 BSI-Standard 100-1 ISMS des BSI: IT-Grundschutz
IT-Grundschutz-Vorgehensweise: Anwendungsansatz für die Etablierung und Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen Vorteile der IT-Grundschutzmethode: für die meisten Anwendungsfälle geeignet Kostengünstig Praxiserprobt konkret vollständig kompatibel zu ISO 27001

41 BSI-Standard 100-2 - BSI-Standard zur IT Sicherheit -
IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

42 BSI-Standard 100-2 Wesentliche Merkmale
Aufbau und Betrieb eines IT-Sicherheitsmanagements (ISMS) in der Praxis Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern

43 BSI-Standard 100-2 Wesentliche Merkmale
Interpretation der Anforderungen aus ISO 13335, und 27001 Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen

44 BSI-Standard 100-2 Inhalte
Einleitung IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung

45 Übersicht über den IT-Sicherheitsprozess
1 Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Initiative der Geschäftsführung 2 Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) Analyse der Rahmen-bedingungen 3 Sicherheitsmaßnahmen Identifikation von Sicherheits-lücken Sicherheitscheck

46 Übersicht über den IT-Sicherheitsprozess
4 Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos Planung von Maßnahmen 5 Implementierung Test Notfallvorsorge Umsetzung von Maßnahmen Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge 6 Sicherheit im laufenden Betrieb

47 BSI-Standard 100-2 Übersicht IT-Sicherheitsprozess
Initiierung des IT-Sicherheitsprozesses IT-Sicherheitskonzeption (einschl. Umsetzung) Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung

48 BSI-Standard 100-2 IT-Sicherheitsorganisation

49 BSI-Standard 100-2 Verantwortung der Leitungsebene
Kontinuierlichen IT-Sicherheitsprozess etablieren, d.h. u.a. Grundlegende IT-Sicherheitsziele definieren Angemessenes IT-Sicherheitsniveau basierend auf Geschäftszielen und Fachaufgaben festlegen IT-Sicherheitsstrategie zur Erreichung der IT-Sicherheitsziele entwickeln IT-Sicherheitsorganisation aufbauen Erforderliche Mittel bereitstellen Alle Mitarbeiter einbinden

50 BSI-Standard 100-2 Aufgaben im IT-Sicherheitsprozess

51 BSI-Standard 100-2 Einrichtung des IT-Sicherheitsmanagements
Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaß-nahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher etc.

52 BSI-Standard 100-2 Einrichtung des IT-Sicherheitsmanagements
Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme etc.

53 BSI-Standard 100-2 IT-Sicherheitsleitlinie (Policy)
Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderung, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Sicherheit ist Chefsache!

54 BSI-Standard 100-2 IT-Sicherheitsleitlinie

55 BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise

56 BSI-Standard 100-2 Erstellung eines IT-Sicherheitskonzeptes
Methodik für ein effektives IT-Sicherheitsmanagement Aufwand im IT-Sicherheitsprozess reduzieren‚ durch Anwendung von Standard- Sicherheitsmaßnahmen Integration einer Methode zur Risikobetrachtung, unter anderem für hohen und sehr hohen Schutzbedarf

57 BSI-Standard 100-2 Aufrechterhaltung und Verbesserung
Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung: IT-Sicherheitsprozess regelmäßig auf seine Effektivität und Effizienz hin überprüfen Erfolgskontrolle und Bewertung des IT-Sicherheitsprozesses durch die Leitungsebene Erfolgskontrolle im Rahmen interner Audits (Unabhängigkeit!)

58 BSI-Standard 100-3 - BSI-Standard zur IT Sicherheit -
IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

59 BSI-Standard 100-3 Risikoanalyse

60 BSI-Standard 100-3 Risikoanalyse
Als Methoden stehen zur Verfügung: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz klassische Risikoanalyse Penetrationstest Differenz-Sicherheitsanalyse

61 Risikoanalyse-Ansatz
Maßnahmen der IT-Grundschutz-Kataloge Zusätzliche Maßnahmen der Ergänzende Risikoanalyse

62 Risikoanalyse Das zweistufige BSI-Modell
(1) Für normalen Schutzbedarf, übliche Einsatzszenarien und existierende Bausteine: qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen (2) Für den höheren Schutzbedarf, unübliche Einsatzszenarien, unzureichende Abdeckung mit Bausteinen und durch Management festgestellten Bedarf: vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3

63 BSI-Standard 100-3 IT-Sicherheitskonzept

64 BSI-Standard 100-3 Inhalte
1 Einleitung 2 Vorarbeiten 3 Erstellung der Gefährdungsübersicht 4 Ermittlung zusätzlicher Gefährdungen 5 Gefährdungsbewertung 6 Behandlung von Risiken 7 Konsolidierung des IT-Sicherheitskonzepts 8 Rückführung in den IT-Sicherheitsprozess

65 BSI-Standard 100-3 Ergänzende Sicherheitsanalyse
IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Konsolidierung der Maßnahmen Realisierung der Maßnahmen Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT-Grundschutz Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert.

66 BSI-Standard 100-3 Risikoanalyse nach IT-Grundschutz
Erstellung der Gefährdungsübersicht 2 Ermittlung zusätzlicher Gefährdungen 3 Gefährdungsbewertung 4 Maßnahmenauswahl zur Behandlung von Risiken 5 Konsolidierung des IT-Sicherheitskonzepts

67 BSI-Standard 100-3 Behandlung von Risiken
Transfer Überwachung

68 BSI-Standard 100-3 Konsolidierung des IT-Sicherheitskonzeptes
IT-Sicherheitskonzept konsolidieren IT-Sicherheitsmaßnahmen für jedes Zielobjekt anhand folgender Kriterien überprüfen Eignung der IT-Sicherheitsmaßnahmen zur Abwehr der Gefährdungen Zusammenwirken der IT-Sicherheitsmaßnahmen Benutzerfreundlichkeit der IT-Sicherheitsmaßnahmen Angemessenheit der IT-Sicherheitsmaßnahme

69 Vorgehensweise nach IT-Grundschutz Zusammenfassung
Initiierung des IT-Sicherheitsprozesses IT - Strukturanalyse Schutzbedarfsfeststellung g s n s u g u g Modellierung t l n l f n a u s u h f n r r ü o e Basis-Sicherheitscheck I Gefährdungsübersicht e r i i t p t z a f i h r i Ergänz . Sicherheitsanalyse Zusätzliche Gefährdungen c e m t r e b r r e f Ü o f Z Gefährdungsbewertung u n A I Basis-Sicherheitscheck II Behandlung von Risiken Realisierung Konsolidierung Standard-Sicherheit Risikoanalyse

70 IT-Grundschutz-Kataloge Übersicht

71 IT-Grundschutz-Kataloge Inhalt
Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Maßnahmen Bausteine Gefährdungen + + Loseblattsammlung

72 IT-Grundschutz-Kataloge Aufbau

73 IT-Grundschutz-Kataloge Struktur der Bausteine
Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge

74 IT-Grundschutz-Kataloge Schichtenmodell
SCHICHT I ÜBERGREIFENDE ASPEKTE SCHICHT II INFRASTRUKTUR SCHICHT III IT-SYSTEME SCHICHT IV NETZE SCHICHT V ANWENDUNGEN

75 IT-Grundschutz-Kataloge Schicht 1: Übergreifende Aspekte
Betreffen den gesamten IT-Verbund Bausteine: Incident Handling Hard- und Software-Management Standardsoftware Outsourcing Archivierung IT-Sicherheitssensibilisierung und -schulung IT-Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Computer-Virenschutzkonzept Kryptokonzept Organisation: mindestens einmal Wenn Teile des IT-Verbunds einer anderen Organisationseinheit zugeordnet sind, Anwendung auf jede (z.B. Outsourcing) Notfallvorsorge-Konzept mindestens, wenn Komp. einen hohem SB bzgl. Verf. haben oder größere IT-Systeme bzw. umfangreiche Netze betrieben werden. Kryptokonzept wenn SB von Komp. bzgl. Vertr. oder Integr. hoch ist. Incident-Handling wenn Komp hohen SB haben

76 IT-Grundschutz-Kataloge Schicht 2: Infrastruktur
Betreffen bauliche Gegebenheiten Bausteine: Gebäude Verkabelung Büroraum Serverraum Datenträgerarchiv Raum für technische Infrastruktur Schutzschrank häuslicher Arbeitsplatz Rechenzentrum Mobiler Arbeitsplatz Besprechungs-, Veranstaltungs- und Schulungsräume

77 IT-Grundschutz-Kataloge Schicht 3: IT-Systeme
SCHICHT III B 3.1XX SERVER B 3.2XX CLIENTS B 3.3XX NETZKOMPONENTEN B 3.4XX SONSTIGE IT-SYSTEME

78 IT-Grundschutz-Kataloge Schicht 3: IT-Systeme
Bausteine: Server: Allgemeiner Server Server unter Unix Windows Server 2003 s/390 & zSeries-Mainframe ... Clients: Allgemeiner Client Allg. nicht vernetztes IT-System Client unter Unix Laptop Client unter Windows XP ... Netzkomponenten: Sicherheitsgateway (Firewall) Sonstige: Faxgerät Anrufbeantworter Mobiltelefon PDA

79 IT-Grundschutz-Kataloge Schicht 4: Netze
Bausteine: Heterogene Netze Netz- und Systemmanagement Modem Remote Access LAN-Anbindung über ISDN WLAN VoIP

80 IT-Grundschutz-Kataloge Schicht 5: Anwendungen
Bausteine: Datenträgeraustausch Lotus Notes Faxserver Datenbanken Novell eDirectory SAP Webserver Internet Information Server Apache Webserver Exchange/ Outlook 2000 Telearbeit Peer-to-Peer-Dienste

81 IT-Grundschutz-Kataloge Lebenszyklus der IT-Grundschutz-Bausteine

82 IT-Grundschutz-Kataloge Aufbau aller IT-Grundschutz-Bausteine
Konformer Aufbau jedes IT-Grundschutz-Bausteins Phase 1: Planung und Konzeption Phase 2: Beschaffung Phase 3: Umsetzung Phase 4: Betrieb Phase 5: Aussonderung/Stillegung Phase 6: Notfall-Vorsorge

83 IT-Grundschutz-Kataloge Gefährdungs-Kataloge
G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen Beispiel: G 4.1 Ausfall der Stromversorgung

84 IT-Grundschutz-Kataloge Typische Maßnahmen I
M1: Infrastruktur Schutz vor Einbrechern Brandschutzmaßnahmen Energieversorgung M2: Organisation Zuständigkeiten Dokumentationen Arbeitsanweisungen M3: Personal Vertretungsregelungen Schulung Maßnahmen beim Ausscheiden von Mitarbeitern

85 IT-Grundschutz-Kataloge Typische Maßnahmen II
M4: Hardware/Software Passwortgebrauch Protokollierung Vergabe von Berechtigungen M5: Kommunikation Konfiguration Datenübertragung , SSL, Firewall M6: Notfallvorsorge Notfallpläne Datensicherung Vorsorgemaßnahmen (z. B. redundante Systemauslegung)

86 IT-Grundschutz-Kataloge Gefährdungen vs. Maßnahmen
Kreuztabellen: Gefährdungen vs. Maßnahmen Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz

87 IT-Grundschutz-Kataloge Zusammenfassung
Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz besteht aus insgesamt ca Seiten... Baustein-Kataloge (ca. 70 Bausteine) Gefährdungs-Kataloge (ca. 420 Gefährdungen) Maßnahmen-Kataloge (ca Maßnahmen) Inhalte haben Empfehlungscharakter und sind keine "Gesetze" keine Garantie auf Vollständigkeit Stand 2006  IT-Grundschutz-Maßnahmen müssen individuell angepasst und angewandt werden

88 IT-Grundschutz-Vorgehensweise

89 IT-Sicherheitskonzept

90 Der IT-Verbund Definition
Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwen-dungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

91 IT-Sicherheitskonzepts Erstellung und Realisierung

92 IT-Strukturanalyse Teilaufgaben
Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht)  Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme (Tabelle) Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)

93 IT-Strukturanalyse Komplexitätsreduktion im Netzplan
Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden. Voraussetzungen: gleicher Typ gleiche oder nahezu gleiche Konfiguration gleiche oder nahezu gleiche Netzanbindung (z. B. Anschluss am gleichen Switch) gleiche Rahmenbedingungen (Administration und Infrastruktur) gleiche Anwendungen

94 IT-Strukturanalyse Beispiel: Gruppenbildung

95 IT-Strukturanalyse Erhebung der IT-Systeme
IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten Netzdrucker TK-Anlagen etc. Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen.

96 IT-Strukturanalyse Darstellung der IT-Systeme
notwendige Informationen Nr. Beschreibung Plattform Anz. Standort Status Anwender/ Admin. S1 Server für Personal- verwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb referat S2 Primärer Domänen- Controller R 3.10 alle IT-Anwender C6 Gruppe der Laptops für den Standort Berlin Laptop unter Windows 95 2 Berlin, R 2.0 in Berlin N1 Router zum Internet-Zugang Router R 3.09 T1 TK-Anlage für Bonn ISDN-TK- Anlage B.02 alle Mitarb. in Bonn

97 IT-Strukturanalyse Erfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

98 IT-Strukturanalyse Beispiel: Liste der IT-Anwendungen
Auszug aus der Liste der IT-Anwendungen

99 Schutzbedarfsfeststellung
Teilaufgaben Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse

100 Schutzbedarfsfeststellung
Schutzbedarf ist meist nicht quantifizierbar.  Beschränkung auf drei Kategorien

101 Schutzbedarfsfeststellung
Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn... ?") Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen Individualisierung der Zuordnungstabelle!

102 Schutzbedarfsfeststellung Beispiel: IT-Anwendungen

103 Schutzbedarfsfeststellung IT-Systeme
Maximumprinzip Auf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems. Kumulationseffekt Durch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT-Systems erhöht sich dann entsprechend. Verteilungseffekt Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen. Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung. Maximum-Prinzip: Beachtung von Abhängigkeiten unwichtige Anwendung liefert Input für wichtige Anwendung Kumulationseffekt: Auf einem Server befinden sich alle für die Bürokommunikation benötigten Anwendungen. Ausfall einer Anwendung ist noch nicht schlimm, wehe der Server fällt aber komplett aus. Verteilungseffekt: hauptsächlich bzgl. Verfügbarkeit Bei redundanter Auslegung von IT-Systemen ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.

104 Schutzbedarfsfeststellung Beispiel: IT-Systeme

105 Schutzbedarfsfeststellung Kommunikationsverbindungen
Folgende Kommunikationsverbindungen sind kritisch: Außenverbindungen (1) Übertragung von hochschutzbedürftigen Informationen Schutzbedarf resultiert aus Vertraulichkeit (2) Schutzbedarf resultiert aus Integrität (3) Schutzbedarf resultiert aus Verfügbarkeit (4) Hochschutzbedürftige Informationen dürfen auf keinen Fall übertragen werden. (5) Verbindungen im Netzplan grafisch hervorheben tabellarische Dokumentation

106 Schutzbedarfsfeststellung Beispiel: IT-Räume

107 Modellierung nach IT-Grundschutz
Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge

108 Basis-Sicherheitscheck
IT-Grundschutz-Modell Soll-/Ist-Vergleich Maßnahmen- empfehlungen Realisierte Maßnahmen umzusetzende Maßnahmen

109 Basis-Sicherheitscheck Umsetzungsstatus
Mögliche Umsetzungsstatus einzelner Maßnahmen: "entbehrlich" Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. nicht relevant, weil z. B. Dienste nicht aktiv "ja" Alle Empfehlungen sind vollständig und wirksam umgesetzt. "teilweise" "nein"

110 Ergänzende Sicherheitsanalyse
IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert. Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT-Grundschutz Konsolidierung der Maßnahmen Realisierung der Maßnahmen

111 Konsolidierung der Maßnahmen
IT-Grundschutz-Analyse höherwertige Maßnahmen IT-Grundschutz- Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen Risikoanalyse ergänzende Sicherheitsanalyse Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge mit den zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse => zu realisierende Maßnahmen

112 Realisierung von IT-Sicherheitsmaßnahmen I
Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt? Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden? Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.

113 Realisierung von IT-Sicherheitsmaßnahmen II
Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Breitenwirkung beachten! Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um? Schritt 6: Realisierungsbegleitende Maßnahmen Schulung der Mitarbeiter Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle Ressourcen erforderlich?  Schritte 1,3,4 können entfallen

114 IT-Grundschutz bedeutet...
Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten

115 ISO/IEC 27001 auf einen Blick
“Information Security Management Systems – Requirements“ spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS) ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe kann als Grundlage für Vertragsbeziehungen zwischen Organisationen benutzt werden erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001)

116 ISO/IEC 27002 auf einen Blick
ISO/IEC (bisher ISO/IEC 17799:2005) “Code of practice for information security management“ ist ein Leitfaden (keine Spezifikation und kein Zertifizierungsstandard) Ergänzung zur ISO 27001 Detaillierung der normativen Anlage A der ISO 27001) dient zum besseren Verständnis der in der ISO definierten Anforderungen (insbesondere aus Anhang A) Basis zur Entwicklung von organisationseigenen Verfahren und Regelungen

117 Bundesamt für Sicherheit in der Informationstechnik
BSI-Zertifizierung BSI-Zertifikat Unterstützt durch akkreditierte Prüfstellen internationale Komitees für - Kriterienentwicklung und -Harmonisierung - gegenseitige Anerkennung Unterstützt durch lizenzierte Auditoren internationale Komitees für - Kriterien-Entwicklung und -Harmonisierung - gegenseitige Anerkennung IT-Grundschutz Produkt Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Zertifikat Produktzertifikat bestätigt funktionierendes und effektives IT-Sicherheitsmanagement bestätigt produktspezifische Sicherheitsfunktionalität und -qualität Kunde, Nutzer, Anwender Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung.

118 ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

119 Zertifizierungsablauf
beauftragt Prüfung der Umsetzung von IT-Grundschutz prüft IT-Verbund erstellt Prüfbericht Antragsteller Zertifizierungsstelle gibt Prüfbericht an BSI überprüft / lizenziert Auditor prüft Prüfbericht vergibt / veröffentlicht Zertifikat ISO Auditor auf Basis von IT-Grundschutz

120 ISO 27001 Zertifizierung Phasen der Zertifizirung
Initialisierung Zertifizierungs-Antrag Befugnis für die Durchführung eines Audits Ggf. Abstimmung des IT-Verbundes Bewertung des Audits Erstellung des Auditreports Nachprüfung Durchführung des Audits Prüfung der Dokumentation Vorbereitung des Audit-Tätigkeiten vor Ort Durchführung der Audit-Tätigkeiten vor Ort Re-Zertifizierungs-Audit

121 ISO 27001 Zertifizierung Stufenkonzept

122 ISO 27001-Zertifizirung Siegelstufen
Umsetzung der Maßnahmen zur Qualifizierung nach IT-Grundschutz

123 ISO 2701 Zertifizierung Siegelstufen
Kategorisierung der Maßnahmen für die Grundschutz-Qualifizierung Das Auditor-Testat "Einstiegsstufe" (Maßnahmen der Stufe A) Das Auditor-Testat "Aufbaustufe" (Maßnahmen der Stufe A und B) ISO Zertifikat auf der Basis von IT-Grundschutz (Maßnahmen der Stufe A, B und C sowie Maßnahmen aus Risikoanalyse)

124 ISO 27001 Zertifizierung und Auditor-Testate
Auditor-Testat „Einstiegsstufe“ Auditor-Testat „Aufbaustufe“ ISO Zertifikat IT-Grundschutz-Auditor IT-Grundschutz-Auditor ISO Auditor 45 € 45 € 2500 €

125 ISO 27001 Zertifikate auf der Basis von IT-Grundschutz
Die BSI-Zertifizierung umfaßt sowohl eine Prüfung des ISMS als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001 zertifiziert zugleich nach deutschen und nach internationalen Standards ist aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung Seit Anfang 2006 „ISO Zertifikate auf der Basis von IT-Grundschutz“ (Realisierung einer nationale Ausprägung der ISO 27001)

126 Warum Zertifizierung? Optimierung interner Prozesse
geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte

127 Erfahrungen mit der Zertifizierung
Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie auch für großen Rechenzentren geeignet! Umsetzung IT-Grundschutz: Monate Aufwand des Auditors: Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung

128 Veröffentlichung der ISO 27001-Zertifikate auf Basis von IT-Grundschutz
Internet unter KES diverse Publikationen usw.

129 Lizenzierung ISO 27001-Auditor
Das BSI lizenziert den Auditor Für das Lizenzierungsverfahren wird vom BSI eine Pauschalgebühr erhoben Eine Lizenz als Auditor ist 5 Jahre gültig. Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen Eine Verlängerung der Gültigkeit ist durch eine neue Antragstellung möglich zum Download von der Webseite:

130 Voraussetzungen für die Lizenzierung
Zeugnis über Berufsabschluss 5-jährige Berufserfahrung im Bereich Informationstechnik 2-jährige IT-Sicherheitserfahrung 4 Audits von zusammen mindestens 20 Personentagen 5-tägige Schulungsveranstaltung von insgesamt 40 Stunden Abschlußprüfung Der Lizenzierungsvertrag zwischen BSI und Auditor ist unterzeichnet (Personenlizenz)

131 Dienstleistungen und Produkte rund um den IT-Grundschutz
+ Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit Webkurs zum Selbststudium BSI Standard 100-1: ISMS Hilfsmittel & Musterrichtlinien Software: „GSTOOL“ BSI Standard 100-2: IT-Grundschutz-Vorgehensweise Beispiele: „GS-Profile“ ISO Zertifikat IT-Grundschutz-Kataloge BSI Standard 100-3: Risikoanalyse

132 Dienstleistungen und Produkte rund um den IT-Grundschutz
Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit - + Webkurs zum Selbststudium Hilfsmittel & Musterrichtlinien Software: "GSTOOL" Beispiele: "GS-Profile" ISO Zertifikat CERT Viren Internet Zerti-fizierung kritische Infrastruk-turen Krypto-graphie Mobilfunk E-Govern-ment Biometrie ...

133 Leitfaden IT-Sicherheit
Hilfsmittel Leitfaden IT-Sicherheit

134 Leitfaden IT-Sicherheit
Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf wenigen Seiten Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutz light" Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT-Sicherheit Sensibilisierensbeispiele zum Download von der Webseite:

135 Webkurs IT-Grundschutz
Hilfsmittel Webkurs IT-Grundschutz

136 Webkurs IT-Grundschutz
Webkurs 2006 aktualisiert Schneller Einstieg (Ersatz für 1- bis 2-tägige Schulung) Zielgruppe: IT-Sicherheitsbeauftragte, IT- Mitarbeiter Lernmodule mit Anleitungen, Beispielen, Übungen und Tests Demonstration der Vorgehensweise anhand eines fiktiven Unternehmens zum Download von der Webseite:

137 Gliederung des Webkurs IT-Grundschutz
2 Lernzweige Für Anwender die bereits vor 2005 mit dem IT-Grundschutz gearbeitet haben (Umsteigerkurs) Für Anfänger im IT-Grundschutz (Webkurs)

138 Musterrichtlinien & Beispielkonzepte
Hilfsmittel Musterrichtlinien & Beispielkonzepte

139 Musterrichtlinien & Beispielkonzepte Übersicht über das Angebot
Strategie IT-Sicherheitsleitlinie Sicherheitsrichtlinie zur IT-Nutzung übergreifende Anweisungen Datensicherung Virenschutz Notfallvorsorge Richtlinien für einzelne Aspekte Outsourcing Internetnutzung und Archivierung Zusammenf. für Zielgruppen Hinweise für Administratoren Hinweise für IT-Benutzer zum Download von der Webseite:

140 Musterrichtlinien IT-Sicherheitsleitlinie
Inhalt: Stellenwert der IT Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Sicherheit ist Chefsache

141 Musterrichtlinien Sicherheitsrichtlinie zur IT-Nutzung
Umgang mit schützenswerten Informationen (Informationseigentümer, Klassifizierung von Informationen nach Schutzbedürftigkeit) relevante Gesetze und Vorgaben Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter, Administrator, IT-Benutzer) Ausbildung des Personals Pflicht zur Einrichtung von Vertretungsregelungen Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung, Revision und Entsorgung) grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu IT-Systemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge) Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)

142 Beispielkonzepte Datensicherungskonzept
Wo werden die Daten gespeichert? Welche Daten werden gesichert? Wer ist für die Datensicherungen zuständig? Wie wird gesichert? (Technik, Sicherungsmedien, Intervalle), Wie lange werden Datensicherungen aufbewahrt? Wie wird mit Notebooks verfahren, die nicht ständig am Netz angeschlossen sind? Wie wird überprüft, ob die Datensicherungen tatsächlich zuverlässig funktioniert haben? Wie können die Daten im Schadensfall rekonstruiert werden?

143 IT-Grundschutz-Profile
Hilfsmittel IT-Grundschutz-Profile

144 IT-Grundschutz-Profile Überblick
IT-Grundschutz-Profile: Beispiele für die Anwendung der Vorgehensweise nach IT-Grundschutz Veröffentlicht seit November 2004 3 Beispiele: kleine, mittlere, große Institution zum Download von der Webseite:

145 Anwendungsbeispiele IT-Grundschutz-Profile
Beispiele zur Anwendung des IT-Grundschutzes für Institutionen verschiedener Größe: klein: (z. B. kleine Behörde, Anwaltskanzlei): 3 Clients, 1 Server mittel: (z. B. Bankfiliale, KMU): Clients, 4 Server groß: (z. B. Rechenzentrum): Server Planung, Umsetzung, Pflege des IT-Sicherheitskonzeptes IT-Sicherheitsprozess und Herangehensweise speziell auf die jeweiligen Anwendergruppen angepasst Umsetzung des mittleren und großen Profils im GSTOOL

146 Beispielprofil für eine mittlere Institution (1)
Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution Repräsentation eines Unternehmens mit mehreren Servern und wenig IT-Grundschutz Erfahrung Ausführliche Erläuterung der Anwendung des IT-Grundschutzes Beispielhafte Anwendung des GSTOOL

147 Beispielprofil für eine mittlere Institution (2)
Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor) Stabstelle für QM und IT-Sicherheit Größe des IT-Verbundes: ca. 20 Clients und 4 Server Anbindung an das Internet über DSL Existenz interner Teilnetze IT-Anwendungen/Systeme eines Projektteams haben erhöhten Schutzbedarf und werden gesondert gruppiert

148 Beispielprofil für eine mittlere Institution (3)
Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung

149 Beispielprofil für eine mittlere Institution (4)
Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz-Vorgehensweise Hervorhebung der Schritte, die durch das GSTOOL unterstützt werden die bei einer nicht tool-gestützten Vorgehensweise zu beachten sind Anwendung des GSTOOL, dargestellt durch Screenshots

150 Weitere Hilfsmittel Formblätter, Maßnahmenlisten etc.
Kreuzreferenztabellen (Zuordnung von Maßnahmen zu Gefährdungen) Technische Zusatzinformationen zu Bausteinen Dokumentationen und Studien ITIL und Informationssicherheit Zuordnungstabelle ISO / ISO und IT-Grundschutz Muster und Beispiele von IT-Grundschutz-Anwendern zum Download von der Webseite:

151 zum Download von der Webseite: www.bsi.bund.de/gstool/index.htm
Hilfsmittel GSTOOL zum Download von der Webseite:

152 GSTOOL BSI Tool IT-Grundschutz
Die 2005er Zahlen sind die der Ausgabe Dezember 2004.

153 GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung
bei der Anwendung des IT-Grundschutzes Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung GSTOOL-Hotline: /

154 GSTOOL Leistungsmerkmale (technisch)
Netzwerkfähigkeit (SQL-Datenbank: MSDE2000 oder SQL-Server 2000) Verwaltung mehrerer Sicherheitskonzepte in einem Tool Zweisprachigkeit: deutsch/englisch Historienführung einfaches Update der Datenbasis per Internet Export von Teilarbeitsbereichen zur Bearbeitung in anderem GSTOOL Importfunktion für Datenbestände aus älteren Versionen Verschlüsselung von Exportdaten 1. Tag April 2005 1. Tag Juni 2005, 11:46 1. Tag Oktober 2005

155 GSTOOL Benutzeroberfläche
Toolbar Baumdarstellung Bearbeitungsmaske 1. Tag April 2005, 12:10 1. Tag Juni 2005, 11:32 1. Tag Oktober 2005 Status-Leiste Navigation

156 GSTOOL Preise Anzahl der Gesamtpreis Update-Preis Lizenzen GSTOOL nach 4.0 ,38 € 110,98 € ,75 € 221,95 € ,38 € 316,29 € 4 oder ,71 € 498,84 € 6 bis ,42 € 928,88 € 11 bis ,17 € 1.697,95 € 21 bis ,55 € 2.903,16 € Firmenlizenz auf Anfrage auf Anfrage Preise inkl. MwSt 3. Tag 04/05, 12:17:xx, Dauer 1:xx 3. Tag 06/05, 12:38:xx 3. Tag 10/05, 13:38:33, Dauer 1:36 3. Tag 11/05, 12:36:46, Dauer 0:29 3. Tag __/06 Deutsche Hochschulen erhalten beim Einsatz zu Lehrzwecken einen Nachlass i.H.v. 50%. Der Bezug ist für die unmittelbare deutsche öffentliche Verwaltung kostenfrei. Fragen, Wünsche, Anregungen zum Vertrieb: per telefonisch: /

157 GSTOOL Hilfsmittel GSTOOL-Handbuch jede Funktion wird erklärt
319 Seiten wird fortlaufend aktualisiert Webkurs GSTOOL seit Oktober 2005 GSTOOL-Hotline / zum Download von der Webseite:

158 Hilfsmittel Webkurs zum GSTOOL
zum Download von der Webseite:

159 Der Webkurs GSTOOL E-Learning-Kurs zur Einführung in Anwendung und
Administration des Tools (Grundlage: Version 4.0) Ergänzung zu konventionellen Schulungen Handbuch Hotline FAQ Zielgruppen Anwender (ersten Überblick) Administratoren (speziellen Leistungsmerkmalen)

160 Gliederung des Webkurses zum GSTOOL
Administrators Einrichtung des GSTOOLs Verwaltung von Zugriffsrechten Konfiguration der Datenbank Datenaustausch Benutzer Aufnahme von Komponenten Erstellung von Verknüpfungen Festlegung des Schutzbedarfs Dokumentation des IST-Zustandes

161 IT-Grundschutz-Informationen
IT-Grundschutz Hotline Telefon: / GSTOOL Hotline Telefon: /

162 Fragen und Diskussion ? ? ? ? ? ? ?

163 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI)
<Name> Godesberger Allee 53175 Bonn Tel: +49 (0) <Nr.> Fax: +49 (0) <Nr.> IT-Grundschutz Hotline: Tel: +49 (0)


Herunterladen ppt "Einführung in die Vorgehensweise nach IT-Grundschutz"

Ähnliche Präsentationen


Google-Anzeigen