Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einführung in die Vorgehensweise nach IT-Grundschutz Bundesamt für Sicherheit in der Informationstechnik (BSI) Musterfolien für Schulungen zur.

Ähnliche Präsentationen


Präsentation zum Thema: "Einführung in die Vorgehensweise nach IT-Grundschutz Bundesamt für Sicherheit in der Informationstechnik (BSI) Musterfolien für Schulungen zur."—  Präsentation transkript:

1 Einführung in die Vorgehensweise nach IT-Grundschutz Bundesamt für Sicherheit in der Informationstechnik (BSI) Musterfolien für Schulungen zur

2 2 Hinweis Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT- Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.

3 3 Überblick Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke BSI-Sicherheitsstandards IT-Grundschutz-Kataloge IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung ISO Zertifizierung auf Basis von IT-Grundschutz Hilfsmittel rund um den IT-Grundschutz

4 4 IT-Sicherheit ist... gefährdet Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit,... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte,... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash,... Vorsätzliche Handlungen: Hacker, Viren, Trojaner,...

5 5 Bedrohungen in der Praxis Beispiele Irrtum und Nachlässigkeit Malware Internetdienste (WWW, ,…) Hacking und Cracking Wirtschaftsspionage Diebstahl von IT-Einrichtungen...

6 6 KES-Studie 2006 Bedeutung der Gefahrenbereiche

7 7 Unzureichende Software-Tests Beispiel: British Airways Informationweek, April 2001 Chaos bei British Airways Ein Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten. Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

8 8 Informationen… … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. … sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung Schutz von Informationen

9 9 Nachgewiesene IT-Sicherheit lohnt sich... Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte Versicherungen honorieren zunehmend IT-Sicherheit

10 10 Typische Probleme in der Praxis Resignation, Fatalismus und Verdrängung Kommunikationsprobleme Sicherheit wird als technisches Problem mit technischen Lösungen gesehen Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten unsystematisches Vorgehen bzw. falsche Methodik Management: fehlendes Interesse, schlechtes Vorbild Sicherheitskonzepte richten sich an Experten, die IT- Benutzer werden vergessen

11 11 Konsequenzen fehlender Regelungen... oder: Jeder tut, was er will! Konfusion im Notfall Was ist zu tun? Wer hilft? lückenhafte Datensicherung Notebooks, Telearbeitsplätze, lokale Datenhaltung fehlende Klassifizierung von Informationen Verschlüsselung, Weitergabe und Austausch von Informationen gefährliche Internetnutzung Was alle machen, kann doch nicht unsicher sein? Disziplinlosigkeit Ignoranz und Arroganz statt geregelter Prozesse Konsequenzen bleiben aus, sind zu hart, sind willkürlich

12 12 Irrtum und Nachlässigkeit Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren 1) : 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall 90% davon erklären dies durch einfache Anwenderfehler 1) Quelle: Broadcasters Res. International Information Security

13 13 KES-Studie Stellenwert der Sicherheit …beim Top-Management: Quelle: KES 2006

14 14 Stellenwert der Sicherheit IT-Sicherheit ist Chefsache

15 15 IT-Sicherheit im Spannungsfeld Sicherheit KostenBequemlichkeit Häufige Situation: Sicher, Bequem, Billig Suchen Sie sich zwei davon aus!

16 16 Methodik für IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste?

17 17 Typische Abläufe und IT-Komponenten überall ähnlich Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet IT-Grundschutz Die Idee...

18 18 IT-Grundschutz Prinzipien Typische Abläufe von Geschäftsprozessen und Komponenten, bei denen geschäftsrelevante Informationen verarbeitet werden, werden betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch organisatorische und personelle Aspekte, physische Infrastruktur,...) Typische Schadensszenarien für die Ermittlung des Schutzbedarfs werden vorgegeben Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden

19 19 Ziel des IT-Grundschutzes IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.

20 20 Ziel des IT-Grundschutzes Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.

21 21 Infrastruktur Technik Personal Organisation Verschiedene Facetten von IT-Grundschutz Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein Information Security Management System) Sammlung von Standard- Sicherheitsmaßnahmen ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT- Sicherheit

22 22 IT-Grundschutz - Vorteile arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit

23 23 Empfehlungen für IT-Grundschutz Der Bundesbeauftragte für den Datenschutz Bundesregierung (zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung) Die Rechnungshöfe des Bundes und der Länder Landesverwaltung Rheinland-Pfalz für Behörden, Gerichte und sonstige Stellen der Landesverwaltung Rheinischer Sparkassen- und Giroverband, Prüfungsstelle Deutsche Genossenschafts-Revision Wirtschaftsprüfungs- gesellschaft GmbH über registrierte Anwender weltweit über Lizenzen für das GSTOOL

24 24 Erreichbares Sicherheitsniveau Sicherheitsniveau Sicherheitsaspekte normaler Schutzbedarf

25 25 Erreichbares Sicherheitsniveau für die Schutzbedarfskategorie "normal" im Allgemeinen ausreichend und angemessen für die Schutzbedarfskategorie "hoch" und "sehr hoch" Basisschutz und Ausgangsbasis zusätzliche Sicherheitsmaßnahmen sollten durch ergänzende Sicherheitsanalyse ermittelt werden (BSI-Standard 100-3) Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind

26 26 IT-Grundschutz Historie IT-Grundschutzhandbuch Bausteine 200 Maßnahmen 150 Seiten IT-Grundschutzhandbuch Bausteine 720 Maßnahmen 2550 Seiten

27 27 IT-Grundschutz Aktuell seit BSI-StandardsLoseblattsammlung

28 28 BSI-Sicherheitsstandards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz sowie Zertifizierung nach ISO auf der Basis von IT-Grundschutz -Prüfschema für Auditoren-

29 29 BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Kapitel 1:Einleitung Kapitel 2:Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standard BSI-Standard zur IT Sicherheit -

30 30 BSI-Standard ISMS Zielgruppe: Management Allgemeine Anforderungen an ein ISMS Kompatibel mit ISO Empfehlungen aus ISO und Didaktische Aufbereitung ISMS: Managementsysteme für Informationssicherheit

31 31 Komponenten: Management-Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess IT-Sicherheitsleitlinie (einschl. IT-Sicherheitsziele und -strategie) IT-Sicherheitskonzept IT-Sicherheitsorganisation BSI-Standard Komponenten eines ISMS

32 32 BSI-Standard Inhalte 1. Einleitung 2. Einführung in Informationssicherheit 3. ISMS-Definition und Prozessbeschreibung 4. Management-Prinzipien 5. Ressourcen für IT-Betrieb und IT-Sicherheit 6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess 7. Der IT-Sicherheitsprozess 8. IT-Sicherheitskonzept 9. Das ISMS des BSI: IT-Grundschutz

33 33 BSI-Standard Managementsystem

34 34 Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele, Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse,...) IT-Sicherheitsstrategie BSI-Standard IT-Sicherheitsstrategie Sicherheitsziele Umsetzung der Strategie durch Sicherheitsorganisation und IT-Sicherheitskonzept Dokumentation der Strategie in der IT-Sicherheitsleitlinie Regelmäßige Überprüfung und Verbesserung!

35 35 BSI-Standard IT-Sicherheitsstrategie IT-Sicherheitsstrategie als zentrale Komponente des ISMS:

36 36 Sicherheit unterliegt einer kontinuierlichen Dynamik (z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt) Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern! IT-Systemeinführung planen IT-Sicherheitsmaßnahmen definieren und umsetzen. Erfolgskontrolle regelmäßig durchführen Schwachpunkte oder Verbesserungsmöglichkeiten finden Maßnahmen verbessern (Änderungen planen und umsetzen) IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen BSI-Standard Prozessbeschreibung

37 37 BSI-Standard Lebenszyklus

38 38 BSI-Standard Komponenten eines ISMS Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT- Sicherheitskonzeptes und einer IT-Sicherheitsorganisation

39 39 Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards und ist generisch als Rahmenvorgaben zu verstehen Gestaltungsspielraum in der Praxis Herausforderung: ISMS effektiv und effizient gestalten Schlüsselfrage: Risikobewertung BSI-Standard ISMS des BSI: IT-Grundschutz

40 40 IT-Grundschutz-Vorgehensweise: Anwendungsansatz für die Etablierung und Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen Vorteile der IT-Grundschutzmethode: für die meisten Anwendungsfälle geeignet Kostengünstig Praxiserprobt konkret vollständig kompatibel zu ISO BSI-Standard ISMS des BSI: IT-Grundschutz

41 41 BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Kapitel 1:Einleitung Kapitel 2:Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standard BSI-Standard zur IT Sicherheit -

42 42 BSI-Standard Wesentliche Merkmale Aufbau und Betrieb eines IT-Sicherheitsmanagements (ISMS) in der Praxis Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern

43 43 BSI-Standard Wesentliche Merkmale Interpretation der Anforderungen aus ISO 13335, und Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen

44 44 BSI-Standard Inhalte Einleitung IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung

45 45 Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) Sicherheitsmaßnahmen Identifikation von Sicherheits- lücken Initiative der Geschäftsführung Analyse der Rahmen- bedingungen Sicherheitscheck Übersicht über den IT-Sicherheitsprozess

46 46 Übersicht über den IT-Sicherheitsprozess Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos Implementierung Test Notfallvorsorge Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge Planung von Maßnahmen Umsetzung von Maßnahmen Sicherheit im laufenden Betrieb 5 6 4

47 47 BSI-Standard Übersicht IT-Sicherheitsprozess Initiierung des IT-Sicherheitsprozesses IT-Sicherheitskonzeption (einschl. Umsetzung) Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung

48 48 BSI-Standard IT-Sicherheitsorganisation

49 49 BSI-Standard Verantwortung der Leitungsebene Verantwortung der Leitungsebene: Kontinuierlichen IT-Sicherheitsprozess etablieren, d.h. u.a. Grundlegende IT-Sicherheitsziele definieren Angemessenes IT-Sicherheitsniveau basierend auf Geschäftszielen und Fachaufgaben festlegen IT-Sicherheitsstrategie zur Erreichung der IT- Sicherheitsziele entwickeln IT-Sicherheitsorganisation aufbauen Erforderliche Mittel bereitstellen Alle Mitarbeiter einbinden

50 50 BSI-Standard Aufgaben im IT-Sicherheitsprozess

51 51 BSI-Standard Einrichtung des IT-Sicherheitsmanagements Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaß- nahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher etc.

52 52 BSI-Standard Einrichtung des IT-Sicherheitsmanagements Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme etc.

53 53 BSI-Standard IT-Sicherheitsleitlinie (Policy) Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderung, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Sicherheit ist Chefsache!

54 54 BSI-Standard IT-Sicherheitsleitlinie

55 55 BSI-Standard IT-Grundschutz-Vorgehensweise

56 56 BSI-Standard Erstellung eines IT-Sicherheitskonzeptes Methodik für ein effektives IT-Sicherheitsmanagement Aufwand im IT- Sicherheitsprozess reduzieren durch Anwendung von Standard- Sicherheitsmaßnahmen Integration einer Methode zur Risikobetrachtung, unter anderem für hohen und sehr hohen Schutzbedarf

57 57 BSI-Standard Aufrechterhaltung und Verbesserung Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung: IT-Sicherheitsprozess regelmäßig auf seine Effektivität und Effizienz hin überprüfen Erfolgskontrolle und Bewertung des IT- Sicherheitsprozesses durch die Leitungsebene Erfolgskontrolle im Rahmen interner Audits (Unabhängigkeit!)

58 58 BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Kapitel 1:Einleitung Kapitel 2:Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standard BSI-Standard zur IT Sicherheit -

59 59 BSI-Standard Risikoanalyse

60 60 BSI-Standard Risikoanalyse Als Methoden stehen zur Verfügung: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT- Grundschutz klassische Risikoanalyse Penetrationstest Differenz-Sicherheitsanalyse

61 61 Risikoanalyse-Ansatz Maßnahmen der IT-Grundschutz-Kataloge Zusätzliche Maßnahmen der Ergänzende Risikoanalyse

62 62 (1) Für normalen Schutzbedarf, übliche Einsatzszenarien und existierende Bausteine: qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen (2) Für den höheren Schutzbedarf, unübliche Einsatzszenarien, unzureichende Abdeckung mit Bausteinen und durch Management festgestellten Bedarf: vereinfachte Risikoanalyse und -bewertung nach BSI-Standard Risikoanalyse Das zweistufige BSI-Modell

63 63 BSI-Standard IT-Sicherheitskonzept

64 64 BSI-Standard Inhalte 1Einleitung 2Vorarbeiten 3Erstellung der Gefährdungsübersicht 4Ermittlung zusätzlicher Gefährdungen 5Gefährdungsbewertung 6Behandlung von Risiken 7Konsolidierung des IT-Sicherheitskonzepts 8Rückführung in den IT-Sicherheitsprozess

65 65 BSI-Standard Ergänzende Sicherheitsanalyse Eine Ergänzende Sicherheits- analyse ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert. IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist- Vergleich) Konsolidierung der Maßnahmen Realisierung der Maßnahmen Ergänzende Sicherheitsbetrachtung Management Report Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT- Grundschutz

66 66 BSI-Standard Risikoanalyse nach IT-Grundschutz Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Gefährdungsbewertung Maßnahmenauswahl zur Behandlung von Risiken Konsolidierung des IT-Sicherheitskonzepts

67 67 BSI-Standard Behandlung von Risiken Transfer Überwachung

68 68 BSI-Standard Konsolidierung des IT-Sicherheitskonzeptes IT-Sicherheitskonzept konsolidieren IT-Sicherheitsmaßnahmen für jedes Zielobjekt anhand folgender Kriterien überprüfen Eignung der IT-Sicherheitsmaßnahmen zur Abwehr der Gefährdungen Zusammenwirken der IT-Sicherheitsmaßnahmen Benutzerfreundlichkeit der IT-Sicherheitsmaßnahmen Angemessenheit der IT-Sicherheitsmaßnahme

69 69 A u f r e c h t e r h a l t u n g Ü b e r p r ü f u n g I n f o r m a t i o n s f l u s s Z e r t i f i z i e r u n g IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck I Ergänz. Sicherheitsanalyse Basis-Sicherheitscheck II Realisierung Gefährdungsübersicht Zusätzliche Gefährdungen Gefährdungsbewertung Behandlung von Risiken Konsolidierung Initiierung des IT-Sicherheitsprozesses Standard-Sicherheit Risikoanalyse Vorgehensweise nach IT-Grundschutz Zusammenfassung

70 70 IT-Grundschutz-Kataloge Übersicht

71 71 IT-Grundschutz-Kataloge Inhalt Kataloge Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge GefährdungenBausteine Maßnahmen ++ Loseblattsammlung

72 72 IT-Grundschutz-Kataloge Aufbau

73 73 IT-Grundschutz-Kataloge Struktur der Bausteine Kapitel ("Bausteine") Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge

74 74 IT-Grundschutz-Kataloge Schichtenmodell SCHICHT V ÜBERGREIFENDE ASPEKTE INFRASTRUKTUR IT-SYSTEME NETZE ANWENDUNGEN SCHICHT IVSCHICHT III SCHICHT II SCHICHT I

75 75 Betreffen den gesamten IT-Verbund Bausteine: Incident Handling Hard- und Software- Management Standardsoftware Outsourcing Archivierung IT-Sicherheitssensibilisierung und -schulung IT-Grundschutz-Kataloge Schicht 1: Übergreifende Aspekte IT-Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Computer-Virenschutzkonzept Kryptokonzept

76 76 IT-Grundschutz-Kataloge Schicht 2: Infrastruktur Gebäude Verkabelung Büroraum Serverraum Datenträgerarchiv Raum für technische Infrastruktur Schutzschrank häuslicher Arbeitsplatz Rechenzentrum Mobiler Arbeitsplatz Besprechungs-, Veranstaltungs- und Schulungsräume Betreffen bauliche Gegebenheiten Bausteine:

77 77 SONSTIGE IT-SYSTEME B 3.4XX NETZKOMPONENTEN B 3.3XX CLIENTS B 3.2XX SERVER B 3.1XX IT-SYSTEME SCHICHT III IT-Grundschutz-Kataloge Schicht 3: IT-Systeme

78 78 IT-Grundschutz-Kataloge Schicht 3: IT-Systeme Server: Allgemeiner Server Server unter Unix Windows Server 2003 s/390 & zSeries-Mainframe... Clients: Allgemeiner Client Allg. nicht vernetztes IT-System Client unter Unix Laptop Client unter Windows XP... Netzkomponenten: Sicherheitsgateway (Firewall)... Sonstige: Faxgerät Anrufbeantworter Mobiltelefon PDA... Bausteine:

79 79 IT-Grundschutz-Kataloge Schicht 4: Netze Bausteine: Heterogene Netze Netz- und Systemmanagement Modem Remote Access LAN-Anbindung über ISDN WLAN VoIP

80 80 IT-Grundschutz-Kataloge Schicht 5: Anwendungen Datenträgeraustausch Lotus Notes Faxserver Datenbanken Novell eDirectory SAP Webserver Internet Information Server Apache Webserver Exchange/ Outlook 2000 Telearbeit Peer-to-Peer-Dienste Bausteine:

81 81 IT-Grundschutz-Kataloge Lebenszyklus der IT-Grundschutz-Bausteine

82 82 IT-Grundschutz-Kataloge Aufbau aller IT-Grundschutz-Bausteine Phase 1: Planung und Konzeption Phase 2: Beschaffung Phase 3: Umsetzung Phase 4: Betrieb Phase 5: Aussonderung/Stillegung Phase 6: Notfall-Vorsorge Konformer Aufbau jedes IT-Grundschutz-Bausteins

83 83 Gefährdungs-Kataloge G 1Höhere Gewalt G 2Organisatorische Mängel G 3Menschliche Fehlhandlungen G 4Technisches Versagen G 5Vorsätzliche Handlungen Beispiel: G 4.1Ausfall der Stromversorgung IT-Grundschutz-Kataloge Gefährdungs-Kataloge

84 84 IT-Grundschutz-Kataloge Typische Maßnahmen I M1: Infrastruktur Schutz vor Einbrechern Brandschutzmaßnahmen Energieversorgung M2: Organisation Zuständigkeiten Dokumentationen Arbeitsanweisungen M3: Personal Vertretungsregelungen Schulung Maßnahmen beim Ausscheiden von Mitarbeitern

85 85 IT-Grundschutz-Kataloge Typische Maßnahmen II M4: Hardware/Software Passwortgebrauch Protokollierung Vergabe von Berechtigungen M5: Kommunikation Konfiguration Datenübertragung , SSL, Firewall M6: Notfallvorsorge Notfallpläne Datensicherung Vorsorgemaßnahmen (z. B. redundante Systemauslegung)

86 86 Kreuztabellen: Gefährdungen vs. Maßnahmen Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz IT-Grundschutz-Kataloge Gefährdungen vs. Maßnahmen

87 87 IT-Grundschutz-Kataloge Zusammenfassung Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz besteht aus insgesamt ca Seiten... Baustein-Kataloge (ca. 70 Bausteine) Gefährdungs-Kataloge (ca. 420 Gefährdungen) Maßnahmen-Kataloge (ca Maßnahmen) Inhalte haben Empfehlungscharakter und sind keine "Gesetze" keine Garantie auf Vollständigkeit IT-Grundschutz-Maßnahmen müssen individuell angepasst und angewandt werden Stand 2006

88 88 IT-Grundschutz-Vorgehensweise

89 89 IT-Sicherheitskonzept

90 90 Der IT-Verbund Definition Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwen- dungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

91 91 IT-Sicherheitskonzepts Erstellung und Realisierung

92 92 IT-Strukturanalyse Teilaufgaben Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht) Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme (Tabelle) Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)

93 93 IT-Strukturanalyse Komplexitätsreduktion im Netzplan Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden. Voraussetzungen: gleicher Typ gleiche oder nahezu gleiche Konfiguration gleiche oder nahezu gleiche Netzanbindung (z. B. Anschluss am gleichen Switch) gleiche Rahmenbedingungen (Administration und Infrastruktur) gleiche Anwendungen

94 94 IT-Strukturanalyse Beispiel: Gruppenbildung

95 95 IT-Strukturanalyse Erhebung der IT-Systeme IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten Netzdrucker TK-Anlagen etc. Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen.

96 96 IT-Strukturanalyse Darstellung der IT-Systeme notwendige Informationen

97 97 IT-Strukturanalyse Erfassung der IT-Anwendungen Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. ò Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

98 98 IT-Strukturanalyse Beispiel: Liste der IT-Anwendungen Auszug aus der Liste der IT-Anwendungen

99 99 Schutzbedarfsfeststellung Teilaufgaben Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse

100 100 Schutzbedarf ist meist nicht quantifizierbar. Beschränkung auf drei Kategorien Schutzbedarfsfeststellung

101 101 Schutzbedarfsfeststellung Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn... ?") Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen Individualisierung der Zuordnungstabelle!

102 102 Schutzbedarfsfeststellung Beispiel: IT-Anwendungen

103 103 Schutzbedarfsfeststellung IT-Systeme Maximumprinzip Auf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems. Kumulationseffekt Durch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT- Systems erhöht sich dann entsprechend. Verteilungseffekt Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen. Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.

104 104 Schutzbedarfsfeststellung Beispiel: IT-Systeme

105 105 Schutzbedarfsfeststellung Kommunikationsverbindungen Folgende Kommunikationsverbindungen sind kritisch: Außenverbindungen (1) Übertragung von hochschutzbedürftigen Informationen Schutzbedarf resultiert aus Vertraulichkeit (2) Schutzbedarf resultiert aus Integrität (3) Schutzbedarf resultiert aus Verfügbarkeit (4) Hochschutzbedürftige Informationen dürfen auf keinen Fall übertragen werden. (5) Verbindungen im Netzplan grafisch hervorheben tabellarische Dokumentation

106 106 Schutzbedarfsfeststellung Beispiel: IT-Räume

107 107 Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge

108 108 Basis-Sicherheitscheck IT-Grundschutz-Modell Soll-/Ist-Vergleich Maßnahmen- empfehlungen Realisierte Maßnahmen umzusetzende Maßnahmen

109 109 Basis-Sicherheitscheck Umsetzungsstatus Mögliche Umsetzungsstatus einzelner Maßnahmen: "entbehrlich" Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. nicht relevant, weil z. B. Dienste nicht aktiv "ja" Alle Empfehlungen sind vollständig und wirksam umgesetzt. "teilweise" "nein"

110 110 IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist- Vergleich) Konsolidierung der Maßnahmen Realisierung der Maßnahmen Ergänzende Sicherheitsbetrachtung Management Report Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT- Grundschutz Eine Ergänzende Sicherheits- analyse ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert. Ergänzende Sicherheitsanalyse

111 111 Konsolidierung der Maßnahmen Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge mit den zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse => zu realisierende Maßnahmen Konsolidierung der Maßnahmen IT-Grundschutz-Analyse höherwertige Maßnahmen IT-Grundschutz- Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen Risikoanalyse ergänzende Sicherheitsanalyse

112 112 Realisierung von IT-Sicherheitsmaßnahmen I Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt? Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden? Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei- bende Restrisiko für die Leitungsebene dokumentiert werden.

113 113 Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle Ressourcen erforderlich? Schritte 1,3,4 können entfallen Realisierung von IT-Sicherheitsmaßnahmen II Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Breitenwirkung beachten! Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um? Schritt 6: Realisierungsbegleitende Maßnahmen Schulung der Mitarbeiter Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

114 114 IT-Grundschutz bedeutet... Wissen 4 Systeme, Anwendungen, Kommunikationsverbindungen, Räume 4 Schutzbedarf Management und Organisation 4 Sicherheitsmanagement 4 Sicherheitskonzept 4 Organisation 4 Personal 4 Notfallvorsorge Technik 4 Sicherung der Infrastruktur 4 Standardsicherheitsmaßnahmen für Standardkomponenten

115 115 ISO/IEC auf einen Blick ISO/IEC 27001:2005 Information Security Management Systems – Requirements spezifiziert Anforderungen an Informationssicherheits- Managementsysteme (ISMS) ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe kann als Grundlage für Vertragsbeziehungen zwischen Organisationen benutzt werden erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001)

116 116 ISO/IEC auf einen Blick ISO/IEC (bisher ISO/IEC 17799:2005) Code of practice for information security management ist ein Leitfaden (keine Spezifikation und kein Zertifizierungsstandard) Ergänzung zur ISO Detaillierung der normativen Anlage A der ISO 27001) dient zum besseren Verständnis der in der ISO definierten Anforderungen (insbesondere aus Anhang A) Basis zur Entwicklung von organisationseigenen Verfahren und Regelungen

117 117 BSI-Zertifizierung Unterstützt durch akkreditierte Prüfstellen internationale Komitees für - Kriterienentwicklung und -Harmonisierung - gegenseitige Anerkennung Kunde, Nutzer, Anwender Produktzertifikat bestätigt produktspezifische Sicherheitsfunktionalität und -qualität IT-Grundschutz-Zertifikat Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung. bestätigt funktionierendes und effektives IT- Sicherheitsmanagement IT- Grundschutz Bundesamt für Sicherheit in der Informationstechnik Produkt BSI-Zertifikat Unterstützt durch lizenzierte Auditoren internationale Komitees für - Kriterien-Entwicklung und -Harmonisierung - gegenseitige Anerkennung

118 118 ISO Zertifizierung auf Basis von IT-Grundschutz IT-Grundschutz ISO 27001

119 119 Zertifizierungsablauf beauftragt Prüfung der Umsetzung von IT-Grundschutz prüft IT-Verbund erstellt Prüfbericht Antragsteller Zertifizierungsstelle gibt Prüfbericht an BSI überprüft / lizenziert Auditor prüft Prüfbericht vergibt / veröffentlicht Zertifikat ISO Auditor auf Basis von IT-Grundschutz

120 120 ISO Zertifizierung Phasen der Zertifizirung Initialisierung Zertifizierungs-Antrag Befugnis für die Durchführung eines Audits Ggf. Abstimmung des IT-Verbundes Initialisierung Zertifizierungs-Antrag Befugnis für die Durchführung eines Audits Ggf. Abstimmung des IT-Verbundes Bewertung des Audits Erstellung des Auditreports Nachprüfung Bewertung des Audits Erstellung des Auditreports Nachprüfung Durchführung des Audits Prüfung der Dokumentation Vorbereitung des Audit-Tätigkeiten vor Ort Durchführung der Audit-Tätigkeiten vor Ort Durchführung des Audits Prüfung der Dokumentation Vorbereitung des Audit-Tätigkeiten vor Ort Durchführung der Audit-Tätigkeiten vor Ort Re-Zertifizierungs- Audit

121 121 ISO Zertifizierung Stufenkonzept

122 122 Umsetzung der Maßnahmen zur Qualifizierung nach IT-Grundschutz ISO Zertifizirung Siegelstufen

123 123 Kategorisierung der Maßnahmen für die Grundschutz- Qualifizierung Das Auditor-Testat "Einstiegsstufe" (Maßnahmen der Stufe A) Das Auditor-Testat "Aufbaustufe" (Maßnahmen der Stufe A und B) ISO Zertifikat auf der Basis von IT-Grundschutz (Maßnahmen der Stufe A, B und C sowie Maßnahmen aus Risikoanalyse) ISO 2701 Zertifizierung Siegelstufen

124 124 ISO Zertifizierung und Auditor-Testate IT-Grundschutz- Auditor ISO Auditor ISO Zertifikat Auditor-Testat Aufbaustufe Auditor-Testat Einstiegsstufe IT-Grundschutz- Auditor

125 125 ISO Zertifikate auf der Basis von IT-Grundschutz Die BSI-Zertifizierung umfaßt sowohl eine Prüfung des ISMS als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO zertifiziert zugleich nach deutschen und nach internationalen Standards ist aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung Seit Anfang 2006 ISO Zertifikate auf der Basis von IT-Grundschutz (Realisierung einer nationale Ausprägung der ISO 27001)

126 126 Warum Zertifizierung? Optimierung interner Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte

127 127 Erfahrungen mit der Zertifizierung Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie auch für großen Rechenzentren geeignet! Umsetzung IT-Grundschutz: Monate Aufwand des Auditors: Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung

128 128 Veröffentlichung der ISO Zertifikate auf Basis von IT-Grundschutz Veröffentlichung Internet unter KES diverse Publikationen usw.

129 129 Lizenzierung ISO Auditor Das BSI lizenziert den Auditor Für das Lizenzierungsverfahren wird vom BSI eine Pauschalgebühr erhoben Eine Lizenz als Auditor ist 5 Jahre gültig. Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen Eine Verlängerung der Gültigkeit ist durch eine neue Antragstellung möglich zum Download von der Webseite:

130 130 Voraussetzungen für die Lizenzierung Zeugnis über Berufsabschluss 5-jährige Berufserfahrung im Bereich Informationstechnik 2-jährige IT-Sicherheitserfahrung 4 Audits von zusammen mindestens 20 Personentagen 5-tägige Schulungsveranstaltung von insgesamt 40 Stunden Abschlußprüfung Der Lizenzierungsvertrag zwischen BSI und Auditor ist unterzeichnet (Personenlizenz)

131 131 Dienstleistungen und Produkte rund um den IT-Grundschutz Webkurs zum Selbststudium ISO Zertifikat Leitfaden IT-Sicherheit Software: GSTOOL - ° + Sicherheitsbedarf, Anspruch Beispiele: GS-Profile Hilfsmittel & Musterrichtlinien BSI Standard 100-1: ISMS BSI Standard 100-2: IT-Grundschutz- Vorgehensweise BSI Standard 100-3: Risikoanalyse IT-Grundschutz- Kataloge

132 132 Dienstleistungen und Produkte rund um den IT-Grundschutz CERT Viren Internet Zerti- fizierung kritische Infrastruk- turen E-Govern- ment Krypto- graphie Biometrie Mobilfunk Webkurs zum Selbststudium ISO Zertifikat Leitfaden IT-Sicherheit Software: "GSTOOL" - ° + Sicherheitsbedarf, Anspruch... Beispiele: "GS-Profile" Hilfsmittel & Musterrichtlinien

133 133 Leitfaden IT-Sicherheit Hilfsmittel

134 134 Leitfaden IT-Sicherheit Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden Idee: Die wichtigsten Fakten zur IT- Sicherheit komprimiert auf wenigen Seiten Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutz light" Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT-Sicherheit Sensibilisierensbeispiele zum Download von der Webseite:

135 135 Webkurs IT-Grundschutz Hilfsmittel

136 136 Webkurs 2006 aktualisiert Schneller Einstieg (Ersatz für 1- bis 2-tägige Schulung) Zielgruppe: IT-Sicherheitsbeauftragte, IT- Mitarbeiter Lernmodule mit Anleitungen, Beispielen, Übungen und Tests Demonstration der Vorgehensweise anhand eines fiktiven Unternehmens Webkurs IT-Grundschutz zum Download von der Webseite:

137 137 2 Lernzweige Gliederung des Webkurs IT-Grundschutz Für Anfänger im IT- Grundschutz (Webkurs) Für Anwender die bereits vor 2005 mit dem IT-Grundschutz gearbeitet haben (Umsteigerkurs)

138 138 Musterrichtlinien & Beispielkonzepte Hilfsmittel

139 139 Musterrichtlinien & Beispielkonzepte Übersicht über das Angebot IT-Sicherheitsleitlinie Sicherheitsrichtlinie zur IT-Nutzung Internetnutzung und Outsourcing DatensicherungNotfallvorsorgeVirenschutz Archivierung Hinweise für Administratoren Hinweise für IT-Benutzer Strategie übergreifende Anweisungen Richtlinien für einzelne Aspekte Zusammenf. für Zielgruppen zum Download von der Webseite:

140 140 Musterrichtlinien IT-Sicherheitsleitlinie Inhalt: Stellenwert der IT Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT- Sicherheitsprozesses Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Sicherheit ist Chefsache

141 141 Musterrichtlinien Sicherheitsrichtlinie zur IT-Nutzung Umgang mit schützenswerten Informationen (Informationseigentümer, Klassifizierung von Informationen nach Schutzbedürftigkeit) relevante Gesetze und Vorgaben Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter, Administrator, IT-Benutzer) Ausbildung des Personals Pflicht zur Einrichtung von Vertretungsregelungen Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung, Revision und Entsorgung) grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu IT- Systemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge) Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)

142 142 Beispielkonzepte Datensicherungskonzept Wo werden die Daten gespeichert? Welche Daten werden gesichert? Wer ist für die Datensicherungen zuständig? Wie wird gesichert? (Technik, Sicherungsmedien, Intervalle), Wie lange werden Datensicherungen aufbewahrt? Wie wird mit Notebooks verfahren, die nicht ständig am Netz angeschlossen sind? Wie wird überprüft, ob die Datensicherungen tatsächlich zuverlässig funktioniert haben? Wie können die Daten im Schadensfall rekonstruiert werden?

143 143 IT-Grundschutz-Profile Hilfsmittel

144 144 IT-Grundschutz-Profile Überblick 3 Beispiele: kleine, mittlere, große Institution IT-Grundschutz-Profile: Beispiele für die Anwendung der Vorgehensweise nach IT-Grundschutz Veröffentlicht seit November 2004 zum Download von der Webseite:

145 145 Anwendungsbeispiele IT-Grundschutz-Profile Beispiele zur Anwendung des IT-Grundschutzes für Institutionen verschiedener Größe: klein:(z. B. kleine Behörde, Anwaltskanzlei): 3 Clients, 1 Server mittel:(z. B. Bankfiliale, KMU): 20 Clients, 4 Server groß:(z. B. Rechenzentrum): 100 Server Planung, Umsetzung, Pflege des IT-Sicherheitskonzeptes IT-Sicherheitsprozess und Herangehensweise speziell auf die jeweiligen Anwendergruppen angepasst Umsetzung des mittleren und großen Profils im GSTOOL

146 146 Beispielprofil für eine mittlere Institution (1) Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution Repräsentation eines Unternehmens mit mehreren Servern und wenig IT-Grundschutz Erfahrung Ausführliche Erläuterung der Anwendung des IT-Grundschutzes Beispielhafte Anwendung des GSTOOL

147 147 Beispielprofil für eine mittlere Institution (2) Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor) Stabstelle für QM und IT-Sicherheit Größe des IT-Verbundes: ca. 20 Clients und 4 Server Anbindung an das Internet über DSL Existenz interner Teilnetze IT-Anwendungen/Systeme eines Projektteams haben erhöhten Schutzbedarf und werden gesondert gruppiert

148 148 Beispielprofil für eine mittlere Institution (3) Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung

149 149 Beispielprofil für eine mittlere Institution (4) Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz- Vorgehensweise Hervorhebung der Schritte, die durch das GSTOOL unterstützt werden die bei einer nicht tool-gestützten Vorgehensweise zu beachten sind Anwendung des GSTOOL, dargestellt durch Screenshots

150 150 Weitere Hilfsmittel Formblätter, Maßnahmenlisten etc. Kreuzreferenztabellen (Zuordnung von Maßnahmen zu Gefährdungen) Technische Zusatzinformationen zu Bausteinen Dokumentationen und Studien ITIL und Informationssicherheit Zuordnungstabelle ISO / ISO und IT-Grundschutz Muster und Beispiele von IT-Grundschutz-Anwendern zum Download von der Webseite:

151 151 GSTOOL Hilfsmittel zum Download von der Webseite:

152 152 GSTOOL BSI Tool IT-Grundschutz

153 153 Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzes GSTOOL Überblick Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung GSTOOL-Hotline: /

154 154 Netzwerkfähigkeit (SQL-Datenbank: MSDE2000 oder SQL-Server 2000) Verwaltung mehrerer Sicherheitskonzepte in einem Tool Zweisprachigkeit: deutsch/englisch Historienführung einfaches Update der Datenbasis per Internet Export von Teilarbeitsbereichen zur Bearbeitung in anderem GSTOOL Importfunktion für Datenbestände aus älteren Versionen Verschlüsselung von Exportdaten GSTOOL Leistungsmerkmale (technisch)

155 155 GSTOOL Benutzeroberfläche Baumdarstellung Bearbeitungsmaske Status-Leiste Navigation Toolbar

156 156 Anzahl derGesamtpreisUpdate-Preis LizenzenGSTOOL nach ,38 110, ,75 221, ,38 316,29 4 oder ,71 498,84 6 bis ,42 928,88 11 bis , ,95 21 bis , ,16 Firmenlizenzauf Anfrageauf Anfrage GSTOOL Preise Deutsche Hochschulen erhalten beim Einsatz zu Lehrzwecken einen Nachlass i.H.v. 50%. Der Bezug ist für die unmittelbare deutsche öffentliche Verwaltung kostenfrei. Fragen, Wünsche, Anregungen zum Vertrieb: per telefonisch: / Preise inkl. MwSt

157 157 GSTOOL Hilfsmittel GSTOOL-Handbuch jede Funktion wird erklärt 319 Seiten wird fortlaufend aktualisiert Webkurs GSTOOL seit Oktober 2005 GSTOOL-Hotline / zum Download von der Webseite:

158 158 Webkurs zum GSTOOL Hilfsmittel zum Download von der Webseite:

159 159 Der Webkurs GSTOOL E-Learning-Kurs zur Einführung in Anwendung und Administration des Tools (Grundlage: Version 4.0) Ergänzung zu konventionellen Schulungen Handbuch Hotline FAQ Anwender (ersten Überblick) Administratoren (speziellen Leistungsmerkmalen) Zielgruppen

160 160 Gliederung des Webkurses zum GSTOOL Benutzer Aufnahme von Komponenten Erstellung von Verknüpfungen Festlegung des Schutzbedarfs Dokumentation des IST-Zustandes Administrators Einrichtung des GSTOOLs Verwaltung von Zugriffsrechten Konfiguration der Datenbank Datenaustausch

161 161 IT-Grundschutz-Informationen IT-Grundschutz Hotline Telefon: / GSTOOL Hotline Telefon: /

162 162 Fragen und Diskussion ? ? ? ? ? ? ?

163 163 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee Tel: +49 (0) Fax: +49 (0) IT-Grundschutz Hotline: Tel: +49 (0)


Herunterladen ppt "Einführung in die Vorgehensweise nach IT-Grundschutz Bundesamt für Sicherheit in der Informationstechnik (BSI) Musterfolien für Schulungen zur."

Ähnliche Präsentationen


Google-Anzeigen