Einführung in die Vorgehensweise nach IT-Grundschutz Musterfolien für Schulungen zur Einführung in die Vorgehensweise nach IT-Grundschutz Bundesamt für Sicherheit in der Informationstechnik (BSI)

Hinweis Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT-Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.

Überblick Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke BSI-Sicherheitsstandards IT-Grundschutz-Kataloge IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung ISO 27001 Zertifizierung auf Basis von IT-Grundschutz Hilfsmittel rund um den IT-Grundschutz

IT-Sicherheit ist ... gefährdet Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ... Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ... Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen: Systemabsturz, Plattencrash, ... Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...

Bedrohungen in der Praxis Beispiele Irrtum und Nachlässigkeit Malware Internetdienste (WWW, E-Mail,…) Hacking und Cracking Wirtschaftsspionage Diebstahl von IT-Einrichtungen ...

KES-Studie 2006 Bedeutung der Gefahrenbereiche

Unzureichende Software-Tests Beispiel: British Airways Informationweek, April 2001 Chaos bei British Airways Ein Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten. Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

Schutz von Informationen … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. … sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung

Nachgewiesene IT-Sicherheit lohnt sich ... Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte Versicherungen honorieren zunehmend IT-Sicherheit Überschrift: Schriftart Arial Fett, Schriftgröße 30 pt. Text: Schriftart Arial, Schriftgröße 24 pt. Einrückung: 1 Tabstopp, gleiche Schriftart und –größe wie Text Verfasser im Folienmaster ändern: nur Kürzel eintragen

Typische Probleme in der Praxis Resignation, Fatalismus und Verdrängung Kommunikationsprobleme Sicherheit wird als technisches Problem mit technischen Lösungen gesehen Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten unsystematisches Vorgehen bzw. falsche Methodik Management: fehlendes Interesse, schlechtes Vorbild Sicherheitskonzepte richten sich an Experten, die IT-Benutzer werden vergessen

Konsequenzen fehlender Regelungen ... oder: Jeder tut, was er will! Konfusion im Notfall Was ist zu tun? Wer hilft? lückenhafte Datensicherung Notebooks, Telearbeitsplätze, lokale Datenhaltung fehlende Klassifizierung von Informationen Verschlüsselung, Weitergabe und Austausch von Informationen gefährliche Internetnutzung Was alle machen, kann doch nicht unsicher sein? Disziplinlosigkeit Ignoranz und Arroganz statt geregelter Prozesse Konsequenzen bleiben aus, sind zu hart, sind willkürlich

Irrtum und Nachlässigkeit Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1): 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall 90% davon erklären dies durch einfache Anwenderfehler 1) Quelle: Broadcasters Res. International Information Security

KES-Studie Stellenwert der Sicherheit …beim Top-Management: Quelle: KES 2006

Stellenwert der Sicherheit „IT-Sicherheit ist Chefsache“

IT-Sicherheit im Spannungsfeld Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“ Sicherheit Bequemlichkeit Kosten

Methodik für IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste?

IT-Grundschutz Die Idee ... Typische Abläufe und IT-Komponenten überall ähnlich Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet

IT-Grundschutz Prinzipien Typische Abläufe von Geschäftsprozessen und Komponenten, bei denen geschäftsrelevante Informationen verarbeitet werden, werden betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch organisatorische und personelle Aspekte, physische Infrastruktur, ...) Typische Schadensszenarien für die Ermittlung des Schutzbedarfs werden vorgegeben Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden

Ziel des IT-Grundschutzes IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.

Ziel des IT-Grundschutzes Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.

Verschiedene Facetten von IT-Grundschutz Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein „Information Security Management System“) Sammlung von Standard-Sicherheitsmaßnahmen ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-Sicherheit Organisation Personal Technik Infrastruktur

IT-Grundschutz - Vorteile arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit

Empfehlungen für IT-Grundschutz Der Bundesbeauftragte für den Datenschutz Bundesregierung (zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung) Die Rechnungshöfe des Bundes und der Länder Landesverwaltung Rheinland-Pfalz für Behörden, Gerichte und sonstige Stellen der Landesverwaltung Rheinischer Sparkassen- und Giroverband, Prüfungsstelle Deutsche Genossenschafts-Revision Wirtschaftsprüfungs-gesellschaft GmbH über 3.000 registrierte Anwender weltweit über 10.000 Lizenzen für das GSTOOL

Erreichbares Sicherheitsniveau normaler Schutzbedarf Sicherheitsaspekte

Erreichbares Sicherheitsniveau Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind für die Schutzbedarfskategorie "normal" im Allgemeinen ausreichend und angemessen für die Schutzbedarfskategorie "hoch" und "sehr hoch" Basisschutz und Ausgangsbasis zusätzliche Sicherheitsmaßnahmen sollten durch ergänzende Sicherheitsanalyse ermittelt werden (BSI-Standard 100-3)

IT-Grundschutz Historie IT-Grundschutzhandbuch 1995 18 Bausteine 200 Maßnahmen 150 Seiten IT-Grundschutzhandbuch 2004 58 Bausteine 720 Maßnahmen 2550 Seiten

IT-Grundschutz Aktuell seit 2005 BSI-Standards + Loseblattsammlung

BSI-Sicherheitsstandards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz sowie Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz -Prüfschema für Auditoren-

BSI-Standard 100-1 - BSI-Standard zur IT Sicherheit - IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

BSI-Standard 100-1 ISMS ISMS: Managementsysteme für Informationssicherheit Zielgruppe: Management Allgemeine Anforderungen an ein ISMS Kompatibel mit ISO 27001 Empfehlungen aus ISO 13335 und 17799 Didaktische Aufbereitung

BSI-Standard 100-1 Komponenten eines ISMS Management-Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess IT-Sicherheitsleitlinie (einschl. IT-Sicherheitsziele und -strategie) IT-Sicherheitskonzept IT-Sicherheitsorganisation

BSI-Standard 100-1 Inhalte 1. Einleitung 2. Einführung in Informationssicherheit 3. ISMS-Definition und Prozessbeschreibung 4. Management-Prinzipien 5. Ressourcen für IT-Betrieb und IT-Sicherheit 6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess 7. Der IT-Sicherheitsprozess 8. IT-Sicherheitskonzept 9. Das ISMS des BSI: IT-Grundschutz

BSI-Standard 100-1 Managementsystem

BSI-Standard 100-1 IT-Sicherheitsstrategie Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele, Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse, ...) IT-Sicherheitsstrategie Sicherheitsziele Umsetzung der Strategie durch Sicherheitsorganisation und IT-Sicherheitskonzept Dokumentation der Strategie in der IT-Sicherheitsleitlinie Regelmäßige Überprüfung und Verbesserung!

BSI-Standard 100-1 IT-Sicherheitsstrategie IT-Sicherheitsstrategie als zentrale Komponente des ISMS:

BSI-Standard 100-1 Prozessbeschreibung Sicherheit unterliegt einer kontinuierlichen Dynamik (z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt) Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern! IT-Systemeinführung planen IT-Sicherheitsmaßnahmen definieren und umsetzen. Erfolgskontrolle regelmäßig durchführen Schwachpunkte oder Verbesserungsmöglichkeiten finden Maßnahmen verbessern (Änderungen planen und umsetzen) IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen

BSI-Standard 100-1 Lebenszyklus

BSI-Standard 100-1 Komponenten eines ISMS Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT-Sicherheitskonzeptes und einer IT-Sicherheitsorganisation

BSI-Standard 100-1 ISMS des BSI: IT-Grundschutz Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards 27001 und 13335 ist generisch als Rahmenvorgaben zu verstehen  Gestaltungsspielraum in der Praxis Herausforderung: ISMS effektiv und effizient gestalten Schlüsselfrage: Risikobewertung

BSI-Standard 100-1 ISMS des BSI: IT-Grundschutz IT-Grundschutz-Vorgehensweise: Anwendungsansatz für die Etablierung und Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen Vorteile der IT-Grundschutzmethode: für die meisten Anwendungsfälle geeignet Kostengünstig Praxiserprobt konkret vollständig kompatibel zu ISO 27001

BSI-Standard 100-2 - BSI-Standard zur IT Sicherheit - IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

BSI-Standard 100-2 Wesentliche Merkmale Aufbau und Betrieb eines IT-Sicherheitsmanagements (ISMS) in der Praxis Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern

BSI-Standard 100-2 Wesentliche Merkmale Interpretation der Anforderungen aus ISO 13335, 17799 und 27001 Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen Verweis auf IT-Grundschutz-Kataloge zur detaillierten (auch technischen) Umsetzung Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen

BSI-Standard 100-2 Inhalte Einleitung IT-Sicherheitsmanagement mit IT-Grundschutz Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung

Übersicht über den IT-Sicherheitsprozess 1 Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Initiative der Geschäftsführung 2 Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) Analyse der Rahmen-bedingungen 3 Sicherheitsmaßnahmen Identifikation von Sicherheits-lücken Sicherheitscheck

Übersicht über den IT-Sicherheitsprozess 4 Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos Planung von Maßnahmen 5 Implementierung Test Notfallvorsorge Umsetzung von Maßnahmen Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge 6 Sicherheit im laufenden Betrieb

BSI-Standard 100-2 Übersicht IT-Sicherheitsprozess Initiierung des IT-Sicherheitsprozesses IT-Sicherheitskonzeption (einschl. Umsetzung) Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung

BSI-Standard 100-2 IT-Sicherheitsorganisation

BSI-Standard 100-2 Verantwortung der Leitungsebene Kontinuierlichen IT-Sicherheitsprozess etablieren, d.h. u.a. Grundlegende IT-Sicherheitsziele definieren Angemessenes IT-Sicherheitsniveau basierend auf Geschäftszielen und Fachaufgaben festlegen IT-Sicherheitsstrategie zur Erreichung der IT-Sicherheitsziele entwickeln IT-Sicherheitsorganisation aufbauen Erforderliche Mittel bereitstellen Alle Mitarbeiter einbinden

BSI-Standard 100-2 Aufgaben im IT-Sicherheitsprozess

BSI-Standard 100-2 Einrichtung des IT-Sicherheitsmanagements Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation koordiniert die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts etc. erstellt den Realisierungsplan für IT-Sicherheitsmaß-nahmen und prüft die Realisierung stellt den Informationsfluss zur Leitungsebene und zu den IT-Verantwortlichen sicher etc.

BSI-Standard 100-2 Einrichtung des IT-Sicherheitsmanagements Das IT-Sicherheitsmanagement-Team unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben bestimmt IT-Sicherheitsziele und -strategien entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung wirkt mit bei der Erstellung des IT-Sicherheitskonzepts prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen erstellt Schulungs- und Sensibilisierungsprogramme etc.

BSI-Standard 100-2 IT-Sicherheitsleitlinie (Policy) Die IT-Sicherheitsleitlinie sollte mindestens enthalten: Stellenwert der IT-Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begr.: Gesetze, Kundenanforderung, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Sicherheit ist Chefsache!

BSI-Standard 100-2 IT-Sicherheitsleitlinie

BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise

BSI-Standard 100-2 Erstellung eines IT-Sicherheitskonzeptes Methodik für ein effektives IT-Sicherheitsmanagement Aufwand im IT-Sicherheitsprozess reduzieren‚ durch Anwendung von Standard- Sicherheitsmaßnahmen Integration einer Methode zur Risikobetrachtung, unter anderem für hohen und sehr hohen Schutzbedarf

BSI-Standard 100-2 Aufrechterhaltung und Verbesserung Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung: IT-Sicherheitsprozess regelmäßig auf seine Effektivität und Effizienz hin überprüfen Erfolgskontrolle und Bewertung des IT-Sicherheitsprozesses durch die Leitungsebene Erfolgskontrolle im Rahmen interner Audits (Unabhängigkeit!)

BSI-Standard 100-3 - BSI-Standard zur IT Sicherheit - IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

BSI-Standard 100-3 Risikoanalyse

BSI-Standard 100-3 Risikoanalyse Als Methoden stehen zur Verfügung: BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz klassische Risikoanalyse Penetrationstest Differenz-Sicherheitsanalyse

Risikoanalyse-Ansatz Maßnahmen der IT-Grundschutz-Kataloge Zusätzliche Maßnahmen der Ergänzende Risikoanalyse

Risikoanalyse Das zweistufige BSI-Modell (1) Für normalen Schutzbedarf, übliche Einsatzszenarien und existierende Bausteine: qualitative Methode zur Risikoanalyse und -bewertung in der IT-Grundschutz-Vorgehensweise enthalten beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen (2) Für den höheren Schutzbedarf, unübliche Einsatzszenarien, unzureichende Abdeckung mit Bausteinen und durch Management festgestellten Bedarf: vereinfachte Risikoanalyse und -bewertung nach BSI-Standard 100-3

BSI-Standard 100-3 IT-Sicherheitskonzept

BSI-Standard 100-3 Inhalte 1 Einleitung 2 Vorarbeiten 3 Erstellung der Gefährdungsübersicht 4 Ermittlung zusätzlicher Gefährdungen 5 Gefährdungsbewertung 6 Behandlung von Risiken 7 Konsolidierung des IT-Sicherheitskonzepts 8 Rückführung in den IT-Sicherheitsprozess

BSI-Standard 100-3 Ergänzende Sicherheitsanalyse IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Konsolidierung der Maßnahmen Realisierung der Maßnahmen Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT-Grundschutz Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert.

BSI-Standard 100-3 Risikoanalyse nach IT-Grundschutz Erstellung der Gefährdungsübersicht 2 Ermittlung zusätzlicher Gefährdungen 3 Gefährdungsbewertung 4 Maßnahmenauswahl zur Behandlung von Risiken 5 Konsolidierung des IT-Sicherheitskonzepts

BSI-Standard 100-3 Behandlung von Risiken Transfer Überwachung

BSI-Standard 100-3 Konsolidierung des IT-Sicherheitskonzeptes IT-Sicherheitskonzept konsolidieren IT-Sicherheitsmaßnahmen für jedes Zielobjekt anhand folgender Kriterien überprüfen Eignung der IT-Sicherheitsmaßnahmen zur Abwehr der Gefährdungen Zusammenwirken der IT-Sicherheitsmaßnahmen Benutzerfreundlichkeit der IT-Sicherheitsmaßnahmen Angemessenheit der IT-Sicherheitsmaßnahme

Vorgehensweise nach IT-Grundschutz Zusammenfassung Initiierung des IT-Sicherheitsprozesses IT - Strukturanalyse Schutzbedarfsfeststellung g s n s u g u g Modellierung t l n l f n a u s u h f n r r ü o e Basis-Sicherheitscheck I Gefährdungsübersicht e r i i t p t z a f i h r i Ergänz . Sicherheitsanalyse Zusätzliche Gefährdungen c e m t r e b r r e f Ü o f Z Gefährdungsbewertung u n A I Basis-Sicherheitscheck II Behandlung von Risiken Realisierung Konsolidierung Standard-Sicherheit Risikoanalyse

IT-Grundschutz-Kataloge Übersicht

IT-Grundschutz-Kataloge Inhalt Einführung Modellierungshinweise Baustein-Kataloge Gefährdungs-Kataloge Maßnahmen-Kataloge Maßnahmen Bausteine Gefährdungen + + Loseblattsammlung

IT-Grundschutz-Kataloge Aufbau

IT-Grundschutz-Kataloge Struktur der Bausteine Kapitel ("Bausteine") Gefährdungskataloge Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Maßnahmenkataloge Infrastruktur Organisation Personal Hardware/Software Kommunikation Notfallvorsorge

IT-Grundschutz-Kataloge Schichtenmodell SCHICHT I ÜBERGREIFENDE ASPEKTE SCHICHT II INFRASTRUKTUR SCHICHT III IT-SYSTEME SCHICHT IV NETZE SCHICHT V ANWENDUNGEN

IT-Grundschutz-Kataloge Schicht 1: Übergreifende Aspekte Betreffen den gesamten IT-Verbund Bausteine: Incident Handling Hard- und Software-Management Standardsoftware Outsourcing Archivierung IT-Sicherheitssensibilisierung und -schulung IT-Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Computer-Virenschutzkonzept Kryptokonzept Organisation: mindestens einmal Wenn Teile des IT-Verbunds einer anderen Organisationseinheit zugeordnet sind, Anwendung auf jede (z.B. Outsourcing) Notfallvorsorge-Konzept mindestens, wenn Komp. einen hohem SB bzgl. Verf. haben oder größere IT-Systeme bzw. umfangreiche Netze betrieben werden. Kryptokonzept wenn SB von Komp. bzgl. Vertr. oder Integr. hoch ist. Incident-Handling wenn Komp hohen SB haben

IT-Grundschutz-Kataloge Schicht 2: Infrastruktur Betreffen bauliche Gegebenheiten Bausteine: Gebäude Verkabelung Büroraum Serverraum Datenträgerarchiv Raum für technische Infrastruktur Schutzschrank häuslicher Arbeitsplatz Rechenzentrum Mobiler Arbeitsplatz Besprechungs-, Veranstaltungs- und Schulungsräume

IT-Grundschutz-Kataloge Schicht 3: IT-Systeme SCHICHT III B 3.1XX SERVER B 3.2XX CLIENTS B 3.3XX NETZKOMPONENTEN B 3.4XX SONSTIGE IT-SYSTEME

IT-Grundschutz-Kataloge Schicht 3: IT-Systeme Bausteine: Server: Allgemeiner Server Server unter Unix Windows Server 2003 s/390 & zSeries-Mainframe ... Clients: Allgemeiner Client Allg. nicht vernetztes IT-System Client unter Unix Laptop Client unter Windows XP ... Netzkomponenten: Sicherheitsgateway (Firewall) Sonstige: Faxgerät Anrufbeantworter Mobiltelefon PDA

IT-Grundschutz-Kataloge Schicht 4: Netze Bausteine: Heterogene Netze Netz- und Systemmanagement Modem Remote Access LAN-Anbindung über ISDN WLAN VoIP

IT-Grundschutz-Kataloge Schicht 5: Anwendungen Bausteine: Datenträgeraustausch E-Mail Lotus Notes Faxserver Datenbanken Novell eDirectory SAP Webserver Internet Information Server Apache Webserver Exchange/ Outlook 2000 Telearbeit Peer-to-Peer-Dienste

IT-Grundschutz-Kataloge Lebenszyklus der IT-Grundschutz-Bausteine

IT-Grundschutz-Kataloge Aufbau aller IT-Grundschutz-Bausteine Konformer Aufbau jedes IT-Grundschutz-Bausteins Phase 1: Planung und Konzeption Phase 2: Beschaffung Phase 3: Umsetzung Phase 4: Betrieb Phase 5: Aussonderung/Stillegung Phase 6: Notfall-Vorsorge

IT-Grundschutz-Kataloge Gefährdungs-Kataloge G 1 Höhere Gewalt G 2 Organisatorische Mängel G 3 Menschliche Fehlhandlungen G 4 Technisches Versagen G 5 Vorsätzliche Handlungen Beispiel: G 4.1 Ausfall der Stromversorgung

IT-Grundschutz-Kataloge Typische Maßnahmen I M1: Infrastruktur Schutz vor Einbrechern Brandschutzmaßnahmen Energieversorgung M2: Organisation Zuständigkeiten Dokumentationen Arbeitsanweisungen M3: Personal Vertretungsregelungen Schulung Maßnahmen beim Ausscheiden von Mitarbeitern

IT-Grundschutz-Kataloge Typische Maßnahmen II M4: Hardware/Software Passwortgebrauch Protokollierung Vergabe von Berechtigungen M5: Kommunikation Konfiguration Datenübertragung E-Mail, SSL, Firewall M6: Notfallvorsorge Notfallpläne Datensicherung Vorsorgemaßnahmen (z. B. redundante Systemauslegung)

IT-Grundschutz-Kataloge Gefährdungen vs. Maßnahmen Kreuztabellen: Gefährdungen vs. Maßnahmen Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz

IT-Grundschutz-Kataloge Zusammenfassung Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz besteht aus insgesamt ca. 3.600 Seiten... Baustein-Kataloge (ca. 70 Bausteine) Gefährdungs-Kataloge (ca. 420 Gefährdungen) Maßnahmen-Kataloge (ca. 1.040 Maßnahmen) Inhalte haben Empfehlungscharakter und sind keine "Gesetze" keine Garantie auf Vollständigkeit Stand 2006  IT-Grundschutz-Maßnahmen müssen individuell angepasst und angewandt werden

IT-Grundschutz-Vorgehensweise

IT-Sicherheitskonzept

Der IT-Verbund Definition Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer Institution oder einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwen-dungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

IT-Sicherheitskonzepts Erstellung und Realisierung

IT-Strukturanalyse Teilaufgaben Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht)  Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme (Tabelle) Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)

IT-Strukturanalyse Komplexitätsreduktion im Netzplan Gleichartige Komponenten sollten zu einer Gruppe zusammengefasst werden. Voraussetzungen: gleicher Typ gleiche oder nahezu gleiche Konfiguration gleiche oder nahezu gleiche Netzanbindung (z. B. Anschluss am gleichen Switch) gleiche Rahmenbedingungen (Administration und Infrastruktur) gleiche Anwendungen

IT-Strukturanalyse Beispiel: Gruppenbildung

IT-Strukturanalyse Erhebung der IT-Systeme IT-Systeme sind nicht nur Computer, sondern auch aktive Netzkomponenten Netzdrucker TK-Anlagen etc. Insbesondere sind auch nicht vernetzte IT-Systeme und IT-Systeme, die nicht im Netzplan enthalten sind, zu berücksichtigen.

IT-Strukturanalyse Darstellung der IT-Systeme notwendige Informationen Nr. Beschreibung Plattform Anz. Standort Status Anwender/ Admin. S1 Server für Personal- verwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb referat S2 Primärer Domänen- Controller R 3.10 alle IT-Anwender C6 Gruppe der Laptops für den Standort Berlin Laptop unter Windows 95 2 Berlin, R 2.0 in Berlin N1 Router zum Internet-Zugang Router R 3.09 T1 TK-Anlage für Bonn ISDN-TK- Anlage B.02 alle Mitarb. in Bonn

IT-Strukturanalyse Erfassung der IT-Anwendungen Diejenigen IT-Anwendungen des jeweiligen IT-Systems, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, deren Daten bzw. Informationen und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

IT-Strukturanalyse Beispiel: Liste der IT-Anwendungen Auszug aus der Liste der IT-Anwendungen

Schutzbedarfsfeststellung Teilaufgaben Definition der Schutzbedarfskategorien Schutzbedarfsfeststellung für IT-Anwendungen einschließlich ihrer Daten IT-Systeme Kommunikationsverbindungen IT-Räume anhand von typischen Schadensszenarien Dokumentation der Ergebnisse

Schutzbedarfsfeststellung Schutzbedarf ist meist nicht quantifizierbar.  Beschränkung auf drei Kategorien

Schutzbedarfsfeststellung Schutzbedarfsfeststellung erfolgt immer bezüglich der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Betrachtung von typischen Schadensszenarien aus Sicht der Anwender ("Was wäre, wenn... ?") Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen Individualisierung der Zuordnungstabelle!

Schutzbedarfsfeststellung Beispiel: IT-Anwendungen

Schutzbedarfsfeststellung IT-Systeme Maximumprinzip Auf einem IT-System können mehrere Anwendungen laufen. Im Wesentlichen bestimmt der Schaden mit den schwerwiegendsten Auswirkungen den Schutzbedarf des IT-Systems. Kumulationseffekt Durch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein insgesamt höherer Gesamtschaden. Der Schutzbedarf des IT-Systems erhöht sich dann entsprechend. Verteilungseffekt Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen. Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung. Maximum-Prinzip: Beachtung von Abhängigkeiten unwichtige Anwendung liefert Input für wichtige Anwendung Kumulationseffekt: Auf einem Server befinden sich alle für die Bürokommunikation benötigten Anwendungen. Ausfall einer Anwendung ist noch nicht schlimm, wehe der Server fällt aber komplett aus. Verteilungseffekt: hauptsächlich bzgl. Verfügbarkeit Bei redundanter Auslegung von IT-Systemen ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung.

Schutzbedarfsfeststellung Beispiel: IT-Systeme

Schutzbedarfsfeststellung Kommunikationsverbindungen Folgende Kommunikationsverbindungen sind kritisch: Außenverbindungen (1) Übertragung von hochschutzbedürftigen Informationen Schutzbedarf resultiert aus Vertraulichkeit (2) Schutzbedarf resultiert aus Integrität (3) Schutzbedarf resultiert aus Verfügbarkeit (4) Hochschutzbedürftige Informationen dürfen auf keinen Fall übertragen werden. (5) Verbindungen im Netzplan grafisch hervorheben tabellarische Dokumentation

Schutzbedarfsfeststellung Beispiel: IT-Räume

Modellierung nach IT-Grundschutz Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge

Basis-Sicherheitscheck IT-Grundschutz-Modell Soll-/Ist-Vergleich Maßnahmen- empfehlungen Realisierte Maßnahmen umzusetzende Maßnahmen

Basis-Sicherheitscheck Umsetzungsstatus Mögliche Umsetzungsstatus einzelner Maßnahmen: "entbehrlich" Umsetzung ist nicht notwendig, da Gefährdungen durch andere adäquate Maßnahmen entgegengewirkt wird. nicht relevant, weil z. B. Dienste nicht aktiv "ja" Alle Empfehlungen sind vollständig und wirksam umgesetzt. "teilweise" "nein"

Ergänzende Sicherheitsanalyse IT-Grundschutzanalyse: Modellierung des IT-Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn: hoher oder sehr hoher Schutzbedarf vorliegt, zusätzlicher Analysebedarf besteht oder für bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert. Ergänzende Sicherheitsbetrachtung Management Report Risikoanalyse auf der Basis von IT-Grundschutz Konsolidierung der Maßnahmen Realisierung der Maßnahmen

Konsolidierung der Maßnahmen IT-Grundschutz-Analyse höherwertige Maßnahmen IT-Grundschutz- Maßnahmen Gesamtheit zu realisierender IT-Sicherheitsmaßnahmen Risikoanalyse ergänzende Sicherheitsanalyse Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge mit den zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse => zu realisierende Maßnahmen

Realisierung von IT-Sicherheitsmaßnahmen I Schritt 1: Sichtung der Untersuchungsergebnisse Welche Maßnahmen sind nicht oder nur teilweise umgesetzt? Schritt 2: Konsolidierung der Maßnahmen Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt? Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden? Schritt 3: Kosten- und Aufwandsschätzung Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen? Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.

Realisierung von IT-Sicherheitsmaßnahmen II Schritt 4: Festlegung der Umsetzungsreihenfolge Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden? Breitenwirkung beachten! Schritt 5: Festlegung der Verantwortlichkeit Wer setzt welche Maßnahme bis wann um? Schritt 6: Realisierungsbegleitende Maßnahmen Schulung der Mitarbeiter Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle Ressourcen erforderlich?  Schritte 1,3,4 können entfallen

IT-Grundschutz bedeutet... Wissen Systeme, Anwendungen, Kommunikationsverbindungen, Räume Schutzbedarf Management und Organisation Sicherheitsmanagement Sicherheitskonzept Organisation Personal Notfallvorsorge Technik Sicherung der Infrastruktur Standardsicherheitsmaßnahmen für Standardkomponenten

ISO/IEC 27001 auf einen Blick “Information Security Management Systems – Requirements“ spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS) ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe kann als Grundlage für Vertragsbeziehungen zwischen Organisationen benutzt werden erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001)

ISO/IEC 27002 auf einen Blick ISO/IEC 27002 (bisher ISO/IEC 17799:2005) “Code of practice for information security management“ ist ein Leitfaden (keine Spezifikation und kein Zertifizierungsstandard) Ergänzung zur ISO 27001 Detaillierung der normativen Anlage A der ISO 27001) dient zum besseren Verständnis der in der ISO 27001 definierten Anforderungen (insbesondere aus Anhang A) Basis zur Entwicklung von organisationseigenen Verfahren und Regelungen

Bundesamt für Sicherheit in der Informationstechnik BSI-Zertifizierung BSI-Zertifikat Unterstützt durch akkreditierte Prüfstellen internationale Komitees für - Kriterienentwicklung und -Harmonisierung - gegenseitige Anerkennung Unterstützt durch lizenzierte Auditoren internationale Komitees für - Kriterien-Entwicklung und -Harmonisierung - gegenseitige Anerkennung IT-Grundschutz Produkt Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Zertifikat Produktzertifikat bestätigt funktionierendes und effektives IT-Sicherheitsmanagement bestätigt produktspezifische Sicherheitsfunktionalität und -qualität Kunde, Nutzer, Anwender Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung.

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Zertifizierungsablauf beauftragt Prüfung der Umsetzung von IT-Grundschutz prüft IT-Verbund erstellt Prüfbericht Antragsteller Zertifizierungsstelle gibt Prüfbericht an BSI überprüft / lizenziert Auditor prüft Prüfbericht vergibt / veröffentlicht Zertifikat ISO-27001 Auditor auf Basis von IT-Grundschutz

ISO 27001 Zertifizierung Phasen der Zertifizirung Initialisierung Zertifizierungs-Antrag Befugnis für die Durchführung eines Audits Ggf. Abstimmung des IT-Verbundes Bewertung des Audits Erstellung des Auditreports Nachprüfung Durchführung des Audits Prüfung der Dokumentation Vorbereitung des Audit-Tätigkeiten vor Ort Durchführung der Audit-Tätigkeiten vor Ort Re-Zertifizierungs-Audit

ISO 27001 Zertifizierung Stufenkonzept

ISO 27001-Zertifizirung Siegelstufen Umsetzung der Maßnahmen zur Qualifizierung nach IT-Grundschutz

ISO 2701 Zertifizierung Siegelstufen Kategorisierung der Maßnahmen für die Grundschutz-Qualifizierung Das Auditor-Testat "Einstiegsstufe" (Maßnahmen der Stufe A) Das Auditor-Testat "Aufbaustufe" (Maßnahmen der Stufe A und B) ISO 27001 Zertifikat auf der Basis von IT-Grundschutz (Maßnahmen der Stufe A, B und C sowie Maßnahmen aus Risikoanalyse)

ISO 27001 Zertifizierung und Auditor-Testate Auditor-Testat „Einstiegsstufe“ Auditor-Testat „Aufbaustufe“ ISO 27001 Zertifikat IT-Grundschutz-Auditor IT-Grundschutz-Auditor ISO 27001 Auditor 45 € 45 € 2500 €

ISO 27001 Zertifikate auf der Basis von IT-Grundschutz Die BSI-Zertifizierung umfaßt sowohl eine Prüfung des ISMS als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001 zertifiziert zugleich nach deutschen und nach internationalen Standards ist aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung Seit Anfang 2006 „ISO 27001-Zertifikate auf der Basis von IT-Grundschutz“ (Realisierung einer nationale Ausprägung der ISO 27001)

Warum Zertifizierung? Optimierung interner Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte

Erfahrungen mit der Zertifizierung Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie auch für großen Rechenzentren geeignet! Umsetzung IT-Grundschutz: 6 - 12 Monate Aufwand des Auditors: 15 - 30 Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung

Veröffentlichung der ISO 27001-Zertifikate auf Basis von IT-Grundschutz Internet unter www.bsi.bund.de KES diverse Publikationen usw.

Lizenzierung ISO 27001-Auditor Das BSI lizenziert den Auditor Für das Lizenzierungsverfahren wird vom BSI eine Pauschalgebühr erhoben Eine Lizenz als Auditor ist 5 Jahre gültig. Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen Eine Verlängerung der Gültigkeit ist durch eine neue Antragstellung möglich zum Download von der Webseite: www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm

Voraussetzungen für die Lizenzierung Zeugnis über Berufsabschluss 5-jährige Berufserfahrung im Bereich Informationstechnik 2-jährige IT-Sicherheitserfahrung 4 Audits von zusammen mindestens 20 Personentagen 5-tägige Schulungsveranstaltung von insgesamt 40 Stunden Abschlußprüfung Der Lizenzierungsvertrag zwischen BSI und Auditor ist unterzeichnet (Personenlizenz)

Dienstleistungen und Produkte rund um den IT-Grundschutz ° + Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit Webkurs zum Selbststudium BSI Standard 100-1: ISMS Hilfsmittel & Musterrichtlinien Software: „GSTOOL“ BSI Standard 100-2: IT-Grundschutz-Vorgehensweise Beispiele: „GS-Profile“ ISO 27001-Zertifikat IT-Grundschutz-Kataloge BSI Standard 100-3: Risikoanalyse

Dienstleistungen und Produkte rund um den IT-Grundschutz Sicherheitsbedarf, Anspruch Leitfaden IT-Sicherheit - ° + Webkurs zum Selbststudium Hilfsmittel & Musterrichtlinien Software: "GSTOOL" Beispiele: "GS-Profile" ISO 27001-Zertifikat CERT Viren Internet Zerti-fizierung kritische Infrastruk-turen Krypto-graphie Mobilfunk E-Govern-ment Biometrie ...

Leitfaden IT-Sicherheit Hilfsmittel Leitfaden IT-Sicherheit

Leitfaden IT-Sicherheit Zielgruppe: Einsteiger, Management, eilige Leser, kleine und mittlere Unternehmen und Behörden Idee: Die wichtigsten Fakten zur IT-Sicherheit komprimiert auf wenigen Seiten Darstellung: nachvollziehbar, nah an der Realität Schwerpunkt: Organisation und Prozesse, technische Hinweise, doch ohne Details Kein "IT-Grundschutz light" Kurzüberblick über IT-Grundschutz und Motivation zur vertieften Beschäftigung mit IT-Sicherheit Sensibilisierensbeispiele zum Download von der Webseite: www.bsi.bund.de/gshb/leitfaden/index.htm

Webkurs IT-Grundschutz Hilfsmittel Webkurs IT-Grundschutz

Webkurs IT-Grundschutz Webkurs 2006 aktualisiert Schneller Einstieg (Ersatz für 1- bis 2-tägige Schulung) Zielgruppe: IT-Sicherheitsbeauftragte, IT- Mitarbeiter Lernmodule mit Anleitungen, Beispielen, Übungen und Tests Demonstration der Vorgehensweise anhand eines fiktiven Unternehmens zum Download von der Webseite: www.bsi.bund.de/gshb/webkurs/index.htm

Gliederung des Webkurs IT-Grundschutz 2 Lernzweige Für Anwender die bereits vor 2005 mit dem IT-Grundschutz gearbeitet haben (Umsteigerkurs) Für Anfänger im IT-Grundschutz (Webkurs)

Musterrichtlinien & Beispielkonzepte Hilfsmittel Musterrichtlinien & Beispielkonzepte

Musterrichtlinien & Beispielkonzepte Übersicht über das Angebot Strategie IT-Sicherheitsleitlinie Sicherheitsrichtlinie zur IT-Nutzung übergreifende Anweisungen Datensicherung Virenschutz Notfallvorsorge Richtlinien für einzelne Aspekte Outsourcing Internetnutzung und E-Mail Archivierung Zusammenf. für Zielgruppen Hinweise für Administratoren Hinweise für IT-Benutzer zum Download von der Webseite: www.bsi.bund.de/gshb/deutsch/hilfmi/musterrichtlinien/

Musterrichtlinien IT-Sicherheitsleitlinie Inhalt: Stellenwert der IT Sicherheit Bedeutung der IT für die Aufgabenerfüllung Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation Sicherheitsziele und Sicherheitsstrategie Beschreibung der Organisationsstruktur für die Umsetzung des IT-Sicherheitsprozesses Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Sicherheit ist Chefsache

Musterrichtlinien Sicherheitsrichtlinie zur IT-Nutzung Umgang mit schützenswerten Informationen (Informationseigentümer, Klassifizierung von Informationen nach Schutzbedürftigkeit) relevante Gesetze und Vorgaben Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter, Administrator, IT-Benutzer) Ausbildung des Personals Pflicht zur Einrichtung von Vertretungsregelungen Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung, Revision und Entsorgung) grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu IT-Systemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge) Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)

Beispielkonzepte Datensicherungskonzept Wo werden die Daten gespeichert? Welche Daten werden gesichert? Wer ist für die Datensicherungen zuständig? Wie wird gesichert? (Technik, Sicherungsmedien, Intervalle), Wie lange werden Datensicherungen aufbewahrt? Wie wird mit Notebooks verfahren, die nicht ständig am Netz angeschlossen sind? Wie wird überprüft, ob die Datensicherungen tatsächlich zuverlässig funktioniert haben? Wie können die Daten im Schadensfall rekonstruiert werden?

IT-Grundschutz-Profile Hilfsmittel IT-Grundschutz-Profile

IT-Grundschutz-Profile Überblick IT-Grundschutz-Profile: Beispiele für die Anwendung der Vorgehensweise nach IT-Grundschutz Veröffentlicht seit November 2004 3 Beispiele: kleine, mittlere, große Institution zum Download von der Webseite: www.bsi.bund.de/gshb/deutsch/hilfmi/beispielprofile/

Anwendungsbeispiele IT-Grundschutz-Profile Beispiele zur Anwendung des IT-Grundschutzes für Institutionen verschiedener Größe: klein: (z. B. kleine Behörde, Anwaltskanzlei): 3 Clients, 1 Server mittel: (z. B. Bankfiliale, KMU): 20 Clients, 4 Server groß: (z. B. Rechenzentrum): 100 Server Planung, Umsetzung, Pflege des IT-Sicherheitskonzeptes IT-Sicherheitsprozess und Herangehensweise speziell auf die jeweiligen Anwendergruppen angepasst Umsetzung des mittleren und großen Profils im GSTOOL

Beispielprofil für eine mittlere Institution (1) Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution Repräsentation eines Unternehmens mit mehreren Servern und wenig IT-Grundschutz Erfahrung Ausführliche Erläuterung der Anwendung des IT-Grundschutzes Beispielhafte Anwendung des GSTOOL

Beispielprofil für eine mittlere Institution (2) Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor) Stabstelle für QM und IT-Sicherheit Größe des IT-Verbundes: ca. 20 Clients und 4 Server Anbindung an das Internet über DSL Existenz interner Teilnetze IT-Anwendungen/Systeme eines Projektteams haben erhöhten Schutzbedarf und werden gesondert gruppiert

Beispielprofil für eine mittlere Institution (3) Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung

Beispielprofil für eine mittlere Institution (4) Zu jeder Phase: detaillierte Erläuterung der IT-Grundschutz-Vorgehensweise Hervorhebung der Schritte, die durch das GSTOOL unterstützt werden die bei einer nicht tool-gestützten Vorgehensweise zu beachten sind Anwendung des GSTOOL, dargestellt durch Screenshots

Weitere Hilfsmittel Formblätter, Maßnahmenlisten etc. Kreuzreferenztabellen (Zuordnung von Maßnahmen zu Gefährdungen) Technische Zusatzinformationen zu Bausteinen Dokumentationen und Studien ITIL und Informationssicherheit Zuordnungstabelle ISO 27001 / ISO 17799 und IT-Grundschutz Muster und Beispiele von IT-Grundschutz-Anwendern zum Download von der Webseite: www.bsi.bund.de/gshb/deutsch/hilfmi/hilfmi/index.htm

zum Download von der Webseite: www.bsi.bund.de/gstool/index.htm Hilfsmittel GSTOOL zum Download von der Webseite: www.bsi.bund.de/gstool/index.htm

GSTOOL BSI Tool IT-Grundschutz Die 2005er Zahlen sind die der Ausgabe Dezember 2004.

GSTOOL Überblick Das GSTOOL ist eine Software zur Unterstützung bei der Anwendung des IT-Grundschutzes Funktionalität Erfassung von IT-Systemen, Anwendungen usw. Schutzbedarfsfeststellung Auswahl der Bausteine (Modellierung) Basis-Sicherheitscheck unterstützt die IT-Grundschutz-Zertifizierung Kostenauswertung, Revisionsunterstützung Berichterstellung GSTOOL-Hotline: 0228 99 / 9582 - 5299 gstool@bsi.bund.de

GSTOOL Leistungsmerkmale (technisch) Netzwerkfähigkeit (SQL-Datenbank: MSDE2000 oder SQL-Server 2000) Verwaltung mehrerer Sicherheitskonzepte in einem Tool Zweisprachigkeit: deutsch/englisch Historienführung einfaches Update der Datenbasis per Internet Export von Teilarbeitsbereichen zur Bearbeitung in anderem GSTOOL Importfunktion für Datenbestände aus älteren Versionen Verschlüsselung von Exportdaten 1. Tag April 2005 1. Tag Juni 2005, 11:46 1. Tag Oktober 2005

GSTOOL Benutzeroberfläche Toolbar Baumdarstellung Bearbeitungsmaske 1. Tag April 2005, 12:10 1. Tag Juni 2005, 11:32 1. Tag Oktober 2005 Status-Leiste Navigation

GSTOOL Preise Anzahl der Gesamtpreis Update-Preis Lizenzen GSTOOL 4.0 3.1 nach 4.0 1 998,38 € 110,98 € 2 1.996,75 € 221,95 € 3 2.845,38 € 316,29 € 4 oder 5 4.487,71 € 498,84 € 6 bis 10 8.356,42 € 928,88 € 11 bis 20 15.275,17 € 1.697,95 € 21 bis 40 26.117,55 € 2.903,16 € Firmenlizenz auf Anfrage auf Anfrage Preise inkl. MwSt 3. Tag 04/05, 12:17:xx, Dauer 1:xx 3. Tag 06/05, 12:38:xx 3. Tag 10/05, 13:38:33, Dauer 1:36 3. Tag 11/05, 12:36:46, Dauer 0:29 3. Tag __/06 Deutsche Hochschulen erhalten beim Einsatz zu Lehrzwecken einen Nachlass i.H.v. 50%. Der Bezug ist für die unmittelbare deutsche öffentliche Verwaltung kostenfrei. Fragen, Wünsche, Anregungen zum Vertrieb: per E-Mail: vertrieb@bsi.bund.de telefonisch: 01805 / 274 100

GSTOOL Hilfsmittel GSTOOL-Handbuch jede Funktion wird erklärt 319 Seiten wird fortlaufend aktualisiert Webkurs GSTOOL seit Oktober 2005 GSTOOL-Hotline 0228 99 / 9582 - 5299 gstool@bsi.bund.de zum Download von der Webseite: www.bsi.bund.de/gstool/handbuch/index.htm

Hilfsmittel Webkurs zum GSTOOL zum Download von der Webseite: www.bsi.bund.de/gstool/wbtgstool/index.htm

Der Webkurs GSTOOL E-Learning-Kurs zur Einführung in Anwendung und Administration des Tools (Grundlage: Version 4.0) Ergänzung zu konventionellen Schulungen Handbuch Hotline FAQ Zielgruppen Anwender (ersten Überblick) Administratoren (speziellen Leistungsmerkmalen)

Gliederung des Webkurses zum GSTOOL Administrators Einrichtung des GSTOOLs Verwaltung von Zugriffsrechten Konfiguration der Datenbank Datenaustausch Benutzer Aufnahme von Komponenten Erstellung von Verknüpfungen Festlegung des Schutzbedarfs Dokumentation des IST-Zustandes

IT-Grundschutz-Informationen IT-Grundschutz Hotline Telefon: 0228 99 / 9582 - 5369 E-Mail: gshb@bsi.bund.de GSTOOL Hotline Telefon: 0228 99 / 9582 - 5299 E-Mail: gstool@bsi.bund.de http://www.bsi.bund.de/gshb

Fragen und Diskussion ? ? ? ? ? ? ?

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) <Name> Godesberger Allee 185-189 53175 Bonn <Name>@bsi.bund.de Tel: +49 (0)228 99-9582-<Nr.> Fax: +49 (0)228 99-9582-10-<Nr.> www.bsi.bund.de www.bsi-fuer-buerger.de IT-Grundschutz Hotline: gshb@bsi.bund.de Tel: +49 (0)228 99-9582-5369