Musterfolien für Schulungen zur
Einführung in die
Vorgehensweise nach
IT-Grundschutz
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Hinweis
Das BSI stellt hiermit eine Sammlung von Folien zur
Verfügung, den IT-Sicherheitsbeauftragte oder ITGrundschutz-Berater verwenden können, um hieraus
Vorträge zum IT-Grundschutz zusammenzustellen.
Daher ist dieser Foliensatz sehr umfangreich. Einige
Folien enthalten überlappende Aussagen, damit aus
diesen für das jeweilige Zielpublikum die jeweils
geeigneten Folien ausgewählt werden können.
<Name>
2
Überblick
Sensibilisierung
IT-Grundschutz-Konzept
Strukturanalyse
IT-Grundschutz-Werke
Schutzbedarfsfeststellung
IT-Grundschutz-Vorgehensweise
BSI-Sicherheitsstandards
Modellierung
IT-Grundschutz-Kataloge
Basis-Sicherheitscheck
Ergänzende Risikoanalyse
Realisierung
<Name>
ISO 27001 Zertifizierung
auf Basis von IT-Grundschutz
Hilfsmittel rund um den
IT-Grundschutz
3
IT-Sicherheit ist ...
gefährdet
Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ...
Organisatorische Mängel: Fehlende oder unklare
Regelungen, fehlende Konzepte, ...
Menschliche Fehlhandlungen: "Die größte
Sicherheitslücke sitzt oft vor der Tastatur"
Technisches Versagen: Systemabsturz, Plattencrash, ...
Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...
<Name>
4
Bedrohungen in der Praxis
Beispiele
Irrtum und Nachlässigkeit
Malware
Internetdienste (WWW, E-Mail,…)
Hacking und Cracking
Wirtschaftsspionage
Diebstahl von IT-Einrichtungen
...
<Name>
5
KES-Studie 2006
Bedeutung der Gefahrenbereiche
<Name>
6
Unzureichende Software-Tests
Beispiel: British Airways
Informationweek, April 2001
Chaos bei British Airways
Ein Fehler beim Software-Update führte
zum Systemabsturz: Weltweit mussten
Fluggäste warten.
Das British Airways Booking-System (BABS)
brach am 13. März 2001 zusammen.
Bildschirme flackerten – Flüge fielen aus. Das
Bodenpersonal war gezwungen, die Tickets
per Hand auszustellen.
<Name>
7
Schutz von Informationen
Informationen…
… sind Werte, die (wie auch die übrigen Geschäftswerte)
wertvoll für eine Organisation sind und deshalb in
geeigneter Weise geschützt werden müssen.
… sollten deshalb - unabhängig von ihren
Erscheinungsform sowie Art der Nutzung und
Speicherung - immer angemessen geschützt werden.
Quelle: ISO/IEC 17799:2005, Einleitung
<Name>
8
Nachgewiesene IT-Sicherheit lohnt
sich ...
Optimierung der internen Prozesse führt zu einem
geordneten, effektiven und effizienten IT-Betrieb
mittelfristige
Kosteneinsparungen
IT-Sicherheitsniveau ist messbar
Erhöhung der Attraktivität für Kunden und
Geschäftspartner mit hohen Sicherheitsanforderungen
Mitarbeiter und Unternehmensleitung identifizieren sich
mit IT-Sicherheitszielen und sind stolz auf das Erreichte
Versicherungen honorieren zunehmend IT-Sicherheit
<Name>
9
Typische Probleme in der Praxis
Resignation, Fatalismus und Verdrängung
Kommunikationsprobleme
Sicherheit wird als technisches Problem mit technischen
Lösungen gesehen
Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten
unsystematisches Vorgehen bzw. falsche Methodik
Management: fehlendes Interesse, schlechtes Vorbild
Sicherheitskonzepte richten sich an Experten, die ITBenutzer werden vergessen
<Name>
10
Konsequenzen fehlender Regelungen
... oder: Jeder tut, was er will!
Konfusion im Notfall
lückenhafte Datensicherung
Verschlüsselung, Weitergabe und Austausch von
Informationen
gefährliche Internetnutzung
Notebooks, Telearbeitsplätze, lokale Datenhaltung
fehlende Klassifizierung von Informationen
Was ist zu tun? Wer hilft?
Was alle machen, kann doch nicht unsicher sein?
Disziplinlosigkeit
Ignoranz und Arroganz statt geregelter Prozesse
Konsequenzen bleiben aus, sind zu hart, sind willkürlich
<Name>
11
Irrtum und Nachlässigkeit
Die meisten Datenverluste entstehen durch Irrtum
und/oder Nachlässigkeit
Ergebnisse einer Befragung von 300 Windows Netz- und
Systemadministratoren1):
70% der Befragten schätzen die Gefahr durch
unbeabsichtigtes Löschen von wichtigen Daten höher
ein als durch Virenbefall
90% davon erklären dies durch einfache
Anwenderfehler
1)
<Name>
Quelle: Broadcasters Res. International Information Security
12
KES-Studie
Stellenwert der Sicherheit
…beim
Top-Management:
Quelle: KES 2006
<Name>
13
Stellenwert der Sicherheit
„IT-Sicherheit ist Chefsache“
<Name>
14
IT-Sicherheit im Spannungsfeld
Häufige Situation: Sicher, Bequem, Billig
„Suchen Sie sich zwei davon aus!“
Sicherheit
Bequemlichkeit
<Name>
Kosten
15
Methodik für IT-Sicherheit?
Viele Wege führen zur IT-Sicherheit...
Welcher Weg ist der effektivste?
<Name>
16
IT-Grundschutz
Die Idee ...
Typische Abläufe und IT-Komponenten
überall ähnlich
Wichtig:
Wiederverwendbarkeit
Anpassbarkeit
Erweiterbarkeit
Typische Gefährdungen, Schwachstellen und Risiken
Typische Geschäftsprozesse und Anwendungen
Typische IT-Komponenten
Gerüst für das IT-Sicherheitsmanagement wird gebildet
<Name>
17
IT-Grundschutz
Prinzipien
Typische Abläufe von Geschäftsprozessen und Komponenten, bei
denen geschäftsrelevante Informationen verarbeitet werden, werden
betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch
organisatorische und personelle Aspekte, physische Infrastruktur, ...)
Typische Schadensszenarien für die Ermittlung des Schutzbedarfs
werden vorgegeben
Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen
Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit
Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden
<Name>
18
Ziel des IT-Grundschutzes
IT-Grundschutz verfolgt einen ganzheitlichen Ansatz.
Infrastrukturelle, organisatorische, personelle und
technische Standard-Sicherheitsmaßnahmen
helfen, ein Standard-Sicherheitsniveau aufzubauen,
um geschäftsrelevante Informationen zu schützen.
An vielen Stellen werden bereits höherwertige
Maßnahmen geliefert, die die Basis für sensiblere
Bereiche sind.
<Name>
19
Ziel des IT-Grundschutzes
Durch infrastrukturelle, organisatorische, personelle und
technische
Standard-Sicherheitsmaßnahmen
ein
Standard-Sicherheitsniveau
aufbauen, das auch für sensiblere
Bereiche
ausbaufähig
ist.
<Name>
20
Verschiedene Facetten von
IT-Grundschutz
<Name>
Vorgehensweise zur Erstellung
von IT-Sicherheitskonzepten
(Methode für ein „Information
Security Management System“)
Sammlung von StandardSicherheitsmaßnahmen
ganzheitlicher Ansatz
Nachschlagewerk
Referenz und Standard für ITSicherheit
21
IT-Grundschutz - Vorteile
arbeitsökonomische Anwendungsweise durch
Soll-Ist-Vergleich
kompakte IT-Sicherheitskonzepte durch
Verweis auf Referenzquelle
praxiserprobte, meist kostengünstige Maßnahmen mit
hoher Wirksamkeit
Erweiterbarkeit und Aktualisierbarkeit
<Name>
22
Empfehlungen für IT-Grundschutz
Der Bundesbeauftragte für den Datenschutz
Bundesregierung
(zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit
der Bundesverwaltung)
Die Rechnungshöfe des Bundes und der Länder
Landesverwaltung Rheinland-Pfalz
für Behörden, Gerichte und sonstige Stellen der Landesverwaltung
Rheinischer Sparkassen- und Giroverband, Prüfungsstelle
Deutsche Genossenschafts-Revision Wirtschaftsprüfungsgesellschaft GmbH
über 3.000 registrierte Anwender weltweit
über 10.000 Lizenzen für das GSTOOL
<Name>
23
Sicherheitsniveau
Erreichbares Sicherheitsniveau
normaler
Schutzbedarf
Sicherheitsaspekte
<Name>
24
Erreichbares Sicherheitsniveau
Schutzwirkung von Standard-Sicherheitsmaßnahmen
nach IT-Grundschutz sind
für die Schutzbedarfskategorie "normal"
<Name>
im Allgemeinen ausreichend und angemessen
für die Schutzbedarfskategorie "hoch" und "sehr hoch"
Basisschutz und Ausgangsbasis
zusätzliche Sicherheitsmaßnahmen sollten durch
ergänzende Sicherheitsanalyse ermittelt werden
(BSI-Standard 100-3)
25
IT-Grundschutz
Historie
IT-Grundschutzhandbuch 1995
18 Bausteine
200 Maßnahmen
150 Seiten
IT-Grundschutzhandbuch 2004
58 Bausteine
720 Maßnahmen
2550 Seiten
<Name>
26
IT-Grundschutz
Aktuell
seit 2005
BSI-Standards
<Name>
+
Loseblattsammlung
27
BSI-Sicherheitsstandards
BSI-Standard 100-1:
Managementsysteme für
Informationssicherheit
BSI-Standard 100-2:
Vorgehensweise nach
IT-Grundschutz
BSI-Standard 100-3:
Risikoanalyse auf der Basis von
IT-Grundschutz
sowie
Zertifizierung nach ISO 27001
auf der Basis von IT-Grundschutz
-Prüfschema für Auditoren<Name>
28
BSI-Standard 100-1
- BSI-Standard zur IT Sicherheit BSI-Standards zur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
IT-Grundschutz-Kataloge
Kapitel 1: Einleitung
Kapitel 2: Schichtenmodell und Modellierung
Kapitel 3: Glossar
BSI Standard 100-1:
ISMS: Managementsysteme für
Informationssicherheit
BSI Standard 100-2:
IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:
Risikoanalyse auf der Basis von
IT-Grundschutz
<Name>
Kapitel 4: Rollen
• Bausteinkataloge
• Kapitel B1 "Übergreifende Aspekte"
• Kapitel B2 "Infrastruktur"
• Kapitel B3 "IT-Systeme"
• Kapitel B4 "Netze"
• Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
29
BSI-Standard 100-1
ISMS
ISMS: Managementsysteme für
Informationssicherheit
Zielgruppe: Management
Allgemeine Anforderungen
an ein ISMS
Kompatibel mit ISO 27001
Empfehlungen aus
ISO 13335 und 17799
Strategie
Ressourcen
ISMS
Mitarbeiter
ManagementPrinzipien
Didaktische Aufbereitung
<Name>
30
BSI-Standard 100-1
Komponenten eines ISMS
Komponenten:
Management-Prinzipien
Ressourcen
Mitarbeiter
IT-Sicherheitsprozess
IT-Sicherheitsleitlinie
(einschl. IT-Sicherheitsziele und -strategie)
IT-Sicherheitskonzept
IT-Sicherheitsorganisation
<Name>
31
BSI-Standard 100-1
Inhalte
1. Einleitung
2. Einführung in Informationssicherheit
3. ISMS-Definition und Prozessbeschreibung
4. Management-Prinzipien
5. Ressourcen für IT-Betrieb und IT-Sicherheit
6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess
7. Der IT-Sicherheitsprozess
8. IT-Sicherheitskonzept
9. Das ISMS des BSI: IT-Grundschutz
<Name>
32
BSI-Standard 100-1
Managementsystem
<Name>
33
BSI-Standard 100-1
IT-Sicherheitsstrategie
Rahmenbedingungen
(Gesetze, Verträge, Kundenanforderungen, Unternehmensziele,
Aufgaben der Behörde, Technik, Bedeutung der IT für
Geschäftsprozesse, ...)
IT-Sicherheitsstrategie
• Sicherheitsziele
• Umsetzung der Strategie durch Sicherheitsorganisation
und IT-Sicherheitskonzept
• Dokumentation der Strategie in der IT-Sicherheitsleitlinie
• Regelmäßige Überprüfung und Verbesserung!
<Name>
34
BSI-Standard 100-1
IT-Sicherheitsstrategie
IT-Sicherheitsstrategie als zentrale Komponente des ISMS:
Ziele
Rahmenbedingungen
IT-Sicherheitsstrategie
Hilfsmittel zur
Umsetzung:
<Name>
Dokumentation,
Bekenntnis
• IT-Sicherheitskonzept
IT-Sicherheitsleitlinie
• IT-Sicherheitsorganisation
(englisch: security policy)
35
BSI-Standard 100-1
Prozessbeschreibung
Sicherheit unterliegt einer kontinuierlichen Dynamik
(z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in
Gesetzen oder durch den technischen Fortschritt)
Sicherheit aktiv managen, aufrecht erhalten und
kontinuierlich verbessern!
IT-Systemeinführung planen
IT-Sicherheitsmaßnahmen definieren und umsetzen.
Erfolgskontrolle regelmäßig durchführen
Schwachpunkte oder Verbesserungsmöglichkeiten finden
Maßnahmen verbessern (Änderungen planen und umsetzen)
IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen
<Name>
36
BSI-Standard 100-1
Lebenszyklus
<Name>
37
BSI-Standard 100-1
Komponenten eines ISMS
Umsetzung der IT-Sicherheitsstrategie mit Hilfe des ITSicherheitskonzeptes und einer IT-Sicherheitsorganisation
Hilfsmittel zur Umsetzung
IT-Sicherheitsstrategie
IT-Sicherheitsorganisation
Regeln,
Anweisungen
<Name>
Prozesse,
Abläufe
Strukturen
IT-Sicherheitskonzept
Beschreibung der
IT-Struktur
Risikobewertung
Maßnahmen
38
BSI-Standard 100-1
ISMS des BSI: IT-Grundschutz
Beschreibungstiefe des ISMS in diesem
Dokument und den ISO-Standards 27001
und 13335 ist
generisch
als Rahmenvorgaben zu verstehen
Gestaltungsspielraum in der Praxis
Herausforderung:
ISMS effektiv und effizient gestalten
Schlüsselfrage:
Risikobewertung
<Name>
Strategie
Ressourcen
ISMS
Mitarbeiter
ManagementPrinzipien
39
BSI-Standard 100-1
ISMS des BSI: IT-Grundschutz
Strategie
IT-Grundschutz-Vorgehensweise:
Anwendungsansatz für die Etablierung und
Aufrechterhaltung eines ISMS basierend
auf die IT-Grundschutzmethode (BSI-Standard 100-2)
und den IT-Grundschutz-Katalogen
Vorteile der IT-Grundschutzmethode:
für die meisten Anwendungsfälle geeignet
Kostengünstig
Praxiserprobt
konkret
vollständig kompatibel zu ISO 27001
Ressourcen
ISMS
Mitarbeiter
ManagementPrinzipien
<Name>
40
BSI-Standard 100-2
- BSI-Standard zur IT Sicherheit BSI-Standards zur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
IT-Grundschutz-Kataloge
Kapitel 1: Einleitung
Kapitel 2: Schichtenmodell und Modellierung
Kapitel 3: Glossar
BSI Standard 100-1:
ISMS: Managementsysteme für
Informationssicherheit
BSI Standard 100-2:
IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:
Risikoanalyse auf der Basis von
IT-Grundschutz
<Name>
Kapitel 4: Rollen
• Bausteinkataloge
• Kapitel B1 "Übergreifende Aspekte"
• Kapitel B2 "Infrastruktur"
• Kapitel B3 "IT-Systeme"
• Kapitel B4 "Netze"
• Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
41
BSI-Standard 100-2
Wesentliche Merkmale
Aufbau und Betrieb eines
IT-Sicherheitsmanagements
(ISMS) in der Praxis
Anleitungen zu:
Aufgaben des IT-Sicherheitsmanagements
Etablierung einer IT-Sicherheitsorganisation
Erstellung eines IT-Sicherheitskonzepts
Auswahl angemessener IT-Sicherheitsmaßnahmen
IT-Sicherheit aufrecht erhalten und verbessern
<Name>
42
BSI-Standard 100-2
Wesentliche Merkmale
Interpretation der Anforderungen
aus ISO 13335, 17799 und 27001
Hinweise zur Umsetzung mit
Hintergrund Know-how
und Beispielen
Verweis auf IT-Grundschutz-Kataloge zur detaillierten
(auch technischen) Umsetzung
Erprobte und effiziente Möglichkeit, die Anforderungen
der ISO-Standards zu erfüllen
<Name>
43
BSI-Standard 100-2
Inhalte
Einleitung
IT-Sicherheitsmanagement mit IT-Grundschutz
Initiierung des IT-Sicherheitsprozesses
Erstellung einer IT-Sicherheitskonzeption nach
IT-Grundschutz
Aufrechterhaltung der IT-Sicherheit und
kontinuierliche Verbesserung
<Name>
44
Übersicht über den
IT-Sicherheitsprozess
1
Initiative der
Geschäftsführung
2
3
Analyse der
Rahmenbedingungen
Sicherheitscheck
<Name>
• Analyse: Geschäftsprozesse,
Unternehmensziele
• IT-Sicherheitsleitlinie
• IT-Sicherheitsorganisation
• Informationen, IT-Systeme,
Anwendungen
• Schutzbedarf (Szenarien)
• Sicherheitsmaßnahmen
• Identifikation von Sicherheitslücken
45
Übersicht über den
IT-Sicherheitsprozess
4
5
6
<Name>
Planung von
Maßnahmen
Umsetzung
von
Maßnahmen
Sicherheit im
laufenden
Betrieb
• Liste geeigneter Maßnahmen
• Kosten- und Nutzenanalyse
• Auswahl umzusetzender
Maßnahmen
• Dokumentation des Restrisikos
• Implementierung
• Test
• Notfallvorsorge
• Sensibilisierung
• Schulung
• Audit, Kontrollen, Monitoring,
Revision
• Notfallvorsorge
46
BSI-Standard 100-2
Übersicht IT-Sicherheitsprozess
Initiierung des
IT-Sicherheitsprozesses
IT-Sicherheitskonzeption
(einschl. Umsetzung)
Aufrechterhaltung der IT-Sicherheit im laufenden
Betrieb und kontinuierliche Verbesserung
<Name>
47
BSI-Standard 100-2
IT-Sicherheitsorganisation
<Name>
48
BSI-Standard 100-2
Verantwortung der Leitungsebene
Verantwortung der Leitungsebene:
<Name>
Kontinuierlichen IT-Sicherheitsprozess
etablieren, d.h. u.a.
Grundlegende IT-Sicherheitsziele definieren
Angemessenes IT-Sicherheitsniveau
basierend auf Geschäftszielen und
Fachaufgaben festlegen
IT-Sicherheitsstrategie zur Erreichung der ITSicherheitsziele entwickeln
IT-Sicherheitsorganisation aufbauen
Erforderliche Mittel bereitstellen
Alle Mitarbeiter einbinden
49
BSI-Standard 100-2
Aufgaben im IT-Sicherheitsprozess
<Name>
50
BSI-Standard 100-2
Einrichtung des IT-Sicherheitsmanagements
Der IT-Sicherheitsbeauftragte
ist verantwortlich für die Wahrnehmung aller Belange der
IT-Sicherheit innerhalb der Organisation
koordiniert die Erstellung des IT-Sicherheitskonzepts,
des Notfallvorsorgekonzepts etc.
erstellt den Realisierungsplan für IT-Sicherheitsmaßnahmen und prüft die Realisierung
stellt den Informationsfluss zur Leitungsebene und zu
den IT-Verantwortlichen sicher
etc.
<Name>
51
BSI-Standard 100-2
Einrichtung des IT-Sicherheitsmanagements
Das IT-Sicherheitsmanagement-Team
unterstützt den IT-Sicherheitsbeauftragten bei der
Wahrnehmung seiner Aufgaben
bestimmt IT-Sicherheitsziele und -strategien
entwickelt die IT-Sicherheitsleitlinie und prüft deren
Umsetzung
wirkt mit bei der Erstellung des IT-Sicherheitskonzepts
prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen
erstellt Schulungs- und Sensibilisierungsprogramme
etc.
<Name>
52
BSI-Standard 100-2
IT-Sicherheitsleitlinie (Policy)
Die IT-Sicherheitsleitlinie sollte mindestens enthalten:
Stellenwert der IT-Sicherheit
Bedeutung der IT für die Aufgabenerfüllung
Begr.: Gesetze, Kundenanforderung, Konkurrenzsituation
Sicherheitsziele und Sicherheitsstrategie
Beschreibung der Organisationsstruktur für die
Umsetzung des IT-Sicherheitsprozesses
Zusicherung, dass die IT-Sicherheitsleitlinie von der
Leitungsebene durchgesetzt wird:
Sicherheit ist Chefsache!
<Name>
53
BSI-Standard 100-2
IT-Sicherheitsleitlinie
Geltungsbereich
Sicherheitsziele
Sicherheitsleitlinie
Sicherheitsniveau
<Name>
Sicherheitsstrategie
54
BSI-Standard 100-2
IT-Grundschutz-Vorgehensweise
<Name>
55
BSI-Standard 100-2
Erstellung eines IT-Sicherheitskonzeptes
Methodik für ein effektives
IT-Sicherheitsmanagement
Aufwand im ITSicherheitsprozess
reduzieren‚ durch Anwendung
von StandardSicherheitsmaßnahmen
Integration einer Methode zur
Risikobetrachtung, unter
anderem für hohen und sehr
hohen Schutzbedarf
<Name>
56
BSI-Standard 100-2
Aufrechterhaltung und Verbesserung
Aufrechterhaltung der IT-Sicherheit und
kontinuierliche Verbesserung:
IT-Sicherheitsprozess regelmäßig auf
seine Effektivität und Effizienz hin
überprüfen
Erfolgskontrolle und Bewertung des ITSicherheitsprozesses durch die
Leitungsebene
Erfolgskontrolle im Rahmen interner Audits
(Unabhängigkeit!)
<Name>
57
BSI-Standard 100-3
- BSI-Standard zur IT Sicherheit BSI-Standards zur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
IT-Grundschutz-Kataloge
Kapitel 1: Einleitung
Kapitel 2: Schichtenmodell und Modellierung
Kapitel 3: Glossar
BSI Standard 100-1:
ISMS: Managementsysteme für
Informationssicherheit
BSI Standard 100-2:
IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:
Risikoanalyse auf der Basis von
IT-Grundschutz
<Name>
Kapitel 4: Rollen
• Bausteinkataloge
• Kapitel B1 "Übergreifende Aspekte"
• Kapitel B2 "Infrastruktur"
• Kapitel B3 "IT-Systeme"
• Kapitel B4 "Netze"
• Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
58
BSI-Standard 100-3
Risikoanalyse
<Name>
59
BSI-Standard 100-3
Risikoanalyse
Als Methoden stehen zur Verfügung:
BSI-Standard 100-3: Risikoanalyse auf der Basis von ITGrundschutz
klassische Risikoanalyse
Penetrationstest
Differenz-Sicherheitsanalyse
RISIKEN
<Name>
60
Risikoanalyse-Ansatz
Zusätzliche Maßnahmen der
Ergänzende Risikoanalyse
Maßnahmen der
IT-Grundschutz-Kataloge
<Name>
61
Risikoanalyse
Das zweistufige BSI-Modell
(1) Für normalen Schutzbedarf, übliche Einsatzszenarien und
existierende Bausteine:
qualitative Methode zur Risikoanalyse und -bewertung
in der IT-Grundschutz-Vorgehensweise enthalten
beim Einsatz ähnlicher IT-Umgebungen und vergleichbarer
Umfeldbedingungen meistens vergleichbare Bedrohungen
(2) Für den höheren Schutzbedarf, unübliche
Einsatzszenarien, unzureichende Abdeckung mit
Bausteinen und durch Management festgestellten Bedarf:
<Name>
vereinfachte Risikoanalyse und -bewertung
nach BSI-Standard 100-3
62
BSI-Standard 100-3
IT-Sicherheitskonzept
<Name>
63
BSI-Standard 100-3
Inhalte
1 Einleitung
2 Vorarbeiten
3 Erstellung der Gefährdungsübersicht
4 Ermittlung zusätzlicher Gefährdungen
5 Gefährdungsbewertung
6 Behandlung von Risiken
7 Konsolidierung des IT-Sicherheitskonzepts
8 Rückführung in den IT-Sicherheitsprozess
<Name>
64
BSI-Standard 100-3
Ergänzende Sicherheitsanalyse
Eine „Ergänzende Sicherheitsanalyse“ ist durchzuführen,
wenn:
hoher oder sehr hoher
Schutzbedarf vorliegt,
zusätzlicher Analysebedarf
besteht oder
für bestimmte Aspekte kein
geeigneter Baustein in den
IT-Grundschutz-Katalogen
existiert.
IT-Grundschutzanalyse:
Modellierung des IT-Verbundes
Basis-Sicherheitscheck (Soll-IstVergleich)
Ergänzende Sicherheitsbetrachtung
Management Report
Risikoanalyse auf der
Basis von ITGrundschutz
Konsolidierung der Maßnahmen
Realisierung der Maßnahmen
<Name>
65
BSI-Standard 100-3
Risikoanalyse nach IT-Grundschutz
<Name>
1
Erstellung der
Gefährdungsübersicht
2
Ermittlung zusätzlicher
Gefährdungen
3
Gefährdungsbewertung
4
Maßnahmenauswahl zur
Behandlung von Risiken
5
Konsolidierung des
IT-Sicherheitskonzepts
66
BSI-Standard 100-3
Behandlung von Risiken
Transfer
Überwachung
<Name>
67
BSI-Standard 100-3
Konsolidierung des IT-Sicherheitskonzeptes
IT-Sicherheitskonzept
konsolidieren
IT-Sicherheitsmaßnahmen
für jedes Zielobjekt anhand
folgender Kriterien
überprüfen
Eignung der IT-Sicherheitsmaßnahmen zur Abwehr der
Gefährdungen
Zusammenwirken der IT-Sicherheitsmaßnahmen
Benutzerfreundlichkeit der IT-Sicherheitsmaßnahmen
Angemessenheit der IT-Sicherheitsmaßnahme
<Name>
68
Vorgehensweise nach IT-Grundschutz
Zusammenfassung
Initiierung des IT-Sicherheitsprozesses
Aufrechterhaltung
Überprüfung
Informationsfluss
Zertifizierung
IT-Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
Basis-Sicherheitscheck I
Ergänz .Sicherheitsanalyse
Zusätzliche Gefährdungen
Gefährdungsbewertung
Basis-Sicherheitscheck II
Realisierung
Standard-Sicherheit
<Name>
Gefährdungsübersicht
Behandlung von Risiken
Konsolidierung
Risikoanalyse
69
IT-Grundschutz-Kataloge
Übersicht
<Name>
70
IT-Grundschutz-Kataloge
Inhalt
Modellierungshinweise
Baustein-Kataloge
Gefährdungs-Kataloge
Maßnahmen-Kataloge
+
+
Maßnahmen
Einführung
Gefährdungen
Bausteine
Kataloge
Loseblattsammlung
<Name>
71
IT-Grundschutz-Kataloge
Aufbau
<Name>
72
IT-Grundschutz-Kataloge
Struktur der Bausteine
Kapitel
("Bausteine")
Gefährdungskataloge
•
•
•
•
•
Höhere Gewalt
Organisatorische Mängel
Menschliche Fehlhandlungen
Technisches Versagen
Vorsätzliche Handlungen
<Name>
Maßnahmenkataloge
•
•
•
•
•
•
Infrastruktur
Organisation
Personal
Hardware/Software
Kommunikation
Notfallvorsorge
73
IT-Grundschutz-Kataloge
Schichtenmodell
<Name>
SCHICHT I
ÜBERGREIFENDE ASPEKTE
SCHICHT II
INFRASTRUKTUR
SCHICHT III
IT-SYSTEME
SCHICHT IV
NETZE
SCHICHT V
ANWENDUNGEN
74
IT-Grundschutz-Kataloge
Schicht 1: Übergreifende Aspekte
Betreffen den gesamten IT-Verbund
Bausteine:
IT-Sicherheitsmanagement
Organisation
Personal
Notfall-Vorsorgekonzept
Datensicherungskonzept
Computer-Virenschutzkonzept
Kryptokonzept
Incident Handling
Hard- und Software-
Management
Standardsoftware
Outsourcing
Archivierung
IT-Sicherheitssensibilisierung
und -schulung
<Name>
75
IT-Grundschutz-Kataloge
Schicht 2: Infrastruktur
Betreffen bauliche Gegebenheiten
Bausteine:
Gebäude
Schutzschrank
häuslicher Arbeitsplatz
Rechenzentrum
Mobiler Arbeitsplatz
Besprechungs-,
Verkabelung
Büroraum
Serverraum
Datenträgerarchiv
Raum für technische
Veranstaltungs- und
Infrastruktur
Schulungsräume
<Name>
76
IT-Grundschutz-Kataloge
Schicht 3: IT-Systeme
SCHICHT III
<Name>
IT-SYSTEME
B 3.1XX
SERVER
B 3.2XX
CLIENTS
B 3.3XX
NETZKOMPONENTEN
B 3.4XX
SONSTIGE IT-SYSTEME
77
IT-Grundschutz-Kataloge
Schicht 3: IT-Systeme
Bausteine:
Server:
Client unter Windows XP
Allgemeiner Server
...
Server unter Unix
Netzkomponenten:
Windows Server 2003
Sicherheitsgateway (Firewall)
s/390 & zSeries-Mainframe
...
...
Sonstige:
Clients:
Faxgerät
Allgemeiner Client
Anrufbeantworter
Allg. nicht vernetztes IT-System
Mobiltelefon
Client unter Unix
PDA
Laptop
...
<Name>
78
IT-Grundschutz-Kataloge
Schicht 4: Netze
Bausteine:
Heterogene Netze
Netz- und Systemmanagement
Modem
Remote Access
LAN-Anbindung über ISDN
WLAN
VoIP
<Name>
79
IT-Grundschutz-Kataloge
Schicht 5: Anwendungen
Bausteine:
Datenträgeraustausch
Webserver
E-Mail
Internet Information Server
Lotus Notes
Apache Webserver
Faxserver
Exchange/ Outlook 2000
Datenbanken
Telearbeit
Novell eDirectory
Peer-to-Peer-Dienste
SAP
<Name>
80
IT-Grundschutz-Kataloge
Lebenszyklus der IT-Grundschutz-Bausteine
<Name>
81
IT-Grundschutz-Kataloge
Aufbau aller IT-Grundschutz-Bausteine
Konformer Aufbau jedes IT-Grundschutz-Bausteins
Phase 1: Planung und Konzeption
Phase 2: Beschaffung
Phase 3: Umsetzung
Phase 4: Betrieb
Phase 5: Aussonderung/Stillegung
Phase 6: Notfall-Vorsorge
<Name>
82
IT-Grundschutz-Kataloge
Gefährdungs-Kataloge
Gefährdungs-Kataloge
G1
Höhere Gewalt
G2
Organisatorische Mängel
G3
Menschliche Fehlhandlungen
G4
Technisches Versagen
G5
Vorsätzliche Handlungen
Beispiel:
<Name>
G 4.1 Ausfall der Stromversorgung
83
IT-Grundschutz-Kataloge
Typische Maßnahmen I
M1: Infrastruktur
Schutz vor Einbrechern
Brandschutzmaßnahmen
Energieversorgung
M2: Organisation
Zuständigkeiten
Dokumentationen
Arbeitsanweisungen
M3: Personal
Vertretungsregelungen
Schulung
Maßnahmen beim Ausscheiden von Mitarbeitern
<Name>
84
IT-Grundschutz-Kataloge
Typische Maßnahmen II
M4: Hardware/Software
Passwortgebrauch
Protokollierung
Vergabe von Berechtigungen
M5: Kommunikation
Konfiguration
Datenübertragung
E-Mail, SSL, Firewall
M6: Notfallvorsorge
Notfallpläne
Datensicherung
Vorsorgemaßnahmen (z. B. redundante Systemauslegung)
<Name>
85
IT-Grundschutz-Kataloge
Gefährdungen vs. Maßnahmen
Kreuztabellen: Gefährdungen vs. Maßnahmen
Beispiel: Baustein B 2.10 Mobiler Arbeitsplatz
G
1.
15
<Name>
G
2.
1
G
2.
4
G
2.
47
G
2.
48
G
3.
3
G
3.
43
G
3.
44
G
5.
1
G
5.
2
G
5.
4
M 1.15
A
X
X
M 1.23
A
X
X
M 1.45
A
M 1.46
Z
M 1.61
A
X
X
X
X
G
5.
71
X
X
X
X
X
X
X
86
IT-Grundschutz-Kataloge
Zusammenfassung
Allgemeine Hilfestellungen für die Umsetzung von IT-Grundschutz
besteht aus insgesamt ca. 3.600 Seiten...
Baustein-Kataloge (ca. 70 Bausteine)
Gefährdungs-Kataloge (ca. 420 Gefährdungen)
Maßnahmen-Kataloge (ca. 1.040 Maßnahmen)
Inhalte haben Empfehlungscharakter und sind keine "Gesetze"
keine Garantie auf Vollständigkeit
IT-Grundschutz-Maßnahmen müssen individuell angepasst
und angewandt werden
<Name>
87
IT-Grundschutz-Vorgehensweise
<Name>
88
IT-Sicherheitskonzept
<Name>
89
Der IT-Verbund
Definition
Unter einem IT-Verbund ist die Gesamtheit von
infrastrukturellen,
organisatorischen,
personellen und
technischen Komponenten
zu verstehen, die der Aufgabenerfüllung in einem bestimmten
Anwendungsbereich der Informationsverarbeitung dienen.
Ein IT-Verbund kann dabei als Ausprägung die gesamte IT einer
Institution oder einzelne Bereiche, die durch organisatorische
Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind,
umfassen.
<Name>
90
IT-Sicherheitskonzepts
Erstellung und Realisierung
<Name>
91
IT-Strukturanalyse
Teilaufgaben
Erstellung bzw. Aktualisierung eines Netzplans
(grafische Übersicht)
Komplexitätsreduktion durch Gruppenbildung
Erhebung der IT-Systeme (Tabelle)
Erfassung der IT-Anwendungen und der zugehörigen
Informationen (Tabelle)
<Name>
92
IT-Strukturanalyse
Komplexitätsreduktion im Netzplan
Gleichartige Komponenten sollten zu einer Gruppe
zusammengefasst werden.
Voraussetzungen:
gleicher Typ
gleiche oder nahezu gleiche Konfiguration
gleiche oder nahezu gleiche Netzanbindung
(z. B. Anschluss am gleichen Switch)
gleiche Rahmenbedingungen
(Administration und Infrastruktur)
gleiche Anwendungen
<Name>
93
IT-Strukturanalyse
Beispiel: Gruppenbildung
S2: Primärer
DomänenController
(Windows NT)
S3: ExchangeServer
(Windows NT)
S4: FileServer
(Novell Netware)
S5:
KommunikationsServer
(Unix)
S6: Backup
DomänenController
(Windows NT)
Internet
N1: Router
N3: Switch
IP
IP
N7: Switch
N2: Firewall
N5: Router
N4: Switch
S1: Server für
Personalverwaltung
(Windows NT)
Liegenschaft Bonn
<Name>
C1: 5 ClientComputer
für
Personalverwaltung
(Windows NT)
C2: 10 ClientComputer
für Verwaltung
(Windows NT)
C3: 75 ClientComputer
für Fachabteilungen
(Windows NT)
Standleitung
N6: Router
C4: 40 Client-Computer
(Windows NT)
Liegenschaft Berlin
94
IT-Strukturanalyse
Erhebung der IT-Systeme
IT-Systeme sind nicht nur Computer, sondern auch
aktive Netzkomponenten
Netzdrucker
TK-Anlagen etc.
Insbesondere sind auch
nicht vernetzte IT-Systeme und
IT-Systeme, die nicht im Netzplan enthalten sind,
zu berücksichtigen.
<Name>
95
IT-Strukturanalyse
Darstellung der IT-Systeme
notwendige Informationen
Nr. Beschreibung
Plattform
S1 Server für
Personalverwaltung
S2 Primärer
DomänenController
C6 Gruppe der
Laptops für den
Standort Berlin
N1 Router zum
Internet-Zugang
T1 TK-Anlage für
Bonn
Windows NT
Server
1 Bonn,
R 1.01
in
Betrieb
Anwender/
Admin.
Personalreferat
Windows NT
Server
1 Bonn,
R 3.10
in
Betrieb
alle
IT-Anwender
Laptop unter
Windows 95
2 Berlin,
R 2.01
in
Betrieb
Router
1 Bonn,
R 3.09
1 Bonn,
B.02
in
Betrieb
in
Betrieb
alle
IT-Anwender
in Berlin
alle
IT-Anwender
alle Mitarb.
in Bonn
<Name>
ISDN-TKAnlage
Anz. Standort Status
96
IT-Strukturanalyse
Erfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems,
deren Daten bzw. Informationen und Programme den
höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen,
deren Daten bzw. Informationen und Programme den
höchsten Bedarf an Korrektheit und Unverfälschtheit
(Integrität) besitzen,
die die kürzeste tolerierbare Ausfallzeit
(höchster Bedarf an Verfügbarkeit) haben,
müssen erfasst werden.
Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.
<Name>
97
IT-Strukturanalyse
Beispiel: Liste der IT-Anwendungen
Auszug aus der Liste der IT-Anwendungen
Beschreibung der IT-Anwendungen
Anw.Nr.
IT-Anwendung/
Informationen
Pers.bez.
Daten
S1
X
A1
Personaldatenverarbeitung
X
A4
BenutzerAuthentisierung
X
A5
Systemmanagement
A7
zentrale
Dokumentenverwaltung
<Name>
IT-Systeme
S2
S3
S4
X
S5
S6
S7
X
X
X
98
Schutzbedarfsfeststellung
Teilaufgaben
Definition der Schutzbedarfskategorien
Schutzbedarfsfeststellung für
IT-Anwendungen einschließlich ihrer Daten
IT-Systeme
Kommunikationsverbindungen
IT-Räume
anhand von typischen Schadensszenarien
Dokumentation der Ergebnisse
<Name>
99
Schutzbedarfsfeststellung
Schutzbedarf ist meist nicht quantifizierbar.
Beschränkung auf drei Kategorien
Schutzbedarfskategorie
normal
Die Schadensauswirkungen sind begrenzt
und überschaubar.
hoch
Die Schadensauswirkungen können
beträchtlich sein.
sehr hoch
Die Schadensauswirkungen können ein
existentiell bedrohliches, katastrophales
Ausmaß erreichen.
<Name>
100
Schutzbedarfsfeststellung
Schutzbedarfsfeststellung erfolgt immer bezüglich der
Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
Betrachtung von typischen Schadensszenarien aus Sicht
der Anwender ("Was wäre, wenn... ?")
Verstoß gegen Gesetze, Vorschriften, Verträge
Beeinträchtigung des informationellen
Selbstbestimmungsrechts
Beeinträchtigung der persönlichen Unversehrtheit
Beeinträchtigung der Aufgabenerfüllung
negative Außenwirkung
finanzielle Auswirkungen
Individualisierung der Zuordnungstabelle!
<Name>
101
Schutzbedarfsfeststellung
Beispiel: IT-Anwendungen
Nr.
A1
A2
<Name>
IT-Anwendung
Bezeichnung pers.
Daten
Personaldatenverarbeitung
Beihilfeabwicklung
Grundwert
Schutzbedarfsfeststellung
Schutz- Begründung
bedarf
Vertr.
hoch
schutzbedürft., personenbez.
Daten, Gehaltsinformationen
Integr.
normal
Fehler werden rasch erkannt
und korrigiert.
Verf.
normal
Vertr.
hoch
Integr.
normal
Ausfälle bis zu einer Woche
können mittels manueller
Verfahren überbrückt werden.
schutzbedürft., personenbez.
Daten, z.T. Hinweise auf
Erkrankungen etc.
Fehler werden rasch erkannt
und korrigiert.
Verf.
normal
Ausfälle bis zu einer Woche
können mittels manueller
Verfahren überbrückt werden.
102
Schutzbedarfsfeststellung
IT-Systeme
Maximumprinzip
Auf einem IT-System können mehrere Anwendungen laufen. Im
Wesentlichen bestimmt der Schaden mit den schwerwiegendsten
Auswirkungen den Schutzbedarf des IT-Systems.
Kumulationseffekt
Durch Kumulation mehrerer (z.B. kleinerer) Schäden entsteht ein
insgesamt höherer Gesamtschaden. Der Schutzbedarf des ITSystems erhöht sich dann entsprechend.
<Name>
Verteilungseffekt
Eine IT-Anwendung überträgt ihren hohen Schutzbedarf nicht
auf ein IT-System, weil auf diesem IT-System nur
unwesentliche Teile der IT-Anwendung laufen.
Bei redundanter Systemauslegung ist der Schutzbedarf der
Einzelkomponenten niedriger als der Schutzbedarf der
Gesamtanwendung.
103
Schutzbedarfsfeststellung
Beispiel: IT-Systeme
IT-System
Schutzbedarfsfeststellung
Nr. Bezeichnung Grundwert
S1 Server für
Vertr.
Personalverw.
Integr.
S2
<Name>
Primärer
DomänenController
Schutz- Begründung
bedarf
hoch
Maximumprinzip
normal
Maximumprinzip
Verf.
normal
Maximumprinzip
Vertr.
normal
Maximumprinzip
Integr.
hoch
Maximumprinzip
Verf.
normal
Verteilungseffekt: Eigentlich hoher
SB wg. Anw. A4, aber hier laufen
nur unwesentl. Teile der Anw.
104
Schutzbedarfsfeststellung
Kommunikationsverbindungen
Folgende Kommunikationsverbindungen sind kritisch:
Außenverbindungen (1)
Übertragung von hochschutzbedürftigen Informationen
Schutzbedarf resultiert aus Vertraulichkeit (2)
Schutzbedarf resultiert aus Integrität (3)
Schutzbedarf resultiert aus Verfügbarkeit (4)
Hochschutzbedürftige Informationen dürfen auf keinen
Fall übertragen werden. (5)
Verbindungen
tabellarische
<Name>
im Netzplan grafisch hervorheben
Dokumentation
105
Schutzbedarfsfeststellung
Beispiel: IT-Räume
Raum
Bez.
R U.02
<Name>
IT
Schutzbedarf
Art
Lokation IT-Syst./ Vertr. Integr. Verf.
Datentr.
Datenträger- G. Bonn Backup- hoch
hoch
normal
archiv
Datentr.
R B.02
Technikraum G. Bonn
TKnormal normal hoch
Anlage
G. Berlin S6, N6, normal hoch
hoch
N7
G. Berlin C4
normal normal normal
R E.03
Serverraum
R 2.01 R 2.40
Büroräume
106
Modellierung nach IT-Grundschutz
Nachbildung des IT-Verbunds durch Bausteine der
IT-Grundschutz-Kataloge
<Name>
107
Basis-Sicherheitscheck
Primärer
Domänen(Windows NT)
Controller
IT-Grundschutz-Modell
Exchange(Windows NT)
Server
Backup
Domänen(Windows NT)
Controller
Kommunikations
Server
(Unix)
File-Server
(Novell
Netware)
Internet
Router
Switch
IP
IP
Switch
Firewall
Router
Standleitung
Router
Switch
Server für
Personalverwaltun
g (Windows NT)
Maßnahmenempfehlungen
Soll-/Ist-Vergleich
15 Client(Windows NT)
Computer
75 Client(Windows NT)
Computer
Liegenschaft
Bonn
Liegenschaft
Berlin
40 Client(Windows NT)
Computer
Realisierte
Maßnahmen
umzusetzende Maßnahmen
<Name>
108
Basis-Sicherheitscheck
Umsetzungsstatus
Mögliche Umsetzungsstatus einzelner Maßnahmen:
"entbehrlich"
Umsetzung ist nicht notwendig, da Gefährdungen durch
andere adäquate Maßnahmen entgegengewirkt wird.
nicht relevant, weil z. B. Dienste nicht aktiv
"ja"
Alle Empfehlungen sind vollständig und wirksam
umgesetzt.
"teilweise"
"nein"
<Name>
109
Ergänzende Sicherheitsanalyse
Eine „Ergänzende Sicherheitsanalyse“ ist durchzuführen,
wenn:
hoher oder sehr hoher
Schutzbedarf vorliegt,
zusätzlicher Analysebedarf
besteht oder
für bestimmte Aspekte kein
geeigneter Baustein in den
IT-Grundschutz-Katalogen
existiert.
IT-Grundschutzanalyse:
Modellierung des IT-Verbundes
Basis-Sicherheitscheck (Soll-IstVergleich)
Ergänzende Sicherheitsbetrachtung
Management Report
Risikoanalyse auf der
Basis von ITGrundschutz
Konsolidierung der Maßnahmen
Realisierung der Maßnahmen
<Name>
110
Konsolidierung der Maßnahmen
IT-Grundschutz-Analyse
Konsolidieren der Maßnahmen der
IT-Grundschutz-Kataloge mit den
zusätzlichen Maßnahmen aus der
Ergänzenden Risikoanalyse
=> zu realisierende Maßnahmen
ergänzende
Sicherheitsanalyse
Risikoanalyse
IT-GrundschutzMaßnahmen
höherwertige
Maßnahmen
Konsolidierung der
Maßnahmen
Gesamtheit zu realisierender
IT-Sicherheitsmaßnahmen
<Name>
111
Realisierung von
IT-Sicherheitsmaßnahmen I
Schritt 1: Sichtung der Untersuchungsergebnisse
Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?
Schritt 2: Konsolidierung der Maßnahmen
Welche IT-Grundschutzmaßnahmen werden durch höheroder gleichwertige Maßnahmen ersetzt?
Welche Maßnahmenempfehlungen müssen noch an die
individuellen Gegebenheiten angepasst werden?
Schritt 3: Kosten- und Aufwandsschätzung
<Name>
Welche einmaligen/wiederkehrenden Investitions- bzw.
Personalkosten entstehen?
Wenn das zur Verfügung stehende Budget nicht ausreicht,
sollten Ersatzmaßnahmen ergriffen werden und das verbleibende Restrisiko für die Leitungsebene dokumentiert werden.
112
Realisierung von
IT-Sicherheitsmaßnahmen II
Schritt 4: Festlegung der Umsetzungsreihenfolge
Welche fehlenden Maßnahmen sollten zuerst umgesetzt
werden?
Breitenwirkung beachten!
Schritt 5: Festlegung der Verantwortlichkeit
Wer setzt welche Maßnahme bis wann um?
Schritt 6: Realisierungsbegleitende Maßnahmen
Schulung der Mitarbeiter
Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz
der IT-Sicherheitsmaßnahmen
Wenige fehlende Maßnahmen? Wenig personelle oder finanzielle
Ressourcen erforderlich? Schritte 1,3,4 können entfallen
<Name>
113
IT-Grundschutz bedeutet...
Wissen
Systeme, Anwendungen, Kommunikationsverbindungen, Räume
Schutzbedarf
Management und Organisation
Sicherheitsmanagement
Sicherheitskonzept
Organisation
Personal
Notfallvorsorge
Technik
Sicherung der Infrastruktur
Standardsicherheitsmaßnahmen für Standardkomponenten
<Name>
114
ISO/IEC 27001 auf einen Blick
ISO/IEC 27001:2005
“Information Security Management Systems – Requirements“
<Name>
spezifiziert Anforderungen an InformationssicherheitsManagementsysteme (ISMS)
ist anwendbar in Organisationen jeglicher Art, Ausprägung und
Größe
kann als Grundlage für Vertragsbeziehungen zwischen
Organisationen benutzt werden
erlaubt die Implementierung und den Betrieb von integrierten
Managementsystemen für Informationssicherheit (ISO 27001),
Qualität (ISO 9001) und Umwelt (ISO 14001)
115
ISO/IEC 27002 auf einen Blick
ISO/IEC 27002 (bisher ISO/IEC 17799:2005)
“Code of practice for information security management“
ist ein Leitfaden (keine Spezifikation und kein
Zertifizierungsstandard)
Ergänzung zur ISO 27001
Detaillierung der normativen Anlage A der ISO 27001)
dient zum besseren Verständnis der in der ISO 27001 definierten
Anforderungen (insbesondere aus Anhang A)
Basis zur Entwicklung von organisationseigenen Verfahren und
Regelungen
<Name>
116
BSI-Zertifizierung
Produkt
Unterstützt durch
• lizenzierte Auditoren
• internationale Komitees für
- Kriterien-Entwicklung und
-Harmonisierung
- gegenseitige Anerkennung
ITGrundschutz
BSI-Zertifikat
Unterstützt durch
• akkreditierte Prüfstellen
• internationale Komitees für
- Kriterienentwicklung und
-Harmonisierung
- gegenseitige Anerkennung
Bundesamt für Sicherheit in der
Informationstechnik
Produktzertifikat
IT-Grundschutz-Zertifikat
bestätigt funktionierendes
und effektives ITSicherheitsmanagement
Kunde,
Nutzer,
Anwender
bestätigt
produktspezifische
Sicherheitsfunktionalität
und -qualität
Im BSI-Zertifizierungsschema ergänzen sich IT-Grundschutz und Produktzertifizierung.
<Name>
117
ISO 27001 Zertifizierung
auf Basis von IT-Grundschutz
ISO 27001
IT-Grundschutz
<Name>
118
Zertifizierungsablauf
vergibt / veröffentlicht Zertifikat
Antragsteller
prüft IT-Verbund
erstellt Prüfbericht
gibt Prüfbericht
an BSI
Zertifizierungsstelle
beauftragt Prüfung der
Umsetzung von IT-Grundschutz
überprüft / lizenziert Auditor
prüft Prüfbericht
ISO-27001 Auditor auf Basis von IT-Grundschutz
<Name>
119
ISO 27001 Zertifizierung
Phasen der Zertifizirung
Initialisierung
•Zertifizierungs-Antrag
•Befugnis für die Durchführung eines Audits
•Ggf. Abstimmung des IT-Verbundes
Durchführung des Audits
• Prüfung der Dokumentation
• Vorbereitung des Audit-Tätigkeiten vor Ort
• Durchführung der Audit-Tätigkeiten vor Ort
Re-ZertifizierungsAudit
Bewertung des Audits
• Erstellung des Auditreports
• Nachprüfung
<Name>
120
Vertrauenswürdigkeit
ISO 27001 Zertifizierung
Stufenkonzept
ISO 27001-Zertifikat nach IT-Grundschutz
Auditor-Testat „Aufbaustufe“
C
B
A
Auditor-Testat
„Einstiegsstufe“
Sicherheit
<Name>
121
ISO 27001-Zertifizirung
Siegelstufen
Umsetzung der Maßnahmen zur Qualifizierung
nach IT-Grundschutz
A (Einstieg)
B (Aufbau)
C (Zertifikat)
Z (zusätzlich)
<Name>
Diese Maßnahmen müssen für alle drei Ausprägungen der
Qualifizierung nach IT-Grundschutz (Auditortestat Einstiegsstufe,
Auditortestat Aufbaustufe und ISO 27001-Zertifikat auf der Basis von ITGrundschutz) umgesetzt sein. Diese Maßnahmen sind essentiell für die
Sicherheit innerhalb des betrachteten Bausteins. Sie sind vorrangig
umzusetzen.
Diese Maßnahmen müssen für das Auditortestat Aufbaustufe und für
das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz umgesetzt
sein. Sie sind besonders wichtig für den Aufbau einer kontrollierbaren
IT-Sicherheit. Eine zügige Realisierung ist anzustreben.
Diese Maßnahmen müssen für das ISO 27001-Zertifikat auf der Basis
von IT-Grundschutz umgesetzt sein. Sie sind wichtig für die Abrundung
der IT-Sicherheit. Bei Engpässen können sie zeitlich nachrangig
umgesetzt werden.
Diese Maßnahmen müssen weder für eine Auditor-Testat noch für das
ISO 27001-Zertifikat auf der Basis von IT-Grundschutz verbindlich
umgesetzt werden. Sie stellen Ergänzungen dar, die vor allem bei
höheren Sicherheitsanforderungen erforderlich sein können.
122
ISO 2701 Zertifizierung
Siegelstufen
Kategorisierung der Maßnahmen für die GrundschutzQualifizierung
Das Auditor-Testat "Einstiegsstufe"
(Maßnahmen der Stufe A)
Das Auditor-Testat "Aufbaustufe"
(Maßnahmen der Stufe A und B)
ISO 27001 Zertifikat auf der Basis von IT-Grundschutz
(Maßnahmen der Stufe A, B und C
sowie Maßnahmen aus Risikoanalyse)
<Name>
123
ISO 27001 Zertifizierung
und Auditor-Testate
<Name>
Auditor-Testat
„Einstiegsstufe“
Auditor-Testat
„Aufbaustufe“
ISO 27001
Zertifikat
IT-GrundschutzAuditor
IT-GrundschutzAuditor
ISO 27001
Auditor
45 €
45 €
2500 €
124
ISO 27001 Zertifikate
auf der Basis von IT-Grundschutz
Die BSI-Zertifizierung
umfaßt sowohl eine Prüfung des ISMS als auch der konkreten
IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz
beinhaltet immer eine offizielle ISO-Zertifizierung nach ISO 27001
zertifiziert zugleich nach deutschen und
nach internationalen Standards
ist aufgrund der zusätzlich geprüften technischen Aspekte wesentlich
aussagekräftiger als eine reine ISO-Zertifizierung
Seit Anfang 2006
„ISO 27001-Zertifikate auf der Basis von IT-Grundschutz“
(Realisierung einer nationale Ausprägung der ISO 27001)
<Name>
125
Warum Zertifizierung?
Optimierung interner Prozesse
geordneter effektiver IT-Betrieb
mittelfristige Kosteneinsparungen
IT-Sicherheitsniveau ist messbar
Erhöhung der Attraktivität für Kunden und Geschäftspartner mit
hohen Sicherheitsanforderungen
Mitarbeiter und Unternehmensleitung identifizieren sich mit
IT-Sicherheitszielen und sind stolz auf das Erreichte
<Name>
126
Erfahrungen mit der Zertifizierung
Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie
auch für großen Rechenzentren geeignet!
Umsetzung IT-Grundschutz:
Aufwand des Auditors:
6 - 12 Monate
15 - 30 Tage
Erfolgsfaktoren:
Unterstützung durch die Geschäftsleitung
Verständnis, Kooperationsbereitschaft und aktive Unterstützung
durch die IT- und TK-Verantwortlichen
konsequente Gruppenbildung
Tool-Unterstützung
<Name>
127
Veröffentlichung der ISO 27001Zertifikate auf Basis von IT-Grundschutz
Veröffentlichung
Internet unter www.bsi.bund.de
KES
diverse Publikationen
usw.
<Name>
128
Lizenzierung
ISO 27001-Auditor
Das BSI lizenziert den Auditor
Für das Lizenzierungsverfahren wird vom BSI eine
Pauschalgebühr erhoben
Eine Lizenz als Auditor ist 5 Jahre gültig.
Jährliche Weiterbildung auf den kostenlosen Auditoren-Treffen
Eine Verlängerung der Gültigkeit ist durch eine neue
Antragstellung möglich
zum Download von der Webseite:
www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm
<Name>
129
Voraussetzungen für die Lizenzierung
Zeugnis über Berufsabschluss
5-jährige Berufserfahrung im Bereich Informationstechnik
2-jährige IT-Sicherheitserfahrung
4 Audits von zusammen mindestens 20 Personentagen
5-tägige Schulungsveranstaltung von insgesamt 40 Stunden
Abschlußprüfung
Der Lizenzierungsvertrag zwischen BSI und Auditor ist
unterzeichnet (Personenlizenz)
<Name>
130
Dienstleistungen und Produkte rund
um den IT-Grundschutz
-
Sicherheitsbedarf,
Anspruch
Webkurs zum
Selbststudium
Software:
„GSTOOL“
°
ISO 27001Zertifikat
+
<Name>
Leitfaden
IT-Sicherheit
BSI Standard
100-1: ISMS
BSI Standard
100-2:
IT-GrundschutzVorgehensweise
BSI Standard
100-3:
Risikoanalyse
Hilfsmittel &
Musterrichtlinien
Beispiele:
„GS-Profile“
IT-GrundschutzKataloge
131
Dienstleistungen und Produkte rund
um den IT-Grundschutz
Sicherheitsbedarf,
Anspruch
Leitfaden
IT-Sicherheit
-
Webkurs zum
Selbststudium
Hilfsmittel &
Musterrichtlinien
°
Software:
"GSTOOL"
Beispiele:
"GS-Profile"
E-Government
Mobilfunk
Kryptographie
kritische
Infrastrukturen
Internet
Viren
CERT
Biometrie
132
...
<Name>
Zertifizierung
ISO 27001Zertifikat
+
Hilfsmittel
Leitfaden IT-Sicherheit
<Name>
133
Leitfaden IT-Sicherheit
Zielgruppe: Einsteiger, Management, eilige
Leser, kleine und mittlere Unternehmen und
Behörden
Idee: Die wichtigsten Fakten zur ITSicherheit komprimiert auf wenigen Seiten
Darstellung: nachvollziehbar, nah an der
Realität
Schwerpunkt: Organisation und Prozesse,
technische Hinweise, doch ohne Details
Kein "IT-Grundschutz light"
Kurzüberblick über IT-Grundschutz und
Motivation zur vertieften Beschäftigung mit
IT-Sicherheit
Sensibilisierensbeispiele
<Name>
zum Download von der Webseite:
www.bsi.bund.de/gshb/leitfaden/index.htm
134
Hilfsmittel
Webkurs IT-Grundschutz
<Name>
135
Webkurs IT-Grundschutz
Webkurs 2006 aktualisiert
Schneller Einstieg
(Ersatz für 1- bis 2-tägige Schulung)
Zielgruppe: IT-Sicherheitsbeauftragte,
IT- Mitarbeiter
Lernmodule mit Anleitungen, Beispielen, Übungen und Tests
Demonstration der Vorgehensweise anhand eines fiktiven
Unternehmens
zum Download von der Webseite:
www.bsi.bund.de/gshb/webkurs/index.htm
<Name>
136
Gliederung des
Webkurs IT-Grundschutz
2 Lernzweige
Für Anfänger im ITGrundschutz
(Webkurs)
<Name>
Für Anwender die
bereits vor 2005 mit
dem IT-Grundschutz
gearbeitet haben
(Umsteigerkurs)
137
Hilfsmittel
Musterrichtlinien & Beispielkonzepte
<Name>
138
Musterrichtlinien & Beispielkonzepte
Übersicht über das Angebot
Strategie
IT-Sicherheitsleitlinie
übergreifende
Anweisungen
Sicherheitsrichtlinie zur IT-Nutzung
Richtlinien für
einzelne Aspekte
Zusammenf. für
Zielgruppen
Datensicherung
Virenschutz
Notfallvorsorge
Outsourcing
Internetnutzung
und E-Mail
Archivierung
Hinweise für
Administratoren
Hinweise für
IT-Benutzer
zum Download von der Webseite:
www.bsi.bund.de/gshb/deutsch/hilfmi/musterrichtlinien/
<Name>
139
Musterrichtlinien
IT-Sicherheitsleitlinie
Inhalt:
Stellenwert der IT Sicherheit
Bedeutung der IT für die Aufgabenerfüllung
Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation
Sicherheitsziele und Sicherheitsstrategie
Beschreibung der Organisationsstruktur für die Umsetzung des ITSicherheitsprozesses
Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene
durchgesetzt wird:
Sicherheit ist Chefsache
<Name>
140
Musterrichtlinien
Sicherheitsrichtlinie zur IT-Nutzung
Umgang mit schützenswerten Informationen (Informationseigentümer,
Klassifizierung von Informationen nach Schutzbedürftigkeit)
relevante Gesetze und Vorgaben
Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter,
Administrator, IT-Benutzer)
Ausbildung des Personals
Pflicht zur Einrichtung von Vertretungsregelungen
Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung,
Revision und Entsorgung)
grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu ITSystemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge)
Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)
<Name>
141
Beispielkonzepte
Datensicherungskonzept
Wo werden die Daten gespeichert?
Welche Daten werden gesichert?
Wer ist für die Datensicherungen zuständig?
Wie wird gesichert? (Technik, Sicherungsmedien, Intervalle),
Wie lange werden Datensicherungen aufbewahrt?
Wie wird mit Notebooks verfahren, die nicht ständig am Netz
angeschlossen sind?
Wie wird überprüft, ob die Datensicherungen tatsächlich zuverlässig
funktioniert haben?
Wie können die Daten im Schadensfall rekonstruiert werden?
<Name>
142
Hilfsmittel
IT-Grundschutz-Profile
<Name>
143
IT-Grundschutz-Profile
Überblick
IT-Grundschutz-Profile: Beispiele für die Anwendung der
Vorgehensweise nach IT-Grundschutz
Veröffentlicht seit November 2004
3 Beispiele: kleine, mittlere, große Institution
zum Download von der Webseite:
www.bsi.bund.de/gshb/deutsch/hilfmi/beispielprofile/
<Name>
144
Anwendungsbeispiele
IT-Grundschutz-Profile
Beispiele zur Anwendung des IT-Grundschutzes für Institutionen
verschiedener Größe:
klein: (z. B. kleine Behörde, Anwaltskanzlei): 3 Clients, 1 Server
mittel: (z. B. Bankfiliale, KMU):
20 Clients, 4 Server
groß: (z. B. Rechenzentrum):
100 Server
Planung, Umsetzung, Pflege des IT-Sicherheitskonzeptes
IT-Sicherheitsprozess und Herangehensweise speziell auf die
jeweiligen Anwendergruppen angepasst
Umsetzung des mittleren und großen Profils im GSTOOL
<Name>
145
Beispielprofil
für eine mittlere Institution (1)
Hilfe für IT-Sicherheitsbeauftragte einer mittelgroßen Institution
Repräsentation eines Unternehmens mit mehreren Servern und
wenig IT-Grundschutz Erfahrung
Ausführliche Erläuterung der Anwendung des IT-Grundschutzes
Beispielhafte Anwendung des GSTOOL
<Name>
146
Beispielprofil
für eine mittlere Institution (2)
Institution mit 4 Abteilungen (Finanzen, IT, Produktion, Labor)
Stabstelle für QM und IT-Sicherheit
Größe des IT-Verbundes: ca. 20 Clients und 4 Server
Anbindung an das Internet über DSL
Existenz interner Teilnetze
IT-Anwendungen/Systeme eines Projektteams haben erhöhten
Schutzbedarf und werden gesondert gruppiert
<Name>
147
Beispielprofil
für eine mittlere Institution (3)
Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen
Phase 2
Phase 1
Phase 3 Phase 4 Phase 5
Phase 6
Phase 1: Initiierung des IT-Sicherheitsprozesses
Phase 2: Durchführung einer IT-Strukturanalyse
Phase 3: Durchführung einer Schutzbedarfsfeststellung
Phase 4: Modellierung nach IT-Grundschutz
Phase 5: Durchführung des Basis-Sicherheitsscheck
Phase 6: Realisierung von IT-Sicherheitsmaßnahmen
Phase 7: Zertifizierung
<Name>
Phase 7
148
Beispielprofil
für eine mittlere Institution (4)
Zu jeder Phase: detaillierte Erläuterung der IT-GrundschutzVorgehensweise
Hervorhebung der Schritte, die
durch das GSTOOL unterstützt werden
die bei einer nicht tool-gestützten Vorgehensweise zu beachten
sind
Anwendung des GSTOOL,
dargestellt durch Screenshots
<Name>
149
Weitere Hilfsmittel
Formblätter, Maßnahmenlisten etc.
Kreuzreferenztabellen (Zuordnung von Maßnahmen zu
Gefährdungen)
Technische Zusatzinformationen zu Bausteinen
Dokumentationen und Studien
ITIL und Informationssicherheit
Zuordnungstabelle ISO 27001 / ISO 17799 und IT-Grundschutz
Muster und Beispiele von IT-Grundschutz-Anwendern
zum Download von der Webseite:
www.bsi.bund.de/gshb/deutsch/hilfmi/hilfmi/index.htm
<Name>
150
Hilfsmittel
GSTOOL
zum Download von der Webseite:
www.bsi.bund.de/gstool/index.htm
<Name>
151
GSTOOL
BSI Tool IT-Grundschutz
<Name>
152
GSTOOL
Überblick
Das GSTOOL ist eine Software zur Unterstützung
bei der Anwendung des IT-Grundschutzes
Funktionalität
GSTOOL-Hotline:
Erfassung von IT-Systemen, Anwendungen usw.
Schutzbedarfsfeststellung
Auswahl der Bausteine (Modellierung)
Basis-Sicherheitscheck
unterstützt die IT-Grundschutz-Zertifizierung
Kostenauswertung, Revisionsunterstützung
Berichterstellung
0228 99 / 9582 - 5299
[email protected]
<Name>
153
GSTOOL
Leistungsmerkmale (technisch)
Netzwerkfähigkeit
(SQL-Datenbank: MSDE2000 oder SQL-Server 2000)
Verwaltung mehrerer Sicherheitskonzepte in einem Tool
Zweisprachigkeit: deutsch/englisch
Historienführung
einfaches Update der Datenbasis per Internet
Export von Teilarbeitsbereichen zur Bearbeitung in
anderem GSTOOL
Importfunktion für Datenbestände aus älteren Versionen
Verschlüsselung von Exportdaten
<Name>
154
GSTOOL
Benutzeroberfläche
Toolbar
Baumdarstellung
Bearbeitungsmaske
Status-Leiste
Navigation
<Name>
155
GSTOOL
Preise
Anzahl der
Lizenzen
Gesamtpreis
GSTOOL 4.0
Update-Preis
3.1 nach 4.0
1
2
3
4 oder 5
6 bis 10
11 bis 20
21 bis 40
Firmenlizenz
998,38 €
1.996,75 €
2.845,38 €
4.487,71 €
8.356,42 €
15.275,17 €
26.117,55 €
auf Anfrage
110,98 €
221,95 €
316,29 €
498,84 €
928,88 €
1.697,95 €
2.903,16 €
auf Anfrage
Deutsche Hochschulen erhalten beim Einsatz zu Lehrzwecken einen Nachlass
i.H.v. 50%.
Der Bezug ist für die unmittelbare deutsche öffentliche Verwaltung kostenfrei.
Fragen, Wünsche, Anregungen zum Vertrieb: per E-Mail: [email protected]
telefonisch: 01805 / 274 100
<Name>
156
GSTOOL
Hilfsmittel
GSTOOL-Handbuch
jede Funktion wird erklärt
319 Seiten
wird fortlaufend aktualisiert
Webkurs GSTOOL seit Oktober 2005
GSTOOL-Hotline
0228 99 / 9582 - 5299
[email protected]
zum Download von der Webseite:
www.bsi.bund.de/gstool/handbuch/index.htm
<Name>
157
Hilfsmittel
Webkurs zum GSTOOL
zum Download von der Webseite:
www.bsi.bund.de/gstool/wbtgstool/index.htm
<Name>
158
Der Webkurs GSTOOL
E-Learning-Kurs zur Einführung in Anwendung und
Administration des Tools (Grundlage: Version 4.0)
Ergänzung zu
konventionellen Schulungen
Handbuch
Hotline
FAQ
Zielgruppen
Anwender
Administratoren
(ersten Überblick)
(speziellen Leistungsmerkmalen)
<Name>
159
Gliederung des
Webkurses zum GSTOOL
Administrators
Benutzer
Einrichtung des GSTOOLs
Aufnahme von Komponenten
Verwaltung von
Zugriffsrechten
Erstellung von Verknüpfungen
Festlegung des Schutzbedarfs
Konfiguration der Datenbank
Datenaustausch
Dokumentation des
IST-Zustandes
<Name>
160
IT-Grundschutz-Informationen
IT-Grundschutz Hotline
Telefon:
0228 99 / 9582 - 5369
E-Mail:
[email protected]
GSTOOL Hotline
Telefon:
E-Mail:
0228 99 / 9582 - 5299
[email protected]
http://www.bsi.bund.de/gshb
<Name>
161
Fragen und Diskussion
?
?
<Name>
?
?
?
?
?
162
Kontakt
Bundesamt für Sicherheit in der
Informationstechnik (BSI)
<Name>
Godesberger Allee 185-189
53175 Bonn
<Name>@bsi.bund.de
Tel: +49 (0)228 99-9582-<Nr.>
Fax: +49 (0)228 99-9582-10-<Nr.>
IT-Grundschutz Hotline:
[email protected]
Tel: +49 (0)228 99-9582-5369
<Name>
www.bsi.bund.de
www.bsi-fuer-buerger.de
163
© Copyright 2026 Paperzz