View
225
Download
0
Category
Preview:
Citation preview
Compliance und IT-Sicherheit
Isabel Münch
Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz
2
Agenda
Das BSICompliance-Anforderungen und IT-SicherheitRisikomanagement und IT-SicherheitsmanagementInternationale Standards zum Management der InformationssicherheitBSI-Standards zum IT-SicherheitsmanagementVorgehensweise IT-Grundschutz
3
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das BSI auf einen Blick
Arbeitsschwerpunkte
Zielgruppen
Kurzportrait
4
... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.
Gründung 1991 per Gesetz als nationale Behörde für IT-Sicherheit.
Jahresbudget: € 52 Mio. (2005)
Mitarbeiter: 458 (Stand: Dez. 2005)
Standort: Bonn
Das BSI
5
Arbeitsschwerpunkte des BSI
Internetsicherheit
sicheres E-Government
IT-Grundschutz
nationale / internationale Sicherheits-kooperationen
Kryptoinnovation
Biometrie
Abhörsicherheit
Sensibilisierungskampagne IT-Sicherheit
Zertifizierung und Zulassung
Schutz kritischer Infrastrukturen
6
Zielgruppen des BSI
Regierung und VerwaltungIT-SicherheitsberatungEntwicklung von KryptosystemenLauschabwehrBetrieb des RegierungsnetzesUnterstützung der E-Government Initiative
BürgerSensibilisierungskampagnenInfo - CD´sBSI - Internetangebot
www.bsi.bund.dewww.bsi-fuer-buerger.dewww.buerger-cert.de
Fachbeiträge in Zeitschriften
WissenschaftKooperation mit UniversitätenTrendanalysen Vergabe vonForschungsaufträgen
WirtschaftNationales CERTIT-GrundschutzZertifizierungSicherheitspartnerschaften
7
IT-Sicherheit
Trends:Abhängigkeit von der IT wird weiter zunehmenDie eigene IT (und damit Geschäftsprozesse) wird von innen und außen bedrohtBewusstsein für IT-Bedrohungen muss stärker werdenPrävention stellt eine zentrale Aufgabe darIT-Sicherheit wird Teil des RisikomanagementsVorgaben werden schärferEin ganzheitlicher, nicht nur auf die Technik gerichteter Ansatz ist notwendig
8
Gesetzliche Rahmenbedingungen
Vorgaben:Basel IISolvency IISarbanes Oxley Act (SOX)KonTraG sowie GmbHG, AktG, HGB, GoBS, BDSG, ...
Compliance zu Kontrollforderungen - Risiken müssen transparent werdenausreichende Kontrollmöglichkeiten vorhanden?
BSI-Projekt zu Rechtsentwicklung in der IT-Sicherheit
9
Gesetzliche Rahmenbedingungen
Angemessenes Risikomanagement ist Grundlage zur Erfüllung dieser Richtlinien Risikomanagement umfasst IT-SicherheitsmanagementTendenz: Weg von technischen Einzelmaßnahmen, hin zu umfassendem Information Security Management System (ISMS)IT-Grundschutz als Basis für Compliance und Risikomanagement keine Garantie, aber gute AusgangslageReduzierter Aufwand bei Prüfungen(Anerkennung von Zertifikaten und Dokumentationen)
10
Zuordnung von Verantwortungsbereichen
IT-Endnutzer IT-Dienstleister IT-HerstellerHardwareSoftware
Content Provider(z.B. Bank)
Host-/AccesProviderBürger Unternehmen
Staat
11
Zuordnung von Verantwortungsbereichen
Verantwortlichkeit für DDoS-Attacke aus Bot-Netz?
$Nutzer N Unternehmen U
(Schurke S) Dienstleister DUnsichere Verbindung
Schwacher Schutz
Produzenten PProgrammschwachstelle
Schwacher Schutz
Umsetzung von Sicherheits-Standards
12
IT-Sicherheit und Sicherheitsmanagement
IT-Sicherheitsmanagement (=Systematisches Vorgehen zum Erreichen eines angemessenen IT-Sicherheitsniveaus in Bezug auf Verfügbarkeit, Integrität, Vertraulichkeit)
Optimaler Einsatz der Ressourcen für IT-Sicherheit
Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb --> mittelfristige Kosteneinsparungen
Attraktivität für Kunden und Geschäftspartner durch Vertrauen Nutzung von Referenzwerken und Standards erhöht die Effizienz und Nachweisbarkeit
13
Internationale Standards zum Management der Informationssicherheit
ISO 27000 ff.:ISO 27000 (geplant, basierend auf ISO 13335-1):Informationssicherheits-Managementsysteme –Begriffe und DefinitionenISO 27001 (veröffentlicht, basierend auf BS 7799-2): Informationssicherheits-Managementsysteme –Anforderungen (ISMS-Zertifizierungsstandard)ISO 27002 (Umbenennung ISO 17799): Leitfaden für Informationssicherheits-Management (Detaillierung des Maßnahmenkatalogs der ISO 27001)...
15
BSI-Standards zur IT-Sicherheit- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit
BSI Standard 100-2:IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz
IT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen
• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
IT-Grundschutz
16
Infrastr
uktur Technik
Personal
Organisation
IT-GrundschutzEin System mit verschiedenen Gesichtern
Information SecurityManagement SystemVorgehensweise zur Erstellung von IT-SicherheitskonzeptenSammlung von Standard-Sicherheitsmaßnahmen für typische IT-SystemeNachschlagewerkReferenz und Standard für IT-SicherheitBasis für Zertifizierung
Ausgangspunkt für diverse Produkte und Dienstleistungen
17
Ziel des IT-Grundschutzes
Durch infrastrukturelle, organisatorische, personelle undtechnische
Standard-Sicherheitsmaßnahmenein
Standard-Sicherheitsniveaufür typische Geschäftsprozesse und Informations-systeme aufbauen, das auch für sensiblere Bereiche
ausbaufähigist.
18
BSI-Standard 100-1Managementsysteme für Informationssicherheit
BSI-Standard 100-2Vorgehensweise nach IT-Grundschutz
BSI-Standard 100-3Risikoanalyse auf der Basisvon IT-Grundschutz
BSI-Standards
19
BSI-Standard 100-1 ISMS
Zielgruppe: ManagementAllgemeine Anforderungen an ein ISMSKompatibel mit ISO 27001Empfehlungen aus ISO 13335 und ISO 17799
ISMS: Managementsysteme für Informationssicherheit
Ressourcen
Strategie
Mitarbeiter
Management-Prinzipien
ISMS
20
BSI-Standard 100-2Wesentliche Merkmale
Aufbau und Betrieb eines IT-Sicherheitsmanagements(ISMS) in der Praxis
Anleitungen zu:Aufgaben des IT-SicherheitsmanagementsEtablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-SicherheitsmaßnahmenIT-Sicherheit aufrecht erhalten und verbessern
21
• Analyse: Geschäftsprozesse, Unternehmensziele
• IT-Sicherheitsleitlinie• IT-Sicherheitsorganisation
• Informationen, IT-Systeme, Anwendungen
• Schutzbedarf (Szenarien)
• Sicherheitsmaßnahmen• Identifikation von Sicherheits-
lücken
Initiative der Geschäftsführung
Analyse der Rahmen-
bedingungen
Sicherheitscheck
2
3
1
Übersicht über denIT-Sicherheitsprozess
22
Übersicht über denIT-Sicherheitsprozess
• Liste geeigneter Maßnahmen• Kosten- und Nutzenanalyse• Auswahl umzusetzender
Maßnahmen• Dokumentation des Restrisikos
• Implementierung• Test• Notfallvorsorge
• Sensibilisierung• Schulung• Audit, Kontrollen, Monitoring,
Revision• Notfallvorsorge
Planung von Maßnahmen
Umsetzung von
Maßnahmen
Sicherheit im laufenden
Betrieb
5
6
4
23
IT-Sicherheitskonzeption
ergänz. Sicherheitsanalysebei hohem Schutzbedarf
ergänz. Sicherheitsanalysebei hohem Schutzbedarf
Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen
Realisierung der MaßnahmenRealisierung der Maßnahmen
IT-Grundschutzanalyse:Modellierung des IT-Verbundes (Auswahl der Maßnahmen)
Basis-Sicherheitscheck (Soll-Ist-Vergleich)
IT-Grundschutzanalyse:Modellierung des IT-Verbundes (Auswahl der Maßnahmen)
Basis-Sicherheitscheck (Soll-Ist-Vergleich)
Feststellung des SchutzbedarfsFeststellung des Schutzbedarfs
ca. 80%
ca. 20%
IT-StrukturanalyseAnalyse des Ist-Zustands
Welche Systeme und Anwendungen?
IT-StrukturanalyseAnalyse des Ist-Zustands
Welche Systeme und Anwendungen?
IT-Verbund
- Infrastruktur- Organisation- Personal- Technik
24
Modellierung nach IT-Grundschutz
Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge
25
IT-Grundschutz-BausteineStruktur
Kapitel("Bausteine")
Kapitel("Bausteine")
Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen
Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen
Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge
Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge
26
Schichtenmodell
Schicht 1:
Schicht 2:
Schicht 3:
Schicht 4:
Schicht 5:
Übergreifende Aspekte
Infrastruktur
IT-Systeme
Netze
IT-Anwendungen
27
Schicht 1: Übergreifende Aspekte
IT-Sicherheitsmanagement
Organisation
Personal
Notfall-Vorsorgekonzept
Datensicherungskonzept
Computer-Virenschutzkonzept
Kryptokonzept
Behandlung von SicherheitsvorfällenHard- und Software-ManagementStandardsoftware OutsourcingArchivierungIT-Sicherheitssensibilisierungund -schulung
Modellierung der Aspekte, die dem betrachteten IT-Verbund insgesamt übergeordnet sind
Bausteine:
28
Schicht 2: Infrastruktur
Gebäude
Verkabelung
Büroraum
Serverraum
Datenträgerarchiv
Raum für technische Infrastruktur
Schutzschrank
häuslicher Arbeitsplatz
Rechenzentrum
Mobiler Arbeitsplatz
Besprechungs-,Veranstaltungs- und Schulungsräume
Modellierung der für den IT-Verbund relevanten baulichen Gegebenheiten
Bausteine:
29
Schicht 3: IT-Systeme
Allgemeiner ServerServer unter UnixServer unter Windows NTServer unter Novell Netware 3.xServer unter Novell Netware Version 4.xServer unter Windows 2000S/390- und zSeries-Mainframe
Allgemeiner ClientAllgemeines nicht vernetztes IT-SystemLaptopClient unter UnixClient unter Windows NTClient unter Windows 95Client unter Windows 2000Internet-PCClient unter Windows XP
Modellierung der im IT-Verbund eingesetzten IT-Systeme:Bausteine:
Sicherheitsgateway(Firewall)Router und SwitchesPDA
TK-AnlageFaxgerätAnrufbeantworterMobiltelefon
30
Schicht 4: Netze
Modellierung der im IT-Verbund zutreffendenNetz-Aspekte
Bausteine:Heterogene NetzeNetz- und SystemmanagementModemRemote AccessLAN-Anbindung eines IT-Systems über ISDN
31
Schicht 5: Anwendungen
Peer-to-Peer-Dienste
Datenträgeraustausch
Webserver
Lotus Notes
Faxserver
Datenbanken
Telearbeit
Internet Information Server
Apache Webserver
Exchange/ Outlook 2000
Novell eDirectory
Modellierung der im IT-Verbund eingesetzten Anwendungen
Bausteine:
32
Maßnahmenkataloge Typische Maßnahmen
M1: InfrastrukturSchutz vor Einbrechern
Brandschutzmaßnahmen
Energieversorgung
M2: OrganisationZuständigkeiten
Dokumentationen
Arbeitsanweisungen
M3: PersonalVertretungsregelungen
Schulung
Maßnahmen beim Weggang von Mitarbeitern
M4: Hardware/SoftwarePasswortgebrauch
Protokollierung
Vergabe von Berechtigungen
M5: KommunikationKonfiguration
Datenübertragung
E-Mail, SSL, Firewall
M6: NotfallvorsorgeNotfallpläne
Datensicherung
Vorsorgemaßnahmen (z. B. redundante Systemauslegung)
33
Basis-Sicherheitscheck
Switch
Router Stand-leitung
Router
Switch
KommunikationsServer(Unix)
Exchange-(Windows NT)
File-Server(Novell
PrimärerDomänen-
(Windows NT)
Server fürPersonalverwaltun
(Windows NT)
15 Client-(Windows NT)
75 Client-(Windows NT)
Switch
Internet
Router
Firewall
BackupDomänen-
(Windows NT)
40 Client-(Windows NT)Liegenschaft
BonnLiegenschaftBerlin
IP IP
IT-Grundschutz-Modell
Maßnahmen-empfehlungen
Soll-/Ist-Vergleich RealisierteMaßnahmen
umzusetzende Maßnahmen
35
BSI-Standards zur IT-Sicherheit- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit
BSI Standard 100-2:IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz
IT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen
• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
IT-Grundschutz
36
IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-
Vergleich)
IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-
Vergleich)
Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen
Realisierung der MaßnahmenRealisierung der Maßnahmen
Ergänzende Sicherheitsbetrachtung
Management Report
Ergänzende Sicherheitsbetrachtung
Management Report
Risikoanalyse auf der Basis von IT-Grundschutz
Risikoanalyse auf der Basis von IT-Grundschutz
Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn:
hoher oder sehr hoher Schutzbedarf vorliegt,zusätzlicher Analysebedarf besteht oderfür bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert.
Risikoanalyse auf der Basis von IT-Grundschutz
BSI-Standard 100-3Risikoanalyse auf Basis von IT-Grundschutz
37
BSI-Standard 100-3Risikoanalyse auf Basis von IT-Grundschutz
IT-Grundschutz Teil I- IT-Strukturanalyse- Schutzbedarfsfeststellung- Modellierung- Basis-Sicherheitscheck I
Erstellung derGefährdungsübersicht
Ermittlung zusätzlicherGefährdungen
Gefährdungsbewertung
Maßnahmenauswahl zurBehandlung von Risiken
Konsolidierung desIT-Sicherheitskonzepts
IT-Grundschutz Teil II- Basis-Sicherheitscheck II- Realisierung- Zertifizierung
normaler Schutzbedarf erhöhter Schutzbedarf
38
BSI-Standards zur IT-Sicherheit- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit
BSI Standard 100-2:IT-Grundschutz-Vorgehensweise
BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz
IT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen
• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"
• Gefährdungskataloge
• Maßnahmenkataloge
IT-Grundschutz
39
IT-Grundschutz-Katalogeab 2005
KatalogeEinführung ModellierungshinweiseBaustein-KatalogGefährdungskatalogMaßnahmenkatalog
Gef
ährd
unge
n
Baus
tein
e
Maß
nahm
en
++
Loseblattsammlung
40
IT-Grundschutz-Kataloge 2005
7. ErgänzungslieferungSchulung und Sensibilisierung zu IT-Sicherheit (Schicht 1)Besprechungs- und Schulungsräume (Schicht 2)Mobiler ArbeitsplatzWindows XP (Schicht 3)
Plus:
Überarbeitungen von
IT-Sicherheitsmanagement
Organisation
Personal
Allgemeiner Client
Allgemeiner Server
Laptop
41
IT-Grundschutz-Kataloge 2006
8. ErgänzungslieferungSAP (Schicht 5)Speichersysteme (Schicht 3)Windows 2003 (Schicht 3) WLAN (Schicht 4)Voice over IP (Schicht 4)zusätzliche Gefährdungen und Maßnahmen
Überarbeitung:Datenbanken
42
Ausblick 2007
folgende ErgänzungslieferungenEnergieversorgungKommunikationsverbindungenSystem-EntwicklungBluetoothNetz-Drucker (Multifunktionsgeräte)Löschen und Vernichten von Informationen
Überarbeitung:Virenschutz
43
Dienstleistungen und Produkte rund um den IT-Grundschutz
CE
RT
Vire
n
Inte
rnet
Zerti
-fiz
ieru
ng
kriti
sche
In
frast
ruk-
ture
n
E-G
over
n-m
ent
Kry
pto-
grap
hie
Bio
met
rie
Mob
ilfun
k
Webkurs zum Selbststudium
ISO 27001-Zertifikat
LeitfadenIT-Sicherheit
Software:„GSTOOL“
-
°
+
Sicherheitsbedarf,Anspruch
...
Beispiele:„GS-Profile“
Hilfsmittel & Musterrichtlinien
45
Ihre Mithilfe ist gefragt!
!
!
!
!
!
Welche Maßnahmen oder Gefährdungen fehlen?
Änderungsvorschläge zum IT-Grundschutz sind uns immer willkommen!
Welche Maßnahmen sind zu verbessern, ergänzen oder reduzieren?
Welche Bausteine werden Ihrer Meinung nach benötigt?
46
IT-Grundschutz-Informationen
IT-Grundschutz-HotlineTelefon: 0228-9582-5369E-Mail: gshb@bsi.bund.deIT-Grundschutz-ToolTelefon: 0228-9582-5299E-Mail: gstool@bsi.bund.de
http://www.bsi.bund.de/gshb
Recommended