1 / 163

Einführung in die Vorgehensweise nach IT-Grundschutz

Einführung in die Vorgehensweise nach IT-Grundschutz. Musterfolien für Schulungen zur. Bundesamt für Sicherheit in der Informationstechnik (BSI). Hinweis.

meena
Télécharger la présentation

Einführung in die Vorgehensweise nach IT-Grundschutz

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Einführung in die Vorgehensweise nach IT-Grundschutz Musterfolien für Schulungen zur Bundesamt für Sicherheit in der Informationstechnik (BSI)

  2. Hinweis • Das BSI stellt hiermit eine Sammlung von Folien zur Verfügung, den IT-Sicherheitsbeauftragte oder IT-Grundschutz-Berater verwenden können, um hieraus Vorträge zum IT-Grundschutz zusammenzustellen. Daher ist dieser Foliensatz sehr umfangreich. Einige Folien enthalten überlappende Aussagen, damit aus diesen für das jeweilige Zielpublikum die jeweils geeigneten Folien ausgewählt werden können.

  3. Sensibilisierung IT-Grundschutz-Konzept IT-Grundschutz-Werke BSI-Sicherheitsstandards IT-Grundschutz-Kataloge IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Risikoanalyse Realisierung ISO 27001 Zertifizierung auf Basis von IT-Grundschutz Hilfsmittel rund um denIT-Grundschutz Überblick

  4. IT-Sicherheit ist ...gefährdet • Höhere Gewalt: Feuer, Wasser, Blitzschlag, Krankheit, ... • Organisatorische Mängel: Fehlende oder unklare Regelungen, fehlende Konzepte, ... • Menschliche Fehlhandlungen: "Die größte Sicherheitslücke sitzt oft vor der Tastatur" • Technisches Versagen: Systemabsturz, Plattencrash, ... • Vorsätzliche Handlungen: Hacker, Viren, Trojaner, ...

  5. Bedrohungen in der PraxisBeispiele • Irrtum und Nachlässigkeit • Malware • Internetdienste (WWW, E-Mail,…) • Hacking und Cracking • Wirtschaftsspionage • Diebstahl von IT-Einrichtungen • ...

  6. KES-Studie 2006Bedeutung der Gefahrenbereiche

  7. Unzureichende Software-TestsBeispiel: British Airways Informationweek, April 2001Chaos bei British AirwaysEin Fehler beim Software-Update führte zum Systemabsturz: Weltweit mussten Fluggäste warten. Das British Airways Booking-System (BABS) brach am 13. März 2001 zusammen. Bildschirme flackerten – Flüge fielen aus. Das Bodenpersonal war gezwungen, die Tickets per Hand auszustellen.

  8. Schutz von Informationen Informationen… • … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. • … sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung

  9. Nachgewiesene IT-Sicherheit lohnt sich ... • Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb • mittelfristige Kosteneinsparungen • IT-Sicherheitsniveau ist messbar • Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen • Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte • Versicherungen honorieren zunehmend IT-Sicherheit

  10. Typische Probleme in der Praxis • Resignation, Fatalismus und Verdrängung • Kommunikationsprobleme • Sicherheit wird als technisches Problem mit technischen Lösungen gesehen • Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten • unsystematisches Vorgehen bzw. falsche Methodik • Management: fehlendes Interesse, schlechtes Vorbild • Sicherheitskonzepte richten sich an Experten, die IT-Benutzer werden vergessen

  11. Konsequenzen fehlender Regelungen... oder: Jeder tut, was er will! • Konfusion im Notfall • Was ist zu tun? Wer hilft? • lückenhafte Datensicherung • Notebooks, Telearbeitsplätze, lokale Datenhaltung • fehlende Klassifizierung von Informationen • Verschlüsselung, Weitergabe und Austausch von Informationen • gefährliche Internetnutzung • Was alle machen, kann doch nicht unsicher sein? • Disziplinlosigkeit • Ignoranz und Arroganz statt geregelter Prozesse • Konsequenzen bleiben aus, sind zu hart, sind willkürlich

  12. Irrtum und Nachlässigkeit • Die meisten Datenverluste entstehen durch Irrtum und/oder Nachlässigkeit • Ergebnisse einer Befragung von 300 Windows Netz- und Systemadministratoren1): • 70% der Befragten schätzen die Gefahr durch unbeabsichtigtes Löschen von wichtigen Daten höher ein als durch Virenbefall • 90% davon erklären dies durch einfache Anwenderfehler 1)Quelle: Broadcasters Res. International Information Security

  13. KES-StudieStellenwert der Sicherheit • …beim Top-Management: Quelle: KES 2006

  14. „IT-Sicherheit ist Chefsache“ Stellenwert der Sicherheit

  15. IT-Sicherheit im Spannungsfeld Häufige Situation: Sicher, Bequem, Billig „Suchen Sie sich zwei davon aus!“ Sicherheit Bequemlichkeit Kosten

  16. Methodik für IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste?

  17. IT-GrundschutzDie Idee ... • Typische Abläufe und IT-Komponenten überall ähnlich • Wichtig: • Wiederverwendbarkeit • Anpassbarkeit • Erweiterbarkeit • Typische Gefährdungen, Schwachstellen und Risiken • Typische Geschäftsprozesse und Anwendungen • Typische IT-Komponenten • Gerüst für das IT-Sicherheitsmanagement wird gebildet

  18. IT-GrundschutzPrinzipien • Typische Abläufe von Geschäftsprozessen und Komponenten, bei denen geschäftsrelevante Informationen verarbeitet werden, werden betrachtet (Server, Client, Rechenzentrum, Datenbanken, aber auch organisatorische und personelle Aspekte, physische Infrastruktur, ...) • Typische Schadensszenarien für die Ermittlung des Schutzbedarfs werden vorgegeben • Standard-Sicherheitsmaßnahmen aus der Praxis werden empfohlen • Ein Soll-Ist-Vergleich zeigt den aktuellen Status der IT-Sicherheit • Als Ergebnis kann das IT-Sicherheitskonzept erstellt werden

  19. Ziel des IT-Grundschutzes • IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. • Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. • An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind.

  20. Ziel des IT-Grundschutzes Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.

  21. Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten (Methode für ein „Information Security Management System“) Sammlung von Standard-Sicherheitsmaßnahmen ganzheitlicher Ansatz Nachschlagewerk Referenz und Standard für IT-Sicherheit Verschiedene Facetten von IT-Grundschutz Organisation Personal Technik Infrastruktur

  22. IT-Grundschutz - Vorteile • arbeitsökonomische Anwendungsweise durchSoll-Ist-Vergleich • kompakte IT-Sicherheitskonzepte durchVerweis auf Referenzquelle • praxiserprobte, meist kostengünstige Maßnahmen mit hoher Wirksamkeit • Erweiterbarkeit und Aktualisierbarkeit

  23. Empfehlungen für IT-Grundschutz • Der Bundesbeauftragte für den Datenschutz • Bundesregierung(zur Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung) • Die Rechnungshöfe des Bundes und der Länder • Landesverwaltung Rheinland-Pfalzfür Behörden, Gerichte und sonstige Stellen der Landesverwaltung • Rheinischer Sparkassen- und Giroverband, Prüfungsstelle • Deutsche Genossenschafts-Revision Wirtschaftsprüfungs-gesellschaft GmbH • über 3.000 registrierte Anwender weltweit • über 10.000 Lizenzen für das GSTOOL

  24. Erreichbares Sicherheitsniveau Sicherheitsniveau normaler Schutzbedarf Sicherheitsaspekte

  25. Erreichbares Sicherheitsniveau Schutzwirkung von Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind • für die Schutzbedarfskategorie "normal" • im Allgemeinen ausreichend und angemessen • für die Schutzbedarfskategorie "hoch" und "sehr hoch" • Basisschutz und Ausgangsbasis • zusätzliche Sicherheitsmaßnahmen sollten durch ergänzende Sicherheitsanalyse ermittelt werden(BSI-Standard 100-3)

  26. IT-Grundschutzhandbuch 1995 • 18 Bausteine • 200 Maßnahmen • 150 Seiten IT-Grundschutzhandbuch 2004 • 58 Bausteine • 720 Maßnahmen • 2550 Seiten IT-GrundschutzHistorie

  27. IT-GrundschutzAktuell seit 2005 + BSI-Standards Loseblattsammlung

  28. BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz BSI-Standard 100-3:Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4:Notfallmanagement BSI-Sicherheitsstandards sowieZertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz –Prüfschema für Auditoren-

  29. IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen • Bausteinkataloge • Kapitel B1 "Übergreifende Aspekte" • Kapitel B2 "Infrastruktur" • Kapitel B3 "IT-Systeme" • Kapitel B4 "Netze" • Kapitel B5 "IT-Anwendungen" • Gefährdungskataloge • Maßnahmenkataloge BSI-Standard 100-1- BSI-Standard zur IT Sicherheit - BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis vonIT-Grundschutz BSI Standard 100-4: Notfallmanagement

  30. BSI-Standard 100-1 ISMS ISMS: Managementsysteme für Informationssicherheit • Zielgruppe: Management • Allgemeine Anforderungen an ein ISMS • Kompatibel mit ISO 27001 • Empfehlungen aus ISO 13335 und 17799 • Didaktische Aufbereitung ISMS = Information - Security - Management - System

  31. BSI-Standard 100-1Komponenten eines ISMS • Komponenten: • Management-Prinzipien • Ressourcen • Mitarbeiter • IT-Sicherheitsprozess • IT-Sicherheitsleitlinie(einschl. IT-Sicherheitsziele und -strategie) • IT-Sicherheitskonzept • IT-Sicherheitsorganisation

  32. BSI-Standard 100-1Inhalte 1. Einleitung 2. Einführung in Informationssicherheit 3. ISMS-Definition und Prozessbeschreibung 4. Management-Prinzipien 5. Ressourcen für IT-Betrieb und IT-Sicherheit 6. Einbindung der Mitarbeiter in den IT-Sicherheitsprozess 7. Der IT-Sicherheitsprozess 8. IT-Sicherheitskonzept 9. Das ISMS des BSI: IT-Grundschutz

  33. BSI-Standard 100-1Managementsystem

  34. BSI-Standard 100-1IT-Sicherheitsstrategie Rahmenbedingungen (Gesetze, Verträge, Kundenanforderungen, Unternehmensziele, Aufgaben der Behörde, Technik, Bedeutung der IT für Geschäftsprozesse, ...) IT-Sicherheitsstrategie • Sicherheitsziele • Umsetzung der Strategie durch Sicherheitsorganisation und IT-Sicherheitskonzept • Dokumentation der Strategie in der IT-Sicherheitsleitlinie • Regelmäßige Überprüfung und Verbesserung!

  35. BSI-Standard 100-1IT-Sicherheitsstrategie • IT-Sicherheitsstrategie als zentrale Komponente des ISMS:

  36. BSI-Standard 100-1Prozessbeschreibung • Sicherheit unterliegt einer kontinuierlichen Dynamik(z. B. durch Änderungen im Bedrohungs- und Gefährdungsbild, in Gesetzen oder durch den technischen Fortschritt) • Sicherheit aktiv managen, aufrecht erhalten und kontinuierlich verbessern! • IT-Systemeinführung planen • IT-Sicherheitsmaßnahmen definieren und umsetzen. • Erfolgskontrolle regelmäßig durchführen • Schwachpunkte oder Verbesserungsmöglichkeiten finden • Maßnahmen verbessern (Änderungen planen und umsetzen) • IT-Sicherheitsaspekte bei Außerbetriebnahme berücksichtigen

  37. BSI-Standard 100-1Lebenszyklus

  38. BSI-Standard 100-1Komponenten eines ISMS • Umsetzung der IT-Sicherheitsstrategie mit Hilfe des IT-Sicherheitskonzeptes und einer IT-Sicherheitsorganisation

  39. BSI-Standard 100-1ISMS des BSI: IT-Grundschutz • Beschreibungstiefe des ISMS in diesem Dokument und den ISO-Standards 27001und 13335 ist • generisch • als Rahmenvorgaben zu verstehen  Gestaltungsspielraum in der Praxis • Herausforderung: • ISMS effektiv und effizient gestalten • Schlüsselfrage: • Risikobewertung

  40. BSI-Standard 100-1ISMS des BSI: IT-Grundschutz • IT-Grundschutz-Vorgehensweise: • Anwendungsansatz für die Etablierung und Aufrechterhaltung eines ISMS basierend auf die IT-Grundschutzmethode (BSI-Standard 100-2) und den IT-Grundschutz-Katalogen • Vorteileder IT-Grundschutzmethode: • für die meisten Anwendungsfälle geeignet • Kostengünstig • Praxiserprobt • konkret • vollständig kompatibel zu ISO 27001

  41. IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen • Bausteinkataloge • Kapitel B1 "Übergreifende Aspekte" • Kapitel B2 "Infrastruktur" • Kapitel B3 "IT-Systeme" • Kapitel B4 "Netze" • Kapitel B5 "IT-Anwendungen" • Gefährdungskataloge • Maßnahmenkataloge BSI-Standard 100-2- BSI-Standard zur IT Sicherheit - BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis vonIT-Grundschutz BSI Standard 100-4: Notfallmanagement

  42. BSI-Standard 100-2Wesentliche Merkmale • Aufbau und Betrieb eines IT-Sicherheitsmanagements(ISMS) in der Praxis • Anleitungenzu: • Aufgaben des IT-Sicherheitsmanagements • Etablierung einer IT-Sicherheitsorganisation • Erstellung eines IT-Sicherheitskonzepts • Auswahl angemessener IT-Sicherheitsmaßnahmen • IT-Sicherheit aufrecht erhalten und verbessern

  43. BSI-Standard 100-2Wesentliche Merkmale • Interpretation der Anforderungen aus ISO 13335, 17799 und 27001 • Hinweise zur Umsetzung mit Hintergrund Know-how und Beispielen • Verweis auf IT-Grundschutz-Kataloge zur detaillierten(auch technischen) Umsetzung • Erprobte und effiziente Möglichkeit, die Anforderungen der ISO-Standards zu erfüllen

  44. BSI-Standard 100-2Inhalte • Einleitung • IT-Sicherheitsmanagement mit IT-Grundschutz • Initiierung des IT-Sicherheitsprozesses • Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz • Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung

  45. Übersicht über denIT-Sicherheitsprozess 1 • Analyse: Geschäftsprozesse, Unternehmensziele • IT-Sicherheitsleitlinie • IT-Sicherheitsorganisation Initiative der Geschäftsführung 2 • Informationen, IT-Systeme, Anwendungen • Schutzbedarf (Szenarien) Analyse der Rahmen-bedingungen 3 • Sicherheitsmaßnahmen • Identifikation von Sicherheits-lücken Sicherheitscheck

  46. Übersicht über denIT-Sicherheitsprozess 4 • Liste geeigneter Maßnahmen • Kosten- und Nutzenanalyse • Auswahl umzusetzender Maßnahmen • Dokumentation des Restrisikos Planung von Maßnahmen 5 • Implementierung • Test • Notfallvorsorge Umsetzung von Maßnahmen • Sensibilisierung • Schulung • Audit, Kontrollen, Monitoring, Revision • Notfallvorsorge 6 Sicherheit im laufenden Betrieb

  47. BSI-Standard 100-2Übersicht IT-Sicherheitsprozess • Initiierung des IT-Sicherheitsprozesses • IT-Sicherheitskonzeption(einschl. Umsetzung) • Aufrechterhaltung der IT-Sicherheit im laufenden Betrieb und kontinuierliche Verbesserung

  48. BSI-Standard 100-2IT-Sicherheitsorganisation

  49. BSI-Standard 100-2Verantwortung der Leitungsebene • Verantwortung der Leitungsebene: • Kontinuierlichen IT-Sicherheitsprozess etablieren, d.h. u.a. • Grundlegende IT-Sicherheitsziele definieren • Angemessenes IT-Sicherheitsniveau basierend auf Geschäftszielen und Fachaufgaben festlegen • IT-Sicherheitsstrategie zur Erreichung der IT-Sicherheitsziele entwickeln • IT-Sicherheitsorganisation aufbauen • Erforderliche Mittel bereitstellen • Alle Mitarbeiter einbinden

  50. BSI-Standard 100-2Aufgaben im IT-Sicherheitsprozess

More Related