image
image
image
image
BSI-Modernisierung Grundschutz:
Nicht Alt – Nicht Neu – Aber Anders
27. September 2016 |
Simone Hock & Denny Dittrich

image
image
image
Inhalt
Darstellung der Neuerungen im IT-Grundschutz
im Rahmen der BSI-Modernisierung 2017
Gegenüberstellung mit dem „klassischen“
IT-Grundschutz
2 | 27. September 2016 |
Simone Hock & Denny Dittrich

image
image
image
image
Gliederung
Gründe
für die Modernisierung
Zeitlicher Verlauf
der Modernisierung
Kernaspekte
der Modernisierung
Vorgehensweisen
Bausteine
Profile
Ausblick zur Umsetzung
der Modernisierung
3 | 27. September 2016 |
Simone Hock & Denny Dittrich

image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
Erhöhung der
Attraktivität und
Wegbereitung
für die nächsten
20 Jahre
Optimierung
und
Aktualisierung
Aktuelle
und praxisnahe
Verfahren
Neue
Anforderungen
Gewährleistung
von Kontinuität
Gründe für die Modernisierung
4 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
16. Ergänzungslieferung
14. Ergänzungslieferung
12/2014 – 11/2016
15. Ergänzungslieferung
04/2016 – vsl. Sommer 2018
Zeitlicher Verlauf
5 | 27. September 2016 |
Simone Hock & Denny Dittrich
2018
2014
„Findungsphase“
Beteiligung der
Stakeholder
2015
Konzeption
Weiterhin Abstimmung
mit Stakeholdern
2016
Community Draft:
Veröffentlichung neuer
BSI-Standards und
mehrerer Bausteine
2017
Veröffentlichung
neuer BSI-Standards
und modernisierter
Kataloge
Modernisierter
IT-Grundschutz
ab vsl. Herbst 2017
Modernisierung
durchgeführt
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
Kernaspekte der Modernisierung
„Modernisierter“
IT-Grundschutz
Profile
Bausteine
Vorgehens-
weisen
6 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
image
image
image
image
image
image
image
Kernthema Vorgehensweisen
Vorgehens-
weisen
Absicherung
Umsetzungs-
reihenfolge
Reifegrad-
bestimmung
Risikoanalyse
Zertifizierung
7 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
8 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung
Vorgehens-
weisen
3 Arten der Absicherung:
Basisabsicherung
Kernabsicherung
Standardabsicherung
IT-Grundschutz-Methodik nach
BSI-Standard 100-2
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
9 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung IT-Grundschutz-Methodik
Vorgehens-
weisen
Realisierung der Maßnahmen
Basis-Sicherheitscheck (2)
Konsolidierung
Risikoanalyse
Basis-Sicherheitscheck
Modellierung
Schutzbedarfsfeststellung
Strukturanalyse
Aufrechterhaltung und
Kontinuierliche Verbesserung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
10 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung
Vorgehens-
weisen
3 Arten der Absicherung:
Basisabsicherung
Kernabsicherung
Standardabsicherung
IT-Grundschutz-Methodik nach
BSI-Standard 100-2
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
11 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Überblick
Vorgehens-
weisen
Standardabsicherung
Basisabsicherung
Kernabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
12 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Basisabsicherung
Vorgehens-
weisen
Vereinfachter Einstieg
Grundlegende Erstabsicherung
der Geschäftsprozesse und
Ressourcen
Vorteil:
Zugeschnitten für
Bedürfnisse der kleine und
mittlere Unternehmen
sowie Institutionen
Basisabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
13 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Kernabsicherung
Vorgehens-
weisen
Konzentration auf kleinen, sehr
wichtigen Informationsverbund
Schutz herausragender,
besonders gefährdeter
Geschäftsprozesse und
Ressourcen (Kronjuwelen)
Vorteil:
Zeitersparnis im Vorgehen
Beschleunigte Absicherung
Kernabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
14 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Standardabsicherung
Vorgehens-
weisen
Methodik in Grundzügen
unverändert
Vollumfänglicher
Sicherheitsprozess nach
bekannten BSI-Standard 100-2
Vorteil:
Zertifizierung nach ISO 27001
auf Basis von IT-Grundschutz
möglich
Standardabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
15 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Umsetzungsreihenfolge
Vorgehens-
weisen
Umsetzung in 3 Phasen
Phase 1:
Vorrangige Umsetzung
Phase 2:
Weitere relevante Bausteine
Phase 3:
Bausteine nachrangig
für Basisabsicherung nur ggf.
relevant
Bisher keine Vorgaben zur
Umsetzungsreihenfolge
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
16 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Umsetzungsreihenfolge
Vorgehens-
weisen
ISMS
(Sicherheitsmanagement)
ORP.1 (Organisation)
ORP.2 (Personal)
ORP.3 (Sensibilisierung und
Schulung)
ORP.4 (Identitäts- und
Berechtigungsmanagement)
OPS.1.1 (Kern IT-Betrieb /
Kernaufgaben)
APP (Anwendungen)
SYS (IT-Systeme)
NET (Netze und Kommunikation)
INF (Infrastruktur)
DER (Detektion und Reaktion)
ORP.5 (Anforderungs-
management (Compliance))
CON.1 (Kryptokonzept)
CON.2 (Datenschutz)
CON.5 (Informationssicherheit im
Projektmanagement)
OPS.2 (IT-Betrieb von Dritten)
OPS.3 (IT-Betrieb für Dritte)
OPS.4 (Betriebliche Aspekte)
CON.3
(Hochverfügbarkeitskonzeption)
CON.4 (Softwareentwicklung)
CON.6 (Informationssicherheit auf
Auslandsreisen)
OPS.1.2 (Weiterführende Aufgaben
(IT-Betrieb))
Phase 1
Phase 2
Phase 3
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
image
image
image
image
image
Bausteine
Baustein-
einteilung
Dokumenten-
struktur
Qualifi-
zierungs-
stufen
Veröffent-
lichungs-
prozess
Kernthema Bausteine
17 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
18 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Bausteineinteilung
Zweiteilung:
Prozess-Bausteine
System-Bausteine
5-teiliges Schichtenmodell:
Übergreifende Aspekte
Infrastruktur
IT-Systeme
Netze
Anwendungen
Bausteine
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
image
19 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Bausteineinteilung
Bausteine
System-Bausteine
Prozess-Bausteine
DER
(Detektion und Reaktion)
ISMS
(Informationssicherheitsmanagementsystem)
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
20 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Bausteineinteilung
Bausteine
System-Bausteine
Prozess-Bausteine
ORP
(Organisation und
Personal)
CON
(Konzepte &
Vorgehensweisen)
OPS
(Betrieb)
APP
(Anwendungen)
NET
(Netze und
Kommunikation)
SYS
(IT-Systeme)
INF
(Infrastruktur)
IND
(Industrielle IT)
DER
(Detektion und Reaktion)
ISMS
(Informationssicherheitsmanagementsystem)
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
21 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Qualifizierungsstufen
Bausteine
Basismaßnahmen
Vorrang vor anderen
Maßnahmen
Standardmaßnahmen
Umzusetzen für „normales“
Schutzniveau
Maßnahmen für erhöhten
Schutzbedarf
Umzusetzen für „hohes“ und
„sehr hohes“ Schutzniveau
Einstufung der Maßnahmen
nach Wichtigkeit für
Zertifizierung
„A“
Einstieg
„B“
Aufbau
„C“
Zertifikat
„Z“
Zusätzlich
„W“
Wissen
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
22 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Aufbau
Bausteine
Beschreibung
Spezifische Gefährdungslage
Anforderungen
Weiterführende Informationen
(z.B. Veröffentlichungen)
Anlagen
(z.B. Kreuztabellen)
Beschreibung
Gefährdungslage
mit Verweis auf
Gefährdungskataloge
Maßnahmenempfehlung
mit Verweis auf
Maßnahmenkataloge

image
image
image
image
23 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Aufbau
Bausteine
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
image
24 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Aufbau
Bausteine
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
25 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Umfang
Bausteine
Max. 10 Seiten
Beschreiben Gefährdungen und
Anforderungen ohne Verlinkung
Ergänzend zu Baustein
Umsetzungsempfehlungen mit
Lebenszyklus
Maßnahmen
Weiterführenden
Informationen
Je nach Baustein 1-6 Seiten
+ Gefährdungen
+ Maßnahmen
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
image
Profile
Kernthema Profile
26 | 27. September 2016 |
Simone Hock & Denny Dittrich

image
image
Profile
27 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neues Klientel
Werkzeug
für anwenderspezifische Empfehlungen
Individuelle Anpassungen
an die jeweiligen Bedürfnisse
Berücksichtigung der
Möglichkeiten und Risiken
der Institution
Bezug auf
typische IT-Szenarien
Profilerstellung
durch Dritte
Keine
BSI-Vorgabe
Eventuell Nachweis für Umsetzung (z.B. Testat) und
Anerkennung
ausgewählter Profile durch BSI
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
Ausblick
Parallele Existenz
beider Modelle im
Übergangszeitraum
Zusammenarbeit
zwischen
BSI
und
Hersteller
n
von IT-Grundschutz-Tools
Migrationsleitfaden
zur Überführung (geplant)
Migrationstabellen
mit Gegenüberstellung von „klassischen“
Maßnahmen und Anforderungen der modernisierten Bausteinen
Migration vom alten zum neuen Sicherheitskonzept
28 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
(A)
(A)
(A)
(A)
(A)
(A)
(A)
(A)
(C)
(C)
(A)
(Z)
(Z)
(Z)
M 2.336
M 2.335
M 2.192
M 2.475
M 2.193
M 2.337
M 2.195
M 2.199
M 2.200
M 2.201
M 2.197
M 2.338
M 2.339
M 6.16
Basis-Anforderungen
ISMS.1.A1
Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
X
ISMS.1.A2
Festlegung der Sicherheitsziele und -strategie
X
ISMS.1.A3
Erstellung einer Leitlinie zur Informationssicherheit
X
ISMS.1.A4
Benennung eines Informationssicherheitsbeauftragten
ISMS.1.A5
Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten
X
ISMS.1.A6
Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit
X
ISMS.1.A7
Festlegung von Sicherheitsmaßnahmen
X
ISMS.1.A8
Integration der Mitarbeiter in den Sicherheitsprozess
X
ISMS.1.A9
Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse
X
Standard-Anforderungen
ISMS.1.A10
Erstellung eines Sicherheitskonzepts
X
ISMS.1.A11
Aufrechterhaltung der Informationssicherheit
X
ISMS.1.A12
Management-Berichte zur Informationssicherheit
X
ISMS.1.A13
Dokumentation des Sicherheitsprozesses
X
ISMS.1.A14
Sensibilisierung zur Informationssicherheit
X
Anforderungen bei erhöhtem Schutzbedarf
ISMS.1.A14
Erstellung von zielgruppengerechten Sicherheitsrichtlinien
X
ISMS.1.A15
Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit
X
ISMS.1.A16
Abschließen von Versicherungen
X
29 | 27. September 2016 |
Simone Hock & Denny Dittrich
Ausblick
Migration vom alten zum neuen Sicherheitskonzept
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

image
image
image
Vielen Dank für Ihre Aufmerksamkeit!
30 | 27. September 2016 |
Simone Hock & Denny Dittrich

image
image
image
image
Erfahren Sie mehr…
Sie finden uns unter:
www.sid.sachsen.de
Riesaer Straße 7
01129 Dresden
Telefon 0351 3264 5101
Telefax 0351 3264 5109