BSI-Modernisierung Grundschutz:
Nicht Alt – Nicht Neu – Aber Anders
27. September 2016 |
Simone Hock & Denny Dittrich
Inhalt
Darstellung der Neuerungen im IT-Grundschutz
im Rahmen der BSI-Modernisierung 2017
Gegenüberstellung mit dem „klassischen“
IT-Grundschutz
2 | 27. September 2016 |
Simone Hock & Denny Dittrich
Gliederung
❙
Gründe
für die Modernisierung
❙
Zeitlicher Verlauf
der Modernisierung
❙
Kernaspekte
der Modernisierung
Vorgehensweisen
Bausteine
Profile
❙
Ausblick zur Umsetzung
der Modernisierung
3 | 27. September 2016 |
Simone Hock & Denny Dittrich
Erhöhung der
Attraktivität und
Wegbereitung
für die nächsten
20 Jahre
Optimierung
und
Aktualisierung
Aktuelle
und praxisnahe
Verfahren
Neue
Anforderungen
Gewährleistung
von Kontinuität
Gründe für die Modernisierung
4 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
16. Ergänzungslieferung
14. Ergänzungslieferung
12/2014 – 11/2016
15. Ergänzungslieferung
04/2016 – vsl. Sommer 2018
Zeitlicher Verlauf
5 | 27. September 2016 |
Simone Hock & Denny Dittrich
2018
2014
„Findungsphase“
Beteiligung der
Stakeholder
2015
Konzeption
Weiterhin Abstimmung
mit Stakeholdern
2016
Community Draft:
Veröffentlichung neuer
BSI-Standards und
mehrerer Bausteine
2017
Veröffentlichung
neuer BSI-Standards
und modernisierter
Kataloge
Modernisierter
IT-Grundschutz
ab vsl. Herbst 2017
Modernisierung
durchgeführt
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Kernaspekte der Modernisierung
„Modernisierter“
IT-Grundschutz
Profile
Bausteine
Vorgehens-
weisen
6 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Kernthema Vorgehensweisen
Vorgehens-
weisen
Absicherung
Umsetzungs-
reihenfolge
Reifegrad-
bestimmung
Risikoanalyse
Zertifizierung
7 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
8 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung
Vorgehens-
weisen
❙
3 Arten der Absicherung:
Basisabsicherung
Kernabsicherung
Standardabsicherung
❙
IT-Grundschutz-Methodik nach
BSI-Standard 100-2
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
9 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung IT-Grundschutz-Methodik
Vorgehens-
weisen
Realisierung der Maßnahmen
Basis-Sicherheitscheck (2)
Konsolidierung
Risikoanalyse
Basis-Sicherheitscheck
Modellierung
Schutzbedarfsfeststellung
Strukturanalyse
Aufrechterhaltung und
Kontinuierliche Verbesserung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
10 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung
Vorgehens-
weisen
❙
3 Arten der Absicherung:
Basisabsicherung
Kernabsicherung
Standardabsicherung
❙
IT-Grundschutz-Methodik nach
BSI-Standard 100-2
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
11 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Überblick
Vorgehens-
weisen
Standardabsicherung
Basisabsicherung
Kernabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
12 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Basisabsicherung
Vorgehens-
weisen
❙
Vereinfachter Einstieg
❙
Grundlegende Erstabsicherung
der Geschäftsprozesse und
Ressourcen
❙
Vorteil:
Zugeschnitten für
Bedürfnisse der kleine und
mittlere Unternehmen
sowie Institutionen
Basisabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
13 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Kernabsicherung
Vorgehens-
weisen
❙
Konzentration auf kleinen, sehr
wichtigen Informationsverbund
❙
Schutz herausragender,
besonders gefährdeter
Geschäftsprozesse und
Ressourcen (Kronjuwelen)
❙
Vorteil:
Zeitersparnis im Vorgehen
Beschleunigte Absicherung
Kernabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
14 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Absicherung - Standardabsicherung
Vorgehens-
weisen
❙
Methodik in Grundzügen
unverändert
❙
Vollumfänglicher
Sicherheitsprozess nach
bekannten BSI-Standard 100-2
❙
Vorteil:
Zertifizierung nach ISO 27001
auf Basis von IT-Grundschutz
möglich
Standardabsicherung
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
15 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Umsetzungsreihenfolge
Vorgehens-
weisen
❙
Umsetzung in 3 Phasen
Phase 1:
Vorrangige Umsetzung
Phase 2:
Weitere relevante Bausteine
Phase 3:
Bausteine nachrangig
für Basisabsicherung nur ggf.
relevant
❙
Bisher keine Vorgaben zur
Umsetzungsreihenfolge
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
16 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Umsetzungsreihenfolge
Vorgehens-
weisen
ISMS
(Sicherheitsmanagement)
ORP.1 (Organisation)
ORP.2 (Personal)
ORP.3 (Sensibilisierung und
Schulung)
ORP.4 (Identitäts- und
Berechtigungsmanagement)
OPS.1.1 (Kern IT-Betrieb /
Kernaufgaben)
APP (Anwendungen)
SYS (IT-Systeme)
NET (Netze und Kommunikation)
INF (Infrastruktur)
DER (Detektion und Reaktion)
ORP.5 (Anforderungs-
management (Compliance))
CON.1 (Kryptokonzept)
CON.2 (Datenschutz)
CON.5 (Informationssicherheit im
Projektmanagement)
OPS.2 (IT-Betrieb von Dritten)
OPS.3 (IT-Betrieb für Dritte)
OPS.4 (Betriebliche Aspekte)
CON.3
(Hochverfügbarkeitskonzeption)
CON.4 (Softwareentwicklung)
CON.6 (Informationssicherheit auf
Auslandsreisen)
OPS.1.2 (Weiterführende Aufgaben
(IT-Betrieb))
Phase 1
Phase 2
Phase 3
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bausteine
Baustein-
einteilung
Dokumenten-
struktur
Qualifi-
zierungs-
stufen
Veröffent-
lichungs-
prozess
Kernthema Bausteine
17 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
18 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Bausteineinteilung
❙
Zweiteilung:
Prozess-Bausteine
System-Bausteine
❙
5-teiliges Schichtenmodell:
Übergreifende Aspekte
Infrastruktur
IT-Systeme
Netze
Anwendungen
Bausteine
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
19 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Bausteineinteilung
Bausteine
System-Bausteine
Prozess-Bausteine
DER
(Detektion und Reaktion)
ISMS
(Informationssicherheitsmanagementsystem)
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
20 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Bausteineinteilung
Bausteine
System-Bausteine
Prozess-Bausteine
ORP
(Organisation und
Personal)
CON
(Konzepte &
Vorgehensweisen)
OPS
(Betrieb)
APP
(Anwendungen)
NET
(Netze und
Kommunikation)
SYS
(IT-Systeme)
INF
(Infrastruktur)
IND
(Industrielle IT)
DER
(Detektion und Reaktion)
ISMS
(Informationssicherheitsmanagementsystem)
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
21 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Qualifizierungsstufen
Bausteine
❙
Basismaßnahmen
Vorrang vor anderen
Maßnahmen
❙
Standardmaßnahmen
Umzusetzen für „normales“
Schutzniveau
❙
Maßnahmen für erhöhten
Schutzbedarf
Umzusetzen für „hohes“ und
„sehr hohes“ Schutzniveau
❙
Einstufung der Maßnahmen
nach Wichtigkeit für
Zertifizierung
„A“
Einstieg
„B“
Aufbau
„C“
Zertifikat
„Z“
Zusätzlich
„W“
Wissen
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
22 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Aufbau
Bausteine
❙
Beschreibung
❙
Spezifische Gefährdungslage
❙
Anforderungen
❙
Weiterführende Informationen
(z.B. Veröffentlichungen)
❙
Anlagen
(z.B. Kreuztabellen)
❙
Beschreibung
❙
Gefährdungslage
mit Verweis auf
Gefährdungskataloge
❙
Maßnahmenempfehlung
mit Verweis auf
Maßnahmenkataloge
23 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Aufbau
Bausteine
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
24 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Aufbau
Bausteine
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
25 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neue Dokumentenstruktur - Umfang
Bausteine
❙
Max. 10 Seiten
❙
Beschreiben Gefährdungen und
Anforderungen ohne Verlinkung
❙
Ergänzend zu Baustein
Umsetzungsempfehlungen mit
Lebenszyklus
Maßnahmen
Weiterführenden
Informationen
❙
Je nach Baustein 1-6 Seiten
+ Gefährdungen
+ Maßnahmen
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Profile
Kernthema Profile
26 | 27. September 2016 |
Simone Hock & Denny Dittrich
Profile
27 | 27. September 2016 |
Simone Hock & Denny Dittrich
Neues Klientel
Werkzeug
für anwenderspezifische Empfehlungen
Individuelle Anpassungen
an die jeweiligen Bedürfnisse
Berücksichtigung der
Möglichkeiten und Risiken
der Institution
Bezug auf
typische IT-Szenarien
Profilerstellung
durch Dritte
Keine
BSI-Vorgabe
Eventuell Nachweis für Umsetzung (z.B. Testat) und
Anerkennung
ausgewählter Profile durch BSI
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Ausblick
❙
Parallele Existenz
beider Modelle im
Übergangszeitraum
❙
Zusammenarbeit
zwischen
BSI
und
Hersteller
n
von IT-Grundschutz-Tools
❙
Migrationsleitfaden
zur Überführung (geplant)
❙
Migrationstabellen
mit Gegenüberstellung von „klassischen“
Maßnahmen und Anforderungen der modernisierten Bausteinen
Migration vom alten zum neuen Sicherheitskonzept
28 | 27. September 2016 |
Simone Hock & Denny Dittrich
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
(A)
(A)
(A)
(A)
(A)
(A)
(A)
(A)
(C)
(C)
(A)
(Z)
(Z)
(Z)
M 2.336
M 2.335
M 2.192
M 2.475
M 2.193
M 2.337
M 2.195
M 2.199
M 2.200
M 2.201
M 2.197
M 2.338
M 2.339
M 6.16
Basis-Anforderungen
ISMS.1.A1
Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
X
ISMS.1.A2
Festlegung der Sicherheitsziele und -strategie
X
ISMS.1.A3
Erstellung einer Leitlinie zur Informationssicherheit
X
ISMS.1.A4
Benennung eines Informationssicherheitsbeauftragten
ISMS.1.A5
Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten
X
ISMS.1.A6
Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit
X
ISMS.1.A7
Festlegung von Sicherheitsmaßnahmen
X
ISMS.1.A8
Integration der Mitarbeiter in den Sicherheitsprozess
X
ISMS.1.A9
Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse
X
Standard-Anforderungen
ISMS.1.A10
Erstellung eines Sicherheitskonzepts
X
ISMS.1.A11
Aufrechterhaltung der Informationssicherheit
X
ISMS.1.A12
Management-Berichte zur Informationssicherheit
X
ISMS.1.A13
Dokumentation des Sicherheitsprozesses
X
ISMS.1.A14
Sensibilisierung zur Informationssicherheit
X
Anforderungen bei erhöhtem Schutzbedarf
ISMS.1.A14
Erstellung von zielgruppengerechten Sicherheitsrichtlinien
X
ISMS.1.A15
Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit
X
ISMS.1.A16
Abschließen von Versicherungen
X
29 | 27. September 2016 |
Simone Hock & Denny Dittrich
Ausblick
Migration vom alten zum neuen Sicherheitskonzept
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Vielen Dank für Ihre Aufmerksamkeit!
30 | 27. September 2016 |
Simone Hock & Denny Dittrich
Erfahren Sie mehr…
Sie finden uns unter:
Riesaer Straße 7
01129 Dresden
Telefon 0351 3264 5101
Telefax 0351 3264 5109
