Compliance und IT-Sicherheit

Isabel Münch

Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz

2

Agenda

Das BSICompliance-Anforderungen und IT-SicherheitRisikomanagement und IT-SicherheitsmanagementInternationale Standards zum Management der InformationssicherheitBSI-Standards zum IT-SicherheitsmanagementVorgehensweise IT-Grundschutz

3

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das BSI auf einen Blick

Arbeitsschwerpunkte

Zielgruppen

Kurzportrait

4

... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.

Gründung 1991 per Gesetz als nationale Behörde für IT-Sicherheit.

Jahresbudget: € 52 Mio. (2005)

Mitarbeiter: 458 (Stand: Dez. 2005)

Standort: Bonn

Das BSI

5

Arbeitsschwerpunkte des BSI

Internetsicherheit

sicheres E-Government

IT-Grundschutz

nationale / internationale Sicherheits-kooperationen

Kryptoinnovation

Biometrie

Abhörsicherheit

Sensibilisierungskampagne IT-Sicherheit

Zertifizierung und Zulassung

Schutz kritischer Infrastrukturen

6

Zielgruppen des BSI

Regierung und VerwaltungIT-SicherheitsberatungEntwicklung von KryptosystemenLauschabwehrBetrieb des RegierungsnetzesUnterstützung der E-Government Initiative

BürgerSensibilisierungskampagnenInfo - CD´sBSI - Internetangebot

www.bsi.bund.dewww.bsi-fuer-buerger.dewww.buerger-cert.de

Fachbeiträge in Zeitschriften

WissenschaftKooperation mit UniversitätenTrendanalysen Vergabe vonForschungsaufträgen

WirtschaftNationales CERTIT-GrundschutzZertifizierungSicherheitspartnerschaften

7

IT-Sicherheit

Trends:Abhängigkeit von der IT wird weiter zunehmenDie eigene IT (und damit Geschäftsprozesse) wird von innen und außen bedrohtBewusstsein für IT-Bedrohungen muss stärker werdenPrävention stellt eine zentrale Aufgabe darIT-Sicherheit wird Teil des RisikomanagementsVorgaben werden schärferEin ganzheitlicher, nicht nur auf die Technik gerichteter Ansatz ist notwendig

8

Gesetzliche Rahmenbedingungen

Vorgaben:Basel IISolvency IISarbanes Oxley Act (SOX)KonTraG sowie GmbHG, AktG, HGB, GoBS, BDSG, ...

Compliance zu Kontrollforderungen - Risiken müssen transparent werdenausreichende Kontrollmöglichkeiten vorhanden?

BSI-Projekt zu Rechtsentwicklung in der IT-Sicherheit

9

Gesetzliche Rahmenbedingungen

Angemessenes Risikomanagement ist Grundlage zur Erfüllung dieser Richtlinien Risikomanagement umfasst IT-SicherheitsmanagementTendenz: Weg von technischen Einzelmaßnahmen, hin zu umfassendem Information Security Management System (ISMS)IT-Grundschutz als Basis für Compliance und Risikomanagement keine Garantie, aber gute AusgangslageReduzierter Aufwand bei Prüfungen(Anerkennung von Zertifikaten und Dokumentationen)

10

Zuordnung von Verantwortungsbereichen

IT-Endnutzer IT-Dienstleister IT-HerstellerHardwareSoftware

Content Provider(z.B. Bank)

Host-/AccesProviderBürger Unternehmen

Staat

11

Zuordnung von Verantwortungsbereichen

Verantwortlichkeit für DDoS-Attacke aus Bot-Netz?

$Nutzer N Unternehmen U

(Schurke S) Dienstleister DUnsichere Verbindung

Schwacher Schutz

Produzenten PProgrammschwachstelle

Schwacher Schutz

Umsetzung von Sicherheits-Standards

12

IT-Sicherheit und Sicherheitsmanagement

IT-Sicherheitsmanagement (=Systematisches Vorgehen zum Erreichen eines angemessenen IT-Sicherheitsniveaus in Bezug auf Verfügbarkeit, Integrität, Vertraulichkeit)

Optimaler Einsatz der Ressourcen für IT-Sicherheit

Optimierung der internen Prozesse führt zu einem geordneten, effektiven und effizienten IT-Betrieb --> mittelfristige Kosteneinsparungen

Attraktivität für Kunden und Geschäftspartner durch Vertrauen Nutzung von Referenzwerken und Standards erhöht die Effizienz und Nachweisbarkeit

13

Internationale Standards zum Management der Informationssicherheit

ISO 27000 ff.:ISO 27000 (geplant, basierend auf ISO 13335-1):Informationssicherheits-Managementsysteme –Begriffe und DefinitionenISO 27001 (veröffentlicht, basierend auf BS 7799-2): Informationssicherheits-Managementsysteme –Anforderungen (ISMS-Zertifizierungsstandard)ISO 27002 (Umbenennung ISO 17799): Leitfaden für Informationssicherheits-Management (Detaillierung des Maßnahmenkatalogs der ISO 27001)...

14

Internationale Standards zum Management der Informationssicherheit

15

BSI-Standards zur IT-Sicherheit- Bereich IT-Sicherheitsmanagement -

BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit

BSI Standard 100-2:IT-Grundschutz-Vorgehensweise

BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz

IT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen

• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"

• Gefährdungskataloge

• Maßnahmenkataloge

IT-Grundschutz

16

Infrastr

uktur Technik

Personal

Organisation

IT-GrundschutzEin System mit verschiedenen Gesichtern

Information SecurityManagement SystemVorgehensweise zur Erstellung von IT-SicherheitskonzeptenSammlung von Standard-Sicherheitsmaßnahmen für typische IT-SystemeNachschlagewerkReferenz und Standard für IT-SicherheitBasis für Zertifizierung

Ausgangspunkt für diverse Produkte und Dienstleistungen

17

Ziel des IT-Grundschutzes

Durch infrastrukturelle, organisatorische, personelle undtechnische

Standard-Sicherheitsmaßnahmenein

Standard-Sicherheitsniveaufür typische Geschäftsprozesse und Informations-systeme aufbauen, das auch für sensiblere Bereiche

ausbaufähigist.

18

BSI-Standard 100-1Managementsysteme für Informationssicherheit

BSI-Standard 100-2Vorgehensweise nach IT-Grundschutz

BSI-Standard 100-3Risikoanalyse auf der Basisvon IT-Grundschutz

BSI-Standards

19

BSI-Standard 100-1 ISMS

Zielgruppe: ManagementAllgemeine Anforderungen an ein ISMSKompatibel mit ISO 27001Empfehlungen aus ISO 13335 und ISO 17799

ISMS: Managementsysteme für Informationssicherheit

Ressourcen

Strategie

Mitarbeiter

Management-Prinzipien

ISMS

20

BSI-Standard 100-2Wesentliche Merkmale

Aufbau und Betrieb eines IT-Sicherheitsmanagements(ISMS) in der Praxis

Anleitungen zu:Aufgaben des IT-SicherheitsmanagementsEtablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-SicherheitsmaßnahmenIT-Sicherheit aufrecht erhalten und verbessern

21

• Analyse: Geschäftsprozesse, Unternehmensziele

• IT-Sicherheitsleitlinie• IT-Sicherheitsorganisation

• Informationen, IT-Systeme, Anwendungen

• Schutzbedarf (Szenarien)

• Sicherheitsmaßnahmen• Identifikation von Sicherheits-

lücken

Initiative der Geschäftsführung

Analyse der Rahmen-

bedingungen

Sicherheitscheck

2

3

1

Übersicht über denIT-Sicherheitsprozess

22

Übersicht über denIT-Sicherheitsprozess

• Liste geeigneter Maßnahmen• Kosten- und Nutzenanalyse• Auswahl umzusetzender

Maßnahmen• Dokumentation des Restrisikos

• Implementierung• Test• Notfallvorsorge

• Sensibilisierung• Schulung• Audit, Kontrollen, Monitoring,

Revision• Notfallvorsorge

Planung von Maßnahmen

Umsetzung von

Maßnahmen

Sicherheit im laufenden

Betrieb

5

6

4

23

IT-Sicherheitskonzeption

ergänz. Sicherheitsanalysebei hohem Schutzbedarf

ergänz. Sicherheitsanalysebei hohem Schutzbedarf

Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen

Realisierung der MaßnahmenRealisierung der Maßnahmen

IT-Grundschutzanalyse:Modellierung des IT-Verbundes (Auswahl der Maßnahmen)

Basis-Sicherheitscheck (Soll-Ist-Vergleich)

IT-Grundschutzanalyse:Modellierung des IT-Verbundes (Auswahl der Maßnahmen)

Basis-Sicherheitscheck (Soll-Ist-Vergleich)

Feststellung des SchutzbedarfsFeststellung des Schutzbedarfs

ca. 80%

ca. 20%

IT-StrukturanalyseAnalyse des Ist-Zustands

Welche Systeme und Anwendungen?

IT-StrukturanalyseAnalyse des Ist-Zustands

Welche Systeme und Anwendungen?

IT-Verbund

- Infrastruktur- Organisation- Personal- Technik

24

Modellierung nach IT-Grundschutz

Nachbildung des IT-Verbunds durch Bausteine der IT-Grundschutz-Kataloge

25

IT-Grundschutz-BausteineStruktur

Kapitel("Bausteine")

Kapitel("Bausteine")

Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen

Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen

Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge

Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge

26

Schichtenmodell

Schicht 1:

Schicht 2:

Schicht 3:

Schicht 4:

Schicht 5:

Übergreifende Aspekte

Infrastruktur

IT-Systeme

Netze

IT-Anwendungen

27

Schicht 1: Übergreifende Aspekte

IT-Sicherheitsmanagement

Organisation

Personal

Notfall-Vorsorgekonzept

Datensicherungskonzept

Computer-Virenschutzkonzept

Kryptokonzept

Behandlung von SicherheitsvorfällenHard- und Software-ManagementStandardsoftware OutsourcingArchivierungIT-Sicherheitssensibilisierungund -schulung

Modellierung der Aspekte, die dem betrachteten IT-Verbund insgesamt übergeordnet sind

Bausteine:

28

Schicht 2: Infrastruktur

Gebäude

Verkabelung

Büroraum

Serverraum

Datenträgerarchiv

Raum für technische Infrastruktur

Schutzschrank

häuslicher Arbeitsplatz

Rechenzentrum

Mobiler Arbeitsplatz

Besprechungs-,Veranstaltungs- und Schulungsräume

Modellierung der für den IT-Verbund relevanten baulichen Gegebenheiten

Bausteine:

29

Schicht 3: IT-Systeme

Allgemeiner ServerServer unter UnixServer unter Windows NTServer unter Novell Netware 3.xServer unter Novell Netware Version 4.xServer unter Windows 2000S/390- und zSeries-Mainframe

Allgemeiner ClientAllgemeines nicht vernetztes IT-SystemLaptopClient unter UnixClient unter Windows NTClient unter Windows 95Client unter Windows 2000Internet-PCClient unter Windows XP

Modellierung der im IT-Verbund eingesetzten IT-Systeme:Bausteine:

Sicherheitsgateway(Firewall)Router und SwitchesPDA

TK-AnlageFaxgerätAnrufbeantworterMobiltelefon

30

Schicht 4: Netze

Modellierung der im IT-Verbund zutreffendenNetz-Aspekte

Bausteine:Heterogene NetzeNetz- und SystemmanagementModemRemote AccessLAN-Anbindung eines IT-Systems über ISDN

31

Schicht 5: Anwendungen

Peer-to-Peer-Dienste

Datenträgeraustausch

E-Mail

Webserver

Lotus Notes

Faxserver

Datenbanken

Telearbeit

Internet Information Server

Apache Webserver

Exchange/ Outlook 2000

Novell eDirectory

Modellierung der im IT-Verbund eingesetzten Anwendungen

Bausteine:

32

Maßnahmenkataloge Typische Maßnahmen

M1: InfrastrukturSchutz vor Einbrechern

Brandschutzmaßnahmen

Energieversorgung

M2: OrganisationZuständigkeiten

Dokumentationen

Arbeitsanweisungen

M3: PersonalVertretungsregelungen

Schulung

Maßnahmen beim Weggang von Mitarbeitern

M4: Hardware/SoftwarePasswortgebrauch

Protokollierung

Vergabe von Berechtigungen

M5: KommunikationKonfiguration

Datenübertragung

E-Mail, SSL, Firewall

M6: NotfallvorsorgeNotfallpläne

Datensicherung

Vorsorgemaßnahmen (z. B. redundante Systemauslegung)

33

Basis-Sicherheitscheck

Switch

Router Stand-leitung

Router

Switch

KommunikationsServer(Unix)

Exchange-(Windows NT)

File-Server(Novell

PrimärerDomänen-

(Windows NT)

Server fürPersonalverwaltun

(Windows NT)

15 Client-(Windows NT)

75 Client-(Windows NT)

Switch

Internet

Router

Firewall

BackupDomänen-

(Windows NT)

40 Client-(Windows NT)Liegenschaft

BonnLiegenschaftBerlin

IP IP

IT-Grundschutz-Modell

Maßnahmen-empfehlungen

Soll-/Ist-Vergleich RealisierteMaßnahmen

umzusetzende Maßnahmen

34

Maßnahmenumsetzung

35

BSI-Standards zur IT-Sicherheit- Bereich IT-Sicherheitsmanagement -

BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit

BSI Standard 100-2:IT-Grundschutz-Vorgehensweise

BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz

IT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen

• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"

• Gefährdungskataloge

• Maßnahmenkataloge

IT-Grundschutz

36

IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-

Vergleich)

IT-Grundschutzanalyse:Modellierung des IT-VerbundesBasis-Sicherheitscheck (Soll-Ist-

Vergleich)

Konsolidierung der MaßnahmenKonsolidierung der Maßnahmen

Realisierung der MaßnahmenRealisierung der Maßnahmen

Ergänzende Sicherheitsbetrachtung

Management Report

Ergänzende Sicherheitsbetrachtung

Management Report

Risikoanalyse auf der Basis von IT-Grundschutz

Risikoanalyse auf der Basis von IT-Grundschutz

Eine „Ergänzende Sicherheits-analyse“ ist durchzuführen, wenn:

hoher oder sehr hoher Schutzbedarf vorliegt,zusätzlicher Analysebedarf besteht oderfür bestimmte Aspekte kein geeigneter Baustein in den IT-Grundschutz-Katalogen existiert.

Risikoanalyse auf der Basis von IT-Grundschutz

BSI-Standard 100-3Risikoanalyse auf Basis von IT-Grundschutz

37

BSI-Standard 100-3Risikoanalyse auf Basis von IT-Grundschutz

IT-Grundschutz Teil I- IT-Strukturanalyse- Schutzbedarfsfeststellung- Modellierung- Basis-Sicherheitscheck I

Erstellung derGefährdungsübersicht

Ermittlung zusätzlicherGefährdungen

Gefährdungsbewertung

Maßnahmenauswahl zurBehandlung von Risiken

Konsolidierung desIT-Sicherheitskonzepts

IT-Grundschutz Teil II- Basis-Sicherheitscheck II- Realisierung- Zertifizierung

normaler Schutzbedarf erhöhter Schutzbedarf

38

BSI-Standards zur IT-Sicherheit- Bereich IT-Sicherheitsmanagement -

BSI Standard 100-1: ISMS: Managementsysteme fürInformationssicherheit

BSI Standard 100-2:IT-Grundschutz-Vorgehensweise

BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz

IT-Grundschutz-KatalogeKapitel 1: EinleitungKapitel 2: Schichtenmodell und ModellierungKapitel 3: GlossarKapitel 4: Rollen

• Bausteinkataloge•Kapitel B1 "Übergreifende Aspekte"•Kapitel B2 "Infrastruktur"•Kapitel B3 "IT-Systeme"•Kapitel B4 "Netze"•Kapitel B5 "IT-Anwendungen"

• Gefährdungskataloge

• Maßnahmenkataloge

IT-Grundschutz

39

IT-Grundschutz-Katalogeab 2005

KatalogeEinführung ModellierungshinweiseBaustein-KatalogGefährdungskatalogMaßnahmenkatalog

Gef

ährd

unge

n

Baus

tein

e

Maß

nahm

en

++

Loseblattsammlung

40

IT-Grundschutz-Kataloge 2005

7. ErgänzungslieferungSchulung und Sensibilisierung zu IT-Sicherheit (Schicht 1)Besprechungs- und Schulungsräume (Schicht 2)Mobiler ArbeitsplatzWindows XP (Schicht 3)

Plus:

Überarbeitungen von

IT-Sicherheitsmanagement

Organisation

Personal

Allgemeiner Client

Allgemeiner Server

Laptop

41

IT-Grundschutz-Kataloge 2006

8. ErgänzungslieferungSAP (Schicht 5)Speichersysteme (Schicht 3)Windows 2003 (Schicht 3) WLAN (Schicht 4)Voice over IP (Schicht 4)zusätzliche Gefährdungen und Maßnahmen

Überarbeitung:Datenbanken

42

Ausblick 2007

folgende ErgänzungslieferungenEnergieversorgungKommunikationsverbindungenSystem-EntwicklungBluetoothNetz-Drucker (Multifunktionsgeräte)Löschen und Vernichten von Informationen

Überarbeitung:Virenschutz

43

Dienstleistungen und Produkte rund um den IT-Grundschutz

CE

RT

Vire

n

Inte

rnet

Zerti

-fiz

ieru

ng

kriti

sche

In

frast

ruk-

ture

n

E-G

over

n-m

ent

Kry

pto-

grap

hie

Bio

met

rie

Mob

ilfun

k

Webkurs zum Selbststudium

ISO 27001-Zertifikat

LeitfadenIT-Sicherheit

Software:„GSTOOL“

-

°

+

Sicherheitsbedarf,Anspruch

...

Beispiele:„GS-Profile“

Hilfsmittel & Musterrichtlinien

44

Wo gibt es das alles?

auf der BSI-CD-ROMals Buchauf der BSI-Webseite www.bsi.de

45

Ihre Mithilfe ist gefragt!

!

!

!

!

!

Welche Maßnahmen oder Gefährdungen fehlen?

Änderungsvorschläge zum IT-Grundschutz sind uns immer willkommen!

Welche Maßnahmen sind zu verbessern, ergänzen oder reduzieren?

Welche Bausteine werden Ihrer Meinung nach benötigt?

46

IT-Grundschutz-Informationen

IT-Grundschutz-HotlineTelefon: 0228-9582-5369E-Mail: gshb@bsi.bund.deIT-Grundschutz-ToolTelefon: 0228-9582-5299E-Mail: gstool@bsi.bund.de

http://www.bsi.bund.de/gshb

47

Kontakt

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Godesberger Allee 195-19853175 Bonn

Tel: +49 (0)1888-9582-5369 Fax: +49 (0)1888-9582-5405

gshb@bsi.bund.dewww.bsi.bund.dewww.bsi-fuer-buerger.de