Nachweisbare Sicherheit durch Zertifizierung nach BSI ... file09.04.2003 1 Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen

09.04.2003

1

Nachweisbare Sicherheitdurch Zertifizierung nach BSI Grundschutz

DECUS Symposium8.-10. April 2003

Jürgen BachingerSenior ConsultantHP Services - Consulting & IntegrationBSI-Auditor: BSI-GSL-0001-2002

page 24/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard

Agenda

• Einführung– Definition Grundschutz– Ziele– Stufen und Ausprägungen

• Ablauf einer Qualifizierung– Erhebungsphase– Qualifizierungsphase

• Bisherige Erfahrungen / Ausblick– Aufwand und Kosten– ISO 17799 oder BSI Grundschutz– Tendenzen im Markt

09.04.2003

2


Was ist IT-Grundschutz?

• Vorgehensweise zur Erstellung vonIT-Sicherheitskonzepten

• Standard für IT-Sicherheit

• Maßnahmensammlung

• Nachschlagewerk

• Quelle: www.bsi.de/gshb


Durch geeignete Anwendung von infrastrukturellen,

organisatorischen, personellen und technischen

Standardsicherheitsmaßnahmen

ein Sicherheitsniveau für IT-Systeme zu erreichen,

das für den mittleren Schutzbedarf angemessen

und ausreichend ist und als

Basis für hochschutzbedürftige

IT-Anwendungen dienen kann.

Ziel IT-Grundschutz

09.04.2003

3


• Unternehmen und Behörden wollen

Sicherheitsniveau dokumentieren

– intern

– nach außen

• Wie sicher sind meine Geschäftspartner?

• Maßstab für Umsetzung vonStandard-Sicherheits-Maßnahmen

Warum IT-Grundschutz-Qualifizierung?


Zeichnungs-berechtigte Peron im Unternehmen

Lizenzierter BSI-Auditor

Ausprägungen

09.04.2003

4


IT Grundschutz-Zertifikat

• Vollständige Umsetzung des „IT-Grundschutz“• Zertifizierung durch akkreditierte Dritte • 2 Jahre Gültigkeit• Referenz zur Version des Handbuchs


Zertifizierungsschema

09.04.2003

5


Akkreditierung

Grundlage für Akkreditierung ist EN 45011 oder EN 45012

Akkreditierungsanforderungen:

•organisatorische Anforderungen

•Nachweis der Kompetenz des Personals

Akkreditierung

BSI

Auditor

andereAkkreditierungs-

stellen

Zertifizierungs-stellen

Lize

nzie

rung Akkreditierung


IT-Grundschutz-Selbsterklärung

• Kernaussage: Man ist „im IT-Grundschutzprozess!“• Keine Verlängerung, sondern nächste Stufe notwendig• Ausprägungen

– Einstiegstufe– Aufbaustufe

• Qualifizierung– als Selbsterklärung des Unternehmens– durch „unabhängige“ Interne

09.04.2003

6


Stufen

Zuordnung der Maßnahmen:

"A": Umsetzung ist für alle drei Stufen erforderlich

"B": Umsetzung ist für Aufbaustufe und für Zertifikat erforderlich

"C": Umsetzung ist nur für dasIT-Grundschutz-Zertifikat erforderlich


Agenda




09.04.2003

7


Erhebungsphase

• Schritt 1: Definition des Untersuchungsgegenstands

• Schritt 2: Vorarbeiten

• Schritt 3: Basis-Sicherheitscheck

• Schritt 4: Festlegung der weiteren Vorgehensweise


Schritt 1: Definition des Untersuchungsgegenstands

Abgrenzung Untersuchungsgegenstand / IT-Verbund

S w itch

R ou te r S tand -le itung

R o u te r

S w itch

K om m un ika t ions- S e rv e r

(U n ix )E xchan ge -S e rve r(W indow s N T )

F ile - S e rve r(N ove llN e tw a r e )

P rim ä r e rD om ä nen -C on tr o lle r(W indo w s N T )

S e rve r f ü rP e rson a lve rw a ltung ( W indo w s N T )

15 C lie n t-C om p u te r(W indo w s N T )

75 C lien t-C om p u te r(W indow s N T )

S w itch

In te r ne t

R ou te r

F irew a ll

B ackupD om än en -C on tro lle r( W indow s N T )

4 0 C lien t-C o m pu te r( W indow s N T )L ieg en sch aft

B o nnL ieg en scha ftB erl in

IP IP

09.04.2003

8


Schritt 2: Vorarbeiten (1)

IT-Strukturanalyse (Kapitel 2.1 GSHB)

• Bereinigter Netzplan

• Liste der IT-Systeme

• Liste der IT-Anwendungen

Schutzbedarfsfeststellung (Kapitel 2.2)

• "niedrig bis mittel"

• "hoch"

• "sehr hoch"


Schritt 2: Vorarbeiten (2)

Modellierung des IT-Verbunds (Kapitel 2.3)

Schicht 1:

Schicht 2:

Schicht 3:

Schicht 4:

Schicht 5:

Übergreifende Aspekte

Infrastruktur

IT-Systeme

Netze

IT-Anwendungen

09.04.2003

9


Schritt 3: Basis-Sicherheitscheck

Switch

Router Stand-leitung

Router

Switch

Kommunikations- Server

(Unix)Exchange-Server(Windows NT)

File-Server(NovellNetware)

PrimärerDomänen-Control ler(Windows NT)

Server fürPersona lverwaltung (Windows NT)

15 Client-Computer(Windows NT)

75 Cl ien t-Computer(Windows NT)

Switch

Internet

Router

Firewall

BackupDomänen-Contr olle r(Windows NT)

40 Cl ien t-Computer(Windows NT)Liegenschaft

BonnLiegenschaftBerlin

IP IP

IT-Grundschutz-Modell

Soll-/Ist-VergleichMaßnahmen-empfehlungen

RealisierteMaßnahmen

IT-Sicherheitskonzept: defizitäre Maßnahmen


Schritt 4: Festlegung der weiteren Vorgehensweise

• Was wurde erreicht?– IT-Grundschutz-Zertifikat– Selbsterklärung „IT-Grundschutz Aufbaustufe“– Selbsterklärung „IT-Grundschutz Einstiegsstufe“

• Nachbesserungen?

09.04.2003

10


Qualifizierungsphase

• Schritt 5: Plausibilitätsprüfung

• Schritt 6: Realisierungsprüfung

• Schritt 7: Selbsterklärung/Zertifizierung

• Schritt 8: Re-Qualifizierung.


Schritt 5: Plausibilitätsprüfung

Qualifizierer prüft:

• Hat der IT-Verbund eine sinnvolle Mindestgröße?

• Sind die IT-Strukturanalyse und Schutzbedarfsfeststellung plausibel?

• Ist die Modellierung des IT-Verbundes ordnungsgemäß?

• Ist der Basis-Sicherheitscheck vollständig und sind die Ergebnisse plausibel?

09.04.2003

11


Schritt 6: Realisierungsprüfung

Die Prüfung erfolgt • stichprobenartig und • umfasst mindestens den Baustein "IT-Sicherheits-

Management", • zufällig aus jeder der fünf Schichten jeweils einen

Baustein und• vier weitere Bausteine nach eigenem Ermessen


Schritt 7: Selbsterklärung/ Zertifizierung

• Plausibilitätsprüfung und Realisierungsprüfung waren erfolgreich

• sämtliche Maßnahmen der angestrebten Ausprägung der IT-Grundschutz-Qualifizierung sind erfüllt

! Selbsterklärung (durch zeichnungsbefugten Vertreter der Institution) oder

! Zertifizierung (durch unabhängige akkreditierte Zertifizierungsstelle)

09.04.2003

12


Schritt 8: Re-Qualifizierung

Re-Qualifizierung• spätestens nach zwei Jahren oder• bei sicherheitsrelevanten Veränderungen

Ein (nachweislich) gutes IT-Sicherheitsmanagementmeistert auch neue Aufgaben!


Agenda




09.04.2003

13


Aufwand und Kosten

• Review bestehender Unterlagen und Plausibilitätsprüfung: 2 - 3 PT

• Verifikation der Umsetzung: 12 – 20 PT• Abschlussbericht: 1 – 2 PT• Gesamtaufwand: 15 – 25 PT

Einflussfaktoren:• Größe und Komplexität des Untersuchungsgegenstand• Status (Planung, Entwicklung, Produktion)• Detaillierungsgrad (Desktop Review vs. Inspektion)


ISO 17799 vs. BSI Grundschutz

ISO 17799☺ International bekannt und akzeptiert☺ Große Freiheit bei der Umsetzung# Für Außenstehende ist das erreichte

Sicherheitsniveau nicht transparent

BSI Grundschutz☺ Referenz für Aufsichtsbehörden (z.B. BAFin)☺ Einfache und strukturierte Vorgehensweise# Umsetzung kann hohen Aufwand nach sich ziehen

09.04.2003

14


Tendenzen im Markt

• Verstärkte Nachfrage nach umfassenden Sicherheitskonzepten

• Grosses Interesse an Zertifizierungen• Industrieunternehmen legen bei Zulieferern großen Wert

auf Zertifizierungen• Internationale Unternehmen tendieren zu ISO 17799• Behörden, Banken und Versicherungen: BSI

Grundschutz

Prognose• In den nächsten 2 Jahren werden Zertifikate einen

Wettbewerbsvorteil darstellen• In 3-5 Jahren werden Zertifikate Standard sein!

Documents

Nachweisbare Sicherheit durch Zertifizierung nach BSI ... file09.04.2003 1 Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen