nachweisbare sicherheit durch zertifizierung nach bsi ... file09.04.2003 1 nachweisbare sicherheit...
TRANSCRIPT
09.04.2003
1
Nachweisbare Sicherheitdurch Zertifizierung nach BSI Grundschutz
DECUS Symposium8.-10. April 2003
Jürgen BachingerSenior ConsultantHP Services - Consulting & IntegrationBSI-Auditor: BSI-GSL-0001-2002
page 24/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Agenda
• Einführung– Definition Grundschutz– Ziele– Stufen und Ausprägungen
• Ablauf einer Qualifizierung– Erhebungsphase– Qualifizierungsphase
• Bisherige Erfahrungen / Ausblick– Aufwand und Kosten– ISO 17799 oder BSI Grundschutz– Tendenzen im Markt
09.04.2003
2
page 34/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Was ist IT-Grundschutz?
• Vorgehensweise zur Erstellung vonIT-Sicherheitskonzepten
• Standard für IT-Sicherheit
• Maßnahmensammlung
• Nachschlagewerk
• Quelle: www.bsi.de/gshb
page 44/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Durch geeignete Anwendung von infrastrukturellen,
organisatorischen, personellen und technischen
Standardsicherheitsmaßnahmen
ein Sicherheitsniveau für IT-Systeme zu erreichen,
das für den mittleren Schutzbedarf angemessen
und ausreichend ist und als
Basis für hochschutzbedürftige
IT-Anwendungen dienen kann.
Ziel IT-Grundschutz
09.04.2003
3
page 54/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
• Unternehmen und Behörden wollen
Sicherheitsniveau dokumentieren
– intern
– nach außen
• Wie sicher sind meine Geschäftspartner?
• Maßstab für Umsetzung vonStandard-Sicherheits-Maßnahmen
Warum IT-Grundschutz-Qualifizierung?
page 64/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Zeichnungs-berechtigte Peron im Unternehmen
Lizenzierter BSI-Auditor
Ausprägungen
09.04.2003
4
page 74/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
IT Grundschutz-Zertifikat
• Vollständige Umsetzung des „IT-Grundschutz“• Zertifizierung durch akkreditierte Dritte • 2 Jahre Gültigkeit• Referenz zur Version des Handbuchs
page 84/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Zertifizierungsschema
09.04.2003
5
page 94/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Akkreditierung
Grundlage für Akkreditierung ist EN 45011 oder EN 45012
Akkreditierungsanforderungen:
•organisatorische Anforderungen
•Nachweis der Kompetenz des Personals
Akkreditierung
BSI
Auditor
andereAkkreditierungs-
stellen
Zertifizierungs-stellen
Lize
nzie
rung Akkreditierung
page 104/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
IT-Grundschutz-Selbsterklärung
• Kernaussage: Man ist „im IT-Grundschutzprozess!“• Keine Verlängerung, sondern nächste Stufe notwendig• Ausprägungen
– Einstiegstufe– Aufbaustufe
• Qualifizierung– als Selbsterklärung des Unternehmens– durch „unabhängige“ Interne
09.04.2003
6
page 114/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Stufen
Zuordnung der Maßnahmen:
"A": Umsetzung ist für alle drei Stufen erforderlich
"B": Umsetzung ist für Aufbaustufe und für Zertifikat erforderlich
"C": Umsetzung ist nur für dasIT-Grundschutz-Zertifikat erforderlich
page 124/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Agenda
• Einführung– Definition Grundschutz– Ziele– Stufen und Ausprägungen
• Ablauf einer Qualifizierung– Erhebungsphase– Qualifizierungsphase
• Bisherige Erfahrungen / Ausblick– Aufwand und Kosten– ISO 17799 oder BSI Grundschutz– Tendenzen im Markt
09.04.2003
7
page 134/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Erhebungsphase
• Schritt 1: Definition des Untersuchungsgegenstands
• Schritt 2: Vorarbeiten
• Schritt 3: Basis-Sicherheitscheck
• Schritt 4: Festlegung der weiteren Vorgehensweise
page 144/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 1: Definition des Untersuchungsgegenstands
Abgrenzung Untersuchungsgegenstand / IT-Verbund
S w itch
R ou te r S tand -le itung
R o u te r
S w itch
K om m un ika t ions- S e rv e r
(U n ix )E xchan ge -S e rve r(W indow s N T )
F ile - S e rve r(N ove llN e tw a r e )
P rim ä r e rD om ä nen -C on tr o lle r(W indo w s N T )
S e rve r f ü rP e rson a lve rw a ltung ( W indo w s N T )
15 C lie n t-C om p u te r(W indo w s N T )
75 C lien t-C om p u te r(W indow s N T )
S w itch
In te r ne t
R ou te r
F irew a ll
B ackupD om än en -C on tro lle r( W indow s N T )
4 0 C lien t-C o m pu te r( W indow s N T )L ieg en sch aft
B o nnL ieg en scha ftB erl in
IP IP
09.04.2003
8
page 154/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 2: Vorarbeiten (1)
IT-Strukturanalyse (Kapitel 2.1 GSHB)
• Bereinigter Netzplan
• Liste der IT-Systeme
• Liste der IT-Anwendungen
Schutzbedarfsfeststellung (Kapitel 2.2)
• "niedrig bis mittel"
• "hoch"
• "sehr hoch"
page 164/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 2: Vorarbeiten (2)
Modellierung des IT-Verbunds (Kapitel 2.3)
Schicht 1:
Schicht 2:
Schicht 3:
Schicht 4:
Schicht 5:
Übergreifende Aspekte
Infrastruktur
IT-Systeme
Netze
IT-Anwendungen
09.04.2003
9
page 174/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 3: Basis-Sicherheitscheck
Switch
Router Stand-leitung
Router
Switch
Kommunikations- Server
(Unix)Exchange-Server(Windows NT)
File-Server(NovellNetware)
PrimärerDomänen-Control ler(Windows NT)
Server fürPersona lverwaltung (Windows NT)
15 Client-Computer(Windows NT)
75 Cl ien t-Computer(Windows NT)
Switch
Internet
Router
Firewall
BackupDomänen-Contr olle r(Windows NT)
40 Cl ien t-Computer(Windows NT)Liegenschaft
BonnLiegenschaftBerlin
IP IP
IT-Grundschutz-Modell
Soll-/Ist-VergleichMaßnahmen-empfehlungen
RealisierteMaßnahmen
IT-Sicherheitskonzept: defizitäre Maßnahmen
page 184/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 4: Festlegung der weiteren Vorgehensweise
• Was wurde erreicht?– IT-Grundschutz-Zertifikat– Selbsterklärung „IT-Grundschutz Aufbaustufe“– Selbsterklärung „IT-Grundschutz Einstiegsstufe“
• Nachbesserungen?
09.04.2003
10
page 194/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Qualifizierungsphase
• Schritt 5: Plausibilitätsprüfung
• Schritt 6: Realisierungsprüfung
• Schritt 7: Selbsterklärung/Zertifizierung
• Schritt 8: Re-Qualifizierung.
page 204/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 5: Plausibilitätsprüfung
Qualifizierer prüft:
• Hat der IT-Verbund eine sinnvolle Mindestgröße?
• Sind die IT-Strukturanalyse und Schutzbedarfsfeststellung plausibel?
• Ist die Modellierung des IT-Verbundes ordnungsgemäß?
• Ist der Basis-Sicherheitscheck vollständig und sind die Ergebnisse plausibel?
09.04.2003
11
page 214/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 6: Realisierungsprüfung
Die Prüfung erfolgt • stichprobenartig und • umfasst mindestens den Baustein "IT-Sicherheits-
Management", • zufällig aus jeder der fünf Schichten jeweils einen
Baustein und• vier weitere Bausteine nach eigenem Ermessen
page 224/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 7: Selbsterklärung/ Zertifizierung
• Plausibilitätsprüfung und Realisierungsprüfung waren erfolgreich
• sämtliche Maßnahmen der angestrebten Ausprägung der IT-Grundschutz-Qualifizierung sind erfüllt
! Selbsterklärung (durch zeichnungsbefugten Vertreter der Institution) oder
! Zertifizierung (durch unabhängige akkreditierte Zertifizierungsstelle)
09.04.2003
12
page 234/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Schritt 8: Re-Qualifizierung
Re-Qualifizierung• spätestens nach zwei Jahren oder• bei sicherheitsrelevanten Veränderungen
Ein (nachweislich) gutes IT-Sicherheitsmanagementmeistert auch neue Aufgaben!
page 244/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Agenda
• Einführung– Definition Grundschutz– Ziele– Stufen und Ausprägungen
• Ablauf einer Qualifizierung– Erhebungsphase– Qualifizierungsphase
• Bisherige Erfahrungen / Ausblick– Aufwand und Kosten– ISO 17799 oder BSI Grundschutz– Tendenzen im Markt
09.04.2003
13
page 254/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Aufwand und Kosten
• Review bestehender Unterlagen und Plausibilitätsprüfung: 2 - 3 PT
• Verifikation der Umsetzung: 12 – 20 PT• Abschlussbericht: 1 – 2 PT• Gesamtaufwand: 15 – 25 PT
Einflussfaktoren:• Größe und Komplexität des Untersuchungsgegenstand• Status (Planung, Entwicklung, Produktion)• Detaillierungsgrad (Desktop Review vs. Inspektion)
page 264/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
ISO 17799 vs. BSI Grundschutz
ISO 17799☺ International bekannt und akzeptiert☺ Große Freiheit bei der Umsetzung# Für Außenstehende ist das erreichte
Sicherheitsniveau nicht transparent
BSI Grundschutz☺ Referenz für Aufsichtsbehörden (z.B. BAFin)☺ Einfache und strukturierte Vorgehensweise# Umsetzung kann hohen Aufwand nach sich ziehen
09.04.2003
14
page 274/7/2003 HP presentation template user tutorialCopyright Hewlett-Packard
Tendenzen im Markt
• Verstärkte Nachfrage nach umfassenden Sicherheitskonzepten
• Grosses Interesse an Zertifizierungen• Industrieunternehmen legen bei Zulieferern großen Wert
auf Zertifizierungen• Internationale Unternehmen tendieren zu ISO 17799• Behörden, Banken und Versicherungen: BSI
Grundschutz
Prognose• In den nächsten 2 Jahren werden Zertifikate einen
Wettbewerbsvorteil darstellen• In 3-5 Jahren werden Zertifikate Standard sein!