Download

Neues aus dem IT-Grundschutz 

Ausblick und Diskussion 

Holger Schildt 

Bundesamt für Sicherheit in der Informationstechnik 

Grundlagen der Informationssicherheit und IT-Grundschutz 

1. IT-Grundschutz-Tag 2013 

27.02.2013

Inhalte 

Status Weiterentwicklung IT-Grundschutz 

IT-Grundschutz-Kataloge 

Umstrukturierungen in den IT-Grundschutz-Katalogen 

Prüffragen 

Überblickspapiere 

ISO 27001 Zertifizierung auf der Basis von 

IT-Grundschutz 

GSTOOL 

Fragen und Diskussion 

Holger Schildt Folie 2

BSI-Standard 100-1: 

Managementsysteme für 

Informationssicherheit 


IT-Grundschutz-Vorgehensweise 


Risikoanalyse auf Basis von 



Notfallmanagement 


BSI-Standards 

Prüfschema: 

ISO 27001-Zertifizierung auf der Basis 

von IT-Grundschutz 













BSI-Standards 

Prüfschema: 



• Änderungen der 

ISO 2700x 

• Anpassung 

Risikoanalyse 

• Virtualisierung 

• Schutzbedarf und 

BIA enger 

abstimmen 

•Und diverses 

mehr… 













BSI-Standards 

Prüfschema: 



Änderungen zur 

Integration Cloud 

Computing 


5 

4 

3 

2 

1 


Veröffentlichung generell 

Neue Bausteine 

Prüffragen 


Weiterentwicklung der 


"Stillstand ist Rückstand" 

Dennoch kann nicht jedes Thema berücksichtigt werden 

Es muss ermittelt werden, was benötigt wird 

Faktoren für Themenauswahl 

Nachfrage auf Messen, Vorträgen 

und sonstigen Veranstaltungen 

Anfragen auf GS-Hotline 

Themen in den Medien 

Umfragen bei unseren Anwendern 


Prinzip von 

Ergänzungslieferungen 

Regelmäßige Aktualisierung der 


Beinhaltet überarbeite und neue 

Bausteine, Gefährdungen und Maßnahmen 

Verfügbare Versionen: 

Kostenfreie HTML-Version 

Kostenfreies Metadatenupdate für GSTOOL 

Kostenpflichtige gedruckte Version über 

Bundesanzeigerverlag 

Preis 12. EL: 115,80 Euro 

Preis Grundwerk 12. EL: 152,00 Euro 



12. Ergänzungslieferung 

Status 

Als Druckwerk veröffentlicht 

Dezember 2011 

Als PDF auf BSI-Webseite veröffentlicht 

Februar 2012 

Metadatenupdate sowie zugehörige 

HTML-Aktualisierung für GSTOOL 4.7 

Juni 2012 

Online-HTML-Version ist Stand 11. EL! 



13. Ergänzungslieferung 


Allgemeines Gebäude 

MS Windows 7 

MS Server 2008 R2 

Mac OS X 

Microsoft Exchange 2010 

Lotus Notes 

Protokollierung 

Web-Anwendungen 

OpenLDAP 

Prüffragen 


Prüffragen 

Motivation 

Für Audit-, Anforderungen-, 

Aufrechterhaltung 

Zielgruppe sind Prüfer, 

Auditoren, etc. 

Zweck: 

sollen alle wesentlichen Kernaussagen des jeweiligen 

Bausteins enthalten 

geben Ziel und Grundrichtung vor 

letzte Checkliste, um Umsetzung von Maßnahmen zu 

kontrollieren 

ersetzen Kontrollfragen 

in Form und Detailtiefe einheitlich 


Prüffragen 

Weiteres Vorgehen 

Fleißarbeit: 

Laufendes Projekt zur Erstellung der Prüffragen für alle 

Maßnahmen der IT-Grundschutz-Kataloge! 

Wurden ins Redaktionsmanagementsystem 

eingepflegt (viel Arbeit!) 

Konsolidierung pro Baustein (noch mehr Arbeit!) 

Ziel: 

Veröffentlichung der Prüffragen zusammen mit den IT- 

Grundschutz-Katalogen der 13. EL 


Die Serie geht weiter… 

Weitere Ergänzungslieferungen: 

Überarbeitung der Bausteine 

B 4.1 Netzarchitektur 

B 4.2 Netz-Management 

B 1.13 Sensibilisierung 

B 3.404 Mobiltelefon / B 3.405 PDA 


Cloud-Management 

Webservices 

Cloud-Nutzung 

Cloud-Storage 

Anwendungsentwicklung 



Motivation 

Anwenderwunsch nach Sicherheitsempfehlungen für 

spezielle Themengebiete, z. B. zu neuen 

Vorgehensweisen, Technologien oder Anwendungen 


Nach Anwenderbedarf 

(Umfrage) 

Kurz und knackig 

Zeitnah 

Thematische Abgrenzung zwischen 

Gefährdungen & Sicherheitsmaßnahmen 



Was gibt es? 


Zertifizierung nach ISO 27001 

auf der Basis von IT-Grundschutz 

Prüfschema für ISO 27001-Audits: 

www.bsi.bund.de/iso27001-zertifikate 


ISO 27001-Zertifizierung 


Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und 

extern) 

Für Behörden gegenüber Bürgern oder Unternehmen 

Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern 

(z. B. Basel II), Aufsichtsorganen 

Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen 

Sicherheitsanforderungen 

Gesetzliche oder vertragliche Anforderungen 

Identifikation von Mitarbeitern und 

Unternehmensleitung mit Sicherheitszielen 

Optimierung der internen Prozesse 

geordneter effektiver IT-Betrieb 

mittelfristige Kosteneinsparungen 

Vermeidung von Imageschäden 


Zertifizierung nach ISO 27001 


Ausgestellte Zertifikate 

2010 

19 Zertifikate erteilt 

2011 

16 Zertifikate 

2012 

23 Zertifikate erteilt 

2013 

1 Zertifikate erteilt, 

72 laufende Verfahren 

Akkreditierung bei DAkkS in Bearbeitung 

Stand: 20.02.2013 


Informationen zum 

GSTOOL 



GSTOOL 

Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise 

IT-Strukturanalyse 

Schutzbedarfsfeststellung 

Modellierung 

Sicherheitsanalyse 

Risikoanalyse 

Basis-Sicherheitscheck 

Anfallende Informationen werden über die grafische 

Benutzeroberfläche in eine Datenbank übernommen. 

Übersichtliche grafische Darstellung für Überblick über den aktuellen 

Sicherheitsstatus der betrachteten Objekte. 

Die Informationen können übersichtlich strukturiert mittels diverser 

Standardberichte ausgegeben werden. 


GSTOOL 4.x 

GSTOOL 4.x 

Sachstand 

Funktionserweiterungen (möglich) 

Metadatenupdates (sicher) 

Support (sicher) 

Fehlerbehebungen werden weiterhin via Servicepacks 

veröffentlicht 

Servicepack 3 derzeit in Arbeit (Verzögerungen aufgrund 

Arbeiten für GSTOOL 5.0) 

Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 

mindestens 1 Jahr Parallelbetrieb und Support beider GSTOOL- 

Versionen 

später kostenpflichtiger Support durch Entwicklerfirma 

Steria Mummert Consulting möglich 


Herausforderungen / Risiken 

Kooperationen 

GSTOOL 5.0 

Projektverlauf: (erlebte) Risiken 

Verwendung von Mitteln aus Konjunkturpaket 

unterschätzte Komplexität der Anwendung 

Fehler im Projektmanagement 

unzureichende Qualitätssicherung 

Ausscheiden einer Partnerfirma 

wechselnde Geschäftsführung 

Häufig wechselnde Projektleiter 

wechselnde Programmierteams 

Gesamtkoordination 


GSTOOL 5.0 

Status 

Forderung einer fehlerfreien Version bis 13.01.2013 

Zulässig laut Leistungsbeschreibung: 

0 schwere Fehler 

5 wesentliche Fehler 

10 geringe Fehler 

Keine Fehler aus vorigen Prüfung 

Nach vier Wochen Prüfung: mindestens 

31 schwere, 

89 wesentliche und 

60 geringe Fehler identifiziert. 


GSTOOL 5.0 

Konsequenz 

Das BSI konnte die im Januar 2013 durch den Auftragnehmer 

PERSICON labs GmbH gelieferte Software GSTOOL 5.0 

nicht abnehmen. Ausschlaggebend hierfür war, dass die 

gemäß Projektvertrag maximal zulässige Fehleranzahl 

überschritten wurde und das Produkt damit nicht den 

Erwartungen des BSI entsprach. 

Dem Auftragnehmer wurde im Vorfeld der Lieferung 

mitgeteilt, dass eine neuerliche Frist zur Nacherfüllung oder 

eine weitere Möglichkeit zur Mängelbeseitigung nicht in 

Aussicht gestellt werden kann. 

Das BSI steht in Kontakt zum Auftragnehmer und prüft 

derzeit das weitere Vorgehen. 



Geplante Veranstaltungen 

27.02.2013 in Berlin: IT-Grundschutz-Tag mit HiSolutions zu 

"Notfallmanagement im IT-Grundschutz" 

14. - 16. Mai 2013 in Bonn: 13. Deutscher IT-Sicherheitskongress 

"Informationssicherheit stärken - Vertrauen in die Zukunft schaffen" 

13. Juni 2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster 

zu "Mit IT-Grundschutz die Kronjuwelen vor Kriminalität und Spionage 

schützen" 

Herbst 2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu 

"Cloud-Zertifizierung" 

09. Oktober 2013 in Nürnberg: IT-Grundschutz-Tag auf it-sa 

… und viele weitere 


Fragen und Diskussion 


Vielen Dank 

für Ihre Aufmerksamkeit 

Noch Fragen? 

IT-Grundschutz-Hotline 

Telefon: 0228-9582-5369 

E-Mail: grundschutz@bsi.bund.de 

GSTOOL-Hotline 

Telefon: 0228-9582-5299 

E-Mail: gstool@bsi.bund.de 

XING-Forum IT-Grundschutz 

https://www.bsi.bund.de/grundschutz 


Kontakt 

Bundesamt für Sicherheit in der 

Informationstechnik (BSI) 

Holger Schildt 

Godesberger Allee 195-198 

53175 Bonn 

Tel: +49 (0)22899-9582-5369 

Fax: +49 (0)22899-9582-5405 

grundschutz@bsi.bund.de 

www.bsi.bund.de/grundschutz 

IT-Grundschutz Gruppe im XING-Forum: 

https://www.xing.com/net/itgrundschutz

Download

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?