IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Größe: px

Ab Seite anzeigen:

Download "IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach"

Benjamin Weber
vor 8 Jahren
Abrufe

1 IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach

2 IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur Organisation Personal Hard- und Software Kommunikation Notfallvorsorge und empfiehlt Maßnahmen die für den normalen Schutzbedarf zu treffen sind. ( IT-Grundschutz modellieren 3

3 Grundgedanke IT-Grundschutz Wichtig: IT-Sicherheit ist ein Prozess! IT-Grundschutz modellieren 4

4 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 5

5 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 6

6 Gefährdungsanalyse und Leitlinien Gefährdungen (Bedrohungen) werden in Bedrohungsbilder eingeteilt: Höhere Gewalt Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Organisatorische Mängel Hieraus ergeben sich Gegenmaßnahmen! IT-Grundschutz modellieren 7

7 Sicherheitsmaßnahmen Die Gegenmaßnahmen für Bedrohungen lassen sich wie folgt unterteilen: Infrastruktur: Bauliche Maßnahmen, Zutrittsschutz, Überwachung Personal: Schulung und Weisungen Organisation: Strategien, Abläufe und Konzepte Hardware und Software: Zugriffsverfahren, Rechtvergabe, Betrieb Kommunikation: Protokolle, Kryptographie, Netzwerkdienste Notfallvorsorge: Datensicherung, Notfallkonzepte IT-Grundschutz modellieren 8

8 IT-Sicherheitsniveau Für das Unternehmen wird das notwendige IT-Sicherheitsniveau bestimmt. Dies hängt unter anderem von folgenden Faktoren ab: Aufwand, den ein Unternehmen für die Sicherheit betreiben kann. Grad der Vertraulichkeit der Daten und Informationen, über welche das Unternehmen verfügt. Gesetzlich festgelegte spezielle Sicherheitsmaßnahmen für kritische Datensammlungen. Leitlinie: Bedeutung der IT-Sicherheit für das Unternehmen Sicherheitsziele und stategie Verpflichtung des Managements (Verantwortlichkeiten) IT-Grundschutz modellieren 9

9 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 1 0

10 Strukturanalyse Erhebung der Infrastrukturkomponenten Erfassen der IT und der IT-Anwendungen Netzwerkplanerhebung Gruppenbildung Erfassung der Anwendungen Erfassung der Komponenten pro Anwendung Auf welchem System laufen die Anwendungen node.html IT-Grundschutz modellieren 1 1

11 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 1 2

12 Feststellung des Schutzbedarfs Schutzbedarf der zuvor erfassten Systeme bezüglich ihrer Merkmale Vertraulichkeit Verfügbarkeit Integrität ermitteln Orientierung an den möglichen Schäden Unterteilung des Schutzbedarfs in drei Kategorien IT-Grundschutz modellieren 1 3

13 Merkmale bzw. Säulen der IT-Sicherheit Vertraulichkeit: Nur berechtigte Personen haben Zugriff auf vertrauliche Daten und Informationen. Verfügbarkeit: Kriterien sind Wartezeiten auf Systemfunktionen oder die Verarbeitungsgeschwindigkeit der Daten. Integrität: Informationen müssen vollständig, unverfälscht und korrekt sein, damit man diesen trauen kann. IT-Grundschutz modellieren 1 4

14 IT-Begriff Schaden Sobald ein Risiko versichert werden soll, muss der mögliche Schaden mit einem Geldbetrag angegeben werden. Da dies im IT-Bereich schwer ist, wird wie folgt kategorisiert: Direkte Schäden z.b. an Maschinen, Programmen, Datenträgern Indirekte Schäden z.b. Kosten für die Rekonstruktion von Daten, Ersatzbeschaffung, Personalaufwand Folgekosten z.b. Ausfall von Forderungen wegen Verlust der Forderungstitel, Produktionsausfall, Schadenersatzansprüche durch Dritte wegen Nichterfüllung oder Preisgabe von Informationen IT-Grundschutz modellieren 1 5

15 Schutzbedarfskategorien Interpretation im Hinblick auf die Schutzwirkung des GSHB Schutzbedarfskategorie niedrig bis mittel Standard-Sicherheitsmaßnahmen nach IT-Grundschutz sind im Allgemeinen ausreichend und angemessen. Schutzbedarfskategorie hoch Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bilden einen Basisschutz sind u.u. allein nicht ausreichend. Schutzbedarfskategorie sehr hoch Standard-Sicherheitsmaßnahmen nach IT-Grundschutz bilden einen Basisschutz, reichen aber alleine nicht aus. Die erforderlichen zusätzlichen Sicherheitsmaßnahmen müssen individuell auf der Grundlage einer ergänzenden Sicherheitsanalyse ermittelt werden. IT-Grundschutz modellieren 1 6

16 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 1 7

17 Modellierung des Grundschutzes Bausteine in Schichten 1. Schicht: Übergreifende Aspekte 2. Schicht: Infrastruktur 3. Schicht: IT-Systeme 4. Schicht: Netze 5. Schicht: IT-Anwendungen Falls kein passender Baustein im GSHB vor-handen ist, an ähnlichen Bausteinen orientieren! Grundschutzkataloge: ent/kataloge.html IT-Grundschutz modellieren 1 8

18 Schicht 1 Übergreifende Aspekte Einheitliche IT-Sicherheitsaspekte im Unternehmen Beispiele sind: Sicherheitsmanagement Organisationskonzept Datensicherungskonzept Virenschutzkonzept IT-Grundschutz modellieren 1 9

19 Schicht 2 Infrastruktur Örtliche, bauliche Gegebenheiten Beispiele sind: Gebäude Räume Kühlung (Klimaanlage) IT-Grundschutz modellieren 2 0

20 Schicht 3 IT-Systeme Geräte die zur Datenverarbeitung und speicherung genutzt werden können. Beispiele sind: Server PC / Laptop / Drucker / externe Laufwerke IT-Grundschutz modellieren 2 1

21 Schicht 4 Netze Vernetzung der IT- Systeme Beispiele sind: Heterogene Netze Netz- und Systemmanagement Firewall IT-Grundschutz modellieren 2 2

22 Schicht 5 Anwendungen Sicherheit der IT-Anwendungen Beispiele sind: WWW-Server Faxserver Datenbanken IT-Grundschutz modellieren 2 3

23 Basis-Sicherheitscheck Die Modellierung wird als Prüfplan benutzt, um anhand eines Soll-Ist-Vergleichs zu bestimmen, welche Standardsicherheitsmaßnahmen, ausreichend oder unzureichend umgesetzt sind. Methode Durchführung von Interviews Ziel Einteilung der Maßnahmenbeurteilung in die Kategorien entbehrlich, ja, teilweise und nein Dokumentation der Ergebnisse Standardisierte Dokumentation der Ergebnisse IT-Grundschutz modellieren 2 4

24 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 2 5

25 Ergänzende Sicherheitsanalyse Notwendig für Systeme mit hohem bzw. sehr hohem Schutzbedarf! Mögliche Methoden Risikoanalyse Penetrationstest Differenz-Sicherheitsanalyse Risikoanalyse Relevante Bedrohungen erkennen Eintrittswahrscheinlichkeit und Schutzbedarf ermitteln Geeignete Sicherheitsmaßnahmen auswählen, um die Eintrittswahrscheinlichkeit zu senken bzw. die Schadenshöhe zu reduzieren IT-Grundschutz modellieren 2 6

26 IT-Grundschutz / Sicherheitsprozess Vorgehensweise Gefährdungsanalyse und Leitlinien Strukturanalyse Feststellung des Schutzbedarfs Modellierung des Grundschutzes & Basis- Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung von IT-Sicherheitsmaßnahmen IT-Grundschutz modellieren 2 7

27 Realisierung von IT- Sicherheitsmaßnahmen Sichtung der Untersuchungsergebnisse Konsolidierung der Maßnahmen Kosten- und Aufwandsschätzung und Wirtschaftlichkeitsabwägungen Festlegung der Umsetzungsreihenfolge der Maßnahmen (unter Berücksichtung der Maßnahmenpriorität und logischer Abhängigkeiten) Festlegung der Verantwortlichkeit (Wer muss wann welche Maßnahmen realisieren bzw. überwachen) Realisierungsbegleitende Maßnahmen (Schulungen und Sensibilisierung des Personals bzgl. Maßnahmen) IT-Grundschutz modellieren 2 8

28 Umsetzung von IT- Sicherheitsmaßnahmen Realisierungsplan inkl. folgender Angeben erstellen Verantwortlichkeiten Priorität Zeitpunkt Ressourcen Gestaltung von technischen und organisatorischen Abläufen an den Arbeitsplätzen Anpassen der Aufgabenbeschreibungen Bereitstellung von Anleitungen und Informationen für Schulung und Sensibilisierung Bereitstellung von Hilfsmitteln IT-Grundschutz modellieren 2 9

29 Vielen Dank! Merke: Die Einführung eines IT-Grundschutz kann nur der Anfang eines IT-Sicherheitsprozesses! IT-Grundschutz modellieren 3 0

Ähnliche Dokumente

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie