Das IT-Grundschutzhandbuch des BSI - Seminar "Sicherheit in der IT" Thorsten Hinrichs und Brian Rosenberger
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Das IT-Grundschutzhandbuch des BSI Seminar „Sicherheit in der IT“ Thorsten Hinrichs und Brian Rosenberger
Inhalt Vorstellung BSI Einführung Problematik Das IT-Grundschutzhandbuch Bausteine Gefahren Maßnahmen Anwendung des IT-GSHB (inkl. Beispiele)
Einführung Das BSI - Historie 80er Jahre - erste Bedürfnisse nach Sicherheit in der IT In dem von der Bundesregierung im Juni 1989 verabschiedeten Zukunftskonzept IT hieß es dann: „… Die Bundesregierung wird dafür sorgen, daß alle Betroffenen und Interessierten über Risiken, Schutzmaßnahmen und das Zusammenwirken verschiedener Stellen (Hersteller, Sicherheitsbehörden, Anwender) unterrichtet werden. …" 1990/ 91 - Einrichtung des BSI 2001 - Weichenstellung zum IT- Sicherheitsdienstleister des Bundes
Einführung Das BSI – Leitbild BSI: „Wir sind für IT-Sicherheit in Deutschland verantwortlich.“ Aufgaben: Information Beratung Entwicklung Zertifizierung
Gefährdungslage/ Motivation
Abhängigkeit des Staatswesens von der IT
„… der Arbeitsplatz und unser Lebensstandard und – art ist
schon heute im Wesentlichen von einer funktionierenden IT
abhängig … „
fortschreitende Abhängigkeit
kürzere Innovationszyklen
Vernetzung
komplexere IT-Systeme / höhere Integration
höherer (potentiell) sozialer und
wirtschaftlicher SchadenKlassifizierung von
Ereignissen
A: Verfügbarkeit C: Integrität
B: Vertraulichkeit D: Authentizität
B
Vo
n
inter A
rsa
Zu
D
tz
fal
n C
exter
l Ereignis
• Die meisten IT-Störungen fallen in den Bereich der zufälligen Ereignisse
• Das größte Schadenspotential liegt im Bereich interner,
vorsätzlicher HandlungenKonzeption des IT- Grundschutz Sicherheitsmaßnahmen werden ausgehend von Gefahren definiert Umsetzung von pauschalen Maßnahmen Kleiner Aufwand (Grundschutz vs. Risikoanalyse) Man erhält eine „Standard-Sicherheit“ Sicherheit wird messbar (Zertifizierung) Beispiel: http://www.heise.de/ix/artikel/2004/12/099/ „Die unter dem Stichwort „Basel II“ bekannten Regeln zur Minimierung des Risikos bei Kreditvergabe werden bis 2007 EU-weit für alle Finanzinstitute verbindlich. Einige Vorschriften betreffen auch die Firmen-IT - Zeit zum Handeln.“
Sichten auf IT-Grundschutz
Kosten/ Nutzen
Zertifizierung Management
Umsetzung
Sicherheit IT-GS
Sensibilisierung
Techniker Anwender
VertrauenDer Aufbau Das IT-Grundschutzhandbuch Bausteine Gefahren Maßnahmen
Aufbau Die Bausteine Übergeordnete Komponenten Infrastruktur Nicht vernetzte IT-Systeme / Clients Vernetzte Systeme Datenübertragungseinrichtungen Telekommunikation Sonstige IT-Komponenten
Aufbau Übergeordnete Komponenten IT-Sicherheits- Computer- management Virenschutzkonzept Organisation Kryptokonzept Personal Behandlung von Notfallvorsorge-Konzept Sicherheitsvorfällen Datensicherungs- Hard- und Software- konzept Management Datenschutz Outsourcing
Aufbau Infrastruktur Gebäude Raum für technische Verkabelung Infrastruktur Büroraum Schutzschränke Serverraum Häuslicher Arbeitsplatz Datenträgerarchiv Rechenzentrum
Aufbau Nicht vernetzte Systeme und Clients DOS-PC (ein Benutzer) PC mit Windows 95 Unix-System Windows 2000 Client Tragbarer PC Internet-PC PCs mit wechselnden Allgemeines nicht Benutzern vernetztes IT-System PC unter Windows NT
Aufbau Vernetzte Systeme Servergestütztes Netz Heterogene Netze Unix-Server Netz- und Peer-to-Peer-Dienste Systemmanagement Windows NT Netz Windows 2000 Server Novell Netware 3.x Novell Netware 4.x
Aufbau
Datenübertragungseinrichtungen
Datenträgeraustausch Remote Access
Modem Lotus Notes
Firewall Internet Information
E-Mail Server
WWW-Server Apache Webserver
Exchange 2000 / Outlook
2000Aufbau Telekommunikation TK-Anlage Faxgerät Anrufbeantworter LAN-Anbindung eines IT-Systems über ISDN Faxserver Mobiltelefon
Aufbau Sonstige IT-Komponenten Standardsoftware Datenbanken Telearbeit Novell eDirectory Archivierung
Aufbau
Der Gefahrenkatalog
Höhere Gewalt (14)
Organisatorische Mängel (97)
Menschliche Fehlhandlungen (63)
Technisches Versagen (48)
Vorsätzliche Handlungen (111)
Gesamt: 333 GefährdungenAufbau
Beispiel: Höhere Gewalt
Personalausfall Staub, Verschmutzung
Ausfall des IT-Systems Datenverlust durch starkes Licht
Blitz Datenverlust durch starke
Magnetfelder
Feuer
Wasser Ausfall eines Weitverkehrsnetzes
Sturm Technische Katastrophen im
Umfeld
Kabelbrand
Beeinträchtigung durch
Großveranstaltungen
Unzulässige Temperatur
und LuftfeuchteAufbau
Der Maßnahmenkatalog
Infrastruktur (60)
Organisation (275)
Personal (37)
Hardware und Software (200)
Kommunikation (110)
Notfallvorsorge (90)
Gesamt: 772 MaßnahmenBeispiel: Maßnahmen Hard-
und Software
Sperren nicht benötigter Sperren und Löschen nicht
Leistungsmerkmale benötigter Accounts und
Terminals
Sorgfältige Vergabe von IDs Administrative und technische
Absicherung des Zugangs zum
Monitor- und Single-User-Modus
Obligatorischer Restriktive Attributvergabe bei
Passwortschutz unter Unix Unix-Systemdateien und
Verzeichnissen
Gesichertes Login Restriktive Attributvergabe bei
Unix-Benutzerdateien und –
Verzeichnissen
Zugangsbeschränkungen für
Accounts und / oder Terminals Verhinderung des unautorisierten
Erlangens von
AdministratorrechtenDas IT-Grundschutzhandbuch
Anwendung des IT-
Grundschutzhandbuches
Übersicht
IT-Strukturanalyse Umsetzung
Realisieren
Erfassen
Schutzbedarfs- Realisierungsplanung
feststellung
IT-Grundschutzanalyse
ModellierenAnwendung
Die Strukturanalyse
Netzplanerhebung
Komplexitätsreduktion durch Gruppenbildung
ErfassenAnwendung
Die Strukturanalyse
Erhebung der IT-Systeme
Erhebung der IT-Anwendung
ErfassenAnwendung
Die Schutzbedarfsanalyse
Schutzbedarf für IT-Anwendungen ermitteln
Daraus Schutzbedarf für IT-Systeme ableiten
Daraus Schutzbedarf für IT-System-Umgebung
ableiten
Erfassen
Achtung: Schutzbedarfsanalyse Risikoanalyse
aber Risikoanalyse ggf. notwendig !Anwendung
Die Schutzbedarfsfestellung
Schutzbedarf von IT-
Anwendungen A = {a1 , a2 ,..., an },
Integrität a i Schäden
Vertraulichkeit
Verfügbarkeit
s ( A) = s(max{a1 ,..., an })
Erfassen
Authentizität
n
Maximum-Prinzip s ' ( A) = s ' ai
1
Kummulationseffekt
: geeignete Kummulation
s({a}) hängt nur vom
potentiellen Schaden a abAnwendung des IT-
Grundschutzhandbuches
Übersicht
IT-Strukturanalyse Umsetzung
Realisieren
Erfassen
Schutzbedarfs- Realisierungsplanung
feststellung
IT-Grundschutzanalyse
ModellierenAnwendung
IT-Grundschutz Modellierung
Tabellarische Zuordnung von Bausteinen auf
Zielobjekte („best-fit“)
Mehrfachzuordnung möglich
Nr. Baustein Zielobjekt Ansprech- Bemerkung
partner
7.4 WWW-Server S6 Stellt WWW-Dienst für das Intranet bereit
9.2 Datenbanken S6 Server stellt Datenbank bereit
4.3.1 Büroraum StdB23 Gruppe aller Büros im Gebäude G3
8.1 TK-Anlage TCOM55634
3.6 Computer- Policy34 Verbot von Datenträger-Import
Viruskonzept
ModellierenAnwendung
IT-Grundschutz Schichtenmodell
Reduzierung der
Komplexität von IT-
Sicherheit
Redundanz wird
vermieden
Schichten spiegeln
auch Zuständigkeiten
wieder
Übersichtlichkeit,
einfache Handhabung
ModellierenAnwendung
IT-Grundschutzmodellierung
Zuordnung der Bausteine erfolgt anhand des
Schichtenmodells
Die Modellierung wird durch eine
Vollständigkeitsprüfung abgeschlossen
ModellierenAnwendung des IT-
Grundschutzhandbuches
Übersicht
IT-Strukturanalyse Umsetzung
Realisieren
Erfassen
Schutzbedarfs- Realisierungsplanung
feststellung
IT-Grundschutzanalyse
ModellierenAnwendung
Der Soll/ Ist Abgleich
Soll/ Ist Abgleich
Maßnahmen des Modells werden mit bereits
erfolgten Maßnahmen abgeglichen
Abgleich erfolgt durch Interviews mit Verantwortlichen
Das IT-GSHB unterstützt den Vorgang durch vorgefertigte
Formulare und Durchführungsempfehlungen
RealisierenAnwendung
Der Realisierungsplan
Die Ergebnisse aus dem Soll/ Ist Abgleich
sind zu dokumentieren und anzureichern mit:
Kostenschätzungen
Aufwandschätzungen
Realisieren
PrioisierungAnwendung
Der Realisierungsplan
RealisierenAnwendung Umsetzungsplan Konsolidierung der Maßnahmen Kosten- und Aufwandsschätzung Festlegung der Umsetzungsreihenfolge der Maßnahmen Festlegung der Verantwortlichkeit Realisierungsbegleitende Maßnahmen Umsetzung Zertifizierung
Das IT-Grundschutzhandbuch
so sieht es aus …Quellen Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de) Heise Verlag Bundesbank – Die Zeitschrift für Informations- Sicherheit
Sie können auch lesen
