BSI IT-Grundschutz 德国联邦信息安全局IT基线保护手册培训课件

BSIIT-GrundschutzSchulungimIT-GrundschutzhandbuchdesBundesamtesfürInformationssicherheit汇报人：XXXXXXIT-GrundschutzÜbersichtIT-Grundschutz-RahmenImplementierungsprozessdetailliertTypischeSicherheitsmaßnahmenKonformitätszertifizierungspfadFallanalysenundBestPracticescontents目录01IT-GrundschutzÜbersichtDefinitionundKernzieleStandardisiertesSicherheitsframeworkBSIIT-GrundschutzbieteteinemethodischeAnleitungzurIdentifizierungundUmsetzungvonIT-Sicherheitsmaßnahmen,insbesonderefürOrganisationenmitmittleremSchutzbedarf.EskombiniertbewährtePraktikenmitmaßgeschneidertenLösungen.030201RisikominimierungdurchStrukturierungKernzielistdiesystematischeErfassungvonAssets,BedrohungenundSchwachstellen,umdurchstandardisierteSicherheitsmaßnahmen(„Bausteine“)Risikenproaktivzureduzieren.KosteneffizienzDurchvordefinierteMaßnahmenkatalogeermöglichtesOrganisationen,Ressourcengezielteinzusetzen,ohneindividuelleRisikoanalysenfürjedesSzenariodurchführenzumüssen.AnwendbareSzenarienundRechtsgrundlagen02Energieversorger:UmsetzungvonMaßnahmenzumSchutzvorCyberangriffenaufStromnetzegemäßKRITIS-Verordnung.01BranchenspezifischeAnwendung:03Gesundheitswesen:AbsicherungpatientenbezogenerDatennach§75SGBVundEU-DSGVO.05BindendfürBundesbehördendurchTechnischeRichtlinien(TR)desBSI.04RechtlicheVerankerung:06FreiwilligeAnwendunginderPrivatwirtschaftalsBest-Practice-Referenz.IT-Grundschutz-KompendiumkannalsdetaillierterMaßnahmenkatalogfürISO27001-Zertifizierungengenutztwerden,wobeider"Grundschutz-Ansatz"geringereRisikotoleranzvoraussetzt.BeziehungenzuanderenNormenwieISO27001ISO27001-ZertifizierungC5-KatalogergänztIT-Grundschutzdurchcloud-spezifischeAnforderungenundermöglichtsodieErfüllungvonBSI-KriterieninhybridenInfrastrukturen.Cloud-ComplianceImGegensatzzuISO27001berücksichtigtIT-GrundschutzexplizitnationaleRechtsvorschriftenwiedasBDSG(Bundesdatenschutzgesetz).DeutscherFokusBeziehungenzuanderenNormenwieISO27001Detaillierungsgrad:BietetkonkreteUmsetzungshilfenfürtypischeIT-Szenarien(z.B.Schutzstufenkonzept),währendISO27001stärkerprinzipienbasiertbleibt.```02IT-Grundschutz-RahmenStandard-Modulaufteilung(Basis-/Netzwerkschicht/Systemschicht)Basismodule:umfassengrundlegendeSicherheitselementewieOrganisationsarchitektur,StrategieundPersonalmanagement,einschließlichKernelementewieSicherheitspolitik,AufgabenteilungundSicherheitsbewusstseinsbildungderMitarbeiter,umdieGrundlagefüreinenganzheitlichenSicherheitsrahmenzuschaffen.ModuleaufderNetzwerkschicht:DerSchwerpunktliegtaufdemSchutzderNetzwerkinfrastrukturundumfassttechnischeMaßnahmenwiedieKonfigurationvonFirewalls,dieBereitstellungvonEingriffserkennungssystemen,dieRichtlinienzurNetzwerksegmentierungunddieSicherheitskontrolledesdrahtlosenNetzwerks,umdieVertraulichkeitundIntegritätderDatenübertragungzugewährleisten.Systemebenenmodule:SicherheitsschutzfürServer,EndgeräteundAnwendungen,einschließlichspezifischerImplementierungenwieBetriebssystemhärtung,Patchmanagement,ZugriffskontrolleundProtokollaudit,umdieSicherheitderBetriebsumgebungdesSystemszugewährleisten.KlassifizierungderSicherheitsmaßnahmen(Organisation/Personen/Technologie)Organisationsmaßnahmen:AufbaueinersolidenSicherheits-Governance-Struktur,klareAufteilungvonSicherheitsrollenund-verantwortungen,ErstellungvonNotfallplänenundGeschäftskontinuitätsplanenundGewährleistungderCompliancedurchregelmäßigeSicherheitsprüfungenundÜberwachungsmechanismen.Personalmaßnahmen:EinführungstrengerHintergrundprüfungenundBerechtigungshierarchien,DurchführungkontinuierlicherSchulungsprogrammefürSicherheitsbewusstsein,EinrichtungvonMeldemechanismenundVertraulichkeitsvereinbarungen,umSicherheitsrisikendurchmenschlicheFaktorenzuverringern.TechnischeMaßnahmen:EinführungmehrstufigerVerteidigungssysteme,einschließlichVerschlüsselung,Authentifizierungssysteme,Malcode-SchutzundSicherheitskonfigurationsgrundlagen,inKombinationmitphysischenSicherheitskontrollenwiebiometrischenZugangskontrollsystemen.Hybridmaßnahmen:IntegrationsichererVerbindungsmechanismenzwischenOrganisationsprozessenundtechnischenWerkzeugen,wiez.B.diezentraleAnalysevonProtokollenunddieautomatisierteReaktionübereinSicherheitsinformations-undEreignismanagementsystem(SIEM)inZusammenhangmitabteilungsübergreifendenProzessen.MethodikderRisikoanalyseErstellenSieeinBedrohungsmodellfüreinespezifischeGeschäftsumgebungaufderGrundlagehistorischerEreignisdatenundBrancheninformationen,umpotenzielleAngriffswege,SchwachstellenundFähigkeitenderAngreiferzuanalysieren.ModellierungvonBedrohungsszenarienSystematischeIdentifizierungkritischerInformationsanlagen(Hardware/Software/Daten),KlassifizierungnachGeschäftswert,SensitivitätundgesetzlichenAnforderungen,FestlegungvonSchutzprioritätenundRessourcenzuweisungsstrategien.AssetIdentifizierungundBewertungEinführungumfassenderMaßnahmenzurVermeidung/Übertragung/Minderung/Akzeptanz,AuswahlderoptimalenKontrollmaßnahmendurchKosten-Nutzen-Analyse,EinrichtungvonMechanismenzurÜberwachungderRestrisikenundregelmäßigeÜberprüfungszyklen.Risikobehandlungsstrategie03ImplementierungsprozessdetailliertZielederInformationssicherheitfestlegenSchutzderVertraulichkeitSicherstellung,dassInformationennurfürberechtigtePersonenzugänglichsindundunbefugterZugriffverhindertwird.GewährleistungderIntegritätSicherstellung,dassDatenundSystemekorrektundunverändertbleiben,umManipulationenoderFehlerzuvermeiden.VerfügbarkeitsicherstellenGewährleistung,dassSystemeundDatenbeiBedarfzuverlässigundrechtzeitigverfügbarsind,umGeschäftsprozessenichtzubeeinträchtigen.ErfassungtechnischerAssetsDokumentationallerHardware-Komponenten(Server,Netzwerkgeräte),SoftwarelizenzenundCloud-Diensteinklusivederenphysischen/virtuellenStandorten.BewertungvonDatenkategorienKlassifizierungnachSensitivität(z.B.personenbezogeneDatenvs.öffentlicheInformationen)undGeschäftswertunterAnwendungvonLabelswie"strengvertraulich"oder"intern".ProzesslandkartenerstellenVisualisierungvonDatenflüssenzwischenAbteilungenundexternenPartnernzurIdentifikationvonSchnittstellenrisiken.IdentifizierungundKlassifizierungvonVermögenswertenIdentifikationvonBedrohungenSystematischeErfassungpotenziellerBedrohungenfürIT-Systeme,basierendaufStandard-BedrohungskatalogendesBSI.AnalysevonSchwachstellenRisikobewertungundPriorisierungBedrohungs-undSchwachstellbewertungBewertungtechnischerundorganisatorischerSchwachstellendurchAudits,PenetrationstestsoderCompliance-Checks.KombinationausEintrittswahrscheinlichkeitundAuswirkungzurAbleitungvonSchutzmaßnahmengemäßIT-Grundschutz-Methodik.04TypischeSicherheitsmaßnahmenAnforderungenanphysischeSicherheitskontrollenImplementierungvonmechanischenoderelektronischenZugangssystemen(z.B.Chipkarten,Biometrie),umunbefugtenZutrittzusensiblenBereichenzuverhindern.ZutrittskontrolleEinsatzvonVideoüberwachungundAlarmanlagenzurDetektionvonSicherheitsverletzungeninEchtzeit.ÜberwachungssystemePhysikalischesAnschließenkritischerGeräte(z.B.Server)durchDiebstahlschutzvorrichtungen.Hardware-SicherungSpezielleRäumemitstaubfreierUmgebungundelektrostatischerAbschirmungfürhochsensibleIT-Infrastruktur.ReinraumbedingungenInstallationvonBrandschutzsystemen,KlimaanlagenundUSV-Anlagen,umHardwarevorFeuer,ÜberhitzungoderStromausfällenzuschützen.SchutzgegenUmweltgefahrenRichtlinienzurZugriffskontrolleRollenbasiertesZugriffsmanagement(RBAC):ZuweisungvonBerechtigungenbasierendaufdefiniertenRollen,umdasPrinzipderminimalenRechtedurchzusetzen.Multi-Faktor-Authentifizierung(MFA):ErforderlichkeitmindestenszweierunabhängigerAuthentifizierungsmethoden(z.B.Passwort+Token)fürkritischeSysteme.ProtokollierungundMonitoring:DokumentationallerZugriffsversucheinLogdateienmitregelmäßigenAuditszurErkennunganomalerAktivitäten.Session-Management:AutomatischeAbmeldungnachInaktivitätundBegrenzungparallelerSessionsproBenutzer.Sicherstellung,dassDatenwährendÜbertragungundSpeicherungnurdurchautorisierteParteienentschlüsselbarsind.DatenverschlüsselungundDatenschutzEnd-to-End-Verschlüsselung(E2EE)TrennungpersonenbezogenerDatenvonIdentifikatorengemäßDSGVO-Anforderungen.Pseudonymisierung/AnonymisierungSichereAufbewahrungundRotationkryptografischerSchlüsselinHardware-Security-Modulen(HSMs).Schlüsselmanagement05KonformitätszertifizierungspfadSchrittedesBSI-ZertifizierungsprozessesDurchführungeinerIst-AnalysederIT-Infrastruktur,IdentifizierungvonSchutzbedarfenundErstellungeinesSicherheitskonzeptsgemäßBSI-Standards.ImplementierungderfestgelegtenSicherheitsmaßnahmen,DokumentationallerProzesseundSchulungderMitarbeiterzuIT-Sicherheitsrichtlinien.ExternePrüfungdurcheinenakkreditiertenAuditor,BewertungderKonformitätmitIT-GrundschutzundAusstellungdesZertifikatsbeierfolgreicherPrüfung.VorbereitungsphaseUmsetzungsphaseAuditphaseDokumentvorbereitungundPrüfungDiesorgfältigeErstellungundfachgerechtePrüfungderDokumentationbildetdieGrundlagefüreineerfolgreicheZertifizierungnachBSI-Standards.DabeisindfolgendeAspektekritisch:TechnischeAbweichungenNichtkonformeSicherheitsmechanismen:VerwendungveralteterVerschlüsselungsverfahren(z.B.TLS1.1)oderfehlendePatchmanagement-NachweisefürkritischeSystemkomponenten.Dokumentationslücken:UnvollständigeRisikoanalysenoderfehlendeAktualisierungszyklenfürBusiness-Continuity-Pläne,diedenBSI-Anforderungenwidersprechen.HäufignichtübereinstimmendeÄnderungenHäufignichtübereinstimmendeÄnderungenOrganisatorischeDiskrepanzenRollenkonflikte:UnklareVerantwortungsteilungzwischenInformationssicherheitsbeauftragtenundIT-Betriebspersonal,insbesonderebeiNotfallprozessen.Schulungsdefizite:NichtnachweisbareSensibilisierungsmaßnahmenfürMitarbeiterbezüglichSocial-Engineering-RisikenoderPasswortrichtlinien.06FallanalysenundBestPracticesPraxisbeispielezeigen,wieBehördendurchBSI-GrundschutzmaßnahmendieResilienzvonKRITIS-Einrichtungen(z.B.Energieversorger,Gesundheitswesen)stärken.DazugehörenrisikobasierteSicherheitsauditsunddieImplementierungvonNotfallplänengemäßIT-Sicherheitsgesetz.KritischeInfrastrukturen(KRITIS)ErfolgreicheProjektedemonstrierendieAbsicherungsensiblerBürgerdatendurchverschlüsselteKommunikationssystemeundrollenbasierteZugriffskontro