Upload
lieselotte-otto
View
221
Download
0
Embed Size (px)
Citation preview
1
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
EP2000 Workshop am 15.09./16.09.2015Prozessleitsystem SIGNACONTROL EP2000
IT Workshop
• das IT-Sicherheitsgesetz / §11 EnWG
• Pflichten für Betreiber von Versorgungssystemen
• IT Sicherheitskatalog der Bundesnetzagentur
• Zertifizierung nach IEC 27001:2013
• Ausblick und Empfehlungen
Workshop-Ergebnisse (Sie sollten verstanden haben!): – Welche Regelungen gelten?
– Was muss/kann ich tun?
– Was kostet das Ganze?
2
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Gesprächspartner:Ulrich Düster ([email protected])Geschäftsführer QMBC UG (www.qmbc.de)/ ISRZ UG (www.isrz.de)
Auditor• ISO 27001• ISO 9001• RZ-Infrastrukturen (TÜV Hessen)• Energieeffizienz (TÜV Hessen) • Blauer Engel für Rechenzentren (Gutachter für den TÜV Hessen)• Cloud-Systeme
3
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015
In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer ist betroffen?):
§ 1 Bundesamt für Sicherheit in der InformationstechnikDer Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde.Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern.“Dem § 2 wird folgender Absatz 10 angefügt:„(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit,Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihreBeeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz1 näher bestimmt.“
4
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer erstellt die zu erfüllenden Vorgaben?):§ 10 wird wie folgt geändert:a) Dem Absatz 1 wird folgender Absatz 1 vorangestellt:„(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.“b) Der bisherige Absatz 1 wird Absatz 2 und die Wörter „Wirtschaft und Technologie durch Rechtsverordnung“werden durch die Wörter „Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,“ ersetzt.c) Der bisherige Absatz 2 wird Absatz 3 und in Satz 3 werden nach dem Wort „Rechtsverordnung“ ein Komma und die Wörter „die nicht der Zustimmung des Bundesrates bedarf,“ eingefügt.„Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Innern vorbereitet wird. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.“ https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/IT-SiGesetz/faq_node.html
5
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015
Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Welches sind die Anforderungen? Wie sind diese nachzuweisen?):
„§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen KritischenInfrastruktur steht. (…)(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oderZertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.
6
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015
Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Was ist zusätzlich zu tun (Meldewesen, Meldepflicht)?):
§ 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen(1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der
Informationstechnik.(…)(3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle.(4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branchedes Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.
7
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Entwurf eines Gesetzes zur Erhöhung der Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015
Anwendungsbereich IT-Sicherheitsgesetz (Wer ist ausgeschlossen?):§ 8c Anwendungsbereich(1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6.
Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden.
(2) § 8a ist nicht anzuwenden auf1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung,3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.
8
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Definition KMU EMPFEHLUNG 2003/361/EG DER KOMMISSION VOM 6. MAI 2003 BETREFFEND DIE DEFINITION DER KLEINSTUNTERNEHMEN SOWIE DER KLEINEN UND MITTLEREN UNTERNEHMEN
Kriterien: Mitarbeiterzahl und (Jahresumsatz oder jahresbilanzsumme)
Größenklasse Mitarbeiterzahl (Jahresarbeitseinheit JAE) Jahresumsatz oder Jahresbilanzsumme
Mittleres Unternehmen < 250 50 Mio. EUR 43 Mio. EURKleines Unternehmen < 50 10 Mio. EUR 10 Mio. EUR
Kleinstunternehmen < 10 2 Mio. EUR 2 Mio. EUR
Achtung: Was ist ein Unternehmen?
„jede Einheit, unabhängig von ihrer Rechtsform, die eine wirtschaftliche Tätigkeit ausübt“.Was ist mit Unternehmensverbünden?
In der Regel sind die meisten KMU eigenständig, d. h., sie sind entweder völlig unabhängig, oder es bestehen Partnerschaften mit anderen Unternehmen mit einer oder mehreren Minderheitsbeteiligungen (von jeweils unter 25 %). Wenn der gehaltene Anteil höher ist, aber 50 % nicht überschreitet, handelt es sich um eine Beziehung zwischen Partnerunternehmen. Liegt er über diesem Schwellenwert, sind die Unternehmen miteinander verbunden und es gelten andere Regeln.
9
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
InformationssicherheitDatenschutz/Compliance
QMBC UGManagem
ent systeme
für :Informationssich
erheit (IS)Risiko (RK)Notfall (NF)Kontinuität
(BCM)
IT-Sicherheit
Physische Sicherheit
PlanungBau
BetriebAudits
ISMS Leistungen - unser Verständnis: Das ganze ist das Wahre!
ISRZ Informations-sicherheit UGZertifizierungen TÜV HessenRAL
10
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Energiewirtschaftsgesetz - EnWG
Gesetz über die Elektrizitäts- und Gasversorgung
In § 11 EnWG - Betrieb von Energieversorgungsnetzen - wurde mit der Novelle 2011 nach Absatz 1 folgender Abschnitt eingefügt:
(la) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen.
Die Bundesnetzagentur erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen.
Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist.
Die Einhaltung kann von der Regulierungsbehörde überprüft werden.
11
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
SicherheitskatalogHintergrund und Ziele
Sicherheitskatalog gem. §11 Abs. 1a EnWG
Kernforderung des Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung.
Benennung eines IT-Sicherheitsbeauftragter, durch den Netzbetreiber, als Ansprechpartner für die Bundesnetzagentur bis zum 30.11.2015.
Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen.
Zertifizierung bis 31.01.2018
12
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
SicherheitskatalogSicherheitsanforderungen
Informationssicherheits-ManagementsystemNetzbetreiber sollen ein ISMS, das den Anforderungen der DIN ISO/IEC 27001 genügt, implementieren, das mindestens die Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst.Bei der Implementierung sind unbedingt die Informationen und Verweise auf die Normen DIN ISO/IEC 27002 und DIN SPEC 27009 zu berücksichtigen.
Ordnungsgemäßer Betrieb der betroffenen IKT-SystemeIm Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden.
13
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
SicherheitskatalogSicherheitsanforderungen
NetzstrukturplanDas EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden.Die Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen.
14
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
• ISMS Normen und gesetzliche Grundlagen• § 11 EnWG (Sicherheitskatalog veröffentlicht)• IT-Sicherheitsgesetz (verabschiedet)• ISO2700x Normenfamilie für Informationssicherheits-Managementsystem• 27000 Begriffe• 27001 ISMS mit normativem Anhang (Prüfkatalog)• 27002 Maßnahmeempfehlungen zur Umsetzung • 27003 Leitfaden zur Einführung• 27004 Leitfaden zur Messung• 27005 Leitfaden zum Risikomanagement• 27006 Akkreditierung von Zertifizierungsstellen• 27007 Auditierung• 27008 Leitfaden für Auditoren• 27019 Leitfaden für Energieversorger
15
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
ISMS Grundlegendes
Der arme Poet, Carl Spitzweg
Asset mitBedrohung + Schwachstelle= Gefährdung (des Wertes der Organisation)
Eintrittswahrscheinlichkeit x Schadenshöhe= Risiko (in €)
bezogen auf:• Vertraulichkeit• Verfügbarkeit• Integrität
16
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Management-
bewertung
Risiko-manage
ment
Audit-Programm
…
Schulungs-programm
….
Jahreszyklus
ISO 27001:2015
17
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Menschen
InfrastrukturProzesse
Organisation
Werte der OrganisationPerspektiven• Verträge• Kunden• Verfahren• Patente• Marken• …
18
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Die zwei häufigsten Gründe für das Scheitern von Zertifizierungen:
• Die Anforderungen sind zu hoch (immer selbst verschuldet)• Der Verbesserungszyklus ist nicht vollumfänglich implementiert
Eine Implementierungsstrategie muss dies berücksichtigen
• Die Anforderungen sind minimal zu halten• Der Zyklus muss immer mit implementiert werden
19
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Zu erfüllen: Kapitel 4,…, K10 der ISO27001 Anhang ISO27001 ISO 27002 ISO 27019 ( ISO 31000 ISO 9001 ISO 14001 ISO 50001,…)
K4 K5 K6 K7 K8 K9 K10 A5.1
A 5.1.1
A 5.1.2
… A 18.2.1
A 18.2.2
A 18.2.3
Alle Werte {W1, … Wn} Nicht erfülltRisikowert maximal
Nicht erfülltRisikowert maximal
Risikowerte {Wi1,…Wij} Maßnahmen(offen)
Maßnahme, Verlagern, Versichern,Übernehmen(offen)
Restrisikowerte {W1, … Wn} / {Wi1,…Wij}
Übernehmen(offen)
Risikostatus
Offene Punkte: Bestimmung Risikowerte, Risikoschwellen, RisikomethodeErste Leistungskennzahl bestimmt!
20
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
ManagementbewertungDie oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Managementbewertung muss folgende Aspekte behandeln: Status
a) den Status von Maßnahmen vorheriger Managementbewertungen; {}; Maßnahmen wurden nicht ergriffen
b) Veränderungen bei externen und internen Themen, die das Informationssicherheitsmanagementsystembetreffen;
{}; Veränderungen wurden nicht erfasst
c) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei: {}, Rückmeldungen liegen nicht vor
1) Nichtkonformitäten und Korrekturmaßnahmen; {}; Vollständige Nichtkonformität
2) Ergebnissen von Überwachungen und Messungen; {}; Überwachungen und Messungen wurden nicht durchgeführt
3) Auditergebnissen; und {}; Audits wurden nicht durchgeführt
4) Erreichung von Informationssicherheitszielen; {}; Ziele liegen nicht vor
d) Rückmeldung von interessierten Parteien; {}, Rückmeldungen liegen nicht vor
e) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung; und Risiko ist maximal
f) Möglichkeiten zur fortlaufenden Verbesserung. {}; fortlaufende Verbesserunen wurden nicht ergriffen
Die Ergebnisse der Managementbewertung müssen Entscheidungen zu Möglichkeiten der fortlaufenden Verbesserung sowie zu jeglichem Änderungsbedarf am Informationssicherheitsmanagementsystem enthalten. Die Organisation muss dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren.
21
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Maßnahmen aus der Managementbewertung
Beschlüsse Status
Einführung eines ISMS, Zertifizierung in 2 Jahren Plan
Beschluss über Anwendungsbereich Plan
Beschluss über Maßnahmekatalog Plan
Beschluss über Werte der Organisation Plan
Bereitstellung Budget (ext. Beratertage: 12 ISMS, 3 Tage ext. Audit, 12 Netzleitstellensicherheit; 12 IT-Sicherheit; 100 PT Eigenleistung)
Plan
Zyklische Managementbewertung zur Steuerung der Implementierung (3 Mon.)
22
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Maßnahmen aus der ManagementbewertungPhase Maßnahme Zeitraum Verantwortlich Budget
(Einf., Wiederh.)
Ressourcen
Planen Kontext der O . Ext. Und int. Themen; Ext. Und int. Parteien/Beteiligte;Kommunikationsmatrix
1. Quartal ISBA 3 PT (0 PT)
Implementieren Dokument freigeben und veröffentlichen 2. Quartal ISBA 0,5 PT (0,5 PT) Mgmt.
Betreiben Beteiligte informieren und ggf. Schulen 3.-5. Quartal ISBA 5 PT ( 2 PT) MA im AWB Prüfen jährliche Überprüfung und Ereignisbezogen 6. Quartal ISBA 1 PT Verbessern Dokumentationsrichtlinie anwenden.
Selbstbewertung durchführen; Beteiligte prüfen 6. Quartal ISBA 1 PT MA im AWB
Kontinuität Selbstbewertung durchführen; Verfügbarkeit
sicherstellen 6. Quartal ISBA 2 PT MA im AWB
Notfall Notfallverzeichnis ext. Und int. Parteien 1. Quartal ISBA 0,25 PT
Informationssicherheits-ereignisse
Umfeldveränderungen nicht bemerkt, rechtliche Anforderungen nicht umgesetzt, Strategieveränderungen nicht umgesetzt,…
1. Quartal ISBA 0,25 PT
Audits Prüfung gemäß ISO 31000, Ziele, Strategien,
Geltungsbereich, Einflußfaktoren,… 6. Quartal ISBA 1 PT MA im AWB,
AuditorSumme 14 PT ( 8,5 PT)
23
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
Zu erfüllen: Kapitel 4,…, K10 der ISO27001
Anhang ISO27001 ISO 27002 ISO 27019 ( ISO 30000 ISO 9001 ISO 14001,…)
Alle Werte Risikowert = 0 Vorgaben erstellt
Risikowerte (1,…j) Maßnahmen umgesetzt Risikowert <= Risikoschwellwert oder Maßnahme ergriffen oder Risiko verlagert oder Risiko versichert oder Risiko übernommen
Restrisikowerte Übernommen
Zertifikat
29
Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
Ein Unternehmen der IDS-Gruppe
KundenQMBC UG (2014/2015)
• 50hertz Transmission GmbH• adidas Group• Bundesnetzagentur• CompuGroup Medical• Edeka compugroup• Festo AG• GLS Bank• Helios Klinikum Leipzig• Hörmann KG• Inexio• Intersport AG• IT2Media• msg services • Skyway Data Center • Stadtwerke Speyer• Stadtwerke Ludwigshafen• Technische Werke Ludwigshafen• Telemark TK GmbH (SW Lüdenscheid)• Vallourec (& Mannesmann)
systema• CDU/CSU Bundestagsfraktion• Charité• Polizei Berlin• Deutscher Bundestag• FH Wildau• Daimler Benz• Rieck Logistik • Viadrina• Immobilienscout• Salzlandkreis• Kassenärztliche Vereinigung Brandenburg• Heinrich-Böll-Stiftung• INP Greifswald• Dykerhoff• Energie und Wasser Potsdam• Krankenhaus Elisabeth-Herzberge• Stadtwerke Dessau• Alfred-Rexroth GmbH• BLS Energieplan
Wir danken für ihre Aufmerksamkeit