Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
S E I E N S I E SICHER.
Informationssicherheitsstandards 2016ISO 27001, BSI IT-Grundschutz, SECU-ZERT und VdS 3473
3
S E I E N S I E SICHER.
RUCONManagement GmbH
Spezialisierung
Sicherheitsfragen im Mittelstand
Leistungsspektrum
Beratung
Analyse
Projektierung
Realisierung
Controlling
Fakten
100% Tochter der RÜHLCONSULTING GmbH
Geschäftsführer:Jens EichlerUwe Rühl
Geschäftssitz: Nürnberg
4
S E I E N S I E SICHER.
RUCONManagement GmbH
Tätigkeitsfelder
Beratung
Trainings
Partner
Audits
Projektmanagement
Konzeption
Implementierung
Externe spezialisierte Ressource
z.B. als ISMS-Beauftragter
Analysen
Bewertungen
Lieferantenaudits
Interne Audits
Sensibilisierungs-maßnahmen
Trainings
Schulungen
5
S E I E N S I E SICHER.
RUCONManagement GmbH
Risikomanagement:
ISO 31000 und ISO/IEC 27005
IT-Service-Management:
ITIL und ISO/IEC 20000-1
Expertise
Informationssicherheitsmanagement:
ISO/IEC 27001 und BSI IT-Grundschutz
Business Continuity Management:
BS 25999-2 // ISO 22301
IRBC nach ISO/IEC 27031 und ITIL
7
S E I E N S I E SICHER.
IT-Sicherheit
Informationssicherheit
Informations-Sicherheits-Management-System
8
S E I E N S I E SICHER.
Oberstes Ziel der Informationssicherheit
Grundwerte:-Vertraulichkeit- Verfügbarkeit- Integrität
Das ISMS ist Teil eines ganzheitlichen Risikomanagements in Unternehmen
10
S E I E N S I E SICHER.
ISO/IEC 27001 – ISMS Anforderungen
Erstveröffentlichung im Jahr 2005 (vormals BS 7799-2:2002), Überarbeitung im Jahr 2013
Spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS)
Verwendet das PDCA Prozessmodell (Plan-Do-Check-Act)
Umfasst einen normativen Teil von nur 9 Seiten!
Erlaubt die Implementierung und den Betrieb von konsistenten und integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualitäts- (ISO 9001) und Umweltmanagement (ISO 14001)
Der Standard ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe!
11
S E I E N S I E SICHER.
1. Kontext der Organisation (Context)
• Anforderungen und Erwartungen der Stakeholder ermitteln
• „Business-Impact-Analyse“ durchführen
• Scope des Managementsystems definieren, insbesondere die Abgrenzungen
12
S E I E N S I E SICHER.
2. Strategisches Management (Leadership)
• ISMS-Leitlinie
• ISMS-Ziele
• Managementverantwortung(jetzt klargestellt: Top-Management!)
• Rollen festlegen
• Kommunikationskanäle festlegen
13
S E I E N S I E SICHER.
3. Planung (Planning)
• Risikomanagementprozess designen
Risiken und Möglichkeiten erkennen (IS Risk Assessment)
Risikobehandlung festlegen (IS Risk Treatment)
Maßnahmen dürfen aus jeder Quelle gezogen werden, müssen aber mit Anhang A der ISO/IEC 27001 abgeglichen werden
• Ziele und Pläne entwickeln
14
S E I E N S I E SICHER.
4. Management der Ressourcen (Support)
• Ressourcen für Implementierung, Betrieb und Verbesserung des ISMS bereit stellen (auch: Ressourcen für die Risikobehandlung!)
• Personelle Ressourcen qualifizieren (Schulung, Training, Sensibilisierung)
• Kommunikation interne und externe Kommunikation festlegen
• Dokumentation
15
S E I E N S I E SICHER.
5. Operative Durchführung (Operation)
Managementsystem betreiben
• Risikomanagement-Prozess umsetzen
• Maßnahmen (aus dem Anhang A) umsetzen
• Aufzeichnungen führen, Dokumentation(fort-)führen
• Veränderungen in der Organisation steuern und auf ungewollte Veränderungen reagieren
• Ausgelagerte Prozesse steuern und überwachen
16
S E I E N S I E SICHER.
6. Wirksamkeitsbewertung (Performance Evaluation)
• Interne Audits & Reviews
• Managementreviews
• Bewertung der Wirksamkeit des Managementsystem unter Einbeziehung von Prozessen des ISMS und von Controls
17
S E I E N S I E SICHER.
7. Verbesserung des ISMS (Improvement)
• Korrekturen durchführen und wo nötig Korrekturmaßnahmen durchführen
• Kontinuierliche Verbesserung (KVP-Prozess)
35
S E I E N S I E SICHER.
SECU-ZERTWas ist SECU-ZERT?
• SECU-ZERT zielt darauf, branchenspezifische Umgebungen zu analysieren und zu zertifizieren
• Konzentration auf die wesentlichen Aspekte der Informationsverarbeitung (risikoorientierte Betrachtung)
• Es werden die Kernbereiche von Unternehmen einer Überprüfung unterzogen
• Basis bilden dabei die Bausteine der Grundschutz-Kataloge des BSI in der jeweils aktuellen Version.
• Kosteneffizientes und damit gerade für KMU und Vereine attraktives Zertifikat
36
S E I E N S I E SICHER.
SECU-ZERTWer steht hinter SECU-ZERT?
• SECU-ZERT ist ein Zusammenschluss lizenzierter Auditoren für ISO 27001 – Audits auf der Basis von IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bzw. zertifizierte ISO 27001 Lead-Auditoren
• Nur entsprechend qualifizierte Auditoren können SECU-ZERT Auditierungen vornehmen
• Fortlaufende Qualifikation wird durch die Zertifizierungsstelle sichergestellt
• Finsoz e.V. ist der „Dachverband“ für Unternehmen der Sozialwirtschaft und Verwaltungsorgan für Zertifikate
37
S E I E N S I E SICHER.
SECU-ZERTAufbau von SECU-ZERT
• Bausteinorientierter Aufbau
• Unterteilung in drei Klassen
Klasse A: obligatorische, zwingend vorgeschriebene Basis-Bausteine
SECU-ZERT Basis-Organisation
B 1.3 Notfallmanagement
B 1.5 Datenschutz
Klasse B: mindestens 3 wahlfreie Bausteine, welche in Abhängigkeit zum Business und in
risikoorientierter Abstimmung mit der Zertifizierungsstelle ausgewählt werden
Klasse K: für kritische Betriebsumgebungen können zusätzlich die Anforderungen des
Umsetzungsplans KRITIS des BMI auf ihre Umsetzung überprüft werden (in Vorbereitung)
38
S E I E N S I E SICHER.
SECU-ZERTAufbau von SECU-ZERT
Klasse B: mindestens 3 wahlfreie Bausteine, welche in Abhängigkeit zum Business und in risikoorientierter Abstimmung mit der
Zertifizierungsstelle ausgewählt werden (die Auswahl muss begründet werden (sinnigerweise über eine BIA))!
B 2.9 Rechenzentrum
B 2.10 Mobiler Arbeitsplatz (sofern IT in der Organisation mobil verwendet wird)
B 1.11 Outsourcing
B 3.101 Allgemeiner Server + B 3.10x spezifischer Server
B 4.1 Heterogene Netze
B 3.303 Speichersystem und Speichernetze
B 5.13 SAP System (alternativ auch für andere ERP und KIS-Systeme)
B 5.15 Allgemeiner Verzeichnisdienst
B 3.201 Allgemeiner Client
B 5.2 Daten(träger)austausch + B 5.14 Mobile Datenträger
B 5.3 Groupware (E-Mail Kommunikation)
39
S E I E N S I E SICHER.
SECU-ZERTAblauf der Zertifizierung
Self Assessment
•Das Unternehmen erstellt auf Basis der angepassten SECU-ZERT Kataloge eine vollständige und umfängliche Selbstauskunft
Stage 1
•Der Auditor überprüft die Konformität zu den Kriterien anhand der übermittelten Unterlagen (Self Assessment, Dokumente)
Stage 2
•In Vor-Ort-Überprüfungen, Interviews und Begehungen wird die ordnungsgemäße Umsetzung der Dokumentation geprüft
Quality Review
•Ein unabhängiger Dritter (SECU-ZERT Auditor) überprüft die Einhaltung der Auditierungsvorgaben und gibt ein Votum
Zertifikats-erteilung
•Nach positivem Votum des Quality Reviewers wird das Zeritifikat durch den Finsoz e.V. erteilt
40
S E I E N S I E SICHER.
SECU-ZERTVorteile gegenüber den „großen“ Standards
• Fokussierung auf die wirklich relevanten bzw. kritischen Bereiche des Unternehmens
• Flexibler in der Gestaltung des Zertifizierungsbereichs
• Anders als z.B. bei einer BSI-Testierung Einstiegsstufe werden alle Maßnahmen einer Überprüfung
unterzogen
• Wesentlich geringerer Aufwand in der Vorbereitung
• Wesentlich geringere Zertifizierungskosten
• Wesentlich geringere laufende Kosten
42
S E I E N S I E SICHER.
Die harten Fakten
jung:
Erstveröffentlichung am 01.07.2015
erste Audits im November 2015
kurz:
38 Seiten, davon 11 Seiten Vorwort, Inhaltsverzeichnis und Glossar
Herkunft Versicherungsbranche:
herausgegeben von der VdS Schadenverhütung GmbH
VdS ist eine 100%ige Tochter des Gesamtverband der Deutschen Versicherungswirtschaft e.V. GDV
Intention:
versicherungsfähige von fahrlässigen Unternehmen/Institutionen zu unterscheiden
VdS 3473
43
S E I E N S I E SICHER.
Eigenschaften
definiert ein vollständiges ISMS
fordert Leitlinie und Richtlinien
fordert einen Informationssicherheitsbeauftragten (ISB) und ein Informationssicherheitsteam (IST)
fordert einen kontinuierlichen Verbesserungsprozess
berücksichtigt organisatorische und technische Maßnahmen
Fokus: einfache, schnelle Implementierung
sehr eindeutige Sprache
minimalisierter Analyse- und Dokumentationsaufwand
Definition von Zielen
möglichst große Freiheit bei der Implementation
geringeres Schutzniveau als ISO bzw. BSI GS
VdS 3473
44
S E I E N S I E SICHER.
Let's take a closer look...
Scope: die gesamte Informationsverarbeitung
IT-Ressourcen werden unterschieden in "kritisch" und "nicht-kritisch“
kritische IT-Ressourcen müssen vom Unternehmen ermittelt werden
für nicht-kritische Ressourcen wird ein einfacher Basisschutz definiert (Minimalprinzip)
die Maßnahmen des Basisschutzes müssen umgesetzt werden, sofern dies technisch möglich ist
wenn Maßnahmen nicht umgesetzt werden obwohl dies möglich wäre, muss das Unternehmen eine entsprechende Risikoanalyse und -behandlung durchführen
für kritische Ressourcen werden erweiterte Maßnahmen gefordert
zusätzliche technische und organisatorische Maßnahmen
individuelle Risikoanalyse und -behandlung
VdS 3473
45
S E I E N S I E SICHER.
Etablieren der VdS 3473
Phasen Einzelschritte zur Einführung ISMS
Organisation der Informationssicherheit
• Festlegung von Verantwortlichkeiten, Bereitstellung von Ressourcen, Ernennung Informationssicherheits-beauftragten, Etablieren des Informationssicherheits-teams
• Erstellung der Informationssicherheitsleitlinie• Erstellung von Richtlinien zur Informationssicherheit
Identifikation von kritischen IT-Ressourcen
• Identifikation kritischer Prozesse, Informationen, IT-Systeme, mobile Datenträger etc.
Implementierung Basisschutz
• Implementierung einfacher Maßnahmen, z. B. Updates, Beschränkung des Netzwerkverkehrs, Protokollierung, ...
Implementierung Maßnahmen für kritische IT-Ressourcen
(falls vorhanden)
• individuelle Risikoanalyse und -behandlung• Umsetzung von erhöhten Anforderungen an die Datensicherung,
Robustheit
VdS 3473
46
S E I E N S I E SICHER.
Kompatibilität!
die Umsetzung der "großen" Normen wird an vielen Stellen der VdS3473 explizit empfohlen
wenn das Unternehmen sie nicht implementiert, wird die Umsetzung einiger weniger Kernaspekte dieser Normen gefordert
alle Maßnahmen sind fast vollständig aufwärtskompatibel zu ISO 27001 und den BSI Grundschutznormen
"Die 3473 ist das erste Basislagerfür den Gipfelsturm zur ISO 27001."
(Mark Semmler, Projektleiter der VdS 3473)
VdS 3473
47
S E I E N S I E SICHER.
VdS 3473: Quick Check
Charakter: Self-Assessment
Aufwand: ca. 20 Minuten
Ergebnis: Online-Auswertung
50
S E I E N S I E SICHER.
VdS 3473: Quick Audit
Charakter: Pre-Assessment / Testat
Aufwand: 1-2 Tage
Ergebnis: Auditbericht (Konformitätstestat)
51
S E I E N S I E SICHER.
VdS 3473: Stärken und Schwächen
VdS 3473: Zertifizierung
• Das VdS-Zertifikat bestätigt, dass sich das Unternehmen organisatorisch und technisch auf die
wichtigsten Angriffsszenarien vorbereitet hat – und über passende Schutzmaßnahmen verfügt.
• Das VdS-Zertifikat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die
Leistungsfähigkeit des Unternehmens: Daten sind sicher geschützt und Einschränkungen der
Lieferfähigkeit des Unternehmens wurden minimiert. Wettbewerbsvorteile sind die Folge.
• Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Ein
unabdingbares Muss für die Unternehmenssicherheit.
• Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das
Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren.
• Das – immer verbleibende – Restrisiko können Unternehmen auf einen Versicherer übertragen und
damit eine zweite Verteidigungslinie für ihre Existenzsicherung aufbauen.
52
S E I E N S I E SICHER.
VdS 3473: Stärken und Schwächen
Standard Stärken Schwächen
VdS 3473 • für KMU konzipiert• kann für die Versicherungswirtschaft als Basis
für die Bewertung von Risiken herangezogen werden
• kann die Basis für den individuellen Versicherungsschutz sein
• kompatibel mit den anderen Standards (Einstieg)
• konkret auditierbare Vorgaben• minimalisierter Aufwand
• Standard ist aktuell nicht international anerkannt
• Standard ist noch sehr jung (nicht flächendeckend eingeführt)
• geringeres Sicherheits-niveau als ISO 27001 oder BSI GS durch minimalisierte Analyse und Dokumentation
VdS 3473: Outlook
53
S E I E N S I E SICHER.
Aufwand und Nutzen...
ISO 27001
BSI GS
VdS 3473
Einordnung der Standards
SECU-ZERT
55
S E I E N S I E SICHER.
Wenn nach dem Vortrag Fragen auftauchen
RUCON Management GmbH
Neumeyerstraße 48
90411 Nürnberg
Telefon 0911.47 75 28-33
Telefax 0911.47 74 28-49
© Copyright-Hinweis:Die Präsentation ist geistiges Eigentum der RUCON Management GmbH. Einzelne Elemente der Präsentation sind als Marke Und urheberrechtlich geschützt. Inhaber der Rechte sind unter anderem das Deutsche Institut für Normung (DIN), die ISO und die RUCON Management GmbH. Eine Weiterverwendung ohne schriftliche Genehmigung des Urhebers ist nicht gestattet.