Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades. (c) SAMA PARTNERS Business Solutions GmbH

Transkript

1 Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades (c) SAMA PARTNERS Business Solutions GmbH

2 Agenda Vorstellung SAMA PARTNERS Vorstellung Teilnehmer Die Normenfamilie um ISO Ablauf vom Scoping bis zur Zertifizierung Beispiel einer GAP-Analyse mit dem VDA-ISA Fragebogen SAMA PARTNERS Business Solutions GmbH 2

3 Vorstellung SAMA PARTNERS SAMA PARTNERS Business Solutions GmbH 3

4 Vorstellung SAMA PARTNERS SAMA PARTNERS ist ein unabhängiges Management- und IT- Beratungsunternehmen Wir verstehen uns als Bindeglied zwischen klassischer (Office-) IT und industrieller IT Seit der Gründung im Jahr 2010 verzeichnen wir ein kontinuierliches Wachstum Unser Expertenteam verfügt über hohe Qualifikationen und langjährige Praxiserfahrung in verschiedenen Branchen Unsere Dienstleistungen decken folgende Bereiche ab: Professionelle Dienstleistungen, Consulting mit Schwerpunkt I3 (Information-/ IT-/Industry-) Security Produkt-Dienstleistungen (Einführung von Standard-Lösungen) Operative Dienstleistungen (Überprüfung von Sicherheitsarchitekturen und industrieller Kontrollsysteme, Schwachstellenanalyse und Penetrations-Tests, Schulungen und Coachings) SAMA PARTNERS Business Solutions GmbH 4

5 Unser Leistungsportfolio SAMA PARTNERS Klassische IT/Industrielle IT Enterprise Architektur IT-Management SW-Architektur & -Entwicklung Qualitätsmanagement I3 (Information-/IT-/Industry-) Security IT-/Informationssicherheit nach ISO/IEC Sicherheit industrieller Kontrollsysteme ICS/SCADA-Sicherheit Sicherheit von Industrie 4.0 Konzeption und Optimierung von Sicherheitsarchitekturen Schwachstellenanalyse/Penetrations-Tests Schulungen und Coaching SAMA PARTNERS Business Solutions GmbH 5

6 I-3 Security Beratung inklusive Umsetzung Domains Governance & Management ICS/SCADA Architektur SW-Entwicklung Technische Audits Services ISMS & Prozesse BCM Compliance (z. B. GMP) Audits SCADA Security Assessments Security Architecture Security Policy und Audit Information & Data Sec. Architecture Security Domains Transformation & Service Architecture Architecture Review Secure SDLC Secure Service Code Review Vulnerability Scans Penetration Testing Survivability Testing Trainings TÜV: ISO27001 Foundation ISO27001 Officer Eigene Schulung: SCADA Security Architecture OpenGroup Schulung (in Kürze): Open CA Open CITS Open FAIR EC Council Schulung CEH Mitarbeiterschulungen und Personenzertifizierungen SAMA PARTNERS Business Solutions GmbH 6

7 Vorstellung Teilnehmer SAMA PARTNERS Business Solutions GmbH 7

8 Arndt Schürg ICS/SCADA Arndt Schürg Senior Security Consultant Architektur Mail: Schwerpunkte: IT-/Informationssicherheit IT-Audit Projektmanagement SW-Entwicklung Technische Audits SAMA PARTNERS Business Solutions GmbH 8

9 Vorstellung Teilnehmer und wer sind Sie? SAMA PARTNERS Business Solutions GmbH 9

10 Die Normenfamilie um ISO SAMA PARTNERS Business Solutions GmbH 10

11 Branchenspezifisch Empfehlungen Anforderungen Begriffe Die Familie der Standards ISO/IEC Requirements ISO/IEC Code of Practice ISO/IEC Leitfaden zur Implementierung eines ISMS ISO/IEC Gesundheitswesen ISO/IEC Überblick und Vokabular ISO/IEC Messungen ISO/IEC Energieversorger ISO/IEC Anforderung an Zertifizierer ISO/IEC Leitfaden zur Durchführung von ISMS-Audits ISO/IEC Risikomanagement ISO/IEC Richtlinien für Informationssicherheit der Telekommunikation weitere ISO/IEC 27xxx Normativ Normativ Informativ Informativ SAMA PARTNERS Business Solutions GmbH 11

12 Grundlagen der Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmensinformationen Ist auf Geschäftsprozesse fokussiert Ist nicht nur auf die IT bezogen SAMA PARTNERS Business Solutions GmbH 12

13 Grundlagen der Informationssicherheit Bezieht sich gleichermaßen auf: Personen, Unternehmen, Systeme und Prozesse. Wird erzielt durch: Vertraulichkeit, Verfügbarkeit, Integrität, Verbindlichkeit, Nachweisbarkeit und Authentizität. Soll den Verlust, die Manipulation, den unberechtigten Zugriff und die Verfälschung von Informationswerten verhindern. Wird erreicht durch: konzeptionelle, organisatorische und operative/technische Maßnahmen. SAMA PARTNERS Business Solutions GmbH 13

14 Maßnahmen aus Maßnahmenkatalogen Maßnahmenziele aus Katalog Die ISO/IEC Anhang A listet einige Maßnahmenziele und Maßnahmen auf Ausschlüsse von Maßnahmen (Controls) (ISO/IEC 27001, Anhang A) grundsätzlich möglich, aber: Jeder Ausschluss einer Maßnahme (Control) muss begründet werden! Die ISO macht Vorschläge zur Umsetzung der Anforderungen aus ISO/IEC Anhang A nach Best Practice Weitere Kataloge und Vorgaben BSI IT-Grundschutz Cobit HIPAA SAMA PARTNERS Business Solutions GmbH 14

15 Maßnahmenziele und Maßnahmen (Annex A) A.5 Sicherheitsleitlinie 1 2 A.6 Organisation der Informationssicherheit 2 7 A.7 Sicherheit des Personalwesens 3 6 A.8 Management von Werten (assets) 3 10 A.9 Zugriffskontrolle 4 14 A.10 Kryptographie 1 2 A.11 Schutz vor physischem Zugang und Umwelteinflüssen 2 15 A.12 Betriebssicherheit 7 14 A.13 Sicherheit in der Kommunikation 2 7 A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen 3 13 A.15 Lieferantenbeziehungen 2 5 A.16 Management von Informationssicherheitsvorfällen 1 7 A.17 Business Continuity Management 2 4 Legende Maßnahmenkategorien Anzahl der Maßnahmenziele Anzahl der Maßnahmen A.18 Richtlinienkonformität (Compliance) 2 8 SAMA PARTNERS Business Solutions GmbH 15

16 Ablauf vom Scoping bis zur Zertifizierung SAMA PARTNERS Business Solutions GmbH 16

17 Phasen ISO Zertifizierung Phase 1 Phase 2 Phase 3 Scope- Festlegung Gap-Analyse Maßnahmen- Plan Maßnahmen- Umsetzung Statement of Applicability (SOA) Internes Audit Zertifizierung SAMA PARTNERS Business Solutions GmbH 17

18 Scope festlegen Identifizierung der Kern- und Supportprozesse zur Erfüllung der Unternehmensziele Abgrenzung der mit in die Betrachtung einbezogenen Unternehmensbereiche, wie Abteilungen, Abteilungen usw. Identifikation der betroffenen Werte, Assets und Informationen Ergebnis: Einschätzung des vorläufigen Scopes für die GAP-Analyse SAMA PARTNERS Business Solutions GmbH 18

19 GAP-Analyse Identifizierung der benötigten Schritte zur Erreichung der Zertifizierungsreife Maßnahmenkataloge (IT-Grundschutz, ISO27001,ISO27799) Andere Fragenkataloge (z.b. VDA-ISA) Überprüfung des zuvor identifizierten Scopes, ggf. Anpassung Abnahme und Bestätigung durch die Geschäftsführung Ergebnis: Eine durch die Geschäftsführung bestätigte Liste der offenen Punkte mit Beauftragung der Umsetzung Der durch die Geschäftsführung bestätigte Scope für die Zertifizierung SAMA PARTNERS Business Solutions GmbH 19

20 Maßnahmenplan Ableitung und Spezifizierung der Maßnahmen aus der GAP-Analyse Identifikation von Abhängigkeiten zwischen den Maßnahmen untereinander und nach Außen Erstellung eines Zeitplans Ergebnis: Projektplan SAMA PARTNERS Business Solutions GmbH 20

21 Umsetzung der Maßnahmen Umsetzung der Maßnahmen als Teilprojekte in einem Programm ggf. Anpassung der Maßnahmen durch neue Erkenntnisse (Change-Prozess!) SAMA PARTNERS Business Solutions GmbH 21

22 Statement of Applicability (SoA) Betrifft vor allem Zertifizierung nach ISO 27001: Schriftliche Dokumentation, welche Controls aus dem Anhang A der Norm umgesetzt bzw. nicht umgesetzt wurden Begründung der Nichtumsetzung Ergebnis: Durch die Geschäftsführung bestätigtes SoA SoA SAMA PARTNERS Business Solutions GmbH 22

23 Internes Audit Überprüfung der Maßnahmen durch interne Fachleute Durchführung von Nacharbeiten (Dokumentation usw.) SAMA PARTNERS Business Solutions GmbH 23

24 Zertifizierungsaudit Überprüfung der Maßnahmen durch externe Auditoren Dokumentenanalyse Zwischenbericht Vor-Ort Audit Abschluss mit Empfehlung SAMA PARTNERS Business Solutions GmbH 24

25 Beispiel einer GAP-Analyse mit dem VDA-ISA Fragebogen SAMA PARTNERS Business Solutions GmbH 25

26 VDA-ISA-Fragebogen Werkzeug des VDA zur Umsetzung der Anforderungen aus ISO und ISO Identifizierung von Umsetzungslücken Anforderungsdefinition zum Schließen der Lücken Strukturierung der Anforderungen nach Themengebieten Liefert eine Kennzahl zur Identifikation des aktuellen Reifegrades (Steuerung und Reporting) Frei im Internet erhältlich (Creative Commons) Excel: Verinice: SAMA PARTNERS Business Solutions GmbH 26

27 Hinweise zum Umgang mit dem VDA-ISA Fragebogen Der Fragebogen gliedert sich in einzelne Bereiche mit unterschiedliche Themen z. B.: General Aspects Human Resource Security Operational Security Supplier Relationships Jede Frage kann mit einem Reifegrad von 0-5 oder mit n/a (nicht anwendbar) bewertet werden Reifegrade: RG0: Der Prozess existiert nicht. Es werden keine Maßnahmen betreffend der Fragestellung umgesetzt. RG1: Der Prozess wird umgesetzt. Eine Prozessdokumentation ist nicht vorhanden oder unvollständig. RG2: Der Prozess wird umgesetzt. Eine Prozessdokumentation ist vorhanden. Belegdokumente (Results) werden erstellt. RG3: Der Prozess ist unternehmensweit über Schnittstellen integriert. Rollen zur Prozessdurchführung sind definiert und mit ausreichend Ressourcen besetzt. RG4: Der Prozess ist durch KPI bewertbar, wird aber noch nicht durchgängig zur Verbesserung angewendet. RG5: Der Prozess wird durch Kennzahlen gesteuert und unterliegt einem laufenden Verbesserungsprozess. Für die Zertifizierungsreife müssen u.a. alle betroffenen Controls mindestens einen RG 3 haben. Ein Durchschnitt des RG>3 über alle Fragen ist nicht ausreichend. SAMA PARTNERS Business Solutions GmbH 27

28 Der VDA-ISA Fragebogen hilft dem Projektmanagement Der Reifegrad kann als Steuerungs- und Reportinginstrument über alle Managementebenen hinweg angewendet werden Die Anforderungen für jede Maßnahme (Frage) können durch den Reifegrad identifiziert werden Der Reifegrad liefert erste Anhaltspunkte für die Aufwandschätzung RG 0 1: organisatorische Anpassungen des Unternehmens notwendig = Hoher Projektaufwand, da Organisationsprojekt RG 1 2: Dokumentationsaufwand notwendig = mittlerer bis geringer Projektaufwand für Dokumentationsprojekte RG 2 3: Übernahme und Betrieb der Controls in der Linie = Linienaufwand RG 3: Etablierter Prozess (Zertifizierungsreife?) RG 4+5: Optimierte Prozesse = Steuerung durch Prozessmanagement mit Kennzahlen und KVP SAMA PARTNERS Business Solutions GmbH 28

29 VDA ISA Beispiel SAMA PARTNERS Business Solutions GmbH 29

30 Vielen Dank Fragen? SAMA PARTNERS Business Solutions GmbH 30