ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN, ORGANISATIONEN UND KOMMUNEN

Transkript

1 ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN, ORGANISATIONEN UND KOMMUNEN 1 Bayerischer IT-Sicherheitscluster e.v

2 AGENDA - VORSTELLUNG - WARUM IS - ISIS12 - DISKUSSION 2 Bayerischer IT-Sicherheitscluster e.v

3 VORSTELLUNG / REFERENT Dipl.-Ing. Alfons Marx Manager DQS-Auditor BL IT Factory, Security Cons. MATERNA GmbH alfons.marx@materna.de 3 Bayerischer IT-Sicherheitscluster e.v

4 News / Aktuelles *** Breaking news:2015 Sicherheit fragwürdig *** Behörden erhalten Datenzugriff *** Zertifikatsdiebstahl *** Datenverlust *** Diebstahl *** Missbrauch *** Datenschutzverstöße Materna GmbH

5 Der Cyberwar (Zahlen aus 2013) Hackerangriffe pro Tag verzeichneten die Honeypots eines namhaften TK Unternehmens in Spitzenzeiten Quelle: Telekom *** Breaking Materna GmbH news: 2015 Sicherheit fragwürdig *** Behörden erhalten Datenzugriff *** Zertifikatsdiebstahl *** Datenverlust *** Diebstahl *** Missbrauch *** Datenschutzverstöße

6 6

7 Ein Verfahren zur Einführungund Verbesserungder Informationssicherheit in Unternehmen / Behörden Kann Vorstufezum ISO/IEC und BSI IT-Grundschutz-Zertifikat sein (Informations- Sicherheits-Managementsystem ISMS light ) Verständliche Anleitung zum Selbermachen begleitet von den ISIS12-Dienstleistern Workflow wird durch ein vom Netzwerk entwickeltes Softwaretooldargestellt Handbuch und Katalog sind öffentlich 7 Bayerischer IT-Sicherheitscluster e.v

8 ISIS12 WAS IST NEU? Was ist neu Verständlich beschriebener 12-stufiger Prozess, der den 7 Einstieg ins ISMS erleichtert 6 ISMS wird mit IT-Service-Management verknüpft 4 Nur unternehmenskritische Anwendungen werden betrachtet Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow abgebildet 1 8 Bayerischer IT-Sicherheitscluster e.v

9 ISIS12-ZERTIFIKAT Möglichkeit zur Zertifizierung durch die DQS GmbH Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12- Auditoren Unterstützung durch ISIS12- Dienstleister möglich 9 Bayerischer IT-Sicherheitscluster e.v

10 ISIS12 VORSTUFE ZUR ZERTIFIZIERUNG NACH ISO / IEC UND BSI ZERTIFIZIERUNG 10 Bayerischer IT-Sicherheitscluster e.v

11 INFORMATIONSSICHERHEIT IN 12 SCHRITTEN 11 Bayerischer IT-Sicherheitscluster e.v

12 Schritt 1 - Leitlinie erstellen Die Unternehmensleitlinie für Informationssicherheit beschreibt die Sicherheitsziele und das angestrebte Sicherheitsniveau des Unternehmens. Gesamtverantwortung der Unternehmensleitung ( Credo ). Verhältnis Informationssicherheitsziele zu den Geschäftszielen. Abstrakte Darstellung für welche Zwecke, mit welchen Mitteln und mit welchen Strukturen Informationssicherheit innerhalb des Unternehmens erreicht werden soll. In der Praxis ein kurzes und verständliches Positionspapier (ca. 3-4 Seiten). Materna GmbH

13 Schritt 2 - Mitarbeiter sensibilisieren Vorabkommunikation zur Sensibilisierung aller Organisationebenen. Notwendigkeit darstellen: Jeder ist für Informationssicherheit verantwortlich! Verschiedenste Methoden einsetzen! (Seminar, E-Learning, Poster, Übungen ). Materna GmbH

14 Schritt 3 - Informationssicherheits-Team aufbauen Typische (Rollen-)Mitglieder: ISB (IT-Sicherheitsbeauftragter) ein Mitglied der Unternehmensleitung Datenschutzbeauftragter (falls vorhanden) Mitarbeiter aus IT-Bereich ISIS12-Dienstleister Vertreter der Anwender Eventuell: QM-Beauftragter Materna GmbH

15 Schritt 4 - IT-Dokumentation erstellen Eine aktuelle und strukturierte IT-Dokumentation ist eine wesentliche Voraussetzung für das Gelingen von ISIS12. Festlegung einer strukturierten IT-Dokumentation: Zudem wird eine zentrale Basisvorlage beschrieben und festgelegt. Vorhandene IT-Dokumente werden in die neue Struktur eingepasst. Materna GmbH

16 Schritt 5 - IT-Service Management Prozesse einführen Drei Basisprozesse werden beschrieben, die auf die Dokumentation in der Configuration Management Data Base (CMDB) zugreifen: - Wartung - Änderung - Störungsbeseitigung CMDB enthält die Anforderungen an die IT-Systeme aus ISIS12 Schritt 7 (MTA und SLA) in Form eines Service-Katalogs. Materna GmbH

17 Schritt 6 - Kritische Anwendungen identifizieren Zuordnung der Schutzbedarfskategorien (A, B, C) für kritische Applikationen bezüglich der Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit Ableitung der MTA (Maximal tolerierbare Ausfallzeit) und SLA (Service Level Agreement) Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung pbd Grundwert Schutzbedarf Begründung A1 Personaldatenverarbeitung Ja Vertraulichkeit B Personaldaten sind besonders schutzbedürftige personenbezogene Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen können (Bundesdatenschutzgesetz) Integrität A Der Schutzbedarf ist normal, da Fehler rasch erkannt und die Daten nachträglich korrigiert werden können. Verfügbarkeit A Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. Besonders kritischen Zeiten: Jedes Monat vom 22. bis zum Monatsende. Fachverantwortlich: Frau Dagmar Huber (AL Personal) Interviewer: Herr Franz Muster (IT-SiBe) Datum: Unterschrift: XXX Materna GmbH

18 Schritt 7 - IT-Struktur analysieren Den lokalisierten Applikationen werden die erforderlichen IT-Systeme und Infrastruktur zugeordnet. Schutzbedarf, MTA und SLA der Applikationen werden auf die IT-Systeme und Infrastruktur vererbt. MTA und SLA in CMDB (Service Katalog) schreiben (siehe Schritt 5) Personaldatenverarbeitung (B,A,A) Schutzbedarfsfeststellung Nr Beschreibung Grundwert Schutzbedarf Begründung S1 Personaldatenverarbeitung, Buchhaltung, ERP Vertraulichkeit B Maximumprinzip Integrität A Maximumprinzip Verfügbarkeit B Kummulationseffekt C1 Clientsysteme der Sachbearbeitung Vertraulichkeit B Maximumprinzip Integrität A Maximumprinzip Verfügbarkeit A Maximumprinzip Materna GmbH

19 Schritt 8 - Sicherheitsmaßnahmen modellieren (I) Die Ergebnisse der vorausgegangenen Strukturanalyse werden auf Plausibilität geprüft und eventuell angepasst. Jedem in der Strukturanalyse gefundenem Objekt (Anwendung, IT-Systeme, Räume, Gebäude ) wird ein entsprechender Baustein zugeordnet, der eine Liste empfohlener und umzusetzender Sicherheitsmaßnahmen enthält. Hierbei wird der ISIS12-Katalog verwendet. Materna GmbH

20 Schritt 9 - Ist - Soll vergleichen Beim Ist - Soll Vergleich wird untersucht welche Sicherheitsmaßnahmen aus dem ISIS12-Katalog, bezogen auf die IT-Zielobjekte noch nicht oder nur teilweise wirksam umgesetzt sind. Möglichkeit zu ersten Messung des erreichten Grads an Informationssicherheit: 100% % noch nicht umgesetzte ISIS12-Katalog Maßnahmen Die Umsetzung der noch offenen Maßnahmen wird im nächsten Schritt geplant. Materna GmbH

21 Schritt 10 - Umsetzung planen Die noch nicht umgesetzten Maßnahmen werden in Bezug auf Kosten für deren Realsierung untersucht (Investitions- und Personalkosten, einmalig und wiederkehrend). Die Maßnahmen werden priorisiert (Schutzbedarf, Breitenwirkung ) und der Geschäftsleitung zur Freigabe der benötigten Ressourcen als Entscheidungsgrundlage vorgelegt. Hieraus resultiert ein konkreter Umsetzungsplan. Materna GmbH

22 Schritt 11 - Umsetzung Die in den vorhergehenden Phasen gefunden und genehmigten Sicherheitsmaßnahmen sind nun in die Realität umzusetzen. Für jede Maßnahme ist die Rolle des Initiators/Umsetzers und der Zeitpunkt der Realisierung festzulegen. Neben der Steuerung muss die Wirksamkeit der umgesetzten Maßnahmen kontrolliert werden. Materna GmbH

23 Schritt 12 - Revision Der PDCA-Ansatz findet Anwendung Stetige Optimierung des IT-Sicherheitsmanagement-Systems durch weitere ISIS12-Zyklen Abruf des Revisionsplans für die Überprüfung der Maßnahmen Materna GmbH

24 BETEILIGUNGSMÖGLICHKEITEN Anwender Kontaktaufnahme mit dem Clustermanagement oder direkt mit den ISIS12- Dienstleistern ISIS12-Anwendungsprojekte können in Umfang und Kosten unterschiedlich sein Netzwerkpartner Aktive Mitarbeit im Netzwerk Inhaltliche Weiterentwicklung ISIS12 Öffentlichkeitsarbeit, Marketing, Lobbyarbeit Software Voraussetzung Mitglied im Bayerischen IT-Sicherheitscluster e.v. Zertifizierter ISO/IEC oder IT-Grundschutzauditor oder abgeschlossenes Studium im Bereich IT und/oder Informationssicherheit + mind. 2 Jahre Berufserfahrung im Bereich Informationssicherheitoder mind. 5 Jahre einschlägige Berufserfahrung im Bereich IT, davon mindestens 2 Jahre im Bereich Informationssicherheit gesammelt. Lizenznehmer Zugang zum ISIS12-Know-How Handbuch, Katalog, Software (Zugang mit Lizenzgebühr) Voraussetzung Zertifizierter ISO/IEC oder IT-Grundschutzauditor oder abgeschlossenes Studium im Bereich IT und/oder Informationssicherheit + mind. 2 Jahre Berufserfahrung im Bereich Informationssicherheitoder mind. 5 Jahre einschlägige Berufserfahrung im Bereich IT, davon mindestens 2 Jahre im Bereich Informationssicherheit gesammelt. 24 Bayerischer IT-Sicherheitscluster e.v

25 ISIS12-DIENSTLEISTER UND PROJEKTPARTNER ISIS12-Dienstleister apsec - Applied Security GmbH a.s.k. Datenschutz BITS & BYTES GmbH BSP.SECURITY DEXevo GmbH CSBIS - Christian Seidel Beratung Informationssicherheit GPP Service GmbH & Co. KG It Consulting und Datenschutz mabunta GmbH Materna GmbH MDS IT + Datenschutz Rhein-Neckar- Consulting UG (haftungsbeschränkt) PSW GROUP GmbH & Co.KG SHD System-Haus-Dresden GmbH Steinbeis-Transferzentrum - Cyber- und Informationssicherheit Sysgrade GmbH TREUWERK CONSULT GmbH x-cellent technologies GmbH ISIS12-Projektpartner DQS GmbH OTH Regensburg R-Tech GmbH Universität Regensburg Eine aktuelle Liste finden Sie unter: 25 Bayerischer IT-Sicherheitscluster e.v

26 KONTAKT REFERENT Fragen. Dipl.-Ing. Alfons Marx Manager DQS-Auditor BL IT Factory, Security Cons. MATERNA GmbH Bayerischer IT-Sicherheitscluster e.v

27 KONTAKT Bayerischer IT-Sicherheitscluster e.v. Clustermanagerin und Vorstandsvorsitzende: Sandra Wiesbeck Bruderwöhrdstr. 15 b Regensburg Tel.: 0941 / Mail: sandra.wiesbeck@it-sec-cluster.de 27 Bayerischer IT-Sicherheitscluster e.v