Resümee eines abgeschlossenen Zertifizierungsprojektes. NÜRNBERGER Versicherungsgruppe

Größe: px

Ab Seite anzeigen:

Download "Resümee eines abgeschlossenen Zertifizierungsprojektes. NÜRNBERGER Versicherungsgruppe"

Rosa Küchler
vor 8 Jahren
Abrufe

1 NÜRNBERGER Versicherungsgruppe 1

2 Agenda Die NÜRNBERGER Ausgangslage Projekt ISO Zertifizierung auf der Basis von IT-Grundschutz Projektbilanz Ausblick und Fazit 2

3 Die NÜRNBERGER Unabhängiges Versicherungsund Finanzdienstleistungs- Unternehmen Mit über 3,4 Milliarden EUR Beitragseinnahmen in der Spitzengruppe der Assekuranz 125 Jahre am Markt Mitarbeiterzahlen: ca Innendienstmitarbeiter ca Außendienstmitarbeiter Schutz und Sicherheit im Zeichen der Burg Der Slogan der NÜRNBERGER ist ein Versprechen, dem Millionen zufriedener Kunden vertrauen. 3

Mitarbeiterzahlen: ca. 4.400 Innendienstmitarbeiter ca. 23.

4 NÜRNBERGER IT Zwei zentrale Rechenzentren in Nürnberg und 24 dezentrale Serverräume Durchgängig Netzwerkkomponenten von Enterasys SAN-Komponenten für alle Server z.b. IBM DS8300, HDS 9585 und SAN-Virtualisierung Zwei iseries und zwei zseries Maschinen Ca. 600 Windows 2003 und 2008 Server (physisch und virtualisiert) und ca Windows Clients Sehr viele Datenbanksysteme auf dem Host und unter Windows-Server (z.b. DB2, IMS, Oracle, SQL-Server) Sehr viele Web- und Applikationsserver (z.b. JBoss, Tomcat, Apache, CICS) 4

600 Windows 2003 und 2008 Server (physisch und virtualisiert) und ca. 4.

5 Agenda Die NÜRNBERGER Ausgangslage Projekt ISO Zertifizierung auf der Basis von IT-Grundschutz Projektbilanz Ausblick und Fazit 5

6 Ausgangslage 2005 Sicherheit hat traditionell hohen Stellenwert in der NÜRNBERGER IT-Sicherheit ist Tagesgeschäft Sicherheitsanforderungen der fachlichen Anwendungssysteme in einzelnen Übersichten dokumentiert Fokus des Teams IT-Sicherheit: Vertraulichkeit/Integrität Keine durchgängige Erfolgskontrolle ( Check ) Steigende Anforderungen an das Risikomanagement absehbar (Solvency II) 6

Übersichten dokumentiert Fokus des Teams IT-Sicherheit: Vertraulichkeit/Integrität Keine

7 Vorstudie Entscheidungsgrundlage schaffen, ob und für welche Systeme wir IT- Grundschutz mit einer nachgelagerten Zertifizierung erreichen wollen - Simulation der Grundschutz-Vorgehensweise an einem Geschäftsprozess - Basis-Sicherheitschecks für wichtige Bausteine 2006 Entscheidung für IT-Grundschutz Projektinitiierung Auswahl des Beraters HiSolutions AG: Konkretisierung Aufwand und Projektauftrag 7

Geschäftsprozess - Basis-Sicherheitschecks für wichtige Bausteine 2006 Entscheidung für

8 Agenda Die NÜRNBERGER Ausgangslage Projekt ISO Zertifizierung auf der Basis von IT-Grundschutz Projektbilanz Ausblick und Fazit 8

9 Projekt Kickoff April 2007 Projektziele - Ausgestaltung von IT-Prozessen und IT- Systemen auf IT-Grundschutz abstellen - Etablierung eines ISO konformen Sicherheitsmanagement - Überprüfung der Qualität durch Audit für IS-Verbund IT-Betrieb Rahmenbedingungen - Zertifizierung nicht mit Gewalt - Aufbau eigenes Know-How - Bestandteil der IT-Strategie Audit durch TÜViT Juni

Überprüfung der Qualität durch Audit für IS-Verbund IT-Betrieb Rahmenbedingungen -

10 Initialisierung -> Ausgestaltung -> Etablierung -> Audit Details siehe Vortrag Informationssicherheit und Zertifizierung in der Praxis von Uwe Schmidt am 2. IT-Grundschutztag

11 Agenda Die NÜRNBERGER Ausgangslage Projekt ISO Zertifizierung auf der Basis von IT-Grundschutz Projektbilanz Ausblick und Fazit 11

12 Sicht Projektleiter Resümee eines abgeschlossenen Projekt abgenommen Qualität: 100 % erfüllt (Zertifikat) Umfang: ca. 25% Zunahme - drei Ergänzungslieferungen Grundschutz - neue Systeme - ursprünglich nicht geplante Bausteine Budget: hohe Abweichung - externe Ressourcen im Plan (~ 200 PT) - erheblicher Anstieg interner Ressourcen gegenüber Plan (~ 450 PT) - siehe nächste Folie - entsprechende Priorisierung durch das Management in 2009 war notwendig Termin: Ende 1 Jahr später als geplant 12

Abweichung - externe Ressourcen im Plan (~ 200 PT) - erheblicher Anstieg interner Ressourcen gegenüber Plan (~ 450 PT) -

13 Aufwandstreiber Resümee eines abgeschlossenen Sehr hoher Abstimmaufwand - im Projekt - für Konzeption Intention der Maßnahme? Wie machen das andere Firmen? - reine Betriebsthemen (z.b. BHB, CMDB, Change, standardisierte Installation) Hohe Anzahl dezentraler Systeme - teilweise fehlende Standardisierung - Abstimmbedarf mit Schnittstellen in der Anwendungsentwicklung und im Fachbereich - hoher Umsetzungsaufwand (Faktor x) Bereitstellungsaufwand und QS Referenzdokumente (GSTool) - z.b. IT-Grundschutzerhebung (Nr. 132 GSTool) 695 Seiten, Risikoanalyse (Nr. 79) 429 Seiten 13

14 Projektnutzen Resümee eines abgeschlossenen Verbesserung der technisch/organisatorischen IT-Sicherheit - vollständiges Regelwerk, gelebte Sicherheitsorganisation - nachweisbarer Sicherheitsprozess (v.a. Schutzbedarf, Audits, Sicherheitsvorfall, Berichte) - Berechtigungsinventur, Ausbau zentrale Benutzeradministration - lokale Firewalls, Integritätschecker, Admin-Netze, standardisierte gehärtete Systeme, keine Default-Kennwörter, RACF-Security DB2, übergreifende Logfileanalyse (dynamisches Audit) - gestiegene Awareness in der IT und in beteiligten Fachbereichen Mehr Transparenz über das erreichte Sicherheitsniveau und optimierte Maßnahmensteuerung im Rahmen des internen Risikomanagements - 49 Schutzbedarfsfeststellungen - über 100 ergänzende Sicherheitsanalysen, 32 Risikoanalysen - Basissicherheitschecks (2.110 Maßnahmen und 52 Bausteine) Nachweis der unternehmerischen Risikovorsorge gegenüber Dritten durch ein anerkanntes Zertifikat 14

Systeme, keine Default-Kennwörter, RACF-Security DB2, übergreifende Logfileanalyse (dynamisches Audit) - gestiegene Awareness in der IT und in beteiligten Fachbereichen Mehr Transparenz über das

15 Sicht Mitarbeiter IS-Betrieb Benotung Grundschutz Aktualität Angemessenheit Verständlichkeit 2 3 Vollständigkeit Grundschutz gut zur Qualitätssicherung geeignet Arbeit mit alten Bausteinen demotivierend Aufwand angemessen? Indirekter Nutzen für Betrieb: - z.b. vollständige Dokumentationen, Betriebshandbücher - standardisierte Installationen mit aktuellen Versionen - Anschubhilfe für diverse Vorhaben ( wegen Zertifizierung ) 15

Bausteinen demotivierend Aufwand angemessen? Indirekter Nutzen für Betrieb:

16 Sicht Management Resümee eines abgeschlossenen Gestiegene Compliance-Anforderungen: - BDSG Novellen: z.b. Meldung Datenpannen, Konkretisierung zur Auftragsdatenverarbeitung - MaRisk (VA): z.b. ISMS verpflichtend - 8. EU-Richtlinie: z.b. Internes Kontrollsystem (IKS) - Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), UP KRITIS Reputationsrisiko durch Datenpannen Nutzen - Grundschutz hilft bei der betrieblichen Umsetzung - IT-Grundschutz bei Prüfern/Behörden akzeptiert (auch im Hinblick auf gestiegene Prüfungsauflagen für Revisoren und Wirtschaftsprüfer) - anerkanntes Zertifikat (auch vor dem Hintergrund verschärfter Haftungsbestimmungen) 16

Reputationsrisiko durch Datenpannen Nutzen - Grundschutz hilft bei der betrieblichen Umsetzung - IT-Grundschutz bei Prüfern/Behörden akzeptiert (auch im Hinblick auf

17 Agenda Die NÜRNBERGER Ausgangslage Projekt ISO Zertifizierung auf der Basis von IT-Grundschutz Projektbilanz Ausblick und Fazit 17

18 Weiteres Vorgehen Auditbericht - fünf geringfügige Abweichungen bearbeiten - sieben Empfehlungen prüfen Sicherheitsprozess nachweisbar (!) leben - Schulungen, Audits, Berichtswesen, - Review Regelwerk Ergänzungslieferung Grundschutz - Optimierung von Lösungen - neue Systeme - Überwachungsaudit nur noch acht Monate - Etablierung und Fortführung mit eigenen Ressourcen Ausweitung Risikoanalye nach

Ergänzungslieferung Grundschutz - Optimierung von Lösungen - neue Systeme - Überwachungsaudit 2011 - nur

19 Fazit Der Nutzen rechtfertigt den Aufwand Die NÜRNBERGER setzt auf IT-Grundschutz Unsere Erwartungshaltung an das BSI: - spezifische Bausteine müssen aktuell sein - Planungssicherheit bei Ergänzungslieferungen - mehr Flexibilität - geplante Weiterentwicklung des IT-Grundschutzes klingt vielversprechend 19

müssen aktuell sein - Planungssicherheit bei Ergänzungslieferungen - mehr

20 Vielen Dank für Ihre Aufmerksamkeit 20

Ähnliche Dokumente

Informationssicherheit und Zertifizierung in der Praxis. NÜRNBERGER Versicherungsgruppe

Informationssicherheit und Zertifizierung in der Praxis. NÜRNBERGER Versicherungsgruppe NÜRNBERGER Versicherungsgruppe 1 Agenda Die NÜRNBERGER Einstieg in das Thema IT-Grundschutz Projekt ISO 27001-Zertifizierung auf Basis von IT-Grundschutz Resümee Ausblick 2 Agenda Die NÜRNBERGER Einstieg