DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

Transkript

1 DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN Jörn Maier, Director Information Security Management Von unseren Kunden ausgezeichnet als TOP CONSULTANT 1

2 Agenda 1 IT-Grundschutz 2 IT-Grundschutz-Zertifizierung 3 IT-Grundschutz in KMU 2

3 Agenda 1 IT-Grundschutz 2 IT-Grundschutz-Zertifizierung 3 IT-Grundschutz in KMU 3

4 IT-Grundschutz Idee Gesamtsystem enthält typische Komponenten (z.b. Server und Clients, Betriebssysteme) pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen konkrete Umsetzungshinweise für Maßnahmen Vorteile Arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle praxiserprobte Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit 4

5 IT-Grundschutz Durch organisatorische, personelle, infrastrukturelle und technische Standard- Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau für IT-Systeme aufbauen, das auch für sensiblere Bereiche ausbaufähig ist. 5

6 Standards und Kataloge im Grundschutz 6

7 Übersicht IT-Grundschutz 7

8 Agenda 1 IT-Grundschutz 2 IT-Grundschutz-Zertifizierung 3 IT-Grundschutz in KMU 8

9 IT-GRUNDSCHUTZ / ISO ZERTIFIZIERUNG Vorteile der Zertifizierung Zertifizierung dient als vertrauenswürdiger Nachweis, dass Maßnahmen nach den IT-Grundschutzkatalogen realisiert wurden Zusicherung eines Mindest-Grades von IT-Sicherheit für Geschäftspartner, Kunden und sonstige Anspruchsgruppen Keine untragbaren Risiken bei zertifizierten IT-Dienstleistern, die an bestehende Netzstrukturen angekoppelt werden Verdeutlichung der Bemühungen um eine ausreichende IT-Sicherheit durch Unternehmen und Behörden gegenüber Kunden und Bürgern Akkreditierte Prüfer können beim BSI online eingesehen werden Auditoren/auditoren27001.html 9 HiSolutions 2012 ISMS nach ISO27001 auf der Basis von BSI IT-Grundschutz

10 Anforderungen Zertifizierung Vollständiges Durchlaufen des Sicherheitsprozesses gem. BSI Durchführung von Risikoanalysen (sofern notwendig) Umsetzung aller notwendigen Maßnahmen in den IT- Grundschutzkatalogen A-Maßnahmen B-Maßnahmen C-Maßnahmen 10 HiSolutions 2012 ISMS nach ISO27001 auf der Basis von BSI IT-Grundschutz

11 Anforderungen Zertifizierung hoher Aufwand für Dokumentation hoher Aufwand bei 1:1 Umsetzung der Maßnahmen Die Maßnahmen muss gem. Ihrer Intention umgesetzt werden Bei der Umsetzung spielt die Größe und der Aufbau eines Unternehmens bzw. einer Abteilung durchaus eine Rolle Es gibt ja noch A.7! 11 HiSolutions 2012 ISMS nach ISO27001 auf der Basis von BSI IT-Grundschutz

12 Was ist A.7 Risikobehandlungsplan (A.7): Enthält Maßnahmen die nicht oder nicht vollständig umgesetzt werden Enthält Risiken für die das Management Risikoübernahme Risiko-Transfer beführwortet Risiken sind für das Management transparent darzustellen Auditor entscheidet ob eine Zertifizierung möglich ist Betrachtung des Gesamtkontext Grundlegende Maßnahmen dürfen nicht Teil von A.7 sein 12

13 Agenda 1 IT-Grundschutz 2 IT-Grundschutz-Zertifizierung 3 IT-Grundschutz in KMU 13

14 Problemstellung bei KMU begrenzte Anzahl von Ressourcen begrenztes Budget Mehrwert der Zertifizierung wird oft in Frage gestellt Aufwandabschätzungen oft auf Grundlage von 1:1 Umsetzung der Maßnahmen 100% Umsetzung aller Maßnahmen 14

15 Es geht auch anders: Beispiel Policies Standard Policy-Framework 1. Information Security Policy 2. Standards und Klassifikationsgrundlagen 3. Richtlinien 4. Detailanweisungen und Hilfsmittel Mini-Dokumentenframework für ISMS. Schicht 1+2 = 3 Dokumente Schicht 3 = 6 Dokumente 15

16 Hilfestellungen Grundschutz-Profile Definition eines adäquaten Scope Umsetzung Grundschutzmaßnahmen gem. Intention Nutzung von A.7 sofern möglich 16

17 Praxisbeispiel VDG (Versicherungswirtschaftlicher Datendienst GmbH) Scope: Der Untersuchungsgegenstand umfasst die zum Betrieb und zur Administration notwendigen Ressourcen des Authentifizierungsund Single Sign-on-Portales (VDG-Portal), das für Versicherungsvermittler einen einfachen Zugang zu Web- Portalen, -Anwendungen und -Services ermöglicht. 1,4 Angestellte Projektierung und Aufwand sehr überschaubar Zertifikatsnummer: BSI-IGZ

18 HISOLUTIONS BEDANKT SICH FÜR IHRE AUFMERKSAMKEIT Jörn Maier Director Information Security Mangement HiSolutions AG Bouchéstraße Berlin Von unseren Kunden ausgezeichnet als TOP CONSULTANT 18