BSI IT-Grundschutz, ISO & Datenschutz

Transkript

1 BSI IT-Grundschutz, ISO & Datenschutz Wie identifiziere und begegne ich Risiken bei der Digitalisierung? Kai Wittenburg, Geschäftsführer Ihre IT in sicheren Händen

2 neam IT-Services GmbH gegründet 1996 Paderborn, Wiesbaden & Berlin ca. 80 Mitarbeiter ISO27001 Lead Auditoren ISO27001 Lead Implementer BSI-Auditoren Ihre IT in sicheren Händen

3 Informationssicherheit Managementsysteme (ISMS) ISO27001 BSI Grundschutz Business Continuity Notfallvorsorge Notfallbehandlung Zertifizierung & Audits Ihre IT in sicheren Händen

4 Informationssicherheit Penetrationstests Infrastruktur Webanwendungen Social Engineering Schulungen & Mitarbeitersensibilisierung Ihre IT in sicheren Händen

5 EU-DSGVO Art. 32 Sicherheit der Verarbeitung Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;

6 Informationssicherheitsmanagementsystem ISMS basierend auf ISO (Zertifikat) Leitlinien & allgemeine Prinzipien Maßnahmenziele & Maßnahmen (Anhang A) ISO Umsetzungsempfehlungen für Maßnahmen Ergänzend: BSI Grundschutzkataloge Unterstützt: Datenschutzmanagementsystem

7 Informationssicherheitsmanagementsystem ISMS basierend auf ISO (Zertifikat) Leitlinien & allgemeine Prinzipien Maßnahmenziele & Maßnahmen (Anhang A) ISO Umsetzungsempfehlungen für Maßnahmen Ergänzend: BSI Grundschutzkataloge

8 ISO ISO Anhang A A1 7 Informatio nssich erheitsaspekte bei m Busi ness Con ti nu it y Man agemen t A1 8 C om pl ia nc e A5 Informatio nssich erheitsrichtlin ie n A6 O r gani s at io n der Informatio nssich erheit A7 Pe r s onal s ic h er hei t A1 6 M anage me nt vo n Informatio nssich erheitsvorfällen 1 A8 V er wa lt un g d er W e rt e 0 Sol l- Zu stan d Ist-Zustan d A1 5 L i ef er an te nbezi ehu ngen A9 Zu gangs s t eu er ung A1 4 A ns c ha f un g, Ent w i c klu ng und Instandh altu ng von Systemen A1 0 K r ypt ogr ap hie A1 3 K om m un ikat i ons s i c her h eit A1 2 B et r ieb s s ic h er hei t A1 1 P hys i s c he und um ge bung sbezoge ne Sich er hei t

9 BSI IT-Grundschutz Bausteine im IT-Grundschutz-Kompendium Prozessorientierte Schichten ISMS ORP (Organisation & Personal) CON (Konzepte) OPS (Betrieb) DER (Detektion & Reaktion)

10 BSI IT-Grundschutz Bausteine im IT-Grundschutz-Kompendium Systemorienterte Schichten: INF (Infrastruktur) NET (Netze und Kommunikation) SYS (IT-Systeme) APP (Anwendungen) IND (Industrielle IT)

11 BSI IT-Grundschutz

12 Einführung ISMS nach ISO Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzung von IS-Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

13 Sicherheitsprozess Der Sicherheitsprozess Initiierung des Sicherheitsprozesses: Sicherheitsleitlinie Sicherheitsmanagement Erstellen eines IT-Sicherheitskonzeptes Umsetzung fehlender Maßnahmen in den Bereichen: -Infrastruktur -Organisation -Personal -Technik -Notfallvorsorge Sensibilisierung & Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb

14 Vorgehensweisen nach BSI-Standard 200-2

15 Schritte zur Kern-Absicherung Geltungsbereich klein abgegrenzt Kronjuwelen identifiziert IT-Strukturanalyse und Modellierung Erfassen der IT und der IT-Anwendungen Gruppenbildung Schutzbedarfsfeststellung Definition der Schutzbedarfskategorien Schadenszenarien IT-Grundschutz-Check (I) Soll-Ist-Vergleich IT-Grundschutz-Kompendium ca. 80 % Risikoanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf ca. 20 % IT-Grundschutz-Check (II) Soll-Ist-Vergleich IT-Grundschutz-Kompendium Standard-Absicherung zur Verbesserung Zertifizierung als Option Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan

16 2 MBit/s SFV BSI IT-Grundschutz Server A Server C IT-Grundschutz- Kompendium Server B Verwaltung Drucker Notebooks Personal Geschäftsleitung Router A www Firewall Maßnahmenempfehlungen Soll-Ist- Vergleich Realisierte Maßnahmen Sicherheitskonzept: defizitäre Maßnahmen

17 Schutzbedarfsfeststellung Definition der Schutzbedarfskategorien Normal Schadensauswirkungen sind begrenzt und überschaubar. Hoch Schadensauswirkungen können beträchtlich sein. Sehr hoch Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

18 Normal

19 Hoch: besonders schützenswerte Daten

20 Sehr hoch: besonders schützenswerte Daten

21 Planungsphase Schutzbedarfsfeststellung Typische Schadensszenarien Zuordnung der Schäden durch Verlust der Vertraulichkeit, Integrität und Verfügbarkeit anhand folgender Szenarien: Verstoß gegen Gesetze/Vorschriften/Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung, negative Außenwirkung und finanzielle Auswirkungen.

22 Schutzbedarfsfeststellung Nr. IT-Anwendung / Informationen Pers.- bez. Daten Grund-wert Schutzbedarf Begründung Vertraulichkeit normal Es handelt sich um frei zugängliche Daten, deren Bekanntwerden zu keinen Schaden führen würde. A1 Branchensoftware Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Wichtige Informationen können aus anderen Quellen bezogen werden. Vertraulichkeit hoch Es handelt sich um pers.-bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträchtigen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

23 Risikomanagement Schutzbedarf/ Sicherheitsniveau Standardmaßnahmen, IT-Grundschutz-Kompendium Standard-Absicherung Basis-Absicherung Sehr hoch Hoch Normal Prozess1 Prozess2 Prozess3

24 Windows 10

25 Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. Ermittlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

26 Individuelle Risikoanalyse Identifikation der Assets (CMDB) Vererbung des Schutzbedarfs Nr. IT-Anwendung / Informationen Pers.- bez. Daten IT-Systeme C1 C2 C3 C4 L1 S1 S2 N1 N2 TK1 A1 Branchensoftware X X X X X A2 Personalverwaltung X X X X A3 Onlinebanking X X X X

27 Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht BSI Gefährdungsliste Reduziert: 46 elementare Gefährdungen Beispiele und Beschreibungen 3. Ermittlung zusätzlicher Gefährdungen Workshop (Brainstorming) 4. Gefährdungsbewertung 5. Risikobehandlungsplan

28 Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. Ermittlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung Eintrittswahrscheinlichkeit Auswirkung 5. Risikobehandlungsplan

29 Individuelle Risikoanalyse Gefährdungsbewertung Bewertungskriterien Eintrittswahrscheinlichkeit

30 Individuelle Risikoanalyse Gefährdungsbewertung Bewertungskriterien Auswirkung Schutzbedarf = Summe (für Vertraulichkeit, Integrität und Verfügbarkeit)

31 Individuelle Risikoanalyse Risikoakzeptanz

32 Individuelle Risikoanalyse Bewertung

33 Individuelle Risikoanalyse Bewertung

34 Individuelle Risikoanalyse Bewertung

35 Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. Ermittlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

36 Individuelle Risikoanalyse Gesamtrisiko 1. Risikovermeidung 2. Risikoverminderung 3. Risikoübertragung 4. Risikoübernahme Restrisiko

37

38 Projektvorgehensweise zur Einführung ISMS nach ISO Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzung von IS-Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

39 Umsetzungsphase Umsetzung von IS-Maßnahmen Umsetzungsplan für noch umzusetzende IS-Maßnahmen Unterstützung bei der Umsetzung von IS-Maßnahmen Schulung und Sensibilisierung Analyse des Schulungs- und Sensibilisierungsstandes Durchführung von Sensibilisierungsschulungen Incident-Management Planung, Einführung und Dokumentation einer Vorgehensweise zum Umgang mit Vorfällen innerhalb der Organisation

40 Projektvorgehensweise zur Einführung ISMS nach ISO Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

41 Projektvorgehensweise zur Einführung ISMS nach ISO Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

42 Projektvorgehensweise zur Einführung ISMS nach ISO Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

43 neam IT-Services GmbH Technologiepark 8 D Paderborn