ISIS 12. Informations SIcherheitsmanagement System in 12 Schritten

Transkript

1 ISIS 12 Informations SIcherheitsmanagement System in 12 Schritten Ein Dienstleistungsprodukt des Bayerischen IT-Sicherheitsclusters für kleine und mittelständische Unternehmen 1 IT InkubatorOstbayernGmbH

2 Überblick Bayerisches IT Sicherheitscluster Gegründet 2006 Hauptsitz ist Regensburg Geschäftsstellen in Augsburg und Nürnberg 70 Mitglieder Dienstleistungen für Mitglieder: Förderung von Kooperationen Öffentlichkeitsarbeit 4 Themenfelder IT-Security, Safety, Datenschutz, Sicherheitstechnik 2 IT Inkubator Ostbayern GmbH

3 ISIS 12 Überblick Ein Verfahren zur Einführung und Verbesserung der Informationssicherheit in mittelständischen Unternehmen Kann Vorstufe zu BSI Grundschutzzertifikat sein (ISMS light). Verständliche Anleitung zum Selbermachen begleitet von den ISIS 12 Dienstleistern ISIS 12 Workflow wird durch Weiterentwicklung des Open Source Tools verinice abgebildet 3 IT InkubatorOstbayernGmbH

4 ISIS 12 Motivation Der Mittelstand ist mit den Herausforderungen Wirtschaftsspionage, Datenschutz und IT-Verfügbarkeit konfrontiert. Informationssicherheitsmanagement- und IT-Service Management Systeme unterstützen Unternehmen dabei. Existierende Standards (ISO 27001, BSI Grundschutz, ITIL) sind in der Regel für den Mittelstand zu kompliziert. Unternehmen benötigen ein einfaches Verfahren, das die Einstiegshürde nicht zu hoch setzt. 4 IT InkubatorOstbayernGmbH

5 Besitzt Ihr Unternehmen eine Zertifizierung im Bereich Informationssicherheit? 80,0 74,2 70,0 60,0 50,0 40,0 30,0 20,0 10,0 12,2 11,8 1,8 0,0 Nein, und ist zur Zeit nicht geplant Nein, ist jedoch für nächstes Jahr geplant Nein, ist jedoch für dieses Jahr geplant Ja Quelle: Bundesministerium für Wirtschaft und Technologie, 12/2010 (221 befragte KMU) 5 IT InkubatorOstbayernGmbH

6 ISIS 12 Projektpartner ISIS 12 Dienstleister Bits & Bytes GmbH BIZTEAM GmbH BSP.SECURITY ic Compas GmbH & Co.KG mabunta GmbH SECIANUS Weitere Projektpartner Bayerisches IT-Sicherheitscluster (IT Inkubator Ostbayern GmbH) Universität Regensburg (Lehrstuhl für Wirtschaftsinformatik I) Hochschule Regensburg Bayerisches Wirtschaftsministerium über BICC NET BIT AG (Arbeitsgemeinschaft der Bayerischen IT-Initiativen) 6 IT InkubatorOstbayernGmbH

7 ISIS 12 Was ist neu? Verständlich beschriebener 12-stufiger Prozess, der den Einstieg ins ISMS erleichtert ISMS wird mit IT-Service Management verknüpft Nur unternehmenskritische Anwendungen werden betrachtet ISIS 12 Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow in verinice abgebildet (ab März 2012) 7 IT InkubatorOstbayernGmbH

8 Informationssicherheit in 12 Schritten 8 IT InkubatorOstbayernGmbH

9 Schritt 5 IT-Service Management Prozess einführen 3 Basisprozesse werden beschrieben Prozesse greifen auf Dokumentation (CMDB) zu CMDB enthält die Anforderungen an die IT-Systeme aus ISIS 12 Schritt 7 (MTA und SLA) 9 IT InkubatorOstbayernGmbH

10 Schritt 6 Kritische Applikationen identifizieren Unternehmenskritische Applikationen identifizieren Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit für alle Applikationen mit A,B,C bewerten MTA, SLA ableiten Anwendung Schutzbedarfsfeststellung Nr. Bezeichnung pbd Grundwert Schutzbedarf Begründung A1 Personaldaten Ja Vertraulichkeit B Personaldaten sind besonders schutzbedürftige -verarbeitung personenbezogene Daten, deren Bekanntwerden die Betroffenen erheblich beeinträchtigen können (Bundesdatenschutzgesetz) Integrität A Der Schutzbedarf ist normal, da Fehler rasch erkannt und die Daten nachträglich korrigiert werden können. Fachverantwortlich: Frau Dagmar Huber (AL Personal) Interviewer: Herr Franz Muster (IT-SiBe) Datum: Unterschrift: XXX Verfügbarkeit A Ausfälle bis zu einer Woche können mittels manueller Verfahren überbrückt werden. Besonders kritischen Zeiten: Jedes Monat vom 22. bis zum Monatsende. 10 IT InkubatorOstbayernGmbH

11 Schritt 7 IT-Struktur analysieren Unternehmenskritischen Applikationen, IT-Systeme u. Infrastruktur zuordnen Schutzbedarf, MTA und SLA der Applikationen, IT-Systemen u. Infrastruktur vererben MTA und SLA in CMDB schreiben (siehe Schritt 5) Personaldatenverarbeitung (B,A,A) Schutzbedarfsfeststellung Nr Beschreibung Grundwert Schutzbedarf S1 Personaldatenverarbeitung, Buchhaltung, ERP Begründung Vertraulichkeit B Maximumprinzip Integrität A Maximumprinzip Verfügbarkeit B Kummulationseffekt C1 Clientsysteme der Sachbearbeitung Vertraulichkeit B Maximumprinzip Integrität A Maximumprinzip Verfügbarkeit A Maximumprinzip 11 IT InkubatorOstbayernGmbH

12 Schritt 8 Sicherheitsmaßnahmen modellieren BSI IT-Grundschutzkataloge (Band 1-5: A, B, C, Z) ISO/IEC 27001/27002 (Maßnahmen A.5-A.15) ISIS 12 Katalog Bausteine/Kapitel im ISIS 12 Katalog: B1 Universale Gesichtspunkte B2 Infrastruktur B3 IT-Systeme/Netze B4 Applikationen Maßnahmen im ISIS 12 Katalog: M1 Planung M2 Umsetzung/Betrieb M3 Außerbetriebnahme M4 Notfall 12 IT InkubatorOstbayernGmbH

13 Schritt 8 Sicherheitsmaßnahmen modellieren Exemplarische Maßnahmen zum Personaldatenserver aus dem ISIS 12 Katalog M2.x Ist eine unterbrechungsfreie Stromversorgung (USV) vorhanden? (B3) Kontrollfragen dazu: Entspricht die Leistung der USV den abzusichernden IT-Systemen? Wird die USV regelmäßig gewartet und getestet? M2.x Werden sicherheitskritische Patches, Service-Packs und Updates des Herstellers eingespielt? (B1) M3.x Ist eine sichere Entsorgung gewährleistet? (B1) M4.x Ist ein Notfallplan für das System vorhanden (B1) 13 IT InkubatorOstbayernGmbH

14 Nächste Schritte Durchführung von Pilotanwendungsprojekten Anpassung der verinice Software an das ISIS 12 Verfahren bis März 2012 Ständige Optimierung des Verfahrens Erweiterung des ISIS 12 Netzwerks Entwicklung eines Lizenzmodells bis Juni IT InkubatorOstbayernGmbH

15 Beteiligungsmöglichkeiten Lizenznehmer (ab Mitte 2012) Entwicklungspartner Pilotanwender (50 bis 500 Arbeitsplätze) Kontaktaufnahme mit dem Clustermanagement oder direkt mit den ISIS 12 Dienstleistern ISIS 12 Anwendungsprojekte können in Umfang und Kosten stark unterschiedlich sein 15 IT InkubatorOstbayernGmbH

16 Kontakt Bayerisches IT-Sicherheitscluster Clustermanagement Sandra Wiesbeck 0941/ sandra.wiesbeck@it-sec-cluster.de oder ISIS 12 Netzwerkmanagement Dr. Herbert Vogler 0941/ herbert.vogler@it-speicher.de 16 IT InkubatorOstbayernGmbH