IT-Sicherheitsmanagement IT Security Management

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheitsmanagement IT Security Management"

Martha Schumacher
vor 8 Jahren
Abrufe

1 Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP

2 Inhalt Allgemeine Überlegungen zur IT-Sicherheit IT-Sicherheitskriterien im Vergleich Vorstellung relevanter Kriteriensysteme British Standards (BS 7799) CobiT IT-Grundschutz Methode zur Qualitätsmessung: das Prozess-Reifegrad-Modell (Process Maturity Model, PMM)

3 Allgemeine Überlegungen zur IT-Sicherheit Worum geht es bei der IT-Sicherheit? Um das notwendige Maß an Vertraulichkeit Verfügbarkeit Integrität (einschließlich Authentizität und Nichtabstreitbarkeit) Eigenschaften von IT-Sicherheit Es gibt keine absolute Metrik dafür Sie ist veränderlich und von vielen Faktoren abhängig wie: Veränderungen in der technischen Infrastruktur (Lebenszyklenmodell: Planung, Errichtung, Betrieb) Neuen Risiken und Angriffen Veränderungen in gesetzlichen Rahmenbedingungen Geänderten Geschäftszielen Fazit: IT-Sicherheit ist eine Daueraufgabe

4 Allgemeine Überlegungen zur IT-Sicherheit (fort.) Wie geht man mit Daueraufgaben um? Prozesse statt Projekte An entscheidenden Stellen werden zyklische Prozesse (Kreisprozesse) benötigt Managementaufgaben: Prozesse entwickeln, Qualität der Prozesse und Qualität der Ergebnisse messen Prozesse optimieren; dies schließt vor allem auch Integration in die bestehende Prozesslandschaft ein Muster der Kreisprozesse: Deming-Zyklus für Qualitätsmanagement Produktlebenszyklen

5 Allgemeine Überlegungen zur IT-Sicherheit (fort.) Reaktion Act Planung Plan Betrieb Run Planung Plan Überprüfung Check Umsetzung Do Errichtung Build Deming-Zyklus Lebenszyklen für IT-Verfahren Wie stelle ich das geeignete Sicherheitsniveau fest? Typische Methoden Risikoanalyse Grundschutzmethode

6 Allgemeine Überlegungen zur IT-Sicherheit (fort.) Risikoanalyse Ermittlung relevanter Risiken z.b. in den Breichen Technisches Versagen Menschliches Versagen Gezielte Angriffe Organisationsmängel Höhere Gewalt Ermittlung betroffener Komponenten, Systeme, Gebäude etc. Ermittlung potentieller Auswirkungen z.b. mittels Failure Impact Analysis (FIA) Ermittlung der Eintrittswahrscheinlichkeit für die Ausfälle Festlegung geeigneter technischer und organisatorischer Maßnahmen, um Eintrittwahrscheinlichkeit, Auswirkung und Ausfallsdauer auf ein vertretbares Maß zu reduzieren Ziel hierbei ist nicht optimierte Sicherheit, sondern ein von der Organisation vertretbares (Rest-)Risiko!

7 Übersicht über IT-Sicherheitskriteriensysteme IT-Grundschutz (ISO 27001) British Standards (BS 7799) CobiT SAS 70, COSO Standard of Good Practice ITSEC / CC (ISO 15804) technische Ausrichtung Systemoder Verfahrensbezug Produktbezug Managementausrichtung

8 British Standards (BS 7799) IT-Sicherheitsmanagementsystem Entwickelt vom British Standards Institute (BSI) im Jahr 1995 als BS 7799 (Teil 1 bis 3) Teil 1: Code of Practice ISO/IEC 17799:2005 Teil 2: Information Security Management System (ISMS) ISO/IEC 27001:2005

9 British Standards (fort.) Code of Practice (Teil 1, ISO 17799): Klassen für die Risikoanalyse: Sicherheitspolicy Organisation der Informationssicherheit Asset Management Human Ressource Sicherheit Physische und Umgebungssicherheit Kommunikations- und Betriebsmanagement Access Control (Zutritt, Zugang, Zugriff) Auswahl, Einführung / Entwicklung und Wartung von Systemen zur Informationsverarbeitung IT-Sicherheitsvorfallmanagement Business Continuity Management Compliance Generische Sicherheitsmaßnahmen und zugehörige Sicherheitsziele

10 British Standards (fort.) ISMS (Teil 2, ISO 27001) Information Security Management System (ISMS) Generelle Anforderungen Errichtung und Betrieb des ISMS Anforderungen an die Dokumentation Verantwortlichkeiten des Managements Management Commitment Ressourcenverwaltung Review des ISMS Generelle Aspekte Review Input Review Output Interne ISMS Audits ISMS Verbesserung Kontinuierliche Verbesserung Korrigierende Maßnahmen Präventive Maßnahmen

11 CobiT Ursprünglich 1995 von der (U.S.) Information Systems Audit Control Association (ISACA) entwickelt Seit 2004: Version 4.0 Erstellt in Zusammenarbeit mit einigen Europäischen Hochschulen IT Governance Framework einschließlich IT-Sicherheit Überwiegend in den USA genutzt

12 CobiT Konzeptelemente Geschäftsanforderungen Domains Prozesse Aktivitäten ten Maßnahmen Sicherheit Qualität IT Prozesse IT Prozesse Menschen Anwendungen Infrastruktur Information IT IT Ressourcen Ressourcen

14 IT-Grundschutz Entwickelt vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) basierend auf dem Orange Book seit 1994 Aktuelle Version (2005) beinhaltet: ISO/IEC (ISMS) mit BSI-Standard (Informationssicherheitsmanagementsystem) BSI-Standard (Grundschutz Vorgehensmodell) BSI-Standard (Risikoanalyse mit der Grundschutzmethodik) Grundschutzkatalog (Gefährdungslagen und korrespondierende Maßnahmen)

15 IT-Grundschutz (fort.) Die IT-Grundschutzmethode nimmt ein für typische Organisationen geeignetes Basissicherheitsniveau (normal) an Dies beinhaltet bereits typische Gefährdungslagen und zugehörige Maßnahmen auf den Ebenen Übergeordnete Aspekte (IT-Sicherheitsmanagement Archivierung) Infrastruktur (Räume und Gebäude) Netzinfrastruktur IT Systeme (Hardware und Betriebssysteme) Anwendungen Alle abweichenden Sicherheitsniveaus (hoch, sehr hoch) werden aufbauend auf dem Grundschutz entwickelt Das Grundschutzhandbuch beinhaltet zahlreiche konkrete technische Maßnahmen

17 Datenschutz und IT-Grundschutz Initialisierung des Datenschutzprozesses: Erstellung Datenschutzpolicy Einrichtung Datenschutzmanagement Initialisierung des IT-Sicherheitsprozesses: Erstellung IT-Sicherheistleitlinie (Policy) Einrichtung des IT-Sicherheitsmamnagements Erstellung des Datenschutzkonzeptes, Soll-Ist-Abgleich (Datenschutz-Check) Erstellung des IT-Sicherheitskonzeptes, Soll-Ist-Abgleich (Basis-Sicherheitscheck) Realisierung fehlender Maßnahmen Realisierung fehlender Maßnahmen - Sensibilisierung - Schulung zur IT-Sicherheit Aufrechterhaltung des Datenschutzes im laufenden Betrieb Aufrechterhaltung der Datensicherheit im laufenden Betrieb

18 Prozess-Reifegrad-Modell Fragestellung: Welche Qualität haben meine Prozesse? Prozess-Reifegradmodell liefert eine mögliche Antwort Entwickelt ab Mitte der 90er Jahre in den USA Quellen Qualitätsmanagement (Deming und andere) Softwareentwicklungsprozesse IT-Betriebsprozesse (IT Infrastructure Library benutzt PMM) Geschäftsprozesse Übertragung auf IT-Sicherheits- und Datenschutzmanagement möglich

19 Aufbau des Prozess-Reifegradmodells Ebene 1: Ausgangszustand (Initial) Chaotisch, eher Projekte als Prozesse; Input und Ergebnis sind nicht definiert, Abläufe wiederholen sich nur selten Ebene 2: Reproduzierbar (Managed) Auf Ebene der kleinsten Organisationseinheiten ist der Prozess organisiert; Input und Ergebnis sind definiert Ebene 3: Standardisiert (Standardised) Arbeitsschritte und Teilprozesse laufen wiederholbar ab, Prozess ist dokumentiert Ebene 4: Vorhersehbar (Predictable) Es existieren für Arbeitsschritte und Teilprozesse Qualitätskriterien, so genannte Key Performance Indikatoren (KPI) Ebene 5: Optimiert (Optimised) Der Prozess wird unter Auswertung der KPI beständig optimiert (Deming)

20 Aufbau des Prozess-Reifegrad-Modells (fort.)

21 Zusammenfassung IT-Sicherheitsmanagement muss sich auf im Kern zyklische Prozesse abstützen, um effektiv zu sein Vor allem drei Kriteriensysteme haben sich als Muster für das IT-Sicherheitsmanagement durchgesetzt: CobiT ganzheitlicher Geschäftsprozessansatz British Standards spezialisiertes ISMS IT-Grundschutz als ISMS mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur Risikoanalyse Für die Messung der Qualität von IT-Sicherheitsprozessen kann das Prozess-Reifegrad-Modell verwendet werden

22 Vielen Dank für Ihre Aufmerksamkeit! Dr. Martin Meints Datenschutz Schleswig-Holstein Telefon: 0431 / Fax: 0431 /

Ähnliche Dokumente

Musterprozesse für das Datenschutzmanagement

Musterprozesse für das Datenschutzmanagement Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD61@datenschutzzentrum.de Was kann modernes Datenschutzmanagement von Qualitätsmanagement,