Durch Standards IT-Sicherheits - Qualität erhöhen - Zertifizierung vorbereiten

Transkript

1 G m b H Durch Standards IT-Sicherheits - Qualität erhöhen - Zertifizierung vorbereiten Prof. Dr. R. Vossbein Internet: Moltkestr Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de

2 Normen und Standards der IT-Sicherheit - Geltungsbereiche und Vernetzung Standards und Normen in der IT-Sicherheit - Grundlage für Prüfung und Qualität Gebiete für Normen und Standards (Technik- und Management- Standards, Gesetze) Vernetzung der Normen - Gewinn für die IT-Sicherheit? Relevanz an Beispielen (ISO/IEC 27001, ISO/IEC 20000, Common Criteria CC etc.) Rationell prüfen Zertifizierungen vorbereiten Sinn einer Zertifizierung Compliance/Ordnungsmäßigkeit als Ziel Tooleinsatz zur Rationalisierung der Auditierung Mitarbeiter-Qualifizierung/-Zertifizierung 2

3 Zur Funktion von Standards und Normen in der IT 1. Eine Norm ist eine Vorschrift zur vereinheitlichenden Gestaltung von Produkten, Prozessen oder Dienstleistungen. geht davon aus, dass eine Realisierung gemäß ihren Anforderungen ausschließlich qualifiziertem und kompetentem Fachpersonal anvertraut wird. setzt nicht voraus, dass ihre Befolgung gewährleistet, dass zum Beispiel Verträge oder gesetzliche Bestimmungen bei normenkonformer Gestaltung einwandfrei sind. 2. Normenkonformität bedeutet daher ein dem Stand des Wissens und der Technik entsprechendes System. 3. In Bezug auf die Informationstechnologie und die IT-Sicherheit bedeutet daher die Anwendung und Befolgung der Forderungen einer Norm eine Konformität mit dem State of the Art und damit eine relative Sicherheit, nicht an den Aktualisierungsanforderungen vorbei zu agieren. 3

4 Normengruppen in der IT-Sicherheit 1. Technische Normen 2. Management Standards 3. Gesetze 4. Wirtschaftsprüfungsstandards 4

5 Technische Normen Vorgaben für Produktgestaltung und Systemprüfung Beispiele: IT-Sec und ITSem Common Criteria CC-ISO/IEC 15408:2005) ISO / IEC

6 Technische Normen: Beispiel CC Common Criteria: Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik Teil 1: Einführung und allgemeines Modell Teil 2: Funktionale Sicherheitsanforderungen Teil 3: Anforderungen an die Vertrauenswürdigkeit CEM: Methodik für die Evaluierung auf Grundlage der CC) 6

7 Management Standards Gestaltungsvorgaben und Prüfkriterien für komplexe IT-Systeme Beispiele: ISO/IEC BS 7799 BS ISO / IEC Proprietäre Standards (UIMCert, TÜV) 7

8 Management Standards (Beispiel ISO 27001) Die ISO/IEC ist eine internationale Norm zur begutachtenden Wertung der Sicherheit von IT- Systemen als Grundlage für Zertifizierungsvorhaben die ISO/IEC hat das Hauptziel, einen Prüfstandard für das Management der IT- Sicherheit zu liefern. 8

9 Gesetze/Gesetzähnliche Standards Vorgaben für zu erfüllende Anforderungen Beispiele: Handels- und Steuergesetze (s. IDW-Prüfungsstandards) GoBS/GOB Datenschutzgesetze BDSG u. a. Telegesetze KonTraG Basel II 9

10 Gesetze/Gesetzähnliche Standards (Beispiel: GoBS) Die Verfahrensdokumentation muß insbesondere beinhalten: eine Beschreibung der sachlogischen Lösung die Beschreibung der programmtechnischen Lösung eine Beschreibung, wie die Programm-Identität gewährt wird Beschreibung, wie die lntegrität von Daten gewahrt wird Arbeitsanweisungen für den Anwender.... Die starke Abhängigkeit der Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen der GoBS unabdingbar. 10

11 Wirtschaftsprüfungs-Standards Vorgaben für Gesetzeskonformität und Ordnungsmäßigkeitsprüfung Beispiele: IDW PS 330/331 IDW PS 880 IDW PS 260 FAIT 1 11

12 Wirtschaftsprüfungsstandards (Beispiel IDW PS 330) Der IDW PS 330 ist ein Prüfungsstandard für Abschlussprüfungen beim Einsatz von Informationstechnologie. Die Zielsetzung ist, zu beurteilen ob das IT-gestützte Rechnungslegungssystem den gesetzlichen Anforderungen in Bezug auf Ordnungsmäßigkeit und Sicherheit entspricht. Er bezieht sich auf IT-gestützte Geschäftsprozesse, Anwendungen und IT-Infrastruktur, soweit sie rechnungslegungsrelevant sind. 12

13 Vernetzung der Normen - Gewinn für die IT-Sicherheit? Vernetzungsbild Vernetzungsprinzipien? Gleiche Forderungen mit unterschiedlichen Begründungen? Ergänzungen und Präzisierungen? Unterschiedliche Gewichtungen einzelner Anforderungen? Unterschiedliche sich ergänzende oder ersetzende Techniken/Maßnahmen 13

14 Vernetzung der Normen und Standards zum IT- Management und zur IT-Sicherheit ISO CC PS 880 BDSG (LDSG SH) Grundschutz (ISO 27001) PS 330 / 331 ISO (BS 7799) BS (ISO 20000) 14

15 Welche Gütesiegel oder Zertifikate gibt es? Gütesiegel des BSI (ISO/IEC Grundschutzsiegel, Produktsiegel) 15

16 Welche Gütesiegel oder Zertifikate gibt es? Unternehmens- und Informations-Management Certification Zertifikat gem. ISO/IEC BS 7799 (IT Sicherheitsmanagementsysteme). UIMCert R GmbH Zertifikat D ie U IMC ert - Unternehmens- und Informations -Management Certification b e s tä tig t h ie rm it d ie o rd n u n g s g e m ä ß e E rfü llu n g d e r A n fo rd e ru n g e n a n d a s IT-S ic h e r h e its m a n a g e m e n t-s y s te m d e r Muster Firma Muster Straße Muster Ort gem. ISO/ IEC 27001:2005 Das Zertifikat ist gültig bis: Tag.Monat.Jahr Geltungsbereich:... Registriernummer:... WUPPERTAL, Tag.Monat.Jahr GESCHÄFTSFÜHRUNG AUDITLEITER Akkreditiert von der TGA - Trägergemeinschaft für Akkreditierung GmbH TGA-ZM

17 Welche Gütesiegel oder Zertifikate gibt es? Datenschutz-Gütesiegel des ULD (Produkte, datenverarbeitende Stellen) Gütesiegel Good Privacy Schweiz 17

18 Welche Gütesiegel oder Zertifikate gibt es? Wirtschaftsprüfer-Testat/Zertifikate Die von mir/uns geprüfte rechnungsrelevante Software (Release/Versions-Nr....), über deren Prüfung ich/wir mit dem Datum vom... einen Bericht erstattet habe(n), ermöglicht bei sachgerechter Anwendung eine den Grundsätzen ordnungsgemäßer Buchführung entsprechende Rechnungsregelung. (entnommen aus: IDW PS 880) 18

19 E - Welche Gütesiegel oder Zertifikate gibt es? Private Gütesiegel und Zertifikate/Proprietäre Gütesiegel und Zertifikate: UIMCert Gütesiegel Q U - T A C A I F L I T Ä T S S I T - S i c h e r h e i t D a t e n s c h u t z. UI M Cer t I I T - S e c u r i t y Secu re Privacy R T E C Y I E T G E L Q U A L I I T - S I C H E R H E I T TÜV Siegel 19

20 Welche Gütesiegel oder Zertifikate sind sinnvoll und aussagekräftig? Zielsetzung der Gütesiegelung/Zertifizierung (Innen/außen) Außenwirksamkeit des Dokumentes tatsächliche Prozessverbesserung Fehlervermeidung implementierter Präventionszyklus Früherkennung von Risiken und Chancen Vorbildfunktion 20

21 Welche Gütesiegel oder Zertifikate sind sinnvoll und aussagekräftig? Machtposition/Marktstärke des Siegels Entscheidungskriterien Anerkennung national/international Interne und externe Zielsetzungen Reifegrad der eigenen/internen Organisation Abstrahlung des Siegels (geliehenes Image) Kosten/Nutzen (einmalige vs. dauerhafte Belastung) 21

22 Vorgehensweise bei der Durchführung von Audits Vorgehensweise (Phasen): 1. Auditierung der gelieferten Dokumentationen und Unterlagen 2. Vorbegutachtung dieser Dokumente 3. Prüfung der Funktionalitäten der Leistung/des verwendeten Verfahren 4. Erstellung eines Ergebnisberichtes der Funktionalitäts-/Verfahrensprüfung 5. Zusammenfassung der Dokumentations- und Funktionalitäts/Verfahrensprüfung 6. Auditierung der Ergebnisse der Dokumentenprüfung vor Ort 7. Durchsprache des gesamten Berichtes 8. Einbau eventueller aus der Durchsprache resultierender neuer Erkenntnisse 9. Vorlage des Berichtes bei der Zertifizierungsstelle 10. Ggfls. Beantwortung eventueller Rückfragen, u. U. nach Rücksprache mit dem Kunden 11. Ausfertigung des Gütesiegels/Zertifikates, Übernahme in die Gütesiegel/Zertifikatsliste 22

23 Vorgehensweise bei der Durchführung von Audits Dokumentenanalyse: Dokumentations-Grundlagen Enthält Ihre Dokumentation zum ISMS folgende Inhalte? Erklärungen zur Sicherheitspolitik und Sicherheitszielen Anwendungsbereich des ISMS Verfahren und Maßnahmen zur Unterstützung des ISMS Beschreibung der Methode der Risikobewertung Risikoeinschätzungsbericht Risikobehandlungsplan Verfahren zur Sicherstellung der wirksamen Planung, Durchführung und Kontrolle ihrer Informationssicherheitsprozesse Erklärung zur Anwendbarkeit (Statement of Applicability) 23

24 Vorgehensweise bei der Durchführung von Audits Zertifizierungsplan 1. Festlegung der Zertifizierungsnorm 2. Zertifizierungs-Gegenstand 3. Zeitplanung bis zur Zertifikatserteilung 4. Umfang der Unterstützung durch externe Dienstleister 5. Umfang und Unterstützung durch Mitarbeiter 6. Projektaufwand und Budget 7. Fortschritt der internen Tätigkeit bis heute 8. Stufenplan der Projektdurchführung 24

25 Vorgehensweise bei der Durchführung von Audits Bestimmung der Zielsetzung/des Scopes Bsp.: Systementwicklung und Rechenzentren Netze in der Zentrale und in den Niederlassungen Zentrales Informationssystem Datenschutzmanagement-System 25

26 Vorgehensweise bei der Durchführung von Audits Funktionsanalysen/Situationsanalysen: Vorgehensweise (Phasen) Betriebsbegehung Interview mit relevanten Mitarbeitern zur Identifikation potentieller weiterer Dokumente Interview mit relevanten Mitarbeitern zur Identifikation von Regelungen, Richtlinien und Maßnahmen, die bereits gelebt werden, jedoch noch nicht schriftlich fixiert sind Interview mit relevanten Mitarbeitern zur Identifikation von Prozessen, die für die Beurteilung der IT-Sicherheit von Bedeutung sind, jedoch noch nicht schriftlich fixiert sind Systembegutachtung aufbauend auf den geführten Interviews 26

27 Vorgehensweise bei der Durchführung von Audits Prüfungen vor Ort 27

28 Revisionsfähigkeit von Zertifizierungsergebnissen Protokollierung Wird bei der Erfassung der personenbezogenen Daten sichergestellt, dass nur die benötigten personenbezogenen Daten erhoben werden? (ULD) Bei der Erfassung der personenbezogenen Daten wird sichergestellt, dass nur die benötigten personenbezogenen Daten erhoben werden. Bemerkung: Jedes Feld ist ein- und ausblendbar. Gibt es festgelegte Datensicherungsmaßnahmen während der Ausführung des Programms? (ULD) Es gibt keine festgelegten Datensicherungsmaßnahmen während der Ausführung des Programms. Es sollte festgelegte Datensicherungsmaßnahmen während der Ausführung des Programms geben. Bemerkung: Sicherungsmaßnahmen werden auf Serverseite vom Server durchgeführt (Datenbanksicherung). Die Software hat darauf keinen Einfluss. 28

29 Revisionsfähigkeit von Zertifizierungsergebnissen Beibehaltung der Analysesystematiken Einsatz quantitativer Methoden (Benchmarking) 29

30 Anforderungen an/vorteile von Zertifizierungen Was sind die Gründe für eine Zertifizierung? Der Nutzen liegt nicht im Zertifikat, sondern auf dem Weg dorthin! (Vorbereitung und Auditierung) - wichtige Prozesse werden sicherer und besser gestaltet und damit wird zwangsläufig eine höhere Wertschöpfung erreicht - der zielorientierte Aufbau und die Implementierung des Bewusstseins für die Sicherheitsproblematik im Unternehmen werden verbessert - systematische Begegnung mit den Risiken der strategischen Ressource IT 30

31 Anforderungen an/vorteile von Zertifizierungen Was sind die Gründe für eine Zertifizierung? Ein Zertifikat kann z. B. für eine Institution als ein wesentliches Marketinginstrument dienen Externe Faktoren sind: - ein anerkanntes Zertifikat zur direkten Werbung - die Dokumentation des Sicherheitsbewusstseins - die Dokumentation des verantwortungsvollen Umgangs mit den Zukunftsressourcen des Unternehmen - die Möglichkeit zur Abgrenzung von der Konkurrenz 31

32 Anforderungen an/vorteile von Zertifizierungen Was sind die Gründe für eine Zertifizierung? Das Zertifikat belegt, dass das Unternehmen die aus der modernen Informationstechnologie entstehenden Sicherheitsprobleme im Rahmen der Möglichkeiten bewältigt hat Zusammenfassung der Wirkung des Zertifikates - Außenwirksamkeit des Dokumentes - tatsächliche Prozessverbesserung / Fehlervermeidung - implementierter Präventionszyklus - Früherkennung von Risiken und Chancen - Vorbildfunktion 32

33 Das UIMCert-Prüftool als Hilfe Vorteile: Tools als Hilfen bei der Prüfung Durchführen von strukturierten Analysen, speziell Unternehmens-, aber auch technische Analysen Hochflexible Anpassung von analysen-/erhebungsbedingten Frageproblemen an die jeweiligen Erfordernisse Rationelle computergestützte Erfassung von Erhebungsergebnissen und Antworten Automatisierte Auswertung der Analyseergebnisse Verbindung/Vernetzung von Antworten verschiedener Teilgebiete Computergestützte Heraus-/Aufarbeitung von Schwachstellen Zuordnung punktgenauer Maßnahmen zur Beseitigung der Schwachstellen Rationalisierung der Arbeit durch intelligente Textbausteine 33

34 Tools als Hilfen bei der Prüfung Kriterien für die Auswahl von Tools Aufbau sollte den Prüfstandard widerspiegeln Selbstklärende Fragen Abstufung der Fragentiefe nach Relevanz Verfeinerung der Fragen nach spezifischen Gegebenheiten des zu prüfenden Objektes Automatische Auswertung und Berichtsgenerierung Skalierbarkeit nach Unternehmensgröße, Branche, Userzahl Mandantenfähigkeit nach Bewertungsobjekten Fachlicher Support (Hotline für Fachfragen) Referenzen und Empfehlungen durch Kunden oder Partner Schulung/Einführung Qualität der Software Preis (Lizenz oder Kauf, Wartung, Preis-Leistungs-Verhältnis) 34

35 Quantitative Auswertung eines IT-Sicherheitsaudits Einhaltung der Verpflichtung Management des kontinuierlichen Geschäftsbetriebs Zugriffskontrolle Management d. Kommunikation und des Betriebs Phys. und umgebungsbez. Sicherheit Personelle Sicherheit Einstufung und Kontrolle der Werte Organisation der Sicherheit Sicherheitspolitik Abb. N: Quantitative Ausw ertung eines IT-Sicherheitsaudits 35

36 Mitarbeiter-Qualifizierung Qualifizierungsgrundlagen Berufsprofile des IT-Weiterbildungssystems gem. BIBB Proprietäre Anforderungsprofile (GDD für Datenschutzbeauftragte, TÜV für IT-Sicherheitsbeauftragte) Ausbildungsrahmenpläne für IT-Berufe (IHK Ausbildungsberufsbilder) Ausbildungsrahmenpläne z. B. der Gewerkschaften in Verbindung mit anderen Institutionen (z. B. für IT-Berufe) Curricula von Universitäten und anderen Hochschulen (z. B. Wirtschaftsinformatik mit Schwerpunkt IT-Sicherheit) Seminarveranstaltungen des BSI für Grundschutzauditoren Seminarveranstaltungen verschiedener Träger (z. B. BAKÖV für den öffentlichen Bereich zum IT-Sicherheitsbeauftragten) 36

37 Mitarbeiter-Zertifizierung Zertifizierungsmöglichkeiten Zertifikat durch ISO/IEC akkreditiertes Unternehmen Zertifikat durch proprietäres Gütesiegel (z. B. GDD Zertifikat) Abschluss in einem anerkannten Ausbildungsgang (z. B. BIBB- IT-Berufsprofil) Anerkennung als z. B. Lizenzierter Grundschutzauditor Hochschul- oder Fachhochschulabschluss (Spezifische Examina) Ausbildungszertifikat in einem IHK anerkannten Berufsbild Besonderheit: Qualifizierung zum Ausbilder gem. Ausbildungseignungsverordnung 37

38 E - UIMCert Die UIMCert GmbH ist als sachverständige Prüfstelle für den ISO / BS 7799 von der Trägergemeinschaft für Akkreditierung TGA sowie dem ULD akkreditiert. Bei Fragen wenden Sie sich bitte an: UIMCert GmbH Prof. Dr. R. Voßbein Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) Durchführung von Auditierungsprozessen Erteilen von Zertifikaten auf der Basis von Auditierungsergebnissen. Begutachtung, Aufzeichnung und Überwachung der Kompetenz von Unterauftragnehmern. Bearbeitung von Anträgen auf Änderung des Geltungsbereichs der Zertifizierung Durchführung von Seminaren und Fortbildungsvorhaben. Abwicklung von Forschung- und Entwicklungsprojekten. Zertifizierungen nach TGA-, ULD- und eigenen Standards Q U - T A C A I F L I T Ä T S S I T - S i c h e r h e i t D a t e n s c h u t z. UIMCer t I I T - S e c u r i t y S ec u re P ri va c y R T E C T Y I E G E L U A L I Q I T - S I C H E R H E I T 38