BAYERISCHER IT- SICHERHEITSCLUSTER E.V.

Transkript

1 BAYERISCHER IT- SICHERHEITSCLUSTER E.V.

2 DAS BAYERISCHE IT-SICHERHEITSCLUSTER Gründung: 2006 als Netzwerk (Cluster) in Regensburg 2012 Eröffnung der Geschäftsstelle Augsburg 2013 Überführung in einen Verein Geschäfte führt die R-Tech GmbH über einen Geschäftsbesorgungsvertrag Mitglieder: Im Bayerischen IT-Sicherheitscluster haben sich Unternehmen der IT-Wirtschaft und Unternehmen, die Sicherheitstechnologien nutzen sowie Hochschulen, Weiterbildungseinrichtungen und Juristen zusammengeschlossen

3 DAS BAYERISCHE IT-SICHERHEITSCLUSTER

4 DAS BAYERISCHE IT-SICHERHEITSCLUSTER Roadshows und Veranstaltungsreihen mit Kooperationspartner aus ganz Bayern, übrigen Bundesländer und Österreich Veranstaltungsreihe IT-Sicherheit am Donaustrand => Linz, Passau, Deggendorf, Straubing und Regensburg Roadshows z.b.: Safety meets IT Security, Industrial IT Security, Cloud- und Informationssicherheit, Sicheres Internet u.v.m. Kongresse auf der IT-Sicherheitsmesse it-sa

5 DAS BAYERISCHE IT-SICHERHEITSCLUSTER Arbeitsgruppen Erfahrungskreis der Datenschutzbeauftragte Arbeitskreis Verschlüsselung Industrial IT Security Automatisiertes Fahren, Connectivity Vertriebskooperationen Neu: Erfahrungskreis Informationssicherheitsbeauftragte Neu: Industrie 4.0 Geplant: SAP-Anwenderstammtisch

6 DAS BAYERISCHE IT-SICHERHEITSCLUSTER Aktuelle Netzwerke CeSeC Certified Secure Cloud ISA+ - Informations-Sicherheits-Analyse für Unternehmen - mit 50 Fragen zur Informationssicherheit ISIS12 Informations-SIcherheitsmanagementSystem in 12 Schritten

7 NETZWERKE Certified Secure Cloud CeSeC Leitfaden mit verständlich erklärten Fachthemen, die es zu berücksichtigen gilt Workbook mit konkreten Handlungsempfehlungen und Checklisten Angepasste Projektmanagementmethode Software zur Dokumentation des Projektes Zertifizierte Berater und Betreiber

8 LÖSUNGEN FÜR DIE PRAXIS

9 WAS IST ISA+ InformationsSicherheitsAnalyse ISA+ Bedarfsanalyse: Wie informationssicher ist mein Unternehmen? Fragenkatalog umfasst 50 Fragen. Behandelt die Themengebiete: Organisatorisch Technisch Rechtlich

10 ZIELSETZUNG DES PROJEKTES ISA+ Entwicklung eines IT-Sicherheitsprozesses, der verständlich die Notwendigkeit von Informationssicherheit erklärt. auf die Bedürfnisse von kleineren Unternehmen abgestimmt ist. mit vertretbarem Aufwand vom Unternehmen zu bewältigen ist. ein Mindestmaß an Informationssicherheit im Unternehmen etablieren soll.

11 ABGRENZUNG ZU BSI IT-GRUNDSCHUTZ UND ISO/IEC IT-Grundschutz und ISO/IEC nicht für Kleinunternehmen (KU) ausgelegt Entsprechende Ressourcen / Spezialisten erforderlich (intern oder extern) Aufwendige Vorbereitung/Durchführung und Zertifizierung Einstiegshürde für KU zu groß

12 MEHRWERTE FÜR DAS UNTERNEHMEN (1/3) Bedarfsanalyse speziell für kleinere und mittlere Unternehmen (KMU) Einfacher Einstieg in die Informationssicherheit Auf die Anforderungen von KMU angepasster Fragenkatalog Bedarfsanalyse auch ohne (ausgesprochene) technische Kenntnisse durchführbar

13 MEHRWERTE FÜR DAS UNTERNEHMEN (2/3) Betreuung durch erfahrene Netzwerkpartner und akkreditierte ISA+ Berater Stärken und Schwächen der Informationssicherheit werden gezielt identifiziert Handlungsempfehlungen werden aufgezeigt Zugang zu weiteren Schulungs- und Weiterbildungsangeboten

14 MEHRWERTE FÜR DAS UNTERNEHMEN (3/3) Möglichkeit der Auditierung und Zertifizierung des erreichten Sicherheitsniveaus durch: Unabhängige und anerkannte Zertifizierungsstelle Ausstellung einer Zertifikatsurkunde (Gültigkeit 2 Jahre, mit Ausnahme bei Verstößen) Prüfung, Überwachung und Audit des Information-Sicherheits-Niveaus

15 VORGEHENSMODELL ISA+ ÜBERSICHT 1 Initialisierung Erhebung des Status quo 2 Umsetzung von Maßnahmen und Handlungsempfehlungen 3 Durchführung des Vor- Audits 4 Zertifikatsentscheidung auf Basis der Prüfung der Vor-Auditergebnisse Gültigkeit eines erteilten Zertifikats: 2 Jahre Kosten pro angestoßenem Zertifizierungsprozess seitens der Zertifizierungsstelle: 480

16 1. ERHEBUNG DES STATUS QUO Zielsetzung: Systematische Durchführung des strukturierten Abgleichs zwischen den Anforderungen des ISA+ Fragenkatalogs (SOLL) und den vorhandenen Gegebenheiten des betrachteten Unternehmens (IST). Idealfall: Das Unternehmen führt die Erhebung des Status quo zusammen mit dem akkreditierten ISA+ Berater durch, da nur der akkreditierte ISA+ Berater aufgrund seines Wissens um die Reifegrade die vollumfängliche Tragweite (Anforderungen) der Fragen des ISA+ Fragenkatalogs kennt. Aber: Das Unternehmen kann die Erhebung des Status quo auch vollkommen alleine (Selbst-einschätzung) oder mit jedem x-beliebigen Berater zusammen, allerdings nur mit Kenntnis des ISA+ Fragenkatalogs und den jeweiligen Handlungsempfehlungen, durch-führen, es besteht keine Pflicht zur Hinzuziehung eines akkreditierten ISA+ Beraters.

17 2. UMSETZUNG VON MAßNAHMEN UND HANDLUNGSEMPFEHLUNGEN Zielsetzung: Zur Beseitigung der im Rahmen der Erhebung des Status quo identifizierten Schwachstellen bzw. Lücken sind entsprechende Maßnahmen und Handlungsempfehlungen zu konzipieren und umzusetzen. Idealfall: Das Unternehmen führt die Konzeption und Umsetzung der Maßnahmen und Handlungsempfehlungen zusammen mit dem akkreditierten ISA+ Berater durch, da nur der akkreditierte ISA+ Berater aufgrund seines Wissens um die Reifegrade die vollumfängliche Tragweite (Anforderungen) der Fragen des ISA+ Fragenkatalogs kennt. Aber: Das Unternehmen kann die Konzeption und Umsetzung der Maßnahmen auch voll-kommen alleine oder mit jedem x-beliebigen Berater zusammen, allerdings nur mit Kenntnis des ISA+ Fragenkatalogs und den jeweiligen Handlungsempfehlungen, durch-führen, es besteht keine Pflicht zur Hinzuziehung eines akkreditierten ISA+ Beraters.

18 3. DURCHFÜHRUNG DES VOR-AUDITS Zielsetzung: Systematische Durchführung des strukturierten Abgleichs zwischen den Anforderungen des ISA+ Fragenkatalogs (SOLL) und den vorhandenen Gegebenheiten des betrachteten Unternehmens (IST). WICHTIG: Im Fokus stehen die Reifegrade und die geforderten Nachweisarten (z. B. Akteneinsicht)!! WICHTIG: Die Bewertung erfolgt ausschließlich auf Basis der Reifegrade!! Voraussetzung: Die Durchführung des Vor-Audits kann nur erfolgen, wenn das Unternehmen durch einen akkreditierten ISA+ Berater bei der Zertifizierungsstelle zur Zertifizierung angemeldet ist. WICHTIG: Zur Durchführung des Vor-Audits ist ausschließlich nur ein akkreditierter ISA+ Berater berechtigt!

19 4. ZERTIFIKATSENTSCHEIDUNG AUF BASIS DER PRÜFUNG DER VOR-AUDITERGEBNISSE Zielsetzung: Entscheidung über Zertifikatserteilung durch die Zertifizierungsstelle auf Basis der vom akkreditierten ISA+ Berater übermittelten Vor-Auditergebnisse. WICHTIG: Der akkreditierte ISA+ Berater ist unter keinen Umständen dazu berechtigt, diesen Schritt selbst durchzuführen. Dies liegt ausschließlich im Verantwortungsbereich der Zertifizierungsstelle. Der akkreditierte ISA+ Berater, der das Vor-Audit durchgeführt hat, gibt unter keinen Umständen als 100 % sicher geltende positive oder negative Einschätzungen im Hinblick auf die Erteilung oder Nichterteilung des Zertifikats durch die Zertifizierungsstelle ab. z. B.: Das Zertifikat bekommen Sie zu 100 % sicher.

20 ISIS12 EIN ÜBERBLICK

21 ISIS12 WAS IST NEU? Verständlich beschriebener 12-stufiger Prozess, der den Einstieg ins ISMS erleichtert ISMS wird mit IT-Service Management verknüpft Nur unternehmens- und organisationskritische Anwendungen werden betrachtet Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess wird als Workflow abgebildet Speziell entwickeltes Softwaretool

22 INFORMATIONSSICHERHEIT IN 12 SCHRITTEN

23 SCHRITT 1 LEITLINIE ERSTELLEN Unternehmensleitlinie für Informationssicherheit beschreibt die Sicherheitsziele und das angestrebte Sicherheitsniveau Gesamtverantwortung der Unternehmensleitung ( Credo ) Verhältnis Informationssicherheitsziele zu den Geschäftszielen Abstrakte Darstellung für welche Zwecke, mit welchen Mitteln und mit welchen Strukturen Informationssicherheit innerhalb des Unternehmens erreicht werden soll Kurzes und verständliches Positionspapier

24 SCHRITT 2 MITARBEITER SENSIBILISIEREN Führungskräfte und Mitarbeitern muss zu Beginn die Notwendigkeit des ISIS12-Projektes dargestellt werden Kooperation und Mitarbeit in allen Orgenisationsebenen muss geworben werden Jeder ist für Informationssicherheit verantwortlich!

25 SCHRITT 3 INFORMATIONSSICHERHEITS- TEAM AUFBAUEN Festlegung der Aufbauorganisation, die für die ISIS12-Vorgehensweise verantwortlich ist Typische (Rollen-)Mitglieder: ISB (IT-Sicherheitsbeauftragter) Datenschutzbeauftragter (falls vorhanden) Mitarbeiter aus IT-Bereich ISIS12-Dienstleister Eventuell: QM-Beauftragter

26 SCHRITT 4 IT-DOKUMENTATION ERSTELLEN Aktuelle und strukturierte IT-Dokumentation ist eine wesentliche Voraussetzung für das Gelingen von ISIS12 Festlegung einer strukturierten IT-Dokumentation: Rahmendokumente Betriebshandbuch Notfall-Handbuch Festlegung und Beschreibung einer zentralen Basisvorlage Übernahme der vorhandenen IT-Dokumente in die neue Struktur

27 SCHRITT 5 IT-SERVICE MANAGEMENT PROZESSE EINFÜHREN Beschreibung der drei Basisprozesse Wartung Änderung Störungsbeseitigung Enthält die Anforderungen an die IT-Systeme aus ISIS12 Schritt 7 (MTA und SLA) in Form eines Service-Katalogs

28 SCHRITT 6 KRITISCHE ANWENDUNGEN IDENTIFIZIEREN Zuordnung der Schutzbedarfskategorien (A, B, C) für kritische Applikationen bezüglich der Grundwerte Vertraulichkeit, Integrität, Verfügbarkeit Ableitung der MTA (Maximal Tolerierbare Ausfallzeit) und SLA (Service Level Agreement)

29 SCHRITT 7 IT-STRUKTUR ANALYSIEREN Zuordnung der IT-System und Infrastruktur zu den lokalisierten Applikationen Vererbung von Schutzbedarf, MTA und SLA der Applikationen auf die IT- Systeme und Infrastruktur

30 SCHRITT 8 SICHERHEITSMAßNAHMEN MODELLIEREN Ergebnisse der vorausgegangenen Strukturanalyse werden auf Plausibilität geprüft und eventuell angepasst Jedem in der Strukturanalyse gefundenen Objekt (Anwendung, IT-Systeme, Räume, Gebäude ) wird ein entsprechender Baustein zugeordnet, der eine Liste empfohlener und umzusetzender Sicherheitsmaßnahmen enthält Verwendung des ISIS12-Katalogs

31 SCHRITT 9 IST SOLL VERGLEICHEN Untersuchung, welche Sicherheitsmaßnahmen aus dem ISIS12-Katalog bezogen auf die IT-Zielobjekte noch nicht oder nur teilweise wirksam umgesetzt wurden Möglichkeit zu ersten Messung des erreichten Grads an Informationssicherheit: 100% X % noch nicht umgesetzte ISIS12- Katalog Maßnahmen Planung der Umsetzung der offenen Maßnahmen in ISIS12-Schritt 10

32 SCHRITT 10 UMSETZUNG PLANEN Die noch nicht umgesetzten Maßnahmen werden in Bezug auf Kosten für deren Realisierung untersucht Maßnahmen werden priorisiert und der Geschäftsleitung zur Freigabe der benötigten Ressourcen als Entscheidungsgrundlage vorgelegt Hieraus resultiert ein konkreter Umsetzungsplan

33 SCHRITT 11 UMSETZUNG PLANEN Die in den vorhergehenden Phasen gefundenen und genehmigten Sicherheitsmaßnahmen sind nun in die Realität umzusetzen Für jede Maßnahme ist die Rolle des Initiators/Umsetzers und der Zeitpunkt der Realisierung festzulegen Neben der Steuerung muss die Wirksamkeit der umgesetzten Maßnahmen kontrolliert werden

34 SCHRITT 12 REVISION Der PDCA-Ansatz findet Anwendung Stetige Optimierung des IT-Sicherheitsmanagement-Systems durch weitere ISIS12-Zyklen Abruf des Revisionsplans für die Überprüfung der Maßnahmen

35 BETEILIGUNGSMÖGLICHKEITEN Anwender Kontaktaufnahme mit dem Clustermanagement oder direkt mit den ISIS12-Dienstleistern ISIS12-Anwendungsprojekte können in Umfang und Kosten unterschiedlich sein Netzwerkpartner Aktive Mitarbeit im Netzwerk Inhaltliche Weiterentwicklung ISIS12 Öffentlichkeitsarbeit, Marketing, Lobbyarbeit Software Voraussetzung Mitglied im Bayerischen IT-Sicherheitscluster e.v. Zertifizierter ISO/IEC oder IT-Grundschutzauditor oder Mehrjährige Erfahrung im Bereich Beratung IT-Security, Informationssicherheitsmanagement Lizenznehmer Zugang zum ISIS12-Know-How Handbuch, Katalog, Software Voraussetzung Zertifizierter ISO/IEC oder IT-Grundschutzauditor oder Mehrjährige Erfahrung im Bereich Beratung IT-Security, Informationssicherheitsmanagement

36 ISIS12 FAKTEN (I) Grad der technischen Detaillierung Zertifizierungsaufwand Verbindung mit Risikomanagement BSI-Grundschutz (auf Basis ISO/IEC 27001) Technisch sehr detailliert, konkret und umfangreich Zertifizierungsaufwand mindestens 15 PT unabhängig vom Geltungsbereich Sollte mit der Risikoanalyse des BSI einhergehen, andere Risikoanalysen zulässig ISIS12 Konkrete Handlungsempfehlungen, stark geführt, basiert auf dem IT- Grundschutz-Vorgehensweise und - Katalogen Erst-Zertifizierungs-Audit dauert i.d.r. 2 PT und Überwachungs-Audit - 1 PT Nur immanente Risikoanalyse, bei einem höheren Schutzbedarf wird eine Risikoanalyse nach BSI-Standard empfohlen o.ä.

37 ISIS12 FAKTEN (II) Werkzeuge zur Unterstützung Voraussetzungen für Zertifizierung Kombination mit anderen Zertifikaten BSI-Grundschutz (auf Basis ISO/IEC 27001) Mehrere (auch kostenfreie) Tools am Markt verfügbar. Das BSI hat ein eigenes Tool. Tooleinsatz wird dringend empfohlen. Das ISMS sollte mindestens bereits 6 Monate betrieben werden. Die Kombination mit einer anderen Zertifizierung ist beim BSI nicht möglich ISIS12 Tooleinsatz wird empfohlen; ISIS12- Softwaretool, und kommerzielles Tool stehen zur Verfügung. Einsatz des Tools wird empfohlen. Die 12 Schritte des ISMS müssen einmal komplett durchlaufen und wirksam umgesetzt worden sein. Kombinierbar mit ISO 9000 (Qualitätsmanagement) und ISO (Umweltmanagement) und ISO (IT-Servicemanagement)

38 ISIS12-Zertifikat Möglichkeit zur Zertifizierung durch die DQS Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12- Auditoren Unterstützung durch ISIS12-Dienstleister möglich

39 INITIATIVE CYBERSICHERHEIT Staatliche und kommunale Behörden müssen bis Ende 2018 die Anforderungen der Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates erfüllen Einführung eines Informations-Sicherheits-Managementsystems (ISMS) BSI IT Grundschutz ISO/IEC 2700x ISIS12

40 INITIATIVE CYBERSICHERHEIT ISIS12 ist ein Projekt/Produkt der Initiative Cybersicherheit Bayern und wird vom Bayerisches Innen- und Wirtschaftsministerium unterstützt:

41 INITIATIVE CYBERSICHERHEIT ISIS12 ist derzeit das einzige (auf ca. 25%) Aufwand reduzierte von IT- Planungsrat akzeptierte Verfahren Förderprogram der Initiative Cybersicherheit Förderung bezieht sich auf die Implementierung ISIS12 Förderung kann falls später gewünscht für Aufstocken zu BSI IT Grundschutz oder ISO 2700X genutzt werden

42 DAS BAYERISCHE IT-SICHERHEITSCLUSTER Bayerischer IT-Sicherheitscluster e.v. Sandra Wiesbeck Clustermanagerin und Vorstandsvorsitzende Bruderwöhrdstr. 15 b Regensburg 0941/ sandra.wiesbeck@it-sec-cluster.de