ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

Transkript

1 1. Vorgehensweise IT Grundschutz (BSI 100-2) und ISO27000, inklusive Vergleich zwischen beiden Grundschutz: Idee: ähnliche Risiken in vielen Systemen pauschalisierte Gefährdungslage, Auswahl der Sicherheitsmaßnahmen aus Katalogen Vorgehensweise: I) Strukturanalyse - Woraus besteht mein System? - Wie sind die Abhängigkeiten? - Begriff des "Informationsverbundes" Aufgaben: (Geschäftsprozesse, Anwendungen erfassen,erstellung graf. Netzplan; erhebung von IT Tabelle, Erfassung Räume, Gruppierung) II) Schutzbedarfsfeststellung - Wie hoch sind die Anforderungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit - normal - hoch - sehr hoch, - bei sehr hoch: det. RA Maximumprinzip Auf IT-System können mehrere Anwendungen laufen. Jener Schaden mit den größten Auswirkungen bestimmt Schutzbedarf des IT-Systems. Kumulationseffekt Durch Kumulation mehrerer Schäden entsteht ein insgesamt höherer Gesamtschaden. -> Schutzbedarf erhöht. Verteilungseffekt Eine Anwendung überträgt ihren hohen Schutzbedarf nicht auf ein IT-System, weil auf diesem IT-System nur unwesentliche Teile der IT-Anwendung laufen. Bei redundanter Systemauslegung ist der Schutzbedarf der Einzelkomponenten niedriger als der Schutzbedarf der Gesamtanwendung. III) Modellierung (Zusammensetzung aus bestehenden Bausteine [Maßnahmen- und Gefährdungskatalog und IT-Grundschutz Bausteine]) IV) Basis-Sicherheitscheck (Soll-Ist-Vergleich: (Umsetzungsstatus z.b.: ja-entbehrlich-teilweise-nein)) V) Ergänzende Sicherheitsanalyse (ähnlich der Risikoanalyse - Unterschied zu anderen Verfahren: Gefährdung = Bedrohung + Schwachstellen) ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz Anforderungen: Unparteilichkeit Neutralität Wiederholbarkeit Objektivität finanzielle Unabhängigkeit Information security management systems-requirements Prozessorientierter Ansatz Def. Anforderungen an ISMS (managementsysteme für informationssicherheit) plan: establish ISMS ( policy, risks) do: implement and operate ISMS ( risk treatment plan) check: monitor and review ISMS ( measure effectiveness, update security plans) act: maintain and improve ISMS ( implementation of identified improvements) Sicherheitsmaßnahmen sind verpflichtend, aber nicht vollständig Basis für Zertifizierungsverfahren Zertifizierung: - Wer: durch akkreditierte Zertifizierungsstelle (Ö: Akkreditierung durch BMWA; Zertifizierungsstelle: CIS) - Was: ISMS wird zertifiziert, keine Produkte oder Services - Wie lange: 3 Jahre gültig, halbjährliche Surveillance Audits (Auditprozess) - Wofür: Zertifikat als wichtiges Zeichen gegenüber Kunden und Partnern

2 ( Vertrauenswürdigkeit, Qualität), keine Garantie Der Auditprozess: Initialisierung o Zertifizierungsantrag o Befugnis für Durchführung o ggf. Abstimmung des IT Verbundes Durchführung o Prüfung der Dokumentation o Vorbereitung für Tätigkeiten vor Ort o Durchführung der Tätigkeiten vor Ort Bewertung o Erstellung des Berichts o Nachprüfung Durchführung von Überwachungsaudits o Alle Schritte der Durchführung und der Bewertung 2. Der ISMS Prozess = ISO Vorgehensmodell ISMS = Information Securty Management System Prozess Schritt 1: Einführung des ISMS Anwendungsbereich festlegen Identifikation, Bewertung, Analysieren, Behandlung von Risiken Schritt 2: Implementierung und arbeiten mit dem ISMS Formulierung und Implementierung eines Risikobehandlungsplans Definition der Effektivitätsmessung Schritt 3: Monitoring Regelmäßige Reviews Effektivitätsmessungen Security Pläne updaten Aufzeichnung aller Geschehnisse Schritt 4: Wartung und Verbesserung Implementierung von Verbesserungen Kommunikation der Verbesserungen 3. BIA: business impact analyse (schritte) = Auswirkung von Störungen etc. auf die Organisation Welche Geschäftsprozesse sind wichtig für die Aufrechterhaltung des Geschäftsbetriebes? Kritische Prozesse im Sinne von zeitkritisch Schritte: 1) Auswahl Organisationseinheiten und Prozesse 2) Schadensanalyse (Schadens-/Schutzbedarfskategorisierung zeitl. Verlauf, Termine) 3) Festlegung der Wiederanlaufsparameter (Reaktion Wiederherstellung Rückführung) 4) Berücksichtigung von Abhängigkeiten 5) Priorisierung/Kritikalität der Geschäftsprozesse 6) Erhebung der Ressourcen für Normal- und Notbetrieb 7) Kritikalität und Wiederanlaufzeiten der Ressourcen 4. BSI Business Continuity Management

3 -> Umfasst Notfall Krise Katastrophe; Management Prozess zur Identifikation potentieller Threats. I) Initialisierung (Managementverantw., Leitlinie, Organ. Vorraussetzungen) = Plan II) Vorbereitung, Entwicklung, Umsetzung (BIA, RisikoA, Notfallstrategien u. Maßnahmen festlegen, Notfallhandb. erstellen, Krisenmgmt festlegen) = Do III) Aufrechterhaltung (Übungen, Tests, Revisionen, Weiterentwicklung) = Check, Act 5. Ö. sicherheitshandbuch (Sicherheitsmanagementprozess) Sicherheitsmanagementprozess nach SIHB I) Entwicklung einer organisationsweiten Informationssicherheitspolitik (Entwicklung) I.1) Ziele und Strategien für Informationssich. (Was wollen wir wie erreichen?) I.2) Organisation und Verantwortlichkeiten, Rechte/Pflichten (Wer ist wofür zuständig?) I.3) RA-Strategie (Wie werden Risiken ermittelt, wie gehen wir damit um?) I.4) Klassifizierung von Daten, Vertraulichkeits-/Datenschutzklassen (Wie, durch wen und Umgang) I.5) Klassifizierung von Applikationen/Systemen (4 Verfügbarkeitsklassen) I.6) Nachfolgeaktivitäten (Nachhalt. Aufrechterhaltung der Sicherheit, Awareness, Compliancecheck) II) Risikoanalyse (Entwicklung) 1) Zusammenhänge definieren (Scope, Rahmenbedingungen, (Un)tragbare Risiken) 2) Risiken identifizieren (Assets, Threats, Vuln., Funktion von Auswirkungen/Eintrittswahrsch.) 3) Risiken abschätzen (qualitativ gering/mittel/hoch und quantitativ in Zahlen) 4) Risiken bewerten (Risiko behandeln? Prioritäten setzen!) 5) Risiken behandeln (vermeiden, vermindern, transfer, akzeptieren) 6) Risiken akzeptieren (Risiko unter gegebenem Wert, Behandlung nicht möglich/sinnvoll Mgmt!) Grundschutz: Idee: ähnliche Risiken in vielen Systemen pauschalisierte Gefährdungslage, Auswahl der Sicherheitsmaßnahmen aus Katalogen III) Sicherheitskonzept (Entwicklung) Auswahl von Sicherheitsmaßnahmen: (techn., org., baulich, pers.); Risikoakzeptanz (Quantifizierung u. Bewertung von risiken); Funktionen (vertraul., integr., verfügb.), Wirkung (Vorbeug., Aufdeck.) IV) Umsetzung (Realisierung) Dokumentation (aktuell, vollst., detailliert, Versions-/Integritätskontrolle), Sensibilisierung (Awareness, MA Infos), Akkreditierung (Freigabe des IT Systems zum Betrieb in einer speziellen Umgebung) V) Laufender Betrieb (Betrieb) Aufrechterhaltung der Sicherheitseinrichtungen; Change Management (Erkennen neuer Sicherheitsanforderungen bei Systemänderungen, angemessene/schriftliche/ standardisierte Entscheidungsgrundlage) 6. Informationsverbund (früher: IT-Verbund): Geltungsbereich für die Erstellung der Sicherheitskonzeption Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann umfassen: die gesamte IT einer Institution einzelne Bereiche, die durch organisatorische Strukturen oder gemeinsame IT-Anwendungen (z. B. Personal-Informationssystem) gegliedert sind Geschäftsprozesse

4 7. BSI Risikoanalyse IT Grundschutz 1) Erstellung der Gefährdungsübersicht 2) Ermittlung zusätzlicher Gefährdungen 3) Gefährdungsbewertung 4) Maßnahmenauswahl zur Risikobehandlung 5) Konsolidierung des Sicherheitskonzeptes 8. FH will Zertifikat haben -> welches empfiehlst du und warum? Grundschutz! Vorteil: Stufenweise Zertifizierung, -> man muss nicht sofort so viel Geld investieren. Man hat ein gutes, allgemeines Sicherheitsniveau, Interne Prozesse können optimiert werden, man gewinnt mehr vertrauen gegenüber Kunden,.. Später kann immer noch Iso-Zertifizierung möglich 9. Klassifizierung von Daten Schritt 1: Festlegen von Sicherheitsklassen Vertraulichkeitsklassen: Eingeschränkt, Vertraulich, Geheim, Streng Geheim Vertraulichkeitsklassen (selbst definiert): Offen, Vertraulich, Geheim Datenschutzklassen: Indirekt Personenbezogen, Personenbezogen, Sensibel Schritt 2: Festlegen der Verantwortlichkeiten und Vorgehensweise Wer ist zuständig für Klassifizierung? Kriterien zur Klassifizierung? Wann / Wer deklassifiziert Daten? Schritt 3: Regeln zum Umgang mit klassifizierten Informationen Kennzeichnung, Speicherung (Zugriffsberechtigungen), Übertragung (Verschlüsselung), Ausdruck, Backup (Schutz), Aufbewahrung / Vernichtung, Weitergabe (Bedingungen), Deklassifizierung (Wer, Wann) 10. Klassifizierung von Applikationen und Systemen Ziel: Gewährleistung der Verfügbarkeit innerhalb eines definierten Zeitraums Schadensbegrenzung im Katastrophenfall z.b. Klassifizierungsschema des Bundes: keine Vorsorge (unkritisch) Offline Sicherung Redundante Infrastruktur Redundanter Standort 11. Anforderungen an ein ISMS für ISO / IEC Zertifizierung Anforderungen an ISMS nach ISO 27001: im ISO27001 stehen die Anforderungen für ein ISMS. -> Managementverantwortung, interne ISMS Audits, Managemenent Review von ISMS, Dokumentenkontrolle 12. Gibt es eine Zertifizierung nach IT-Grundschutz, wenn ja, welche und wie lange ist sie Gültig? Es gibt eine Zertifzierung von ISO auf Basis von IT Grundschutz. Hier wird das ISMS + die konkreten Sicherheitsmaßnahmen auditiert. 13. Wo ist der Unterschied zwischen einer detaillierten Risikoanalyse und der Grundschutzanalyse nach IT-Grundschutz? Bei einer Analyse nach IT Grundschutz wird von einer pauschalisierten Gefährdunslage ausgegangen. Hierbei kann ein hohes, aber nicht immer angemessenes Schutzniveau entstehen. Im Vergleich zur detaillierten RA welche deutlich mehr finanzielle, zeitliche und personelle Ressourcen benötigt: hier wird

5 im Detail auf den Prozess eingegangen und das Schutzniveau entsprechend angepasst. Nicht Teil der Frage: es empfiehlt sich daher, den kombinierten Ansatz zu wählen. Für den Großteil wird die RA nach Grundschutz genügen, für einige Ausnahmen (besonders wichtige Assets), ist jedoch eine detaillierte Analyse zu empfehlen. 14. Warum soll man eine iso27000 Zertifizierung machen (Vorteile, Voraussetzungen) Ein Informationssicherheitsmanagementsystem nach ISO einzuführen, kann langfristig gesehen Kostenoptimierungen durch die Optimierung interner Prozesse ermöglichen. Weitere Vorteile ergeben sich für Kunden und Partner, welche Wert auf ein hohes Sicherheitsniveau legen. Voraussetzungen ist die Unterstützung durch das oberste Management, ist diese nicht gegeben, und werden nicht ausreichend Ressourcen für die Etablierung, Einführung, Kontrolle und Verbesserung vorgesehen (finanziell, personell, zeitlich), ist dieses bereits zum scheitern verurteilt. 15. Unterschied bzw. Überschneidungen zwischen iso27000 und Grundschutz Der IT-Grundschutz beschreiben detailliert Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT- System zu beachten sind. Es umfasst: - Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf, - eine Darstellung der pauschal angenommenen Gefährdungslage, - ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe, - eine einfache Verfahrensweise zur Ermittlung des erreichten Sicherheitsniveaus in Form eines Soll-Ist- Vergleichs und - eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus. ISO / ISO befasst sich hauptsächlich mit dem letzten Punkt, also dem Aufbau eines Informationssicherheitsmanagements und seiner Verankerung in der Organisation. Dies wird beim IT- Grundschutz im wesentlichen durch den BSI-Standard beschrieben. Anders als in den IT- Grundschutz-Katalogen finden sich in der ISO keine detaillierten Umsetzungshinweise, sondern übergreifende Anforderungen.