ISO 2700 und seine Auswirkungen auf die IT oder: Die Standards kommen. Jürgen Müller Berufsakademie Gera

Transkript

1 ISO 2700 und seine Auswirkungen auf die IT oder: Die Standards kommen Jürgen Müller Berufsakademie Gera

2 Informationsquellen Institutionen Links Vergleich Sicherheitsstandards: Zuordnungstabelle ISO27001 Grundschutz: BITKOM-Kompass der Sicherheitsstandards: VdS 3473: IT-Grundschutz nach BSI Folie 2

3 Schutz von Informationen Informationen sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung IT-Grundschutz nach BSI Folie 3

4 Grundwerte der Informationssicherheit Verfügbarkeit Vertraulichkeit Integrität Authentizität Verbindlichkeit (Nicht-Abstreitbarkeit) Zuverlässigkeit (Verlässlichkeit) IT-Grundschutz nach BSI Folie 4

5 Informationssicherheit aus verschiedenen Blickwinkeln Klassische IT-Sicherheit Schutz nach außen (Hacker, Viren, Trojaner) Schutz nach innen (Mitarbeiter als Risikofaktor) Geschäftskontinuität (Business Continuity Management) Regulatory Compliance Einhaltung von gesetzlichen Vorschriften und Richtlinien Bedarfsgerechte Umsetzung der Regularien ist wichtig Dokumentierbarkeit, IT-Audit von zentraler Bedeutung IT-Grundschutz nach BSI Folie 5

6 Regulatory Compliance Was dahinter steckt IT-Sicherheits-Treiber Nr.1 in den USA Sarbanes-Oxley, HIPPA, Gramm-Leach-Bliley Act Spektakuläre Strafmaßnahmen bei Verstößen Auch wirksam für ausländische Niederlassungen ABER: keine Entwarnung für deutsche Unternehmen Empfehlung: lieber Compliance-Projekte in Angriff nehmen Zahlreiche deutsche und europäische Gesetze in Kraft Geschäftsführer und Vorstände haften persönlich Hinreichend spektakuläre Strafen bei Verstößen IT-Grundschutz nach BSI Folie 6

7 Regulatory Compliance zahlreiche Gesetze in Kraft Bundesdatenschutzgesetz (BDSG) Schützt den Bürger vor Missbrauch seiner Daten GmbH Gesetz (GmbHG) Sanktioniert mangelnde Sicherheitsmaßnahmen Handelsgesetzbuch (HGB) Verpflichtet zu angemessenen Sicherheitsmaßnahmen Ges. Kontrolle+Transparenz i. Unternehmensbereich Basel II Verpflichtet zu angemessenem IT-Risiko-Management IT-Risiken werden bei Kreditvergabe berücksichtigt IT-Grundschutz nach BSI Folie 7

8 Rechtsfragen der IT-Sicherheit Pflichtenlage: Wer muss welche Maßnahmen in welchem Umfang ergreifen? Haftungslage: Wer haftet in welchem Umfang für verwirklichte Risiken? Beweislage: Wer muss im Streitfall welche Tatsachen wie beweisen? IT-Grundschutz nach BSI Folie 8

9 Datenschutzgesetze EU-DSGVO IT-Sicherheits-Gesetz IT-Sicherheitsgesetz NIS

10 Datenschutzgesetze Technische und organisatorische Maßnahmen zur Datensicherheit nach 9 BDSG Vorabkontrolle Bei besonders risikobehafteten Verfahren hat eine vorherige datenschutzrechtliche Prüfung durch den behördlichen Datenschutzbeauftragten stattzufinden! Verfahrensverzeichnis Verantwortlichen Stellen sind verpflichtet, ein Verzeichnis der Verfahren zu führen, in denen personenbezogene Daten automatisiert verarbeitet werden. DSB muss Verfahrensverzeichnis führen und dieses auf Antrag jedermann verfügbar machen. IT-Grundschutz nach BSI Folie 10

11 Verfahrensverzeichnisse 1. der Name und die Anschrift der verantwortlichen Stelle, 2. die Bezeichnung des Verfahrens (einschließlich des eingesetzten Betriebssystems und der genutzten Programme), 3. die Rechtsgrundlage und die Zweckbestimmungen der Datenverarbeitung, 4. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 5. die empfangenden Stellen oder Kategorien von empfangenden Stellen, denen die Daten mitgeteilt werden können, 6. die Regelfristen für die Sperrung und Löschung der Daten, 7. die Verarbeitung personenbezogener Daten im Auftrag, 8. die zugriffsberechtigten Personengruppen oder Personen, die allein zugriffsberechtigt sind, sowie 9. die ergänzenden technischen und organisatorischen Maßnahmen nach 9. Grün dargestellte Informationen müssen auf Antrag verfügbar gemacht werden. IT-Grundschutz nach BSI Folie 11

13 Artikel 5: Grundsätze der Verarbeitung 13 Rechenschaftspflicht (Art 5, Abs. 2) Der für die Verarbeitung Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss in der Lage sein, dies nachzuweisen Sicherheitskonzept dokumentiert technische und organisatorische Maßnahmen IT-Grundschutz nach BSI Folie 13

14 Artikel 22: Pflichten des für die Verarbeitung Verantwortlichen 14 Verpflichtung zu technischen und organisatorischen Maßnahmen auf Basis von Schutzbedarf: Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung Risiken unterschiedlicher Eintrittswahrscheinlichkeit Schwere für die Rechte und Freiheiten natürlicher Personen Nachweis dafür muss erbracht werden! Diese Maßnahmen sind zu überprüfen und gegebenenfalls zu aktualisieren. Tipp: Maßnahmen aus den IT-Grundschutz-Katalogen verwenden! IT-Grundschutz nach BSI Folie 14

15 ISMS wird notwendig! 15 Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 38 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 39 kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des für die Verarbeitung Verantwortlichen nachzuweisen. IT-Grundschutz nach BSI Folie 15

16 Art. 23: Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen 16 Data protection by design and by default Erforderliche Sicherheitsmaßnahmen müssen in die Verarbeitung von Anfang an integriert werden: unter Berücksichtigung der aktuellen Technologie und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen IT-Grundschutz nach BSI Folie 16

17 Artikel 28: Aufzeichnungen der Verarbeitungsaktivitäten 17 Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten Zwecke der Verarbeitung Kategorien von betroffenen Personen und der Kategorien der Daten Kategorien von Empfängern gegebenenfalls Übermittlungen von Daten in ein Drittland oder an eine internationale Organisation vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (wenn möglich) allgemeine Beschreibung der techn. und org. Maßnahmen gemäß Artikel 30 Absatz 1 Entspricht Verfahrensverzeichnis nach BDSG IT-Grundschutz nach BSI Folie 17

18 Abschnitt 2: Datensicherheit 18 Sicherheit der Verarbeitung (Art. 30) Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 31) Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 32) Grundwerte der Informationssicherheit sind zu sichern: Vertraulichkeit, Integrität, Verfügbarkeit IT-Grundschutz nach BSI Folie 18

19 Sicherheit der Verarbeitung (Art. 30) 19 Verantwortliche und der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen umsetzen, um ein angemessenes Maß an Sicherheit im Hinblick auf das bestehenden Risiko sicherzustellen, unter anderem: Pseudonymisierung und Verschlüsselung Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme Verfügbarkeit und den Zugang zu Daten im Falle eines physischen oder technischen Vorfalls rasch wiederherzustellen (Notfallmanagement nach BSI-Standard 100-4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (IT-Revision) IT-Grundschutz nach BSI Folie 19

20 Artikel 33: Datenschutzfolgenabschätzung 20 Vorabkontrolle nach BDSG Ist durchzuführen, wenn Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, insbesondere: Bei systematischer und umfassender Auswertung persönlicher Aspekte einer natürlichen Person Verarbeitung im großen Umfang spezieller Kategorien von Daten gemäß Artikel 9 Absatz 1 oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten gemäß Artikel 9a systematische weiträumige Überwachung von einem öffentlich zugänglichen Bereich Rat des Datenschutzbeauftragten ist einzuholen (Abs. 1a) IT-Grundschutz nach BSI Folie 20

21 Inhalt der Folgenabschätzung 21 Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken die vorgesehenen Maßnahmen IT-Grundschutz nach BSI Folie 21

22 Artikel 79: Verhängung von Geldbußen 22 Absatz 3: Bußgelder bis zu Euro oder im Falle von Unternehmen bis zu 2 % des gesamten weltweiten Jahresumsatz Absatz 4: Bußgelder bis zu Euro oder im Falle von Unternehmen bis zu 4 % des gesamten weltweiten Jahresumsatz IT-Grundschutz nach BSI Folie 22

24 Wesentliche Eckpunkte I Das Gesetz betrifft alle Betreiber kritischer Infrastrukturen. Welche dies sind soll gem. des (neu vorgesehenen) 10 Abs. 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik das Bundesministerium des Innern in einer Rechtsverordnung bestimmen. Der Entwurf sieht eine Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme vor. Die Meldungen sollen direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen, wobei eine pseudonyme Meldung grundsätzlich ausreicht Weiterhin sollen Unternehmen innerhalb eines Zeitraums von zwei Jahren Sicherheitsstandards für ihre jeweilige Branche festlegen. IT-Grundschutz nach BSI Folie 24

25 Wesentliche Eckpunkte II Der Entwurf sieht in diesem Zusammenhang weiter eine Verpflichtung der Unternehmen vor, dem BSI mindestens alle zwei Jahre eine Aufstellung aller Sicherheitsaudits, Prüfungen und Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln. Neben einer Befugnis zur Anforderung der gesamten Audit-, Prüfungsoder Zertifizierungsergebnisse soll das BSI im Falle von Sicherheitsmängeln auch die unverzügliche Beseitigung dabei festgestellter Mängel verlangen können. IT-Grundschutz nach BSI Folie 25

26 Definition der "Kritischen Infrastrukturen" Die Kritischen Infrastrukturen sind mit dem Erlass des IT- Sicherheitsgesetzes zunächst einmal ausreichend definiert. Der Gesetzgeber gibt dann noch einen Blick in die Zukunft und verweist darauf, dass Kritische Infrastrukturen im Sinne des BSI- Gesetzes durch eine Rechtsverordnung nach 10 Abs. 1 BSI- Gesetz näher bestimmt werden. Rechtsverordnung liegt vor. Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen definiert auch die Staatliche Verwaltung als Kritische Infrastruktur IT-Grundschutz nach BSI Folie 26

27 Verwaltung und "Kritische Infrastrukturen" In der Drucksache 18/4096 des Deutschen Bundestages wird auf S. 24 darauf hingewiesen, dass nicht zu den vom BSI-Gesetz adressierten Kritischen Infrastrukturen die Verwaltung von Regierung und Parlament sowie die öffentliche Bundesverwaltung gehört. Hier wird auf die bisherigen Spezialregelungen, unter anderem in den 4, 5 und 8 des BSI-Gesetzes verwiesen. Für die Verwaltungen der Länder und Kommunen hat der Bund keine Gesetzgebungskompetenz. IT-Grundschutz nach BSI Folie 27

29 IT-Sicherheitsgesetz NIS Die Europäische Union hat 2013 angestoßen, dass IT- Infrastrukturen gesondert normativ geschützt werden müssen. Konsequenz: IT-SiG (2015) Unter der Bezeichnung NIS (Network and Information Security) wurden Vorschläge von der EU-Kommission verabschiedet und sollen nun in eine verbindliche EU-Richtlinie mit Gesetzescharakter umgewandelt werden. IT-Grundschutz nach BSI Folie 29

30 IT-Sicherheitsgesetz NIS Ziel: Schutz Europas als Bündnis Daher müssenden Ländern im Konsens festgelegte Richtlinien zu allen wesentlichen Aspekten an die Hand gegeben werden. Die Festlegung, kritische Infrastrukturen zu kontrollieren, ist dabei ebenso entscheidend, wie die Umsetzung der Maßnahmen zum Schutz der IT. IT-Grundschutz nach BSI Folie 30

31 IT-Sicherheitsgesetz NIS Verantwortlich als europäische Zentrale beziehungsweise Kooperationsstelle wird die ENISA (European Network and Information Security Agency) sein. Analog zum deutschen BSI koordiniert sie die Umsetzung, Aktivitäten sowie Vorfälle und ruft gegebenenfalls europaweite Maßnahmen aus. NIS-Zeitplan: Mit Rechtsgültigkeit des Gesetzes habendie jeweiligen EU-Staaten 21 Monate für ihr eigenes nationales IT-Sicherheitsgesetz. Das beinhaltet Beschluss, Verabschiedung und Inkrafttreten. Für deutsche Unternehmen, die sich nach dem IT-SiG eingerichtet und beispielsweise bereits ein ISMS eingeführt haben, ändert sich nach aktuellem Stand dadurch kaum etwas. IT-Grundschutz nach BSI Folie 31

32 Methodik für Informationssicherheit? Viele Wege führen zur Informationssicherheit... Welcher Weg ist der effektivste? IT-Grundschutz nach BSI Folie 32

33 Internationale Standards Management der Informationssicherheit BS 7799 (ITIL verweist bei der Sicherheit auf diesen Standard) ISO seit 2005 Zertifizierung von Informationssicherheitsmanagementsystemen, entstanden auf Basis von BS 7799 IT-Grundschutz (BSI-Standards) VdS 3473 : Cyber-Security für kleine und mittlere Unternehmen IT-Grundschutz nach BSI Folie 33

34 ISO 2700x Information technology Security techniques ISO 27001: IT-Sicherheitsmanagement-System ISO/IEC enthält Begriffe und Definitionen, welche in der Normenserie ISO verwendet werden. ISO/IEC Code of practice for information security management Leitfaden zur Umsetzung der ISO ISO FCD ist an den BS :2006 angelehnt und behandelt das Thema IS Risikomanagement. (In Kraft getreten seit ) ISO/IEC Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (in Kraft getreten am 1. März 2007) regelt die Kriterien, nach denen Stellen arbeiten müssen, die Informationssicherheitsund Managementsysteme nach ISO auditieren und zertifizieren wollen. IT-Grundschutz nach BSI Folie 34

35 ISMS nach ISO 2700x als Prozess Der Standard ISO/IEC definiert auf knapp 30 Seiten Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS). Anforderungen an ISMS Sicherheitsanforderungen in Strategie und Leitlinie formulieren Mit Risikoanalyse technische, finanzielle, rechtliche, soziale Risiken beschreiben Sicherheitskonzept ausarbeiten (umzusetzende Schutzmaßnahmen) Implementierung der Sicherheitsmaßnahmen Überwachungsaufgaben Regelmäßige Überprüfung und Verbesserung IT-Grundschutz nach BSI Folie 35

36 IT-Grundschutz Die Idee... Typische Abläufe und IT-Komponenten überall ähnlich Wichtig: Wiederverwendbarkeit Anpassbarkeit Erweiterbarkeit Typische Gefährdungen, Schwachstellen und Risiken Typische Geschäftsprozesse und Anwendungen Typische IT-Komponenten Gerüst für das IT-Sicherheitsmanagement wird gebildet IT-Grundschutz nach BSI Folie 36

37 Ziel des IT-Grundschutzes IT-Grundschutz verfolgt einen ganzheitlichen Ansatz. Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen helfen, ein Standard- Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen. An vielen Stellen werden bereits höherwertige Maßnahmen geliefert, die die Basis für sensiblere Bereiche sind. IT-Grundschutz nach BSI Folie 37

38 Sicherheitsniveau Erreichbares Sicherheitsniveau normaler Schutzbedarf Sicherheitsaspekte IT-Grundschutz nach BSI Folie 38

39 IT-Grundschutz Aktuell seit 2005 BSI-Standards + Loseblattsammlung IT-Grundschutz nach BSI Folie 39

40 BSI-Sicherheitsstandards BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1: ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2: IT-Grundschutz-Vorgehensweise BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz IT-Grundschutz-Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen Bausteinkataloge Kapitel B1 "Übergreifende Aspekte" Kapitel B2 "Infrastruktur" Kapitel B3 "IT-Systeme" Kapitel B4 "Netze" Kapitel B5 "IT-Anwendungen" Gefährdungskataloge Maßnahmenkataloge IT-Grundschutz nach BSI Folie 40

41 BSI-Standard IT-Sicherheitsstrategie IT-Sicherheitsstrategie als zentrale Komponente des ISMS: Ziele Rahmenbedingungen IT-Sicherheitsstrategie Hilfsmittel zur Umsetzung: Dokumentation, Bekenntnis IT-Sicherheitskonzept IT-Sicherheitsorganisation IT-Sicherheitsleitlinie (englisch: security policy) IT-Grundschutz nach BSI Folie 41

42 BSI-Standard Wesentliche Merkmale Aufbau und Betrieb eines IT-Sicherheitsmanagements (ISMS) in der Praxis Anleitungen zu: Aufgaben des IT-Sicherheitsmanagements Etablierung einer IT-Sicherheitsorganisation Erstellung eines IT-Sicherheitskonzepts Auswahl angemessener IT-Sicherheitsmaßnahmen IT-Sicherheit aufrecht erhalten und verbessern IT-Grundschutz nach BSI Folie 42

43 Aufrechterhaltung Überprüfung Informationsfluss Zertifizierung Vorgehensweise nach IT-Grundschutz Zusammenfassung Initiierung des IT-Sicherheitsprozesses IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck I Ergänz. Sicherheitsanalyse Gefährdungsübersicht Zusätzliche Gefährdungen Gefährdungsbewertung Basis-Sicherheitscheck II Realisierung Behandlung von Risiken Konsolidierung Standard-Sicherheit Risikoanalyse IT-Grundschutz nach BSI Folie 43

44 Schadensszenarien Schäden für Institution und den einzelnen Betroffenen Negative Innen- und Außenwirkung Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der Aufgabenerfüllung Finanzielle Auswirkungen Wichtig für Schutzbedarfsfeststellung! IT-Grundschutz nach BSI Folie 44

45 IT-Grundschutz-Kataloge Aufbau IT-Grundschutz nach BSI Folie 45

46 ISO Zertifizierung auf Basis von IT-Grundschutz ISO IT-Grundschutz IT-Grundschutz nach BSI Folie 46

47 Zertifizierungsablauf vergibt / veröffentlicht Zertifikat Antragsteller prüft IT-Verbund erstellt Prüfbericht gibt Prüfbericht an BSI Zertifizierungsstelle beauftragt Prüfung der Umsetzung von IT-Grundschutz überprüft / lizenziert Auditor prüft Prüfbericht ISO Auditor auf Basis von IT-Grundschutz IT-Grundschutz nach BSI Folie 47

48 Erfahrungen mit der Zertifizierung Die Zertifizierung ist gleichermaßen für kleine Unternehmen wie auch für großen Rechenzentren geeignet! Umsetzung IT-Grundschutz: Aufwand des Auditors: 6-12 Monate Tage Erfolgsfaktoren: Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch die IT- und TK-Verantwortlichen konsequente Gruppenbildung Tool-Unterstützung IT-Grundschutz nach BSI Folie 48

49 ISO vs. IT-Grundschutz IT-Grundschutz nach BSI Folie 49

50 VdS Cybersecurity VdS Schadenverhütung GmbH: unabhängige Prüfinstitution mit den Schwerpunkten Brandschutz und Security Cyber-Security für kleine und mittlere Unternehmen (KMU) Vorgestellt 2015 auf der CeBIT Richtlinien VdS 3473 basieren auf den anerkannten Standards ISO 27001/2 und BSI-Grundschutz. IT-Grundschutz nach BSI Folie 50

51 VdS Cybersecurity Hinter den branchenneutralen Richtlinien verbirgt sich ein speziell auf KMU zugeschnittenes Verfahren, mit dem der Informationssicherheitsstatus eines Unternehmens zertifiziert werden kann. Die Mindestanforderungen an die Informationssicherheit sind so gestaltet, dass KMU organisatorisch und finanziell nicht überfordert werden. Mit der Veröffentlichung der Richtlinien VdS-zertifizierte Cyber- Security (VdS 3473) und dem dazugehörigen Dienstleistungsangebot bietet VdS allen KMU die Möglichkeit, diese Sicherheitslücke organisatorisch und finanziell mit ca. 20 % des Aufwandes im Vergleich zur ISO Reihe zu schließen. IT-Grundschutz nach BSI Folie 51

52 Fazit Die Sicherheitsmonster stehen vor der Tür Sie sind nicht schön und machen Arbeit. Aber sie schützen! IT-Grundschutz nach BSI Folie 52