Informationssicherheitsstandards 2016

Transkript

1 Informationssicherheitsstandards 2016 ISO 27001, BSI IT-Grundschutz, SECU-ZERT und VdS 3473

2 RUCON Management GmbH

3 RUCON Management GmbH Spezialisierung Sicherheitsfragen im Mittelstand Leistungsspektrum Beratung Analyse Projektierung Realisierung Controlling Fakten 100% Tochter der RÜHLCONSULTING GmbH Geschäftsführer: Jens Eichler Uwe Rühl Geschäftssitz: Nürnberg 3

4 RUCON Management GmbH Tätigkeitsfelder Beratung Projektmanagement Konzeption Implementierung Partner Externe spezialisierte Ressource z.b. als ISMS-Beauftragter Analysen Bewertungen Lieferantenaudits Audits Sensibilisierungsmaßnahmen Trainings Trainings Interne Audits Schulungen 4

5 RUCON Management GmbH Expertise Informationssicherheitsmanagement: ISO/IEC und BSI IT-Grundschutz Risikomanagement: ISO und ISO/IEC Business Continuity Management: BS // ISO IT-Service-Management: ITIL und ISO/IEC IRBC nach ISO/IEC und ITIL 5

6 Informationssicherheits-Standards Hintergründe und Standards

7 Informations-Sicherheits-Management-System Informationssicherheit IT-Sicherheit 7

8 Oberstes Ziel der Informationssicherheit Grundwerte: -Vertraulichkeit - Verfügbarkeit - Integrität Das ISMS ist Teil eines ganzheitlichen Risikomanagements in Unternehmen 8

9 ISO/IEC 27001:2013

10 ISO/IEC ISMS Anforderungen Erstveröffentlichung im Jahr 2005 (vormals BS :2002), Überarbeitung im Jahr 2013 Spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS) Verwendet das PDCA Prozessmodell (Plan-Do-Check-Act) Umfasst einen normativen Teil von nur 9 Seiten! Erlaubt die Implementierung und den Betrieb von konsistenten und integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualitäts- (ISO 9001) und Umweltmanagement (ISO 14001) Der Standard ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe! 10

11 1. Kontext der Organisation (Context) Anforderungen und Erwartungen der Stakeholder ermitteln Business-Impact-Analyse durchführen Scope des Managementsystems definieren, insbesondere die Abgrenzungen 11

12 2. Strategisches Management (Leadership) ISMS-Leitlinie ISMS-Ziele Managementverantwortung (jetzt klargestellt: Top-Management!) Rollen festlegen Kommunikationskanäle festlegen 12

13 3. Planung (Planning) Risikomanagementprozess designen Risiken und Möglichkeiten erkennen (IS Risk Assessment) Risikobehandlung festlegen (IS Risk Treatment) Maßnahmen dürfen aus jeder Quelle gezogen werden, müssen aber mit Anhang A der ISO/IEC abgeglichen werden Ziele und Pläne entwickeln 13

14 4. Management der Ressourcen (Support) Ressourcen für Implementierung, Betrieb und Verbesserung des ISMS bereit stellen (auch: Ressourcen für die Risikobehandlung!) Personelle Ressourcen qualifizieren (Schulung, Training, Sensibilisierung) Kommunikation interne und externe Kommunikation festlegen Dokumentation 14

15 5. Operative Durchführung (Operation) Managementsystem betreiben Risikomanagement-Prozess umsetzen Maßnahmen (aus dem Anhang A) umsetzen Aufzeichnungen führen, Dokumentation (fort-)führen Veränderungen in der Organisation steuern und auf ungewollte Veränderungen reagieren Ausgelagerte Prozesse steuern und überwachen 15

16 6. Wirksamkeitsbewertung (Performance Evaluation) Interne Audits & Reviews Managementreviews Bewertung der Wirksamkeit des Managementsystem unter Einbeziehung von Prozessen des ISMS und von Controls 16

17 7. Verbesserung des ISMS (Improvement) Korrekturen durchführen und wo nötig Korrekturmaßnahmen durchführen Kontinuierliche Verbesserung (KVP-Prozess) 17

18 Zertifizierungsgrundlage Leitfaden zur Implementierung 18

19 ISO auf der Basis von BSI IT-Grundschutz

20 20

21 21

22 22

23 23

24 24

25 25

26 26

27 27

28 28

29 29

30 30

31 31

32 32

33 33

34 SECU-ZERT

35 SECU-ZERT Was ist SECU-ZERT? SECU-ZERT zielt darauf, branchenspezifische Umgebungen zu analysieren und zu zertifizieren Konzentration auf die wesentlichen Aspekte der Informationsverarbeitung (risikoorientierte Betrachtung) Es werden die Kernbereiche von Unternehmen einer Überprüfung unterzogen Basis bilden dabei die Bausteine der Grundschutz-Kataloge des BSI in der jeweils aktuellen Version. Kosteneffizientes und damit gerade für KMU und Vereine attraktives Zertifikat 35

36 SECU-ZERT Wer steht hinter SECU-ZERT? SECU-ZERT ist ein Zusammenschluss lizenzierter Auditoren für ISO Audits auf der Basis von IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bzw. zertifizierte ISO Lead-Auditoren Nur entsprechend qualifizierte Auditoren können SECU-ZERT Auditierungen vornehmen Fortlaufende Qualifikation wird durch die Zertifizierungsstelle sichergestellt Finsoz e.v. ist der Dachverband für Unternehmen der Sozialwirtschaft und Verwaltungsorgan für Zertifikate 36

37 SECU-ZERT Aufbau von SECU-ZERT Bausteinorientierter Aufbau Unterteilung in drei Klassen Klasse A: obligatorische, zwingend vorgeschriebene Basis-Bausteine SECU-ZERT Basis-Organisation B 1.3 Notfallmanagement B 1.5 Datenschutz Klasse B: mindestens 3 wahlfreie Bausteine, welche in Abhängigkeit zum Business und in risikoorientierter Abstimmung mit der Zertifizierungsstelle ausgewählt werden Klasse K: für kritische Betriebsumgebungen können zusätzlich die Anforderungen des Umsetzungsplans KRITIS des BMI auf ihre Umsetzung überprüft werden (in Vorbereitung) 37

38 SECU-ZERT Aufbau von SECU-ZERT Klasse B: mindestens 3 wahlfreie Bausteine, welche in Abhängigkeit zum Business und in risikoorientierter Abstimmung mit der Zertifizierungsstelle ausgewählt werden (die Auswahl muss begründet werden (sinnigerweise über eine BIA))! B 2.9 Rechenzentrum B 2.10 Mobiler Arbeitsplatz (sofern IT in der Organisation mobil verwendet wird) B 1.11 Outsourcing B Allgemeiner Server + B 3.10x spezifischer Server B 4.1 Heterogene Netze B Speichersystem und Speichernetze B 5.13 SAP System (alternativ auch für andere ERP und KIS-Systeme) B 5.15 Allgemeiner Verzeichnisdienst B Allgemeiner Client B 5.2 Daten(träger)austausch + B 5.14 Mobile Datenträger B 5.3 Groupware ( Kommunikation) 38

39 SECU-ZERT Ablauf der Zertifizierung Self Assessment Das Unternehmen erstellt auf Basis der angepassten SECU-ZERT Kataloge eine vollständige und umfängliche Selbstauskunft Stage 1 Der Auditor überprüft die Konformität zu den Kriterien anhand der übermittelten Unterlagen (Self Assessment, Dokumente) Stage 2 In Vor-Ort-Überprüfungen, Interviews und Begehungen wird die ordnungsgemäße Umsetzung der Dokumentation geprüft Quality Review Ein unabhängiger Dritter (SECU-ZERT Auditor) überprüft die Einhaltung der Auditierungsvorgaben und gibt ein Votum Zertifikatserteilung Nach positivem Votum des Quality Reviewers wird das Zeritifikat durch den Finsoz e.v. erteilt 39

40 SECU-ZERT Vorteile gegenüber den großen Standards Fokussierung auf die wirklich relevanten bzw. kritischen Bereiche des Unternehmens Flexibler in der Gestaltung des Zertifizierungsbereichs Anders als z.b. bei einer BSI-Testierung Einstiegsstufe werden alle Maßnahmen einer Überprüfung unterzogen Wesentlich geringerer Aufwand in der Vorbereitung Wesentlich geringere Zertifizierungskosten Wesentlich geringere laufende Kosten 40

41 VdS 3473

42 VdS 3473 jung: Die harten Fakten Erstveröffentlichung am erste Audits im November 2015 kurz: 38 Seiten, davon 11 Seiten Vorwort, Inhaltsverzeichnis und Glossar Herkunft Versicherungsbranche: herausgegeben von der VdS Schadenverhütung GmbH VdS ist eine 100%ige Tochter des Gesamtverband der Deutschen Versicherungswirtschaft e.v. GDV Intention: versicherungsfähige von fahrlässigen Unternehmen/Institutionen zu unterscheiden 42

43 VdS 3473 Eigenschaften definiert ein vollständiges ISMS fordert Leitlinie und Richtlinien fordert einen Informationssicherheitsbeauftragten (ISB) und ein Informationssicherheitsteam (IST) fordert einen kontinuierlichen Verbesserungsprozess berücksichtigt organisatorische und technische Maßnahmen Fokus: einfache, schnelle Implementierung sehr eindeutige Sprache minimalisierter Analyse- und Dokumentationsaufwand Definition von Zielen möglichst große Freiheit bei der Implementation geringeres Schutzniveau als ISO bzw. BSI GS 43

44 VdS 3473 Let's take a closer look... Scope: die gesamte Informationsverarbeitung IT-Ressourcen werden unterschieden in "kritisch" und "nicht-kritisch kritische IT-Ressourcen müssen vom Unternehmen ermittelt werden für nicht-kritische Ressourcen wird ein einfacher Basisschutz definiert (Minimalprinzip) die Maßnahmen des Basisschutzes müssen umgesetzt werden, sofern dies technisch möglich ist wenn Maßnahmen nicht umgesetzt werden obwohl dies möglich wäre, muss das Unternehmen eine entsprechende Risikoanalyse und -behandlung durchführen für kritische Ressourcen werden erweiterte Maßnahmen gefordert zusätzliche technische und organisatorische Maßnahmen individuelle Risikoanalyse und -behandlung 44

45 VdS 3473 Phasen Organisation der Informationssicherheit Etablieren der VdS 3473 Einzelschritte zur Einführung ISMS Festlegung von Verantwortlichkeiten, Bereitstellung von Ressourcen, Ernennung Informationssicherheits-beauftragten, Etablieren des Informationssicherheits-teams Erstellung der Informationssicherheitsleitlinie Erstellung von Richtlinien zur Informationssicherheit Identifikation von kritischen IT- Ressourcen Implementierung Basisschutz Identifikation kritischer Prozesse, Informationen, IT-Systeme, mobile Datenträger etc. Implementierung einfacher Maßnahmen, z. B. Updates, Beschränkung des Netzwerkverkehrs, Protokollierung,... Implementierung Maßnahmen für kritische IT-Ressourcen (falls vorhanden) individuelle Risikoanalyse und -behandlung Umsetzung von erhöhten Anforderungen an die Datensicherung, Robustheit 45

46 VdS 3473 Kompatibilität! die Umsetzung der "großen" Normen wird an vielen Stellen der VdS 3473 explizit empfohlen wenn das Unternehmen sie nicht implementiert, wird die Umsetzung einiger weniger Kernaspekte dieser Normen gefordert alle Maßnahmen sind fast vollständig aufwärtskompatibel zu ISO und den BSI Grundschutznormen "Die 3473 ist das erste Basislager für den Gipfelsturm zur ISO " (Mark Semmler, Projektleiter der VdS 3473) 46

47 VdS 3473: Quick Check Charakter: Self-Assessment Aufwand: ca. 20 Minuten Ergebnis: Online-Auswertung 47

48 VdS 3473: Quick Check 48

49 VdS 3473: Quick Check 49

50 VdS 3473: Quick Audit Charakter: Pre-Assessment / Testat Aufwand: 1-2 Tage Ergebnis: Auditbericht (Konformitätstestat) 50

51 VdS 3473: Zertifizierung VdS 3473: Stärken und Schwächen Das VdS-Zertifikat bestätigt, dass sich das Unternehmen organisatorisch und technisch auf die wichtigsten Angriffsszenarien vorbereitet hat und über passende Schutzmaßnahmen verfügt. Das VdS-Zertifikat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die Leistungsfähigkeit des Unternehmens: Daten sind sicher geschützt und Einschränkungen der Lieferfähigkeit des Unternehmens wurden minimiert. Wettbewerbsvorteile sind die Folge. Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Ein unabdingbares Muss für die Unternehmenssicherheit. Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren. Das immer verbleibende Restrisiko können Unternehmen auf einen Versicherer übertragen und damit eine zweite Verteidigungslinie für ihre Existenzsicherung aufbauen. 51

52 VdS 3473: Outlook VdS 3473: Stärken und Schwächen Standard Stärken Schwächen VdS 3473 für KMU konzipiert kann für die Versicherungswirtschaft als Basis für die Bewertung von Risiken herangezogen werden kann die Basis für den individuellen Versicherungsschutz sein kompatibel mit den anderen Standards (Einstieg) konkret auditierbare Vorgaben minimalisierter Aufwand Standard ist aktuell nicht international anerkannt Standard ist noch sehr jung (nicht flächendeckend eingeführt) geringeres Sicherheitsniveau als ISO oder BSI GS durch minimalisierte Analyse und Dokumentation 52

53 Einordnung der Standards Aufwand und Nutzen... BSI GS ISO SECU-ZERT VdS

54 Vielen Dank!! Welche Fragen haben Sie noch? 54

55 Wenn nach dem Vortrag Fragen auftauchen RUCON Management GmbH Neumeyerstraße Nürnberg Telefon Telefax Copyright-Hinweis: Die Präsentation ist geistiges Eigentum der RUCON Management GmbH. Einzelne Elemente der Präsentation sind als Marke Und urheberrechtlich geschützt. Inhaber der Rechte sind unter anderem das Deutsche Institut für Normung (DIN), die ISO und die RUCON Management GmbH. Eine Weiterverwendung ohne schriftliche Genehmigung des Urhebers ist nicht gestattet. 55