VDI-VDE-DGQ-Gemeinschaftskreis Qualitätsmanagement Hannover, 26. November 2012

Transkript

1 Informationssicherheitsmanagement nach DIN ISO/IEC Dr. Holger Grieb Lead Consultant Management & IT Beratungsfeld: Strategie- und Organisationsberatung EOQ Quality Auditor und EOQ-Auditor, DGQ-Trainer, DGQ-Prüfer, EFQM-Assessor Mitglied des Zertifizierungsausschusses der DGQ Mitglied des Lenkungsausschusses der DQS Mitglied im Bund Deutscher Unternehmensberater e.v. Vorsitzender des BDU-Fachverbandes Integrative Unternehmensprozesse

2 Agenda 1. Vorgehen Informationssicherheit im Rahmen ist des mehr Projektes als nur IT-Sicherheit 2. Ziele Die DINdes ISO/IEC Projektes 27001:2008 und gesetzte Gemeinsamkeiten Teilsysteme mit anderen Managementsystemen 3. Besonderheiten des Information Security Management System (ISMS) 4. Vom Integration Auftrag in bestehende bis zur Rechnung Managementsysteme 5. Fazit Bei uns ist noch nie etwas passiert! woher wissen Sie das?

3 Was soll bei uns schon zu holen sein?...welche Werte hält Ihr Unternehmen? RP,

4 Mobilität kommt im Unternehmensalltag an! Vertrauliche und geschäftskritische Informationen werden zunehmend per versandt! Deutschland sicher im Netz IT-Sicherheitslage im Mittelstand 2012 Informationswerte Informationen / Patente / Rezepturen Papiere Personal / personenbezogene Daten Software Produkte Physikalische Einrichtungen Image

5 Wir haben an alle Möglichkeiten gedacht! an ALLE? Quelle:

6 Quelle: Bedrohungen (Quelle: Kes/Microsoft: Sicherheitsstudie 2006) Gefahrenbereich Bedeutung Rang Schäden Heute Prognose Rang Ja bei Irrtum, Nachlässigkeit (eigene Mitarbeiter) % Malware (Würmer, Viren, Trojaner, ) % Software-Mängel/-Defekte % Hardware-Mängel/-Defekte % Informationsdiebstahl / Spionage % Unbeabsichtigte Fehler von Externen % Hacking % Mangelnde Dokumentation % Manipulation zum Zweck der Bereicherung % Höhere Gewalt (Feuer, Wasser, ) % Sabotage %

7 Informationssicherheit Die einfachste Art, um an Informationen zu kommen: Befragen Sie einen Mitarbeiter Ihrer Organisation Fragen Sie einen Mitarbeiter nach einem temporären Zugang (zum Internet) via Firmen-WLAN Diebstahl von Computern, Laptops, etc. Zugang über das Internet Fragen Sie am Telefon nach Namen, Funktionen, Unser Ansatz zur Informationssicherheit heißt für uns auch immer: Werte erfolgreich schützen

8 Agenda 1. Vorgehen Informationssicherheit im Rahmen ist des mehr Projektes als nur IT-Sicherheit 2. Die DIN ISO/IEC 27001:2008 Gemeinsamkeiten mit anderen Managementsystemen Informationssicherheit Definition (nach DIN ISO/IEC 27001:2008) Eigenschaftder Absicherung von Richtigkeit und Vollständigkeit von Werten. Eigenschaft, einer berechtigten Einheit auf Verlangen zugänglich und nutzbar zu sein. Informationssicherheit bezeichnet ein geplantes (Soll- Zustand) bzw. vorhandenes (Ist Zustand) Ausmaß an Vertraulichkeit, Integritätund Verfügbarkeit bezogen auf Informationen und Funktionen. Eigenschaft, dass Informationen unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden. Andere Eigenschaften wie Nicht-Abstreitbarkeit und Verlässlichkeit Authenzität können ebenfalls berücksichtigt werden.

9 Ggf. sind weitere rechtliche Rahmenbedingungen zu beachten: BSI-Standard COBIT (Control Objectives for Information and Related Technology) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Bundesdatenschutzgesetz (BDSG) Allgemeine Geschäftsbedingungen Gesetz (AGB-Gesetz) Bürgerliches Gesetzbuch -Neufassung (Auszug) E-Commerce-Richtlinie Elektronischer Geschäftsverkehr -Gesetz (EGG) Fernabsatzgesetz Fernmeldeverkehr - Überwachungs-Verordnung (FÜV) Gesetz gegen den unlauteren Wettbewerb (UWG) Gesetz über den Datenschutz bei Telediensten (Teledienste-Datenschutzgesetz - TDDSG) Telemediengesetz (TMG) Definition der DIN ISO/IEC 27001:2008 Die Internationale Norm DIN ISO/IEC 27001:2008 ist ein Modell um die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) bereitzustellen. Quelle: DIN Deutsches Institut für Normung e.v., 2011

10 Grundgedanken der DIN ISO/IEC 27001:2008 Die DIN ISO/IEC 27001:2008 formuliert die Anforderungen an ein Information Security Management System (ISMS) Integration in andere Managementsysteme Risikoorientierung Gezielter individueller Einsatz Auf die Organisation angepasster Umfang Prozessorientierter Aufbau Dynamische Anpassung an neue Anforderungen Kontinuierliche Verbesserung (PDCA) Normative Maßnahmen und Maßnahmenziele Die Stärken der DIN ISO/IEC 27001:2008 Schutz von Unternehmensdaten Kostenersparnis durch Vermeidung von Sicherheitsvorfällen Vertrauensbildung bei Kunden und Interessenspartnern Gesteigerter Unternehmenswert Rechtssicherheit durch systematische Verfolgung der relevanten Gesetze zur Informationssicherheit und zum Datenschutz Leichte Integrierung in ISO 9001:2008 / ISO 14001:2005 Anwendbar für alle Arten von Organisationen Die Anforderungen für ein dokumentiertes ISMS sind festgelegt Ausreichende Schulung des Personals bei dem Auftreten eines ernsten Sicherheitsvorfalls Reduzierung des Haftungsrisikos der verantwortlichen Führungskräfte

11 Die Chancen der DIN ISO/IEC 27001:2008 Wettbewerbsvorteile Beitrag zur Sicherung der Geschäftskontinuität Minimierung der Finanzschäden bei Informationssicherheitsverstößen Stärkeres Sicherheitsbewusstsein für Mitarbeiter und Führungskräfte Sicherung der Schutzziele: Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Verbindlichkeit von Informationen Notwendige Begründung bei Risikoakzeptanz Niedriger technischer Detaillierungsgrad Einbeziehung von externer Beratung und Zusammenarbeit mit externen Stellen Spezifiziert den systematischen Aufbau eines prozessorientierten Managementsystems zur Informationssicherheit Gemeinsamkeiten zu anderen Managementsystemen Die DIN ISO/IEC 27001:2008 wurde abgestimmt mit anderen Normen wie ISO 9001:2008 und ISO 14001:2005. Das dient dazu auf Basis des prozessorien erten Ansatzes bereits bestehende Managementsysteme als Basis zu nutzen die Norm in bereits bestehende Managementsysteme zu integrieren zu können bei der Integration Synergien zu nutzen, um den Gesamtaufwand zu minimieren

12 Unser Ansatz zur Informationssicherheit heißt für uns auch immer: Managementsysteme erfolgreich gestalten Agenda 1. Vorgehen Informationssicherheit im Rahmen ist des mehr Projektes als nur IT-Sicherheit 2. Ziele Die DIN des ISO/IEC Projektes 27001:2008 und gesetzte Gemeinsamkeiten Teilsysteme mit anderen Managementsystemen 3. Besonderheiten des Information Security Management System (ISMS)

13 Information Security Management System (ISMS) Definition: Das Informationssicherheits-Managementsystem ist ein System von Verfahren und Regeln einer Organisation, welche dazu dienen, die Informationssicherheit dauerhaft zu steuern und zu kontrollieren, um speziell Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

14 Bedingungen zur Umsetzung und Wirksamkeit eines ISMS Die Einführung eines ISMS sollte eine strategische Entscheidung für eine Organisation sein Die Gestaltung und Umsetzung eines ISMS hängen von den Bedürfnissen und Zielen, Sicherheitsanforderungen, eingesetzten Verfahren und der Größe und Struktur der Organisation ab Es soll sicherstellen dass adäquate und angemessene Sicherheitsmaßnahmen ausgewählt werden, die Informationswerte schützen und Vertrauen bei Interessenten erwecken Plan-Do-Check-Act Modell zur Strukturierung der ISMS-Prozesse

15 Besonderheiten des ISMS Risikomanagement (von der Identifikation bis zu Korrektur- und Vorbeugungsmaßnahmen) 1.) Risikobeurteilung (Erkennung bzw. - Identifikation, Einschätzung, Bewertung) 2.) Risikobewältigung (Festlegung und Umsetzung der Optionen für Risikobehandlung) 3.) Risikoüberwachung(Überprüfung der Wirksamkeit festgelegter Maßnahmen, Lösungswege) Ziele der DIN ISO/IEC 27001:2008 und des ISMS Ziel der ISO 27001: Die Anforderungen an ein Informationssicherheits- Managementsystem (ISMS) im Rahmen eines Prozess- Ansatzes darzustellen. Ziel des ISMS: Risiken für das Unternehmen zu identifizieren, zu analysieren und durch entsprechende Maßnahmen beherrschbar zu machen.

16 Unser Ansatz zur Informationssicherheit heißt für uns auch immer: Systeme erfolgreich integrieren Agenda 1. Vorgehen Informationssicherheit im Rahmen ist des mehr Projektes als nur IT-Sicherheit 2. Ziele Die DIN des ISO/IEC Projektes 27001:2008 und gesetzte Gemeinsamkeiten Teilsysteme mit anderen Managementsystemen 3. Besonderheiten des Information Security Management System (ISMS) 4. Vom Integration Auftrag in bestehende bis zur Rechnung Systeme

17 Anforderungen an die Organisation Quelle: Anforderungen an die Organisation (1 von 3) Verständnis zur Informationssicherheit in der Organisation wecken Leitlinie und Ziele für die Informationssicherheit festlegen Maßnahmen umsetzen und betreiben, um die Informationssicherheitsrisiken in Zusammenhang mit den allgemeinen Geschäftsrisiken zu verwalten

18 Anforderungen an die Organisation (2 von 3) Festlegung Dokumentiertes ISMS, z. B. Anwendungsbereich ISMS-Leitlinie Vorgehensweise zur Risikoeinschätzung Umsetzen und Durchführen, z. B. Risikobehandlungsplan Umsetzung ausgewählter Maßnahmen Anforderungen an die Organisation (3 von 3) Überwachen und überprüfen, z. B. Ausführung von Verfahren zur Überwachung und Überprüfung Regelmäßige Überprüfung der Wirksamkeit des ISMS Messung der Wirksamkeit von Maßnahmen Instandhalten und verbessern, z. B. Umsetzung der identifizierten Verbesserungen im ISMS Ergreifung von geeigneten Korrektur-und Vorbeugungsmaßnahmen

19 Dokumente und Dokumentation Dokumentationsanforderungen, z. B. Erklärung der ISMS-Leitlinie Anwendungsbereich des ISMS Verfahren und Maßnahmen Dokumentenlenkung, z. B. Genehmigung Überprüfung (im Bedarfsfall aktualisieren und erneut genehmigen lassen) Agenda 1. Vorgehen Informationssicherheit im Rahmen ist des mehr Projektes als nur IT-Sicherheit 2. Ziele Die DINdes ISO/IEC Projektes 27001:2008 und gesetzte Gemeinsamkeiten Teilsysteme mit anderen Managementsystemen 3. Besonderheiten des Information Security Management System (ISMS) 4. Vom Integration Auftrag in bestehende bis zur Rechnung Systeme 5. Fazit

20 Ergebnis Bundesamt für Sicherheit in der Informationstechnik, 2012 Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen Grad der Sensibilisierung des Mittelstandes in Deutschland Fazit Ein Umfrage ergab: Der positive Nutzen nach der Einführung eines ISMS überwiegt! 30% sind der Meinung, dass sich dadurch die Fähigkeit, gegebenen Anforderungen entsprechend nachkommen zu können, erhöht 24% sindder Meinung, dassdadurchdie Anzahl dersicherheitsvorfälle in der Organisation sinken 28% sind der Meinung, dass sich dadurch die Ausfallzeit von IT-Systemen verringert 31% sind der Meinung, dass dadurch die Möglichkeit auf Aufträge oder Angebote reagieren zu können steigt 29% sind der Meinung, dass sich dadurch die relative Wettbewerbsposition verbessert (Befragungvon 152 Organisationen. BSI, London, 2011)

21 Interesse an den Folien? Hinterlassen Sie einfach Ihre Karte, oder tragen Sie sich in eine Liste ein, wir werden Ihnen daraufhin gerne die Folien der Präsentation elektronisch zusenden. Vielen Dank für Ihre Aufmerksamkeit! KsiConsultLtd. & Co. KG Düsseldorf Hamburg Graf-Adolf-Str Düsseldorf Tel.: