Ein Informationssicherheitssystem nach Maß auf Grundlage des IT-Sicherheitsgesetzes und -kataloges

Transkript

1 Ein Informationssicherheitssystem nach Maß auf Grundlage des IT-Sicherheitsgesetzes und -kataloges

2 Franz Obermayer Lizenzierter ISO Auditteamleiter nach BSI (seit 2006) Leadauditor ISO27001 TÜV Rheinland ISO27001, ISO22301, RDC, ISO270x Vorstand Complimant AG IS-Revisor / IS-Berater nach BSI (seit 2009) Geprüfter Datenschutzbeauftragter (FH) zertifizierter GMP Computervalidierungsexperte geprüfter EDV Sachverständiger seit 1996 IT-Security Consultant Mitglied in diversen Fachkreisen (BSI AK-Awareness, Bitkom AK Security) Schwerpunkte: Security-Coaching für ISO27001, ISO22301, Datenschutz, Sicherheitsrichtlinien

3 Warum Informationssicherheit? Schutz vor Kapitalschäden jeglicher Art Datenverlust (z.b. Forschung&Entwicklung, Geschäftsinterna, ) Produktivitätsausfall (z.b. Hardwaredefekt oder Virenbefall) Wirtschaftsspionage / Ideenraub / Diebstahl Verletzung von Marken-/Urheberrechten Verletzung des Bundesdatenschutzgesetzes Image- oder Vertrauensverlust

4 Warum Informationssicherheit und ein Zertifikat? Informationssicherheit ist Chefsache (wirtschaftlich wie rechtlich) Informationssicherheit ist Imagefaktor Informationssicherheit ist Qualitätsmerkmal und Gütesiegel Informationssicherheit ist Wettbewerbsfaktor Informationssicherheit schafft Transparenz und Struktur in der IT Informationssicherheit deckt Optimierungspotentiale auf Informationssicherheit erhöht die Datenqualität für alle Abteilungen Informationssicherheit steigert die Produktivität Ein Zertifikat wird immer häufiger in Ausschreibungen gefordert! gesetzliche Vorgaben

5 Committment Vom Vorstand Bereitschaft Bewusstsein Klare Vorgaben Gelebte Informationssicherheit IS bis zum Praktikanten IS

6 Standard der Informationssicherheit ISO27001 Seit September 1993: Sammlung von Best Practices 15.Oktober 2005: Veröffentlichung als internationale Norm Bildet Managementrahmen der Informationssicherheit = Zertifizierungsstandard ISO27002 Ergänzung zum ISO27001 Basis zur Verfahrens-, Maßnahmen- und Regelerstellung Kein Zertifizierungsstandard, sondern Leitfaden Maßnahmenkatalog: 11 Kategorien, 39 Maßnahmenziele, 133 Maßnahmen

7 Zur ISO27001 in 10 Schritten 1 Definition des Geltungsbereichs der ISO27001 und Freigabe durch das Management 2 Erstellung einer Informationssicherheitsleitlinie 3 Definition der Risikobewertungsmethodik und der Akzeptanzkriterien Durchführung der Risikobewertung und Ableitung der Risikobehandlung 4 Anwendbarkeitsprüfung und Anwendbarkeitserklarung der ISO27001-Controls 5 Aktives Management Commitment zu diesen Festlegungen und Ressourcenfreigabe 6 Einführung des Informationssicherheitsmanagementsystems (ISMS) 7 Laufende Überwachung 8 Interne Auditierung des Systems und Messung der Performanz 9 Management Review 10 Ständige Verbesserung durch Vorbeuge- und Korrekturmaßnahmen 7

8 IS-Themen Management Personal Informationssicherheitspolitik (5.2, A.5) ISMS-Organisation (5.3, A.6) Information Asset Management (A.8) Personelle Sicherheit (A.7) IS Incident Management (A.16) Compliance (A.18) Leadership (5) Beziehungen zu Lieferanten (A.15) Zutritt / Gebäude / Umgebung Physische Sicherheit (A.11) Zugang / Zugriff Zugangskontrolle (A.9) Tagesgeschäft Betrieb (A.12) Kryptographie (A.10) Kommunikationssicherheit A.13) Planung / Projekte Beschaffung, Entwicklung und Wartung von Systemen (A.14) Geschäftsprozesse IS Risiko Management (8.2, 8.3) Business Continuity Management (A.17)

9 Die ISO27x Normenreihe ISO > Begriffe und Definitionen, welche in der Norm verwendet werden. ISO > die Anforderungen an ein ISMS. ISO > Empfehlungen für diverse Kontrollmechanismen für die Informationssicherheit. ISO > Leitfaden zur Umsetzung der ISO/IEC ISO > Information Security Management Measurement ISO > IS Risikomanagement (herausgegeben im Juni 2008). Fachspezifische Subnormen der ISO/IEC 27002: ISO 27010: ISMS für Sektorübergreifende Kommunikation ISO 27011: ISMS für Telekommunikation ISO 27012: ISMS für das Finanzwesen ISO 27015: ISMS für Versicherungen, Leasing etc. ISO 27017: ISMS für Cloud ISO 27018: Datenschutz in der Cloud ISO 27019: Energie

10 Themengebiete der ISO/IEC 27019:2013 Die gesamte IT-gestützte zentrale und dezentrale Prozess-Steuerung, Überwachung und Automatisierungstechnik sowie die dazu notwendigen IT- Systeme für den Betrieb, die Programmierung und Parametrisierung der Geräte Digitale Steuerungs- und Automatisierungskomponenten (z.b. Sensoren und Aktor-Elemente) Alle unterstützenden IT-Systeme in der Prozesskontrolle (z.b. Datenvisualisierung, Überwachung, Archivierung, Dokumentation) Die gesamte Kommunikationstechnik in den Prozessleitsystemen (z.b. Netzwerke, Remote-Control, Messgeräte) Schutz- und Sicherheitssysteme (z.b. Relais, SPS-Steuerungen) Smart-Grid Umgebungen Alle Software, Firmware und Anwendungen zum Betrieb der oben genannten Systeme

11 Bedeutung des Anforderungskatalog der BNetzA für das ISMS Einführung eines Informationssicherheits- Managementsystems gemäß DIN ISO/IEC sowie die Zertifizierung dieses Systems durch eine unabhängige hierfür zugelassene Stelle Ergänzend sind Maßnahmen aus der ISO/IEC TR (DIN SPEC 27009) umzusetzen IT-Sicherheitsbeauftragter als Ansprechpartner für die Bundesnetzagentur (sollte bereits ernannt sein) Der Anwendungsbereich des IT-Sicherheitskatalogs erstreckt sich auf Netzkomponenten oder Teilsysteme, die steuerbar sind und somit die Fahrweise des Netzes unmittelbar beeinflussen, oder aber Netzkomponenten, die selbst zwar nicht steuerbar sind, aber beispielsweise durch Bereitstellung von Daten mittelbar die Netzfahrweise beeinflussen und auf diese Weise auch der Netzsteuerung dienlich sind.

12 Bedeutung des Anforderungskatalog der BNetzA für ISMS ISO ISMS Prozessrahmen Zertifizierungsvorgaben fordert Umsetzung ISO Implementierungshilfen Sicherheitsmaßnahmen Sicherheitskatalog gem. 11 Abs. 1a EnWG fordert Umsetzung Spezifiziert die allgemeinen Anforderungen des ISMS für Steuerungssysteme der Energieversorgung ISO/IEC TR Leitlinien für ISMS für Prozessleitsysteme und Automatisierungstechnik Energieerzeugung Energieverteilung Spezifiziert die speziellen Anforderungen des ISMS für Steuerungssysteme der Energieversorgung Wesentliche Erweiterungen: Maßnahmen für Stationsleittechnik und Prozessdatenkommunikation Schutz und Betrieb von Legacy-Systemen Schutz von Räumen und dezentralen Standorten Maßnahmen für Notfälle und Notfallkommunikation

13 Bedeutung des Anforderungskatalog der BNetzA für ISMS Netzstrukturplan: Anwendungen, Systeme, Verbindungen gegliedert nach Leitsystem/Systembetrieb Übertragungstechnik/Kommunikation Sekundär-/Automatisierungs-/Fernwirktechnik Interne und externe Schnittstellen Trennung nach Bereichen ISO Maßnahmen ISO Maßnahmen Risikoanalyse: Objekte, die für sicheren Netzbetrieb notwendig sind, grundsätzlich hoch ggf. kritisch einstufen Berücksichtigung EV-Spezifischer Aspekte bei den Schadenskategorien, z.b. Beeinträchtigung Versorgungssicherheit Einschränkung des Energieflusses, Betroffener Bevölkerungsanteil Zertifizierung: Normative Grundlage (ISO ?) Schema, Prozess:? Zertifizierungsstelle(n):?, DAkkS akkreditiert Auditoren:?

14 Assetbasierter Ansatz Einfaches Verfahren zur Risikobewertung über Klassifizierung: Wahrscheinlichkeit (Kombination aus Bedrohungen und Schwachstellen) Sehr Niedrig Niedrig Mittel Hoch Sehr hoch < < Schadenspotential < < 1 Mio > 1 Mio

15 Beispiele: Bedrohungen Bedrohungen der Informationssicherheit Naturereignisse Physikalische Beschädigung Wirtschaftsspionage / Ideenraub / Diebstahl Kompromittieren des Systems bzw. von Informationen

16 Beispiele: Schwachstellen Schwachstellen der Informationssicherheit Hardware & Infrastruktur Software Betriebliche Schwachstellen Mobile Geräte Mensch

17 Schwachstelle: Der Mensch Thema Passwörter Fehleinschätzung MENSCH Vergesslichkeit Nachlässigkeit Unabsichtliche Fehler Täuschung Wissen Bewusstsein sensibilisiertes Verhalten AWARENESS

18 Beispiel Passwörter eeh2ou4f! ein Esel hat 2 Ohren und 4 Füsse!

19 Videoüberwachung

20 Erreichung der obersten Schutzziele Management der IS IS IS Organisation & Prozesse Personalschulung & Awareness Datenschutz & Compliance Sichere IT-Landschaft Vertraulichkeit Verfügbarkeit Integrität

21 Organisation des ISMS Abteilungsleitung Datenschutzbeauftragter Personalabteilung Mitarbeiter Beteiligt sind ALLE Geschäftsleitung Informationssicherheitsbeauftragter IT-Abteilung Lieferanten Externe / Drittparteien Kunden

22 Warum sind meine Lieferanten und Kunden betroffen?

23 Dokumente Personal & Schulungen Audits (intern/extern) Organigramm & Vertretungsregel IS-Leitlinie Arbeitsanweisungen Notfallhandbuch ISMS- Handbuch Schwachstellen- & Incident Management Managementreview Hardware-/ Software- / Netzwerkdokumentation Datenschutz

24 Notfallhandbuch

25 Beispielmaßnahmen aus dem Standard Mobile Security Notfallkonzept Firewall Maßnahmen Zutrittsschutz Monitoring Zugangsschutz Virenschutz Verschlüsselung Passwortpolicy

26 Der schmale Grat Flexibilität Schnelllebiger Markt Dynamik Open Doors Unbürokratische Entscheidungen Operative Serviceorientierung So viel Daten wie möglich Wertschöpfungskette am Kunden Prozesssteuerung Nachvollziehbarkeit Dokumentation Klare Organisation Klare Verantwortlichkeiten Feste Entscheidungswege Datenschutz Nur so viele Daten wie unbedingt nötig

27 Ihr Weg zu Ihrem ISO/IEC Zertifikat Implementierung (evtl. mit Berater) SoA festlegen und Controls auswählen bzw. Maßnahmen festlegen Zertifizierung durchführen Scope festlegen Bestandsaufnahme Schutzbedarf feststellen und Risiken bewerten Controls implementieren, Management Review und interne Audits durchführen

28 Fazit Vielen Dank für die Aufmerksamkeit Ganzheitliche, unternehmensweite Es ist besser, Deiche Informationssicherheit zu bauen, als darauf zu hoffen, schaffen! dass die Flut allmählich Vernunft annimmt. Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor