Der Weg zu mehr Sicherheit in 12 Schritten: ISIS12 Der praxistaugliche IT-Sicherheitsstandard für kleine und mittelgroße Unternehmen

Größe: px

Ab Seite anzeigen:

Download "Der Weg zu mehr Sicherheit in 12 Schritten: ISIS12 Der praxistaugliche IT-Sicherheitsstandard für kleine und mittelgroße Unternehmen"

Theresa Vogt
vor 7 Jahren
Abrufe

1 Der Weg zu mehr Sicherheit in 12 Schritten: ISIS12 Der praxistaugliche IT-Sicherheitsstandard für kleine und mittelgroße Unternehmen 13. September 2016

2 Referent Dr. Michael Monka Unternehmensberater im Gesundheitswesen Sales-Management für die Applied Security GmbH Autor von Sachbüchern und Gesellschaftsspielen Folie 2

3 Agenda Begrüßung und Vorstellung Wie würden Sie entscheiden? Was bedeutet Informations-Sicherheit? Aktuelle Ansätze im Vergleich Die ISIS12-Methodik FAQ Folie 3

4 Wie würden Sie entscheiden?

5 Was tun Sie? Sie erhalten folgende Mail Folie 5

6 Was tun Sie? Sie finden folgenden Stick auf dem Parkplatz vor Ihrem Auto Folie 6

7 Hälfte aller, die einen USB-Stick finden, schließen diesen an Eine Studie zeigt, dass gefundene USB-Sticks häufig ausprobiert werden. Eine Studie ergab, dass rund die Hälfte der Personen, die auf einem Parkplatz einen USB-Stick finden, diesen auch zu Hause am PC anschließen, um zu schauen, was sich darauf befindet. Dabei denken viele gar nicht an die Sicherheitsrisiken, die dies mit sich bringt. Man muss gar nicht auf die Anhänge von inzwischen professionell gemachten s klicken, um sich Malware einzufangen. Viele Personen schließen einfach einen gefundenen USB-Stick an den eigenen PC an. Gefundene USB-Sticks werden gerne mal ausprobiert Oft fragt man sich, was jemanden dazu bringt, einen Anhang an einer anzuklicken, ohne sich vorher zu fragen, ob es sich nicht um einen Virus handeln könnte. Schaut man sich die Studie der University of Illinois Urbana-Champaign an, dann wundert einen dies nicht mehr. Man verteilte 297 USB-Sticks auf dem Campus. Von denjenigen, die diese Datenträger gefunden hatten, schlossen 48 Prozent sie an den eigenen PC an Folie 7

8 Was tun Sie? Sie sehen bei Ihrem Kollegen einen Zettel unter der Tastatur Folie 8

9 Bedrohungen und Gefahren im Umgang mit IT und dem Internet technisches Versagen: Softwarefehler, defekte Datenträger, organisatorische Mängel: Fehlende Regeln, Wartung, Dokumentation... menschliche Fehlhandlungen: Gedankenlosigkeit, Unachtsamkeit,... höhere Gewalt: Blitzschlag, Feuer, Hochwasser,... vorsätzliche Handlungen: Manipulation, Zerstörungen, Datendiebstahl, Betrug,... Unrechtmäßigkeit und unordnungsgemäße Geschäftstätigkeit, z.b.: Datenschutz, Haftungsfragen, Risikovorsorge, Kennzeichnungspflichten, Betriebsprüfungen, Urheberrechtsverletzungen, Folie 9

10 Überblick 90 % aller kleinen und mittleren Unternehmen haben im Jahr mindestens einen IT-Sicherheitsvorfall. Hauptursachen: - SPAM-Mails 90 % - Viren und Trojanische Pferde 84 % - Ausfall von EDV-Programmen und -Systemen 35 % - Netzwerkausfälle 24 % - Diebstahl vertraulicher Informationen 13 % - Kosten pro Attacke und PC-Arbeitsplatz in Unternehmen: bis zu Folie 10

11 Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste? Folie 11

12 Was bedeutet Informationssicherheit?

13 ISMS - Definition Ein Information Security Management System (ISMS, engl. für Managementsystem für Informationssicherheit ) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Quelle: Folie 13

14 Was bedeutet Sicherheit? Beispiel Einbruch ins Haus Beratung der Polizei Folie 14

15 Sicherheitsniveau Wieviel Sicherheit brauchen Sie??? Aufwände für Sicherheit Folie 15

16 Mit Gaunerzinken auf eine falsche Fährte locken Folie 16

17 Aktuelle ISMS-Ansätze im Vergleich

Vergleich ISIS12 IT-Grundschutz ISO2700x Kriterien ISIS12 ISO2700x Reihe IT-Grundschutz Herausgeber Zielgruppe Bayerischer IT- Sicherheitscluster e.v.

18 Vergleich ISIS12 IT-Grundschutz ISO2700x Kriterien ISIS12 ISO2700x Reihe IT-Grundschutz Herausgeber Zielgruppe Bayerischer IT- Sicherheitscluster e.v. KMUs und öffentliche Verwaltungen International Standards Organisation Organisationen jeder Größenordnung Bundesamt für Sicherheit in der Informationstechnik Organisationen jeder Größenordnung und öffentliche Verwaltungen Dokumentation Ca. 170 Seiten Ca. 400 Seiten Ca Seiten Detaillierung Mittel Minimalistisch abstrakt Maximal detailliert Aufbau Umfang des Maßnahmenkatalog es Selektierte Bausteine und Maßnahmen Ca. 400 Maßnahmen Maßnahmenziele und Empfehlungen Ca. 150 Maßnahmenziele und Empfehlungen Risikoanalyse Indirekt Grundsätzlich Ergänzend Umsetzung Konkret formulierte Maßnahmen umsetzen Allgemeingültig formulierte Maßnahmen umsetzen Umfassende Bausteine, Gefährdungen und Maßnahmen Ca Maßnahmen Konkret formulierte Maßnahmen umsetzen Zertifizierung DQS-Zertifizierung ISO-Zertifizierung ISO-Zertifizierung auf Basis IT-Grundschutz Folie 18

19 Sicherheitsniveau ISIS 12 Wieviel Sicherheit brauchen Sie? ISO2700x Reihe IT-Grundschutz Aufwände für Sicherheit Folie 19

20 ISIS12 in der Übersicht Ein Verfahren zur Einführung und Verbesserung der Informationssicherheit in mittelständischen Unternehmen Kann Vorstufe zum ISO/IEC und BSI IT-Grundschutz-Zertifikat sein (Informations- Sicherheits-Managementsystem ISMS light ) Verständliche Anleitung zum Selbermachen begleitet von den ISIS12- Dienstleistern ISIS12-Workflow wird durch ein Softwaretool dargestellt Zertifizierbar durch die DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) CheckUp mit Kurzbericht möglich Folie 20

21 ISIS12 Was ist wesentlich? Verständlich beschriebener 12-stufiger Prozess, der den Einstieg ins ISMS erleichtert ISMS wird mit IT-Service Management verknüpft Nur unternehmenskritische Anwendungen werden betrachtet Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow abgebildet Folie 21

22 ISIS12-Zertifikat Möglichkeit zur Zertifizierung durch die DQS Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12-Auditoren Unterstützung durch ISIS12- Dienstleister möglich Folie 22

23 Die ISIS12 Methodik

24 Die 12 Schritte der ISIS12 Methodik Folie 24

25 Phase 1: Initialisierungsphase Schritt 1: Leitlinie erstellen Schritt 2: Mitarbeiter sensibilisieren Beschreibt die Sicherheitsziele und das angestrebte Sicherheitsniveau des Unternehmens Gesamtverantwortung der Unternehmensleitung Einbindung aller Mitarbeiter und Organisationsebenen in den IS-Prozess (auf Wunsch) Darstellung der Notwendigkeit des Prozesses Darstellung des Zwecks, der Mittel und der Strukturen Folie 25

26 Phase 2: Aufbau- und Ablauforganisation Schritt 3: Informationssicherheits- Team aufbauen Definition einer Aufbauorganisation ISB (IT-Sicherheitsbeauftragter) Datenschutzbeauftragter (falls vorhanden) Mitarbeiter aus IT-Bereich ISIS12-Dienstleister Vertreter der Anwender Eventuell: QM- Beauftragter Schritt 4: IT- Dokumentation erstellen Festlegung einer strukturierten IT-Dokumentation: Rahmendokumente Betriebshandbuch Notfall-Handbuch Zentrale Basis-Vorlage Anpassung aktueller Dokumentation Schritt 5: IT- Servicemanagement Prozess einführen Definition der Basisprozesse: Wartung Änderung Störungsbeseitigung Folie 26

27 Phase 3: Operative Phase (I) Schritt 6: Kritische Anwendungen identifizieren Bzgl. der Grund-werte Vertraulichkeit, Integrität und Verfügbarkeit Ableitung der MTA (Maximal tolerier-bare Ausfallzeit) und SLA (Service Level Agreement) Schritt 7: IT-Struktur analysieren Zuordnung von Anwendungen zu Systemen und Infrastrukturen Schutzbedarf, MTA und SLA der Applikationen werden auf die IT-Systeme und Infrastruktur vererbt Schritt 8: Sicherheitsmaßnahmen modellieren Prüfung der IT- Strukturanalyse Zuordnung von Bausteinen und Maßnahmen aus dem ISIS12-Katalog Folie 27

28 Phase 3: Operative Phase (II) Schritt 9: IST-SOLL Vergleich Schritt 10: Umsetzung Planen Schritt 11: Umsetzen Umsetzungsprüfung der Maßnahmen aus dem ISIS12-Katalog Erste Reifegradmessung möglich Ermittlung von Umsetzungskosten Priorisierung und Konsolidierung der Maßnahmen Erstellung eines Umsetzungsplans Zu definieren sind Verantwortlichkeiten Termine Ressourcen Folie 28

29 Phase 3: Operative Phase (III) Schritt 12: Revision Zertifizierung Erstellung eines Revisionsplans Stetige Optimierung des IT-Sicherheitsmanagement-Systems durch weitere ISIS12-Zyklen ggf. Zertifizierung Durch die DQS möglich Zertifikatsgültigkeit: 3 Jahre Folie 29

30 FAQ Brauchen wir wirklich ein neues ISMS? Ja. IT-Grundschutz ist für viele Unternehmen zu unflexibel und ISO27001 zu komplex. Wie lange dauert die Einführung von ISIS12? Wie hoch sind die Kosten? Abhängig von der internen Unterstützung; innerhalb von 3-6 Monaten sind gute Ergebnisse möglich. IT-Grundschutz light ist das noch sicher? Ja! ISIS 12 ist ein sehr guter Einstieg in ein strukturiertes ISMS für KMU. Welche Unterstützungsmöglichkeiten existieren? Ext. Unterstützung ist in jeder Phase möglich (z. B. DL-Pakete der Applied Security), kann interne Wissensträger und Entscheider aber nicht ersetzen. Benötige ich zusätzliche Software? Das ISIS12 Software-Tool kann während des Betriebes des ISMS genutzt werden Folie 30

31 Vielen Dank für Ihre Aufmerksamkeit Bei Fragen? fragen! Ihre Ansprechpartner: Dr. Michael Monka Sprechen Sie mit uns. apsec bietet Ihnen umfassenden Service für alle Bereiche der Datensicherheit. Applied Security GmbH Kruppstraße Essen Fon: Folie 31

32 Befürworter ISIS Folie 32

Applied Security GmbH Gegründet 1998 in Großwallstadt Niederlassungen in Berlin, Essen, Groß-Umstadt und Hamburg Top 15 Unternehmen der deutschen IT-Sicherheits- Unternehmen (Quelle:

33 Applied Security GmbH Gegründet 1998 in Großwallstadt Niederlassungen in Berlin, Essen, Groß-Umstadt und Hamburg Top 15 Unternehmen der deutschen IT-Sicherheits- Unternehmen (Quelle: BMWi) Produkt- und Beratungs-Bereich fideas -Produktlinie Security-Consulting, Fokus ISMS (ISO, BSI, VdS und ISIS12) zertifizierter ISIS12-Dienstleister seit Oktober Folie 33

Ähnliche Dokumente

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin