Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Größe: px

Ab Seite anzeigen:

Download "Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)"

Reinhold Roth
vor 8 Jahren
Abrufe

1 Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

2 Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem geplanten Ausmaß

3 DIE Bedrohung Wichtigste langfristige Bedrohungsquelle: Mitarbeiter ( HumanOS ) Schwächstes Glied in der Sicherheitskette Fehlende Sicherheitskenntnisse/ Schulungen Fehlende umfassende personelle Konzepte Leichte Opfer für Social Engineering Oft zu weit reichende Berechtigungen

Sicherheitskenntnisse/ Schulungen Fehlende umfassende personelle

4 Sensibilisierung: Tür

5 Sensibilisierung

6 ISO 2700x ISMS Standards ISO Terms and Definitions ISO Information Security Management System ISO Risk Management Model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System BS

for establishing, implementing, operating, monitoring, reviewing,

7 ISO 2700x ISMS Standards ISO Terms and Definitions ISO Information Security Management System ISO Risk Management ISO Code of Practice Set of controls, including policies, processes, procedures, organizational structures, software/ hardware functions BS

27002 Code of Practice Set of controls, including policies, processes,

8 ISO 2700x ISMS Standards ISO Terms and Definitions ISO Information Security Management System ISO Risk Management ISO Code of Practice ISO Implementation Guidance Instructions how to [technically] implement ISO

Management ISO 27002 Code of Practice ISO 27003 Implementation

9 ISO 2700x ISMS Standards ISO Terms and Definitions ISO Information Security Management System ISO Risk Management ISO Code of Practice ISO Implementation Guidance ISO Metrics and Measurements Definition of KPIs, quantitative/ qualitative measurements, metrics etc

Code of Practice ISO 27003 Implementation Guidance ISO 27004 Metrics and

10 ISO 2700x ISMS Standards ISO Terms and Definitions ISO Information Security Management System ISO Risk Management ISO Code of Practice ISO Implementation Guidance ISO Metrics and Measurements ISO Accreditation Guidelines

27002 Code of Practice ISO 27003 Implementation Guidance ISO 27004

11 Sicherheit als Prozess (PDCA) Initiierung des Sicherheitsprozesses: - Erstellen einer ISMS Policy - Einrichten eines IT-Sicherheitsmanagements Der Sicherheitsprozess IT-Sicherheitskonzept: Identifikation von Controls Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: - Infrastruktur - Organisation - Personal - Technik - Kommunikation - Notfallvorsorge Insbesondere Sensibilisierung für IT-Sicherheit Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb

fehlender Controls (Kontrollmechanismen) insbes.

12 Sensibilisierung: Schranke Bielefeld

13 5 Schritte zum ISMS 1. Schritt Managementunterstützung für ISMS Einführung und Aufbau 2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy) 3. Schritt Organisationsanalyse 4. Schritt Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen 5. Schritt (Aus-)Gestaltung des ISMS

Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS

14 Initiierung des IT- Sicherheitsprozesses Verantwortung des Managements Einrichten des IT-Sicherheitsmanagements Grundregeln Die Initiative für IT- Sicherheit geht vom Management aus. Die Verantwortung für IT- Sicherheit liegt beim Management. Nur wenn sich das Management um IT- Sicherheit bemüht, wird die Aufgabe "IT-Sicherheit" wahrgenommen. Vorbildfunktion

aus. Die Verantwortung für IT- Sicherheit liegt beim Management.

15 5 Schritte zum ISMS 1. Schritt Managementunterstützung für ISMS Einführung und Aufbau 2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy) 3. Schritt Organisationsanalyse 4. Schritt Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen 5. Schritt (Aus-)Gestaltung des ISMS

16 5 Schritte zum ISMS 1. Schritt Managementunterstützung für ISMS Einführung und Aufbau 2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy) 3. Schritt Organisationsanalyse 4. Schritt Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen 5. Schritt (Aus-)Gestaltung des ISMS

17 Netzplan

18 Netzplan - bereinigt

19 Grundschutzkataloge Bausteinbeschreibung Darstellung der Gefährdungslage Maßnahmenempfehlungen Planung und Konzeption Beschaffung (sofern erforderlich) Umsetzung Betrieb Aussonderung (sofern erforderlich) Notfallvorsorge

Konzeption Beschaffung (sofern erforderlich) Umsetzung

20 Grundschutzkataloge WWW IT- Grundschutzkataloge N Firewall N Router/Switches S Win2K Server TK Mobiltelefon C-1 C Win2K Client 5.3 Tragbarer PC

11 Router/Switches S-1 6.9 Win2K Server TK-1 8.

21 2 MBit/s SFV Basis-Sicherheitscheck Server A Server C IT- Grundschutzmodell Server B Verwaltung Drucker Notebooks Personal Geschäftsleitung Router A www Firewall Maßnahmenempfehlungen Soll-Ist- Vergleich Realisierte Maßnahmen Sicherheitskonzept: defizitäre Maßnahmen

22 5 Schritte zum ISMS 1. Schritt Managementunterstützung für ISMS Einführung und Aufbau 2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy) 3. Schritt Organisationsanalyse 4. Schritt Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen 5. Schritt (Aus-)Gestaltung des ISMS

23 Schutzbedarfsfeststellung Definition der Schutzbedarfskategorien Definitionen der Kategorien müssen individuell angepasst werden Normal Schadensauswirkungen sind begrenzt und überschaubar. Hoch Schadensauswirkungen können beträchtlich sein. Sehr hoch Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Rechtliches, Datenschutz, Marketing, Finanzen, Gesundheit... => Vertraulichkeit, Integrität, Verfügbarkeit

24 Schutzbedarfsfeststellung Schutzbedarf/Sicherheitsniveau IT-Grundschutz sehr hoch hoch normal Prozess 1 Prozess 2 Prozess

25 Höherer Schutzbedarf: Risikoanalyse hoch Auswirkungen gering GAU Flugzeugabsturz? Brand Blitzschlag Stromschwankungen Stau Erkältung Insektenstich gering hoch Wahrscheinlichkeit

26 Höherer Schutzbedarf: Risikoanalyse hoch Auswirkungen gering Schadensbeseitigung planen Akzeptieren und Versichern Höchste Priorität Vorbeugen gering hoch Wahrscheinlichkeit

27 Abgestufte Risikobewältigung Gesamtrisiko Restrisiko

28 5 Schritte zum ISMS 1. Schritt Managementunterstützung für ISMS Einführung und Aufbau 2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy) 3. Schritt Organisationsanalyse 4. Schritt Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen 5. Schritt (Aus-)Gestaltung des ISMS

29 Sicherheit als Prozess (PDCA) Initiierung des Sicherheitsprozesses: - Erstellen einer ISMS Policy - Einrichten eines IT-Sicherheitsmanagements Der Sicherheitsprozess IT-Sicherheitskonzept: Identifikation von Controls Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: - Infrastruktur - Organisation - Personal - Technik - Kommunikation - Notfallvorsorge Insbesondere Sensibilisierung für IT-Sicherheit Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb

30 Notfallvorsorge Initiierung des Notfallmanagements Erstellung eines Notfallvorsorgekonzepts Aufrechterhaltung und kontinuierliche Verbesserung Umsetzung des Notfallvorsorgekonzepts Tests und Übungen, Notfallbewältigung

31 Notfallvorsorge Finanzinstitute Schadenshöhe / Kosten Hot-Stand-By RZ Cold-Stand-By RZ Cold- Stand-By Hardware Dienstleister - Verträge Handlung nach Notfallplan Schaden für KMU 8 Stunden 1 Tag 2 Tage 4 Tage 1 Woche 1 Monat Zeit 4 Stunden 1 Minute

32 Risikobewältigung Gesamtrisiko Restrisiko

33 neam IT-Services GmbH Stand C11 Technologiepark 21 D Paderborn

Ähnliche Dokumente

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie