1. IT-Grundschutz-Tag 2014

Transkript

1 1. IT-Grundschutz-Tag 2014 ISO i. V. m. IT-Grundschutz Michael Pravida, M.A.

2 Agenda Einführung Risk assessments nach ISO Anknüpfungspunkte zw. ISO und IT-GS Anwendungshinweise ISO i. V. m. IT-Grundschutz 2

3 Einführung (kontinuierliches) Risikomanagement: wichtiger Bestandteil des Informationssicherheitsmanagements s. ISO 27001, Kap /4.2.3/7.2 und s. BSI-Standard 100-1, Kap. 7.1/8.1/8.3 Ziele: Angemessenheit und kontinuierliche Verbesserung ISO i. V. m. IT-Grundschutz 3

4 Einführung Probleme: ständige Änderung der Lage (Ressourcen, Assets, Aufträge, Strategie, Umfeld...) regelmäßige Änderung von Bedrohungen und Schwachstellen d. h. der Kontext des Risikomanagements ist einer stetigen Änderung unterworfen Frage: ISO und IT-Grundschutz unter diesen Umständen kombinierbar? ISO i. V. m. IT-Grundschutz 4

5 Risk assessments nach ISO Anlehnung an ISO 31000, Kap. 5.1 Risikoassessment Kontext festlegen Risikoevaluierung Risikobehandlung Risikoidentifizierung Risikoanalyse ISO i. V. m. IT-Grundschutz 5

6 Risk assessments nach ISO Vorbereitung: Kontext (4.3.1/5.3): Prozesse, Verantwortlichkeiten + Ressourcen externes + internes Umfeld Assets (Werte) Methoden (s. a. ISO 31010) Risikokriterien (Ereignisse, Konsequenzen, Auswirkungsgrad, Wahrscheinlichkeiten, Risikoakzeptanzniveau) ISO i. V. m. IT-Grundschutz 6

7 Risk assessments nach ISO Risk assessment Risikoidentifizierung (5.4.2): Risikoquellen, potentielle Ereignisse, (Folge-) Auswirkungen (positiv, negativ) Risk assessment Risikoanalyse (5.4.3): Abschätzen von Eintrittswahrscheinlichkeiten und Auswirkungen (Berücksichtigung von vorhandenen Maßnahmen, Bedrohungen und Schwachstellen) ISO i. V. m. IT-Grundschutz 7

8 Risk assessments nach ISO Risk assessment Risikoevaluierung (5.4.4): auch: Risikobewertung ermittelte Risikohöhen in den Kontext setzen Ziel: Entscheidung ermöglichen, ob Risiken zu behandeln oder sogar tiefergehende Analysen notwendig sind ISO i. V. m. IT-Grundschutz 8

9 Risk assessments nach ISO Anschließend: Risikobehandlung (5.5): Handlungen unterlassen Risiko eingehen/erhöhen Chance ergreifen Risikoquelle beseitigen Wahrscheinlichkeit ändern Konsequenzen ändern Risikoteilung Risiko beibehalten ( by informed decision ) ISO i. V. m. IT-Grundschutz 9

10 Anknüpfungspunkte zw. ISO und IT-GS Kontext/Scope: Geltungsbereich sollte übereinstimmen Strukturanalyse ermittelt Assets und Zusammenhänge Vorgehensweise nach IT-GS liefert Teile der benötigten Risikokriterien a) Auswirkungen ( Schadensszenarien ) und z. T. b) Risikoakzeptanzniveau ( Schutzbedarfskategorien ) Gefährdungskataloge potentielle Risikoquellen, Ereignisse, Konsequenzen ISO i. V. m. IT-Grundschutz 10

11 Anknüpfungspunkte zw. ISO und IT-GS Schutzbedarfsfeststellung: ist bereits ein risk assessment 100-2: Entscheidung im Rahmen des Risikomanagements Bewertung von Auswirkungen und Eintrittswahrscheinlichkeiten von Ereignissen für Assets: was wäre wenn in vorgeschlagene Methodik: Expertengespräch (Methode aus ISO 31010) grundlegende Risikobehandlung : Maßnahmenkataloge ISO i. V. m. IT-Grundschutz 11

12 Anknüpfungspunkte zw. ISO und IT-GS Risikoanalyse nach 100-2/100-3: vollständiges risk assessment Input: Netzpläne, Basis-Sicherheitscheck (können Schwachstellen aufzeigen), elementare Gefährdungen tiefere Untersuchung bereits kategorisierter Assets Aktuelle Informationen einbeziehen: Abbildung durch die Anlage benutzerdefinierter Gefährdungen ISO i. V. m. IT-Grundschutz 12

13 Anknüpfungspunkte zw. ISO und IT-GS Risikobehandlung ISO 31000: 7 Optionen Risikobehandlung 100-2/100-3: 4 Optionen nicht in IT-GS: Eingehen/Erhöhen des Risikos vergleichbar: Risikoübernahme, Risikotransfer ergänzende Sicherheitsmaßnahmen und Umstrukturierung aus IT-GS in ISO auf vier Behandlungsoptionen verteilt ISO i. V. m. IT-Grundschutz 13

14 Anwendungshinweise Prozesse mit höchster Wertschöpfung für das Unternehmen müssen identifiziert werden Besondere Sorgfalt bei Schutzbedarfsfeststellung tiefergehende Analysen abhängig vom Schutzbedarf eher mehr Ressourcen investieren Geschäftsprozesse berücksichtigen Kumulativ- und Folgeeffekte berücksichtigen ggf. weitere Abstufungen statt nur drei regelmäßig Ergebnisse evaluieren ISO i. V. m. IT-Grundschutz 14

15 Anwendungshinweise Probleme: Identifizierung von Bedrohungen, Schwachstellen Berichterstattung in Medien: Überbewertung des Einen, Vernachlässigen des Anderen Wissen, Qualifizierung, Erfahrung für risk assessment entscheidend Generell: was nicht bekannt ist, kann nicht identifiziert, analysiert und/oder bewertet werden Daher: Weiterbildung & regelmäßige Prüfung/Neubewertung von Risiken notwendig ISO i. V. m. IT-Grundschutz 15

16 Anwendungshinweise Rad muss nicht neu erfunden werden: konsequente Umsetzung von Basismaßnahmen (IT- GS Absicherung nach Außen, Sensibilisierung der Mitarbeiter, Netzsicherheit, Härtung, Revision usw. gezielt zusätzliche Sicherheitsmaßnahmen für wichtigste Assets Durchführung von risk assessments Angemessenheit: Sicherheit vs. Arbeitsfähigkeit vs. Ressourcenbedarf ISO i. V. m. IT-Grundschutz 16

17 Diskussion/Kontakt Vielen Dank! Sicherheitsmanager (M.A.) Wirtschaftsinformatiker (B.Sc.) Ausbilder (IHK/AEVO) ISMS (ISO 27001) Auditor Consultant (Industrieunternehmen) Michael Pravida ISO i. V. m. IT-Grundschutz 17