Informationssicherheit nach ISO ein Überblick über den Zertifizierungsprozess. AL Consult - Unternehmenslogik

Transkript

1 Informationssicherheit nach ISO ein Überblick über den Zertifizierungsprozess AL Consult - Unternehmenslogik solutions.hamburg,

2 Was Sie erwartet Kurzvorstellung ISO 270xx eine Normenreihe für Informationssicherheit Vorstellung der Norm ISO/IEC 27001:2013 Kap ISO/IEC 27001:2013 Annex A

3 AL Consult Unternehmenslogik Kurzvorstellung AL Consult - Unternehmenslogik solutions.hamburg,

4 Unternehmenslogik ist die Prozesse auf die Bedürfnisse der logischen Arbeitsabfolgen auszurichten und nicht auf die technischen Prozesse der Informationstechnologie.

5 Unternehmenslogik die Schwerpunkte IT- Strategieentwicklung auf der Basis von CObIT Informationssicherheit (ISO 27001) IT Servicemanagement (ISO 20000, ITIL ) Prozessmanagement Qualitätsmanagement (ISO 9001) Projektmanagement nach PRINCE2 Workshops, Trainings

6 Was kommt jetzt Kurzvorstellung ISO 270xx eine Normenreihe für Informationssicherheit Vorstellung der Norm ISO/IEC 27001:2013 Kap ISO/IEC 27001:2013 Annex A

7 Bedrohungen für Informationen Diebstahl & Betrug Internetnutzung/IT Globalisierung Internet (Über)-Regulierung Wie kann man damit umgehen? Social Engineering Unwissenheit von Mitarbeitern Mitteilungsbedürfnis Spion vs. Spion Terror/Unruhe

8 Online-Sicherheit herstellen Anteil Angriffspunkte 39,9 % -Anhänge 37,4 % mit schadhaften Links 16,6 % Internetzugang durch Download 3,6 % Direktinstallation 2,2 % Download durch Malware 1,9 % Fernzugriff 0,3 % Netzwerkausbreitung 54,0 % Online-Interaktion Antivirus Patch-Management Online-Sicherheit Filtern von Inhalten Maßnahmen Quelle: Studie von Maxfocus, Juli 2015

9 ISMS nach ISO Sicherheitsmanagement als kontinuierlicher Prozess Implementierung und Betrieb von Maßnahmen Definition von Anwendungsbereich und Zielen Risikoanalyse Maßnahmendefinition PLANUNG BETRIEB ÜBERPRÜFUNG Überwachung und Überprüfung VERBESSERUNG Verbesserung der Maßnahmen Vorbeugen von Fehlern

10 Einführung in den Standard Die ISO 2700x Familie

11 Einführung in den Standard Vorteile der ISO/IEC 27001:2013 Bewertung der Geschäftsprozesse in Hinblick auf Informationssicherheit Informationssicherheit is ein integraler Bestandteil der Geschäftsprozesse Kenntnis und Steuerung von Risiken / Restrisiken Priorität hat die Sicherheit des Geschäftsbetriebs: Business Continuity Management Informationsstrukturen und prozesse werden dokumentiert Wachsende Sensibilisierung der Mitarbeiter zum Thema Sicherheit

12 Einführung in den Standard Vorteile der ISO/IEC 27001:2013 Wettbewerbsvorteile durch eine Zertifizierung Weltweit akzeptierter Standard Mögliche Senkung von Versicherungsprämien Kostensenkung durch gut geplante Prozesse ITIL (Information service management) referenziert auf die ISO/IEC 27001

13 Entwicklung des Standards Vorschlag BS 7799 Part One February 1995 Nachweis BS 7799 Part Two February 1998 ISO/IEC 17799:2000 BS :2002 ISO/IEC 17799:2005 ISO/IEC 27001:2005 ISO/IEC 27002:2007 ISO/IEC 27002:2013 ISO/IEC 27001:2013

14 Haben Sie hierüber schon einmal nachgedacht?

15 ISMS nach ISO PLAN Risikobasierte Steuerung von icherheitsmaßnahmen Was habe ich? Was kann damit geschehen? Wie gehe ich damit um? Verstehe Deine Werte Werte Verwundbarkeiten Bedrohungen Verstehe Deine Risiken Vertraulichkeit Integrität Verfügbarkeit Behandle Deine Risiken Reduzieren Vermeiden Verlagern Akzeptieren von vorne

16 ISMS nach ISO 27001:2013 Gliederung IS-Themen Management Personal Informationssicherheitspolitik (5.2, A.5) ISMS-Organisation (5.3, A.6) Information Asset Management (A.8) Personelle Sicherheit (A.7) IS Incident Management (A.16) Compliance (A.18) Leadership (5) Beziehungen zu Lieferanten (A.15) Zutritt / Gebäude / Umgebung Physische Sicherheit (A.11) Zugang / Zugriff Zugangskontrolle (A.9) Tagesgeschäft Betrieb (A.12) Kryptographie (A.10) Kommunikationssicherheit A.13) Planung / Projekte Beschaffung, Entwicklung und Wartung von Systemen (A.14) Geschäftsprozesse IS Risiko Management (8.2, 8.3) Business Continuity Management (A.17)

17 ISO 270xx: die Standards (1) ISO ISO ISO ISO ISO ISO ISO ISO ISMS Übersicht und Begriffe Grundlegende Prinzipien, Konzepte, Begriffe, Definitionen für die Normenreihe ISO/IEC 27000ff. ISMS Anforderungen ISMS Leitfaden für das Management der IS ISMS Leitfaden zur Umsetzung Anleitung zur praktischen Umsetzung und weitere Informationen zum ISMS nach ISO/IEC ISMS Messungen Empfehlungen zur Nutzung von Sicherheitsmessungen für ISMS incl. Kennzahlensystemen und Kontrollzielen Management der Informationssicherheits-Risiken Anforderungen an Zertifizierungsstellen für ISMS Akkreditierungsanforderungen in Ergänzung zu ISO/IEC Leitfaden zur Auditierung von ISMS Durchführung von ISMS-Audits in Ergänzung zu ISO 19011

18 ISO 2700x: die Standards (2) ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO Leitfaden zur Auditierung von ISMS-Controls Sector-specific application of ISO/IEC Requirements IS management for inter-sector communications Leitfaden zum IS-Management in der Telekommunikation ISM guidelines for e-government services Guidance on the integrated implementation of ISO/IEC and ISO/IEC ISMS for the service sector ISM guidelines for financial and insurance services ISM Organizational economics Code of practice based on ISO/IEC for cloud services Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors

19 ISO 2700x: die Standards (3) ISO ISM guidelines based on ISO/IEC for process control systems specific to the energy industry ISO Competence requirements for ISM professionals ISO Mapping the revised editions of ISO/IEC and ISO ISO ISO ISO ISO ISO ISO ISO ICT Readiness for Business Continuity Guidelines for Cybersecurity Guidelines for Network Security Guidelines for Application Security Information security incident management Guidelines for security of outsourcing Guidelines for identification, collection and/or acquisition and preservation of digital evidence Specification for digital redaction

20 ISO 2700x: die Standards (4) ISO ISO ISO ISO ISO ISO ISO ISO Selection, deployment and operation of intrusion detection and prevention systems (IDPS) Storage security Guidance on assuring suitability and adequacy of incident investigative methods Guidelines for the analysis and interpretation of digital evidence Incident investigation principles and processes Guidelines for Security Information and Event Management Electronic discovery Health informatics Information security management in health using ISO/IEC weitere Informationen z.b. unter

21 Was kommt jetzt Kurzvorstellung ISO 270xx eine Normenreihe für Informationssicherheit Vorstellung der Norm ISO/IEC 27001:2013 Kap ISO/IEC 27001:2013 Annex A

22 ISO 27001:2013

23 Struktur der ISO 27001: Einleitung 1. Anwendungsbereich 2. Normative Verweise 3. Begriffe 4. Kontext der Organisation 5. Führung 6. Planung 7. Unterstützung 8. Einsatz (Operation) 9. Leistungsauswertung 10. Verbesserung Anhang A (normativ): Referenz-Maßnahmenziele und -Maßnahmen Grundlagen Managementrahmen Katalog

24 Aufbau des Standards Kontinuierlicher Verbesserungsprozess Die neuen Abschnitte des Standards lassen sich auch weiterhin den PDCA-Phasen zuordnen, wie die folgende Tabelle illustriert: Phase Abschnitt in ISO/IEC 27001:2013 PLAN DO CHECK ACT 4. Kontext der Organisation 6. Planung des ISMS 7. Support des ISMS 8. Betrieb des ISMS 9. Leistungsbewertung 10. Verbesserung 5. Führung

25 Aufbau des Standards Übersicht des Inhalts Verbindlicher Teil (Mandatory part) Definitionen (3) Kontext der Organisation (4) - Verständnis der Organisation und ihres (ISMS-)Kontextes (4.1) - Verständnis der Bedürfnisse und Erwartungen von interessierten Parteien (bzgl. ISMS) (4.2) - Festlegung des ISMS-Geltungsbereichs (4.3) - Informationssicherheits-Management System (ISMS) (4.4) Führung und Kommunikation (5) - Führung und Engagement (5.1) - Leitlinie (5.2) - Organisatorische Aufgaben, Zuständigkeiten und Befugnisse (5.3)

26 Aufbau des Standards Übersicht des Inhalts Verbindlicher Teil (Mandatory part) Planung (6) - Maßnahmen zum Umgang mit Risiken und Chancen (6.1) - IS-Ziele und Pläne für deren Erreichung (6.2) Unterstützung (7) - Ressourcen (7.1) - Kompetenz (7.2) - Bewusstsein (7.3) - Kommunikation (7.4) - Dokumentierte Informationen (7.5)

27 Aufbau des Standards Übersicht des Inhalts Verbindlicher Teil (Mandatory part) Einsatz (8) - Einsatzplanung und kontrolle (8.1) - IS-Risikoeinschätzung (8.2) - IS-Risikobehandlung (8.3) Leistungsauswertung (9) - Überwachung, Messung, Analyse und Auswertung (9.1) - Internes Audit (9.2) - Prüfung durch die Leitung (Management Review) (9.3)

28 Aufbau des Standards Übersicht des Inhalts Verbindlicher Teil (Mandatory part) Verbesserung (10) - Abweichung und Korrekturmaßnahmen (10.1) - Laufende Verbesserung (10.2)

29 Dokumentierte Informationen Kapitel Information 4.3 ISMS-Geltunsbereich 5.2 IS-Leitlinie Prozess zur IS-Risikoeinschätzung Prozess zur IS-Risikobehandlung d) Erklärung zur Anwendbarkeit 6.2 IS-Ziele 7.2 d) Kompetenznachweise b) Relevante Informationen zur Wirksamkeit des ISMS 8.1 Einsatzplanung und Kontrolle der Umsetzung 8.2 Ergebnisse der IS-Risikoeinschätzung 8.3 Ergebnisse der IS-Risikobehandlung 9.1 Nachweis der Überwachungs- und Messergebnisse 9.2 g) Nachweis des Auditprogramms und der Audit-Ergebnisse 9.3 Nachweis der Ergebnisse des Management Reviews 10.1 f) Nachweis über die Ursache der Abweichungen und ergriffene Folgemaßnahmen 10.1 g) Nachweis über die Ergebnisse von Korrekturmaßnahmen

30 Was kommt jetzt Kurzvorstellung ISO 270xx eine Normenreihe für Informationssicherheit Vorstellung der Norm ISO/IEC 27001:2013 Kap ISO/IEC 27001:2013 Annex A

31 ISO 27001:2013 Annex A 14 Themenbereiche (Clauses) mit 35 Sicherheitszielen (Reference control objectives) und 114 Maßnahmen (Reference controls) Korrespondierende Aktualisierung der ISO 27002

32 Annex A - Themenbereiche A.5 Sicherheitsleitlinien A.6 Organisation der Informationssicherheit A.7 Personelle Sicherheit A.8 Management von organisationseigenen Werten A.9 Zugangs- und Zugriffskontrolle A.10 Kryptographie A.11 Physische und umgebungsbezogene Sicherheit A.12 Betriebssicherheit A.13 Kommunikationssicherheit A.14 Beschaffung, Entwicklung und Instandhaltung von Systemen A.15 Lieferantenbeziehungen A.16 Management von Informationssicherheitsvorfällen A.17 IS-Aspekte des Business Continuity Managements A.18 Richtlinienkonformität (Compliance)

33 ISMS nach ISO Einführung eines ISMS Konzeption / Dokumentation 3 Schaffung der ISMS-Dokumentation Ebene 1 Management Rahmenwerk, Policies bezogen auf ISO Clauses 4 Ebene der Vorgaben Security Manuals Ebene 2 Prozesse Prozeduren, Zuordnung Ebene 3 konkrete Handlungs- Anweisungen: Arbeitsanweisungen, Checklisten, Formulare Policy, Scope, SoA, Risk Management Prozessbeschreibungen zur Umsetzung wer, was wann, wo Kap. 04 bis 10 Beschreibung, wie Aktivitäten und Aufgaben abgearbeitet werden Ebene 4 Nachweise: Aufzeichnungen, Records Aufzeichnungen: objektive revisionssichere Nachweise, dass die Vorgaben des ISMS erfüllt werden

34 Ihr Weg zu Ihrem ISO/IEC Zertifikat Implementierung (evtl. mit Berater) SoAfestlegen und Controls auswählen bzw. Maßnahmen festlegen Zertifizierung durchführen Scope festlegen Bestandsaufnahme Schutzbedarf feststellen und Risiken bewerten Controls implementieren, Management Review und interne Audits durchführen

35 Vorteile einer vorgelagerten Bestandsaufnahme Vorteil Auswirkungen erkennen Erläuterung Bei einer Bestandsaufnahme werden die einzelnen Kapitel der Norm mit den Gegebenheiten im Unternehmen verglichen. Geltungsbereich Stärken und Schwächen erkennen Mitarbeiter einbinden Dokumentation, Technik und Infrastruktur Anhand der Bestandsaufnahme kann der Geltungsbereich für die anstehende Zertifizierung ggf. eingegrenzt werden. Somit können die Kosten für die Zertifizierung reduziert werden. Nach der Bestandsaufnahme kennt das Unternehmen seine Stärken und Schwächen. So können Ressourcen besser eingesetzt und somit Kosten reduziert und die Dauer der Vorbereitung verringert werden. Mitarbeiter und Führungskräfte kennen die Herausforderungen und können somit besser motiviert und eingebunden werden. Mit der Bestandsaufnahme werden Schwächen in der Dokumentation und der technischen Infrastruktur deutlich, so dass genügend Zeit bleibt, Maßnahmen zu treffen.

36 Zertifizierung nach ISO Nutzen Nachweis der Sicherheit gegenüber Dritten (Gesetzgeber, Mitarbeitern, Lieferanten, Kunden und Partner) Wettbewerbsvorteil: Dokumentierte Qualität durch eine unabhängige Instanz Kostenreduktion durch transparente und optimierte Strukturen Sicherheit als integraler Bestandteil der Geschäftsprozesse Kenntnis und Kontrolle der IT-Risiken / -Restrisiken Dokumentation von Strukturen und Prozessen Absicherung des CIO & IT-Sicherheitsverantwortlichen

37 Zertifizierung nach ISO weiterer Nutzen Gesteigertes Sicherheitsbewusstsein der Mitarbeiter Beurteilen der Organisationsprozesse nach Sicherheitsgesichtspunkten Vorrang der Sicherheit des Geschäftsbetriebes: Business Continuity Management Weltweit anerkannter Standard Mögliche Senkung von Versicherungsprämien Referenzierung des IT-Prozess-Management- Standards ITIL auf ISO Nahtloses Einpassen von ISO in evtl. bestehende Managementsysteme, wie z.b. ISO 9001

38 AL Consult - Unternehmenslogik weil Ihr Unternehmen es wert ist! Andreas Lentwojt Betriebswirt Auditor ISO/IEC Auditor ISO/IEC Auditor DIN EN ISO 9001 AL Consult - Unternehmenslogik Alfred-Jessen-Weg 10 D Trittau bei Hamburg Tel Mobil Mail A.Lentwojt@unternehmenslogik.de

39 Fragen?

40 2015, AL Consult - Unternehmenslogik. Alle Rechte vorbehalten. Alle Angaben ohne Gewähr. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch AL Consult - Unternehmenslogik nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.

41 Exkurs: ISO 31000