Umsetzung BSI Grundschutz

Größe: px

Ab Seite anzeigen:

Download "Umsetzung BSI Grundschutz"

Andrea Karin Richter
vor 8 Jahren
Abrufe

1 Umsetzung BSI Grundschutz ISO auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag SIZ GmbH Bonn Andreas Mayer, Dipl.-Kfm. Geschäftsführer, indevis GmbH

werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.

2 Die indevis GmbH: Gründung 1999 Managed Services seit Kunden Standorte München, Hamburg und Berlin 20 Mitarbeiter Hersteller von Cloud Security Services Integration von Informationssicherheits- und Netzwerklösungen Betrieb von Managed Security Services und Outsourcing Security as a Service Seite 2 l 18

Cloud Security Services Integration von Informationssicherheits- und

3 Unsere Kunden (Auszug über 1.200): Seite 3 l 18

4 Integration von Informationssicherheitsund Netzwerklösungen Anti Spam Anti Virus Authentisierung Backup Verschlüsselung Firewall & VPN Intrusion Detection & Prevention Log Management Malware & Zero-Day Protection SSL VPN Remote Access Switching Unified Access Control WAN Acceleration Web Proxy Wireless LAN Seite 4 l 18

& Prevention Log Management Malware & Zero-Day Protection SSL VPN Remote Access

5 Integration von Informationssicherheits und Netzwerklösungen Anti Spam AntiVirus Authentisierung Backup verschlüsselung Firewall & VPN IDP SSL VPN Switching UAC WAN Acceleration Web Proxy WLAN Consulting Betrieb von Managed Security Services und Outsourcing Application Firewalling Managed Anti Spam Managed Anti Virus Managed Authentication verschlüsselung Managed Firewall & VPN Managed SSL VPN Managed Web Meeting Managed Web Proxy Managed WLAN tbc Rechenzentrum / Virtualisierung Seite 5 l 18

Outsourcing Application Firewalling Managed Anti Spam Managed Anti Virus Managed Authentication E-Mailverschlüsselung Managed

6 Das Konzept von indevis Seite 6 l 18

7 Partner & Herstellerzertifizierungen: Seite 7 l 18

8 Warum lässt indevis ihr ISMS zertifizieren? Stand der Informationssicherheit tatsächlich verbessern und dieses nach Innen und nach Außen dokumentieren nachgewiesener Status der Informationssicherheit Informationssicherheit als integraler Bestandteil der Geschäftsprozesse Door Opener (Wettbewerbsvorteil gerade für kleinere Unternehmen) Anspruch: Best in Class Services Haftungsrisiken erkennen und minimieren Seite 8 l 18

dokumentieren nachgewiesener Status der Informationssicherheit Informationssicherheit als integraler

9 Warum ISO auf der Basis von IT-Grundschutz? Akzeptanz in D, A, CH sehr hoch ISO Zertifizierung Kunden aus dem Umfeld Behörden Anforderung in Ausschreibungen Seite 9 l 18

Akzeptanz in D, A, CH sehr hoch ISO 27001 +

10 Herausforderung BSI-Zertifizierung An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht BSI-Zertifizierung heißt: 2,5 Jahr Vorbereitung neben dem Tagesgeschäft Informationssicherheit ist kein Zustand sondern ein Prozess! Informationssicherheit ist keine Einzelleistung sondern Mannschaftssport! Informationssicherheit bedeutet Überstunden und ist nur mit Fleißarbeit zu erreichen Informationssicherheit ist harte Arbeit Seite 10 l 18

Zustand sondern ein Prozess! Informationssicherheit ist keine Einzelleistung sondern Mannschaftssport!

11 Wie hoch ist der Aufwand für eine Zertifizierung? (BSI-GS, ISO ) hoher Aufwand bei der Erst-Implementierung Strukturanalyse, Schutzbedarfsfeststellung (Aufbau und Pflege des GS- Tools, Modellierung) initiale Erfüllung der Anforderungen (GS-Maßnahmen, ISO Controls) Entwicklung eines eigenen Policy-Sets Umsetzung der Policies hoher Aufwand bei der Zertifizierung und Überwachungsaudit auf der Seite des zur zertifizierenden Unternehmens auf der Seite des Zertifizierungs-Auditors intensive Kommunikation mit der Zertifizierungsstelle (BSI, TüV, ) hoher Aufwand bei der Aufrechterhaltung der Zertifizierung ständiger Verbesserungsprozess (PDCA) Dokumentationsaufwand ständige Sensibilisierung der Mitarbeiter (z.b. mit Hilfe von Software-Tools) Seite 11 l 18

(GS-Maßnahmen, ISO 27001 Controls) Entwicklung eines eigenen Policy-Sets Umsetzung der Policies hoher Aufwand bei der Zertifizierung und Überwachungsaudit auf der Seite des zur

12 Was ist der Nutzen einer BSI-Zertifizierung? Level der Informationssicherheit verbessert sich Informationssicherheit wird integraler Bestandteil der Geschäftsprozesse Mind-Set verändert sich Sicherheit (nicht nur Informationssicherheit) im Unternehmen wird erhöht Kunden vertrauen auf den Standard und das Zertifikat BSI IT-Grundschutz zumindest in D, A, CH akzeptiert Werbebotschaft kommt an Aufmerksamkeit am Markt / Wahrnehmung Vorteile insb. bei öffentlichen Ausschreibungen Awareness bei den Mitarbeitern wird gefördert: Wir wollen unser Zertifikat behalten Seite 12 l 18

sich Sicherheit (nicht nur Informationssicherheit) im Unternehmen wird erhöht Kunden vertrauen auf den Standard und das Zertifikat BSI

13 Lessons Learned (1) Zertifizierung ohne GS-Tool nicht sinnvoll bzw. nicht möglich GS-Tool mit einigen Schwächen (Migration von Bausteinen z.b. allg. Verzeichnisdienst => AD, Vererbung des Schutzbedarfs) Einige Reports für den Zertifizierungsbericht sind nicht oder nur mit Umwegen aus dem GS-Tool generierbar (z.b. Liste der Kommunikationsverbindungen) Ausschließlichkeitsprinzip: GS-Maßnahmen müssen umgesetzt werden! (Risikobasierter Ansatz nur bei hohem Schutzbedarf.) Sind die GS-Maßnahmen wirklich nur für normalen Schutzbedarf geeignet? Qualität und Aktualität der Bausteine ist sehr unterschiedlich. Hoher Aufwand bei der Modellierung, wenn kein Baustein vorhanden ist (z. B. Appliance) Seite 13 l 18

(Risikobasierter Ansatz nur bei hohem Schutzbedarf.) Sind die GS-Maßnahmen wirklich nur für normalen Schutzbedarf geeignet?

14 Lessons Learned (2) ISO Anforderungen durch die Hintertür (z.b. Richtlinie zur Lenkung von Dokumenten und Aufzeich-nungen) Umsetzungshilfen (BSI-GS und ISO 27001) müssen selbst entwickelt werden (Policies, Arbeitsanweisungen, Konzepte, Checklisten, etc.) Ein erfahrenes Auditoren-Team als Puffer zwischen BSI und indevis hält uns den Rücken frei! Der gesamte Auditprozess wird vom Antrag bis zur Zertifizierung durch das Auditoren-Team gesteuert. indevis beantwortet lediglich die Audit- Fragen. Seite 14 l 18

werden (Policies, Arbeitsanweisungen, Konzepte, Checklisten, etc.

15 Gedanken zur BSI-Zertifizierung Praktikabilität vs. Overhead ständige Verbesserung (PDCA-Zyklus) bei initialer Erfüllung von 100% - wie? BSI-Zertifizierung vs. dynamisch wachsendes Unternehmen Wettbewerb mit anderen Zertifizierungen hohe Erwartungshaltung bei Kunden Durchsetzung höherer Preise? Nein! mehr Anfragen vom Markt? Ja! Kunden schmücken sich mit fremden Federn Grundschutztool unterstützt den Aufbau und Aufrechterhaltung eines ISMS prozessual nicht Wunsch nach besserer Datenbank Seite 15 l 18

dynamisch wachsendes Unternehmen Wettbewerb mit anderen Zertifizierungen hohe Erwartungshaltung bei Kunden Durchsetzung

16 Das BSI-Zertifikat wichtig ist der Scope! Zertifikatsnummer: BSI-IGZ gültig bis: 14. Januar 2013 Auditoren: Thomas Rühl, BSI-IGL , Stephan Rostmann, BSI-IGL indevis IT Consulting and Solutions GmbH Grimmstraße München Der Informationsverbund der indevis IT Consulting and Solutions GmbH in München erstreckt sich über alle grundlegenden Dienstleistungen, die im Geschäftsbereich Managed Security Service Providing (MSSP) erbracht werden. Dazu zählen insbesondere Hotline Support (Helpdesk), Managed AntiSpam Service, Managed Authentication, Managed Firewall/VPN Services, Managed Secure Remote Access, Server Housing Infrastruktur und der Vertrieb. Der Untersuchungsgegenstand umfasst alle für diese MSSP-Dienstleistungen der indevis GmbH erforderlichen IT-Systeme und Prozesse sowie das Rechenzentrum einschließlich der Netzwerk- und Kommunikationsverbindungen, die den Kunden zur Verfügung gestellt werden. Nicht Gegenstand der Betrachtung sind die Anwendungen, die von den Kunden in eigener Verantwortung auf deren kundeneigenen Systemen betrieben werden. Seite 16 l 18

Consulting and Solutions GmbH in München erstreckt sich über alle grundlegenden Dienstleistungen, die im Geschäftsbereich Managed Security Service Providing (MSSP) erbracht werden.

17 indevis ISO Zertifizierung auf Basis von BSI IT-Grundschutz: Erst-Zertifizierung: am 14. Januar 2010 gültig bis 14. Januar Überwachungs-Audit: gültig bis 14. Januar Überwachungs-Audit: gültig bis 14. Januar 2013 Übergabe des BSI-Zertifikates v. l.: Herr Hange, Präsident des BSI; Herr Mayer Geschäftsführer indevis GmbH; Herr von Stülpnagel, Sprecher der Geschäftsführung SIZ Seite 17 l 18

Überwachungs-Audit: gültig bis 14. Januar 2013 Übergabe des BSI-Zertifikates v. l.

18 Fragen? indevis IT Consulting and Solutions GmbH Andreas Mayer, Dipl.-Kfm. Grimmstrasse München Tel: +49 (89) andreas.mayer@indevis.de Seite 18 l 18

Ähnliche Dokumente

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,