ISO umsetzen und managen

Transkript

1 GmbH 2017 ISO umsetzen und managen Dr. Keye Moser, SIZ GmbH CeBIT 2017,

2 Unsere 185+ Mitarbeiter setzen seit 1990 Maßstäbe in Informationssicherheits- und ebanking-standards sowie seit 2010 auch im Beauftragtenwesen GmbH 2017, S. 2

3 GmbH 2017, S. 3 Wir haben ein breites Produktportfolio zur Informationssicherheit und Notfallplanung Sicherer IT-Betrieb: "Trusted Product ISO Tool" Produktfamilie für den Aufbau und Betrieb von ISO konformen Informationssicherheits- Managementsystemen Sicherer Datenschutz Produktfamilie zur Unterstützung des Datenschutzbeauftragten Geschäftsfortführungsplanung / BCM und IT-Notfallplanung Dokumentationswerkzeug mit vorgefüllten Templates und automatisierten Verfahren S-CERT (Computer Emercency Response Team) Services zum Management von Schwachstellen und IT-Sicherheitsvorfällen Auditmodule für sicherheitsrelevante Themen enthalten: Checklisten zur Identifikation von Schwachstellen Bewertungsschema zur Risikoeinschätzung und Ergebnisdarstellung Sicherheitsleitfäden für gängige IT-Systeme

4 Unser Portfolio an Audit-Modulen deckt die wesentlichen Umgebungen ab und wird kontinuierlich ausgebaut (Stand 01/2017) GmbH 2017, S. 4 Betriebssystem-Audits Anwendungs-Audits UNIX-Betriebssysteme - AIX 5.2 / 5.3 / 6.1 / Solaris 8 / 9 / 10 / 11 - Red Hat Enterprise Linux 6 / 7 Microsoft-Betriebssysteme - Windows Server 2008 / 2008 R2 - Windows Server Windows Server 2012 R2 - Windows Vista / 7 / 7 SP1 / 10 Virtualisierung - Citrix-Terminalserver - Citrix XenApp 7 - Citrix XenServer 6 / 7 - VMware vsphere 4 / 5.x / 6 Mobile-Systeme - PDA - iphone/ipad ios 8 / 9 / 10 - Blackberry 10 Netzwerk - Cisco IOS Storage - Storage universal Datenbanken - IBM DB2 LUW (Linux, Unix, Windows) 10.x - Microsoft SQL Server 2008 / 2008 R2 - Microsoft SQL Server 2012 / Oracle 10g / 11g / 12c - RDBMS allgemein Webserver - Apache Webserver 1.3 / 2.x - Apache Tomcat 6 / 7 - Microsoft Internet Information Services (IIS) Microsoft SharePoint Microsoft Office SharePoint Server Microsoft SharePoint Server / Groupware - Microsoft Exchange-Server Microsoft Exchange-Server 2013 / Lotus Notes 8.x / Notes 9.x Browser - Microsoft Internet Explorer 8 / 9 / 10 / 11 - Firefox 38 ESR / 45 ESR - Google Chrome SAP - SAP Basissystem - SAP HR/HCM - SAP NetWeaver Portal - Delta AIX für SAP - Delta Oracle für SAP Büroanwendungen - Microsoft Office 2010 / Adobe Reader X / XI - Adobe Flash ab 9.x Übergeordnete Audits - Schutz vor Malware - Content-Security - SPAM - LAN-Sicherheit - TK-Anlage und VoIP

5 Mit unserem Beratungsangebot decken wir alle wichtigen Bereiche der Informationssicherheit und der Notfallplanung ab GmbH 2017, S. 5 Durchführung von Audits, Penetrationstests, Sicherheitsanalysen IT-Sicherheit IT-Risiko Beratung zum Einsatz / Härtung von Systemen Beratung zur Dienstleistersteuerung Aufbau /Optimierung Geschäftsfortführungsplanung / BCM und IT-Notfallplanung Konzeption und Durchführung von Notfallübungen Aufbau / Optimierung von Informationssicherheits- und IT-Risiko-Managementsystemen Zertifizierung von Informationssicherheits-Managementsystemen Langfristunterstützung des Informationssicherheits-Managements Outsourcing Datenschutzbeauftragter

6 ISO international breit anerkannter Standard für Informationssicherheit, deren Umsetzung zunehmend regulatorisch von Unternehmen gefordert wird GmbH 2017, S. 6 Der Standard ISO/IEC enthält im Kern den Managementrahmen eines Informationssicherheits-Managementsystems. Der früher besonders betonte PDCA-Zyklus (Plan/Do/Check/Act) spielt mittlerweile eine kleinere Rolle. Zu den mindestens umzusetzenden Kontrollmechanismen werden die in der Norm ISO/IEC genannten Mechanismen (Controls) gefordert. Eine Unternehmens-Zertifizierung ist nach dieser Norm möglich. Der Standard ISO/IEC ist ein Leitfaden zum Informationssicherheits- Management. Die Norm beinhaltet ein umfassendes Angebot an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der Informationssicherheit bewährt haben (Best Practice) Die ISO-Norm wurde aus dem British Standard BS 7799 Teil 1 entwickelt. Eine Unternehmens-Zertifizierung ist nach dieser Norm nicht möglich, dies kann nur nach der Norm ISO/IEC erfolgen.

7 Die direkte Umsetzung der Norm ISO gestaltet sich in der Realität leider aufwändig und schwierig Fakten: ISO/IEC ist eine nach Themenfeldern sortierte Ansammlung von Controls/Anforderungen die an ein ISMS gestellt werden fragt nur ab, ob bestimmte Themen zur Informationssicherheit umgesetzt wurden sagt grundsätzlich nicht, wie etwas umgesetzt werden sollte enthält kein detailliertes Prozess-Modell, das umzusetzen ist, sondern Prozess-Vorgaben, die einzuhalten sind berücksichtigt als internationale Norm die Inhalte nationaler Regulierung nicht fordert an vielen Stellen umfangreiche und z. T. recht bürokratische Dokumentationen Bei der Ausgestaltung eines ISMS werden große Freiheiten gelassen, sofern die oben genannten Controls beachtet werden, was in der Realität oft Orientierungslosigkeit hervorruft. GmbH 2017, S. 7

8 Das Produkt Sicherer IT-Betrieb ist vollständig konform zur ISO dies hat TÜViT mit einem Zertifikat bestätigt. GmbH 2017, S. 8 Das Produkt "Sicherer IT-Betrieb" wurde in der Basisvariante, Version 8, 10, 12 und 14 von der TÜViT GmbH als "Trusted Product ISO Tool" zertifiziert. Das Zertifikat bescheinigt, dass die Anforderungen "Trusted Product ISO Tool" in der Version 1.0 erfüllt sind. Dazu gehört, dass das Produkt die Norm ISO vollständig und funktional richtig abdeckt, alle Phasen des PDCA-Zyklus der ISO unterstützt, effiziente Unterstützung bei Erstellung und Management der ISMS-Dokumentation bietet und in ausgewählten Aspekten der Informationssicherheit dem aktuellen Stand der Technik entspricht.

9 Das Produkt Sicherer IT-Betrieb deckt alle Anforderungen an die Informationssicherheit vollständig ab Ganzheitlicher Ansatz zum Informationssicherheits- und IT-Risikomanagement IS-Lifecycle-Prozessunterstützung Nachschlagewerk für Gesetze, Normen, Compliance-Themen werkzeuggestützte Dokumentationsplattform Risikoorientierter Ansatz Harmoniert mit gängigen Standards wie ISO/IEC 27001:2013, COBIT, BSI Schichtenmodell, IDW, ITIL Relevante nationale Regulierung GmbH 2017, S. 9 KPMG hat die Konformität in Bezug auf COBIT Security Baseline geprüft, Details siehe requestreport.aspx?30969

10 Sicherer IT-Betrieb zeigt nicht nur Was umgesetzt werden muss, sondern auch Wie der Prozess optimal realisiert werden kann GmbH 2017, S. 10

11 Dabei müssen Kosten, Nutzen, Anwendbarkeit und Risiken kontinuierlich austariert werden. Kosten Gesamtkosten Optimum Sicherheitsinvestition Verbleibende Risiken GmbH 2017, S. 11 Bequemlichkeit Sicherheit

12 GmbH 2017, S. 12 Neben den Anforderungen der Norm sind gesetzliche und regulatorische Anforderungen zu beachten Deutsche Gesetze, Anforderungen von Aufsichtsbehörden Betreiber kritischer Infrastrukturen: ITSiG / BSIG Telemediengesetz (TMG) Branchenspezifika, z. B. Banken/Versicherer: KWG, MaRisk, MaSI, VAG / VVG, MaRisk VA Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Handelsgesetzbuch (HGB) Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) EU-Datenschutzgrundverordnung (EU-DSGVO), Bundesdatenschutzgesetz (BDSG), Telekommunikationsgesetz (TKG) Strafgesetzbuch (StGB) Stellungnahmen, Prüfungsstandards- und -hinweise der Wirtschaftsprüfer ISO / IEC 27001, 27002, CobiT Rechtsprechung

13 GmbH 2017, S. 13 Sicherer IT-Betrieb ist ein erprobtes System für das Informationssicherheits-Management Kontinuierliche Weiterentwicklung des Produkts und Aktualisierung der Inhalte seit über 15 Jahren Berücksichtigung der Änderungen aus Gesetzen, Standards, Technik und Best Practice Informationssicherheits-Management auf Basis Sicherer IT-Betrieb wurde inzwischen bei über 450 Unternehmen im In- und Ausland (Sprachen: Deutsch und Englisch) etabliert. Hierzu gehören: Unternehmen aus unterschiedlichen Branchen Rechenzentren Sparkassen, Banken und Landesbanken (öffentliche) Versicherungen (Finanz-)Dienstleister: Bausparkassen, Investmentgesellschaften, Leasinggesellschaften,

14 Unser erprobten und effizienten Lösungen führen Sie schnell zu einer Informationssicherheits-Baseline, die bedarfsgerecht ausgebaut werden kann GmbH 2017, S. 14 Anforderungen: Gesetzes-Konformität Konformität zu relevanten Standards angemessene und erprobte Grundlage zur Zertifizierung praktikabel für den IT-Betrieb Optimierung der Sicherheit (optionale Maßnahmen) IT-Notfall (Planung/Test) IT-System- Audits Zertifizierung Penetrationstests Support für Interne Revision BCM / BCP (Planung/Test) CERT ISMS-Baseline: Sicherer IT-Betrieb Definition ISMS-Scope Inventar der IT-Werte Basis-Reports für IT-Risiken Maßnahmenplan ISMS-Prozess und Organisation Basis-Analyse der IT-Risiken Soll-Ist-Vergleich & Risiken

15 GmbH 2017 Vielen Dank für Ihr Interesse! Dr. Keye Moser Diplom-Physiker, CGEIT, CISM Leiter Sicherheitstechnologie SIZ GmbH Simrockstraße Bonn Telefon: Telefax: Mobil: Keye.Moser@siz.de