IT-Zertifizierung nach ISO Riskmanagement im Rechenzentrum des KH

Transkript

1 IT-Zertifizierung nach ISO Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011

2 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der Lösungsansatz Was ist ein ISMS? Was ist die ISO 27001:2005 und ihre Vorteile Implementierung eines ISMS nach ISO 27001:2005 Wie läuft die Zertifizierung ab? Entscheidene Faktoren für eine erfolgreiche Zertifizierung Seite 2

3 Die Probleme und Herausforderungen Seite 3

4 Die Probleme und Herausforderungen Fehlbedienung Trojaner, Viren, Würmer Informationen Systemausfall Höhere Gewalt Verfügbarkeit Vertraulichkeit Integrität Systemmissbrauch Diebstahl Spionage Sabotage Seite 4

5 Datenskandale in jüngster Zeit Schlagzeilen Seite 5

6 Datenskandale in jüngster Zeit Unesco: Bewerbungsunterlagen von Mitarbeitern jahrelang ins Internet gestellt. Sony: Playstation: Persönliche Daten (inkl. Kreditkarteninformationen) von Millionen Kunden gestohlen Klinik: Sämtliche Details aus der Krankengeschichte einer Prominenten an die Öffentlichkeit gelangt, da die Krankenakte für alle Mitarbeiter zugänglich war. Darmklinik: Festplatte mit Sterbelisten, Diagnosen, OP-Fotos auf der Straße gefunden Privatklinik: Tausende Arztberichte ins Internet gelangt, darunter von Frauen, die abgetrieben hatten Seite 6

7 Der Lösungsansatz Seite 7

8 Der Lösungsansatz Durch die Einführung eines ISMS können Unternehmen : Risiken identifizieren Risiken analysieren, Kontroll- und Steuerungsmechanismen einführen Ständiger Überblick über die bedrohten Informationen Möglichkeit, gezielte Maßnahmen umzusetzen Seite 8

9 Was ist ISMS? Seite 9

10 Was ist ein ISMS? Ein Informationssicherheitsmanagementsystem (ISMS) ist eine Aufstellung von Regeln und Anweisungen innerhalb des Unternehmens, die es ermöglichen die Anforderungen an Informationssicherheit dauerhaft zu erfüllen. Es ist gekennzeichnet durch ein Risikomanagement, welches darauf abzielt angemessene Maßnahmen gegen identifizierte Risiken zu ergreifen. Es basiert auf dem PDCA-Modell Planen (Plan) Umsetzen (Do) Überprüfen (Check) Handeln/Verbessern (Act) Festlegen von Regeln und Anweisungen, um die Anforderungen an die Informationssicherheit zu erfüllen. Umsetzen der Anweisungen und Regeln Überprüfen der Ergebnisse der Umsetzung Ergreifen von Korrektur- und Vorbeugemaßnahmen Seite 10

11 Was ist die ISO 27001:2005 und was sind ihre Vorteile? Seite 11

12 Was ist die ISO 27001:2005? Die ISO (als Nachfolger von BS 7799) ist ein Leitfaden zum Aufbau eines ISMS. Sie: ist international anerkannt ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe erlaubt die Integration in bereits vorhandene Managementsysteme, wie z.b. für Qualität (ISO 9001) und für Umwelt (ISO 14001) Sie besteht aus zwei Teilen: Managementsystem Anhang A (notwendige Maßnahmen) Die ISO gibt vor, was berücksichtigt werden muss Hier werden alle theoretisch notwendigen Maßnahmen aufgezeigt Die ISO sagt nicht, wie es gemacht werden soll Direkte Anpassung der Norm an das Unternehmen notwendig Seite 12

13 Vorteile der ISO 27001:2005 Aufdecken von bisher unerkannten Sicherheitslücken Positive Außenwirkung Dauerhafte Transparenz der Prozesse Reduzierung des Haftungsrisikos für Führungskräfte Durch Früherkennung Schadenbegrenzung und -reduzierung Seite 13

14 Implementierung eines ISMS nach ISO 27001:2005 Seite 14

15 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 15

16 1. Geltungsbereich und Informationssicherheitspolitik Festlegung für welche Bereiche des ISMS gelten soll Erstellen einer Informationspolitik, welche die allgemeinen Ziele des Unternehmens im Bereich Informationssicherheit widerspiegelt. Kommunikation der Politik an die Mitarbeiter Regelmäßige Überprüfung der Informationssicherheitspolitik, z.b. durch: Ergebnissen von unabhängigen Prüfungen Ergebnisse von vorhergehenden Bewertungen Beispiel einer Informationssicherheitspolitik: Das Unternehmen erkennt die Vertraulichkeit, Integrität und Verfügbarkeit des Informationssicherheitsmanagements als integralen Teil seiner Managementfunktion an. Die Informationssicherheitspolitik des Unternehmens strebt kontinuierlich nach der Ausübung des höchsten Standards, der Implementierung und des Betriebs des vollständigen ISO/IEC 27001:2005 Standards sowie kontinuierliche Verbesserung durch Registrierung und jährliche Prüfungen. Seite 16

17 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 17

18 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte Als Vermögenswerte sind gemeint: Informationen, wie Datenbanken, Dateien und Verträge Software Dienstleistungen, wie z.b. Kommunikationsdienste physische Werte, z.b. Laptops, Möbel Personen immaterielle Werte Festlegung der Verantwortlichkeiten der Werte und des Ortes Beispiel: Kategorie Beschreibung Besitzer & Ort Kundendatenbank Kundendaten wie Anschrift, Musterfirma (Quelle lfd. Ansprechpartner etc. Buchhaltung Musterstadt) Lieferantendatenbank Lieferantendaten wie Anschrift, Musterfirma (Quelle lfd. Ansprechpartner etc. Buchhaltung Musterstadt) 8.0 Mitarbeiterverzeichnis Anlage ISC Personalakten Musterfirma Musterstadt Einrichtung, Überwachung, Pflege und Betrieb der Firewall Betrieb der Firewall Partnerfirma, Partnerhausen PDAs Anlage ISC Anlage ISC Mobiltelefone Anlage ISC Anlage ISC Seite 18

19 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 19

20 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten Die Eigentümer der Werte: legt die Sicherheitsrisiken fest müssen die Werte klassifizieren Risikograd bestimmen Methode der Klassifizierung überprüfen Beispiel: Kategorie Beschreibung Besitzer Bedrohungs- Auswirkung Schwachstellen Risiko- & Ort Codes Schwere Wahrscheinlichkeit Grad 5.1 Ruf Ansehen der Firma in der Öffentlichkeit - E,G,H,L,M,N Vertrauen Vertrauen der Öffentlichkeit und der Mitarbeiter in die Firma - E,G,H,L,M,N Mitarbeiter-Moral Revitalisierung der Organisation und Erhöhung der Mitarbeitermotivation um nachhaltige - G,E,L,M Produktivitätseinbrüche zu verhindern 5.4 Mitarbeiter-Produktivität Umsatz bzw. Rohertrag pro Mitarbeiter - C,E,G,H,L,M,N Seite 20

21 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 21

22 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen Festlegung, ab welchem Risikograd Schutzmaßnahmen ergriffen werden Festlegung der Ziele der Schutzmaßnahmen Überprüfung der Ziele Festlegung der Überwachungsmaßnahmen Festlegung der Verantwortlichkeiten Neue Einschätzung des Risikogrades erforderlich Seite 22

23 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 23

24 5. Durchführung von Schulungen zur Informationssicherheit Es muss sichergestellt werden, dass Schulungen für die Mitarbeiter und Führungskräfte durchgeführt wurden Wirksamkeit der Schulung bewertet wird die Kenntnisse der Mitarbeiter überprüft werden Aufzeichnungen über Fertigkeiten und Erfahrungen geführt werden Beispiel: Art der Fähigkeiten/ Wissen/Erfahrungen MA MA MA Optimum Prorität X Y Z 3 2 Hardware Installation Betriebssystem Geben Sie auf Grund des nachfolgenden Schlüssels 0, 1, 2, or 3 ein für jede einzelne Person und jede aufgelistete Fähigkeit. Setzen Sie Prioritäten, um den folgenden Grad der Dringlichkeit anzugeben: 0 = Kein Wissen oder Erfahrung 1 = Etwas Wissen und Aufsicht ist erforderlich (Hotline Grundbetreuung = 1st-Level Support) 2 = Ausreichend geschult /erfahren, Aufsicht nicht erforderlich (geben Sie + oder ++ Suffix an zur Anzeige, ob sehr erfahren oder Experten Level) (Hotline erweiterte Betreuung = 2nd-Level-Support) 3 = Ausreichend erfahren, um zu beaufsichtigen und/oder andere zu schulen (Projekte, Schulungen, Installationen) 0 = Erste Priorität & jetziger Bedarf; 1 = innerhalb von 6 Monaten 2 = innerhalb 12 Monaten; 3 = >12 Monate, bei Gelegenheit Seite 24

25 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 25

26 6. Aufzeichnung aller sicherheitsrelevanten Vorkommnisse Etablieren eines Systems zur Meldung von Vorkommnissen/Ereignissen Vorkommnisse können z.b. sein: Störung oder Überlastung von Systemen Zugriffsverletzungen Nichteinhaltung von Verfahren Vorkommnisse in die Risikobewertung einfließen lassen Verantwortlichkeiten festlegen Notwendig für die Managementbewertung Seite 26

27 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 27

28 7. Erstellen aller notwendigen Dokumentationen Notwendige Dokumente sind z.b. ISMS-Politik Liste der Vermögenswerte mit Risikobehandlung Krisenwiederherstellungsplan Auditberichte Managementbewertung Dokumente und Aufzeichnungen müssen gelenkt werden Alle Verfahren und Regelungen werden im IT- Sicherheitsmanagementhandbuch zusammengeführt Seite 28

29 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 29

30 8. Bewerten der Wirksamkeit des Managementsystems Die Bewertung muss regelmäßig durch das Management erfolgen Es fließen ein: Durchgeführte Maßnahmen Auditberichte Vorkommnisse im Bereich Informationssicherheit Überprüfung der ISMS-Leitlinie Änderungen mit möglichen Auswirkungen auf das ISMS Beispiel: Seite 30

31 Implementierung eines ISMS nach ISO 27001:2005 Folgende Schritte zur Implementierung eines ISMS werden benötigt: 1. Definition des Geltungsbereiches des ISMS und Erstellung und Einführung der Informationssicherheitspolitik 2. Bestandsaufnahme aller sicherheitsrelevanten Vermögenswerte 3. Identifikation und Bewertung der Sicherheitsrisiken zu den Werten 4. Festlegen der notwendigen Überwachungs- und Schutzmaßnahmen und ihrer Ziele 5. Durchführung von Schulungen zur Informationssicherheit 6. Aufzeichnung aller sicherheitsrelevanten Aufzeichnungen 7. Erstellen aller notwendigen Dokumentationen 8. Bewerten der Wirksamkeit des Managementsystems 9. Erstellen der Erklärung zur Anwendbarkeit Seite 31

32 9. Erstellen der Erklärung zur Anwendbarkeit Sie legt fest, wie ein großer Teil des ISMS umgesetzt wird Sie muss dokumentieren, ob eine Maßnahme (133 Controls) umgesetzt wurde oder nicht Dokumentiert die Art und Weise der Umsetzung wird bei einer Zertifizierung beim Auditor geprüft Beispiel: Seite 32

33 Wie läuft die Zertifizierung ab? Seite 33

34 Wie läuft die Zertifizierung ab? Externes Audit Teil 1 Externes Audit Teil 2 Anforderungen erfüllt? nein Korrekturmaßahme n durchführen ja Erteilung des Zertifikates Überwachungsaudit Überwachungsaudit Rezertifizierungsaudit Seite 34

35 Entscheidende Faktoren für eine erfolgreiche Zertifizierung Faktoren sind u.a.: Deutliche Unterstützung und Zustimmung vom Management gutes Verständnis der Anforderungen an Informationssicherheit, Risikoeinschätzung und Risikomanagement Abstimmung mit bereits vorhandenen Managementsystemen Einrichten eines effektiven Prozesses zum Umgang mit Informationssicherheitsvorfällen Realistische Kosten einplanen Schulungen von Mitarbeitern und Managern im Bereich Informationssicherheit durchführen Seite 35

36 Vielen Dank für Ihre Aufmerksamkeit! Seite 36