IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Transkript

1 IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles! Fabian Schelo Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag

2 Der Weg zum Zertifikat Nachdem eine Institution ein Informationssicherheits- Managementsystem nach ISO auf der Basis der IT- Grundschutz-Methodik umgesetzt hat und alle relevanten Dokumente vorliegen, kann sie einen Auditor beauftragen, auf Grundlage des vorliegenden Prüfschemas den IT-Verbund und seine Sicherheitsstruktur unabhängig zu überprüfen. vergl. Kapitel 3.1 Prüfschema für ISO Audits auf der Basis von IT-Grundschutz Umsetzung ISMS Erstellung aller relevanten Dokumente Prüfungsphase des Auditors Fabian Schelo Folie 2

3 Wie viel Zeit brauche ich denn? Umsetzung IT-Grundschutz: Monate Aufwand des Auditors: ca AT in Abhängigkeit von Größe und Komplexität des Untersuchungsgegenstandes Umsetzungsphase ІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІІ Erfolgsfaktoren Hindernisse Zertifizierungs- Phase Unterstützung durch die Geschäftsleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch alle Verantwortlichen Tool-Unterstützung Personalwechsel Umbau der Systemlandschaft Änderung der Prüfgrundlagen (insb. IT-Grundschutz-Kataloge) Fabian Schelo Folie 3

4 Umsetzungsphase I Aufbau eines ISMS nach IT-Grundschutz BSI-Standard (Leitfaden zum Aufbau eines ISMS) Einführung in Informationssicherheit ISMS-Definition und Prozessbeschreibung Management-Prinzipien Ressourcen Einbindung der Mitarbeiter Der Informationssicherheitsprozess Fabian Schelo Folie 4

5 Umsetzungsphase II Erstellung aller relevanten Dokumente IT-Sicherheitsrichtlinien (A.0) IT-Strukturanalyse (A.1) Schutzbedarfsfeststellung (A.2) Modellierung des IT-Verbunds (A.3) Ergebnis des Basis-Sicherheitschecks (A.4) Ergänzende Sicherheitsanalyse (A.5) Risikoanalyse (A.6) Fabian Schelo Folie 5

6 Umsetzungsphase II Erstellung aller relevanten Dokumente IT-Sicherheitsrichtlinien (A.0) IT-Sicherheitsleitlinie Richtlinie zur Risikoanalyse Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen Richtlinie zur internen ISMS-Auditierung (Auditierung des Managementsystems für Informationssicherheit) Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen Sonstige Richtlinien und Konzepte Fabian Schelo Folie 6

7 Umsetzungsphase II Erstellung aller relevanten Dokumente Sonstige Richtlinien und Konzepte Der Auditor kann sonstige Richtlinien und Konzepte stichprobenartig prüfen. Dies können beispielsweise dokumentierte Verfahren der Schicht 1 sein, die die Organisation zur Sicherstellung der wirksamen Planung, Durchführung und Kontrolle ihrer Informationssicherheitsprozesse benötigt. Siehe Prüfschema Kap. 3.4, Abschnitt A.0 Fabian Schelo Folie 7

8 Umsetzungsphase II Sonstige Richtlinien und Konzepte Dokumentierte Verfahren des Informationssicherheitsprozesses Organisationspläne Mitarbeiterschulung & -sensibilierung Interne Audits Beschwerdemanagement Managementberichte & -entscheidungen.. Fabian Schelo Folie 8

9 Umsetzungsphase II Umfang der ISMS-Dokumentation in Abhängigkeit der Größe der Organisation Aufgabenspektrums Sicherheitsanforderungen Komplexität der Systeme Fabian Schelo Folie 9

10 Zertifizierungsphase Antragstellung Prüfung der Unabhängigkeit der Auditoren Vergabe der Zertifizierungs-ID Durchführung des Audits Dokumentenprüfung Vor-Ort-Prüfung Prüfung von Nachbesserungen Erstellung des Auditberichts Prüfbegleitung des Auditberichts Nachbesserungen Nachforderungen Zertifikatserteilung Fabian Schelo Folie 10

11 Fristen im Zertifizierungsverfahren Vollständiger Antrag mit Unabhängigkeitserklärung ID-Vergabe Start des Audits 1. Auditbericht Zertifikatserteilung Nachforderungen 2. Auditbericht 2 Monate Max. 3 Monate Max. 3 Monate Nachbesserung des Antrags ggf. Wechsel des Auditors interne Begleitung des Audits Nachbesserung der Referenzdokumente Nachprüfungen Nachforderungen der Zertifizierungsstelle Nachprüfungen durch den Auditor Fabian Schelo Folie 11

12 Ausblick Abgeschlossene Zertifizierungsverfahren ISO a.d.b. von IT- GS Grundschutz Sep 10 Fabian Schelo Folie 12

13 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutz Godesberger Allee Bonn Tel: +49 (0) Fabian Schelo Folie 13