ISO für das Internet

Größe: px

Ab Seite anzeigen:

Download "ISO 27001 für das Internet"

Pamela Kramer
vor 8 Jahren
Abrufe

1 ISO für das Internet ISMS-Einführung bei nic.at Datum: Christian Proschinger CISO

2 ISO/IEC 27001:2013 Implementierung 2

3 Das Domain Name System. com at ch wien meinefirma www mail mail.meinefirma.at 3

4 Wer ist nic.at?.at: Registrierung und Verwaltung der.at - Zone Betrieb von Country Code Top Level Domains (cctlds) Betrieb von Generic Top Level Domains (gtlds) Betrieb eines Anycast-Netzwerks an 9 Standorten RCode Zero Entwicklung von Software zur Verwaltung und den Betrieb von Top Level Domains CERT.at nationales Computer Emergency Response Team GovCERT Austria Government CERT gemeinsam mit Bundeskanzleramt Austrian Trust Circle Security Information Exchanges Eigentümer Internet Privatstiftung Austria 4

Anycast-Netzwerks an 9 Standorten RCode Zero Entwicklung von Software zur Verwaltung und den Betrieb von Top Level Domains CERT.

5 5

6 Zahlen und Fakten nic.at 2 Bürostandorte Salzburg Wien ca. 50 Mitarbeiter 3 RZ-Standorte in Wien 1 RZ-Standort in Salzburg 9 RZ-Standorte an wichtigen Knotenpunkten des Internets 6

7 Betreiber kritischer Infrastruktur als KMU vs. hands-on, dynamisch, hohe Expertise, flache Hierarchien, flexibel, spezifische Lösungen, hohe Eigenverantwortung, basisdemokratisch Quelle: en.wikipedia.org klare Strukturen, klare Hierarchien und Zuständigkeiten, Supportprozesse, Unterstützungstools, Managementsysteme, sehr arbeitsteilig 7

Lösungen, hohe Eigenverantwortung, basisdemokratisch Quelle: en.wikipedia.

8 Management Briefing 10. Information-Security-Symposium Mindest. ISMS Basis Org ISMS Risikomgmt Ext Lieferanten Informationsklassifikation Ticketing AD Redesign Zentrale Prozessdoku Riskomanagement oper. IS Aspekte Projektmanagement Review ISMS Betrieb live! Zertifizierung Basecamp 1 Basecamp 2 8

Ticketing AD Redesign Zentrale Prozessdoku Riskomanagement oper.

9 Management Support 10. Information-Security-Symposium Kontinuierliche Verbesserung für.at Erfüllung der ICANN-Anforderung für die gtlds Regelmäßige externe Meinung durch Zertifizierung 9

10 Dokumentation Prozesshaus Wirklich relevante Prozesse Intranet Informationssicherheitspolitik Standard Richtlinien Generelle Anleitungen Wiki(s) Abteilungsspezifische Anleitungen Betriebsdokumentation Ticketing -System Nachvollziehbarkeit der Umsetzung Asset Management 10

Anleitungen Wiki(s) Abteilungsspezifische Anleitungen

11 Risikomanagement Risikomanagement muss verständlich sein Aufzeigen der Konsequenzen von Entscheidungen Nachvollziehbarkeit der Entscheidungen Von Keif zu Life Security- Keif -Cycle 11

12 Lieferanten Teilweise 100% Lieferanten aus universitärem Umfeld Seit Jahren erfolgreiche Zusammenarbeit nach best-effort Weitere Professionalisierung durch ISO Weitere Verbesserungen in der Zusammenarbeit Klare Meldewege für Sicherheitsvorfälle in beide Richtungen Regelm. explizite Security-Meetings mit Bericht an Management Gemeinsame Risikoanalyse und Definition von Controls Regelm. Audits (extern/intern) Gemeinsame Maßnahmenplanung und Monitoring der Umsetzung 12

für Sicherheitsvorfälle in beide Richtungen Regelm.

13 Sicherheitsvorfälle Lieferanten SOFORTIGE gegenseitige Information bei Sicherheitsvorfällen oder Verdacht Mitarbeiter Gemeinsame Bewertung des aktuellen Risikos Gemeinsame Maßnahmen Explizite Aufforderung zur Meldung von Sicherheitsvorfällen oder Verdachtsfällen Information wohin sie/er sich wenden kann Persönlich unterschrieben von jedem Mitarbeiter im Dienstvertrag Allgemeine und spezifische Security-Trainings 13

Aufforderung zur Meldung von Sicherheitsvorfällen oder Verdachtsfällen Information wohin sie/er sich

14 Informationsaustausch über Sicherheitsvorfälle CENTR Security Working Group Mailingliste für aktuelle Vorfälle Diskussion aktueller Angriffe auf Registries Austrian Trust Circle Sektorspezifische Runden im Bereich der kritischen Infrastruktur Hosted by CERT.at Mitarbeiter aus ISM auch teilw. CERT.at Teammitglieder 14

Austrian Trust Circle Sektorspezifische Runden im Bereich der kritischen

15 Notfallübungen 10. Information-Security-Symposium International Länderübergreifende Koordination / Kommunikation National Koordination Zuständigkeiten Kontakte Öffentliche Hand Kritische Infrastruktur Kommunikationswege Unternehmensebene Kommunikation Business Continuity Management Erkennung Sicherheitsvorfälle Reaktion Sicherheitsvorfälle 15

Kommunikation National Koordination Zuständigkeiten Kontakte Öffentliche Hand

16 Kommunikation Business Impact Analyse Notfall- und Krisenkommunikation für nic.at besonders wichtig Beispielszenario: Unvollständige.at-Zone nicht mehr erreichbar Abhilfe: Facebook als Kommunikationsmittel für den Ernstfall + Domains anderer TLDs z.b. atregistry.org Wichtig: Nameserver! 16

17 Vorteile ISMS mit Zertifizierung Klare Ziele und Vorgaben mit externer Beurteilung und Feedback Begleitende Maßnahme für Wachstum, da es Strukturen schafft bzw. harmonisiert Gratwanderung Flexibilität muss erhalten bleiben Stärkung der Eigenverantwortung ISM als Unterstützung 17

18 Fragen? Kontakt: Christian Proschinger Karlsplatz 1, 1010 Vienna, Austria christian.proschinger (at) nic.at 18

Ähnliche Dokumente

Registry-Backend-Service and more

Registry-Backend-Service and more 15.09.2009 Robert Schischka, Richard Wein Geschäftsführer nic.at Agenda nic.at Überblick & Leistungen Wer sind wir, Zahlen, Daten, Fakten, Phasenplanung für neue TLDs