DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

Größe: px

Ab Seite anzeigen:

Download "DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN"

Calvin Beck
vor 8 Jahren
Abrufe

1 DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel

2 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA) Mitautor BSI IT Grundschutzhandbuch bzw. BSI IT Grundschutzkataloge Zertifizierter Auditor für ISO der Basis von IT Grundschutz (BSI) Zertifizierter IS Revisions und IS Beratungsexperte (BSI IS Revisor) ITIL Expert (APMG) Lehrtätigkeiten: Fachhochschule Brandenburg Duale Hochschule Baden Württemberg Hochschule für Wirtschaft und Recht Berlin 2

BSI IT Grundschutzkataloge Zertifizierter Auditor für ISO 27001 der Basis von IT Grundschutz (BSI) Zertifizierter

3 PERSICON. Der Spezialist für Datensicherheit Neutralität und Unabhängigkeit aufgrund nicht vorhandenem Lösungs und Umsetzungsgeschäft Gegründet: Mitarbeiter Hauptsitz: Friedrichstraße 100, Berlin, weitere Büros in Düsseldorf und Frankfurt 3

4 Alleinstellungsmerkmale (Auszug) Akkreditierte Zertifizierungsstelle für ISO & ISO Mitautor BSI IT Grundschutz und Ausbilder der BSI Auditoren Sachverständige Prüfstelle für Datenschutz und IT Sicherheit (ULD) Zertifizierte Prüfstelle für PCI DSS (Payment) ISO 9001 zertifiziertes Qualitätsmanagement Zertifizierter IT Sicherheitsdienstleister des Bundes Geheimschutzbetreuung des Bundes Rechtskonformität und Vertrauensschutz durch Einsatz von Berufsträgern 4

Sicherheit (ULD) Zertifizierte Prüfstelle für PCI DSS (Payment) ISO 9001 zertifiziertes Qualitätsmanagement

5 Zertifizierter IT Sicherheitsdienstleister des Bundes Das BSI zertifizierte die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit zur Erstellung und Umsetzung von Sicherheitskonzepten, Durchführung von Sicherheitsund Risikoanalysen und Durchführung von internen Audits und IS Revisionen. 5

Zuverlässigkeit zur Erstellung und Umsetzung von Sicherheitskonzepten,

6 Staatlich akkreditierte Zertifizierungs und Sachverständige Prüfstelle für Datenschutz und IT Sicherheit 6

7 Agenda 1. Zertifizierung für Informationssicherheit 2. BSI IT Grundschutz ( klassisch ) 3. IT Grundschutz 3.0 7

8 Einführung Zertifizierung von Informationssicherheit 8

9 Prüfung Audit Zertifizierung Prüfung: Prozess zur Konformitätsbewertung anhand vorab definierter Kriterien Audit systematischer, unabhängiger und dokumentierter Prozess zur Konformitätsbewertung anhand vorab definierter Kriterien Zertifizierungsaudit systematischer, unabhängiger und dokumentierter Prozess einer anerkannten Zertifizierungsstelle zur Konformitätsbewertung mit Kriterien, die von einer anerkannten Standardisierungsorganisation festgelegt worden sind. Prüfung Audit Zertifizierungsaudit 9

Zertifizierungsaudit systematischer, unabhängiger und dokumentierter Prozess einer anerkannten Zertifizierungsstelle zur

10 Zertifizierungsstellen Gemäß DIN EN ISO/IEC ist eine Organisation eine Akkreditierungsstelle, wenn sie Konformitätsbewertungsstellen (Zertifizierungsstellen) akkreditiert und (unter anderem) unparteilich ist qualifiziertes Personal besitzt ein Qualitätsmanagementsystem besitzt keine Konformitätsbewertungen durchführt Gemäß Akkreditierungsstellengesetz ist die DAkkS die national einzige Organisation zur Zulassung von Zertifizierungsstellen. Akkreditierungsstelle bewertet Zertifizierungsstelle bewertet Produkte und /oder Systeme 10

besitzt ein Qualitätsmanagementsystem besitzt keine Konformitätsbewertungen durchführt Gemäß Akkreditierungsstellengesetz ist die DAkkS

11 Zertifizierungsstandards Hauptsächlich: Standards Produkte Systeme Beispiele: ISO 9126 (Softwarequalität) Common Criteria ISO 9001 (QMS) ISO (UMS) ISO (SMS) ISO (ISMS) BSI IT GS 11

12 Zusammenhang zwischen ISO und ISO Identität der Gliederungspunkte von ISO/IEC mit Anhang A der ISO/IEC ISO/IEC detailliert die Anlage A der ISO/IEC 27001, ist aber kein normativer Standard! 12

der ISO/IEC 27001 ISO/IEC 27002 detailliert die Anlage

13 Informationssicherheitmanagement BSI IT Grundschutz 13

14 BSI IT Grundschutz (1) Verpflichtende Anwendung gemäß UPBund Nationaler Standard für Informationssicherheitsmanagement mit weitgehender Kompatibilität zur internationalen Norm ISO Herausgeber ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Nachschlagewerk und Vorgehensmodell Kontrollziele: Verfügbarkeit Integrität Vertraulichkeit Zertifizierungsfähig, Zertifizierungsstelle ist das BSI 14

Herausgeber ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Nachschlagewerk und

15 BSI IT Grundschutz (2) Standardsicherheitsmaßnahmen für typische IT Umgebungen Personelle, technische, organisatorische und infrastrukturelle Aspekte Initialer Verzicht auf eine detaillierte Risikoanalyse Risikoanalyse für Objekte für Objekte mit Schutzbedarf normal nicht notwendig, da bereits vom BSI vorgenommen und von Maßnahmen abgedeckt Drei Schutzbedarfskategorien: 1. normal 2. hoch 3. sehr hoch Sicherheitsniveau sehr hoher Schutzbedarf hoher Schutzbedarf normaler Schutzbedarf Sicherheitsaspekte 15

Schutzbedarf normal nicht notwendig, da bereits vom BSI vorgenommen und von Maßnahmen abgedeckt Drei Schutzbedarfskategorien:

16 Struktur und Anwendung der BSI Standards BSI Standards zur Informationssicherheit Bereich Informationssicherheitsmanagement BSI Standard ISMS: Managementsysteme für Informationssicherheit IT Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen BSI Standard IT Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf der Basis von BSI IT Grundschutz BSI Standard Notfallmanagement Zertifizierung nach ISO auf der Basis von BSI IT Grundschutz, Prüfschema für ISO Audits Bausteine Kataloge Kapitel B1: Übergreifende Aspekte Kapitel B2: Infrastruktur Kapitel B3: IT Systeme Kapitel B4: Netze Kapitel B5: IT Anwendungen Gefährdungskataloge Maßnahmenkataloge 16

Vorgehensweise BSI Standard 100 3 Risikoanalyse auf der Basis von BSI IT Grundschutz BSI Standard 100 4 Notfallmanagement Zertifizierung nach ISO 27001 auf der Basis von BSI IT Grundschutz,

17 Erstellung eines Sicherheitskonzeptes gemäß BSI inklusive zeitliche Planung Strukturanalyse (1 3 Monate) Schutzbedarfsfeststellung (mindestens 1 Monat) Modellierung und Basis Sicherheitscheck (6 Monate) Maßnahmenplanung und Umsetzung (6 Monate bis 1 Jahr) Reale Projektzeiten sind immer individuell und können je nach Rahmenbedingungen erheblich abweichen! Zeiten hier nur zur Verdeutlichung von Schwerpunkten! Ergänzende Sicherheitsanalyse und Maßnahmenumsetzung (2 bis 4 Monate) Audit (2 bis 3 Monate) 17

Umsetzung (6 Monate bis 1 Jahr) Reale Projektzeiten sind immer individuell und können je nach Rahmenbedingungen erheblich

18 Bewertung Für ein einen großen Anwendungsbereich wie beispielsweise den Netzbetrieb der Versatel ist der klassische Ansatz des IT Grundschutzes ungeeignet Wasserfallmodell zu unflexibel Langer Umsetzungszeitraum Aufwendig durch Maßnahmenfokus Maßnahmen enthalten viele Redundanzen 18

Grundschutzes ungeeignet Wasserfallmodell zu unflexibel Langer

19 Alternativer Ansatz IT Grundschutz

20 Alternativer Ablauf Dokumentations und Änderungswesen (informiert permanent über relevante technische und organisatorische Änderungen am Betrachtungsgegenstand) Start Schulung, IT SiBE, Def. IV ( ) A0 Dokumente & Maßnahmen Schicht 1 Modellierung und Basis Sicherheitscheck Maßnahmenplanung und Umsetzung Schutzbedarfsfeststellung, Sicherheits & Risikoanalyse Audit Implementierung und fortlaufende Weiterentwicklung übergreifender Basisprozesse (Beispiele: Lieferantensteuerung, interne Audits, Dokumentenlenkung, Meldewesen, Berechtigungswesen und Anforderungsmanagement ) 20

IV ( ) A0 Dokumente & Maßnahmen Schicht 1 Modellierung und Basis Sicherheitscheck Maßnahmenplanung und Umsetzung Schutzbedarfsfeststellung,

21 Kernpunkte der alternativen Vorgehensweise 1. Managementverantwortung übernehmen und leben [nicht nur pro forma] 2. Organisationsübergreifende integrierte Sicherheitsvorgaben [keine Parallelvorgaben] 3. Betriebs und Prozessorientierung [statt Projektfokus] 4. Parallelisierung der Aufgaben [statt Wasserfallmodell] 5. Auskunfts und Änderungsfähigkeit sicherstellen [statt ereignisgesteuerte IT Aufnahme] 6. Synergieeffekte zu Datenschutz nutzen [keine Parallelsysteme] 7. Aktive Einbindung der Fachbereiche inkl. Aufgabendelegation 8. Reife des Betriebs konstant dort erhöhen wo (aus Risiko oder Wirtschaftlichkeitsbetrachtung) sinnvoll (Ergänzend/alternativ zu den allgemeinen Aspekten des IT Grundschutzes) 21

22 Anwendungsbereich für Zertifizierung definieren (falsch) ISMS für IT Betrieb Verwaltung Produktion Vertrieb Netz & IT Betrieb Externe Dienstleister 22

23 Anwendungsbereich für Zertifizierung definieren (richtig) Übergreifende Aspekte des ISMS (Leitlinie, Richtlinien, interne Audits ) Verwaltung Produktion Vertrieb Netz & IT Betrieb Externe Dienstleister 23

24 Bewertung Für ein einen großen Anwendungsbereich wie beispielsweise den Netzbetrieb der Versatel hat sich der Ansatz des IT Grundschutzes 3.0 bewährt Sicherheit deutlich höher Kurze Umsetzungszeiträume und schnelle Reaktionsfähigkeit Prozessfokus sichert Wirtschaftlichkeit Einhaltung gesetzlicher Vorgaben Innovationsfähige Produkte 24

25 Vielen Dank für Ihre Aufmerksamkeit Friedrichstraße Berlin Tel: +49 (30)

Ähnliche Dokumente

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration