Genesis Consulting. ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse Oliver Tagisade- Ralf Wildvang

Transkript

1 Genesis Consulting ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse Oliver Tagisade- Ralf Wildvang

2 Agenda Anforderungen an Informationssicherheit Die Ausgangslage Was ist ISIS12? ISIS12 und die DSGVO Einführung von ISIS12 Zertifizierung Ihres ISMS gemäß ISIS Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 1

3 Anforderung an die Informationssicherheit Steigende Komplexität der Informationstechnik Grad der Vernetzung Abhängigkeit von der IT Angriffe von innen und außen Kosten für IT Kundenanforderungen Servicequalität Vertragliche Anforderungen Rechtliche Vorgaben Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 2

4 Die Ausgangslage Szenario I (1) Der Auftragnehmer verpflichtetsichein ISMS zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit... (3) Bei Verstößen gegen (1) und (2) haftetder Auftragnehmer für entstandene Schäden in Höhe von... (2) Der Auftragnehmer sichert zu, dass risikoreduzierende Sicherheitsmaßnahmen in seinem Unternehmen... (3) Bei Nichteinhaltung kann seitens des Auftraggebers die vertragliche Grundlage entzogen werden, sofern Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 3

5 Die Ausgangslage Szenario I of IT-Security Der Vertrag wird auf Eis gelegt Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 4

6 Die Ausgangslage Szenario II Art. 32 -DSGVO... geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten Art. 83 Abs. 4 -DSGVO...Bei Verstößen gegen die... werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 5

7 Vorteile / Nutzen - Informationssicherheit Kundenanforderungen Rechtliche Vorgaben Eigeninteresse öffentliche Kunden Zuverlässige Serviceleistungen sichere Infrastrukturen E-Business Entwicklungspartnerschaft Know-howSchutz Cloud Thematik Open-Government Schutz der Kundendaten IT-Sicherheitsgesetz(IT-SiG) RiskManagement z.b. KonTraG Datenschutz BDSG Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III) Compliance (regulatorische z.b. BNetzA) EU-Datenschutzgrundverordnung (EU- DSGVO) Schutz von Informationen und Wissen Schutz der Infrastrukturen Imagein der Öffentlichkeit Cloud Thematik und Cloud-Lizenzmodelle Chancen und auch Herausforderungen der Digitalisierung Attraktivität des Arbeitgebers Moderne Arbeitsplatzgestaltungen Gefährdungslage Haftungsfragen Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 6

8 Zwischenfazit Technische / Organisatorische Maßnahmen stellen sich oft als große Herausforderung heraus! Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 7

9 Standards für Informationssicherheit Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 8

10 Viel hilft nicht immer viel! Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 9

11 BSI IT-Grundschutz Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 10

12 Standards für Informationssicherheit und Kommunen Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 11

13 Was ist ISIS12? ISIS12 -Informations-Sicherheitsmanagement-System in 12 Schritten Herausgeber: Bayerischer IT-Sicherheitscluster e.v. Verständlich beschriebener 12-stufiger Prozess, der den Einstieg in die Informationssicherheit (ISMS) erleichtert ISMS wird mit IT-Service Management verknüpft Entwickelt für KMU, Kommunen und NGO Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow abgebildet Aktuelle Version: 1.9 (Januar 2018) Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 12

14 Weniger ist manchmal mehr! Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 13

15 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 LEITLINIE ERSTELLEN Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 Sicherheitsstrategie Sicherheitsziele zur Informationssicherheit Geltungsbereich Organisatorische Rahmenbedingungen Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 14

16 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 MITARBEITER SENSIBILISIEREN Schulungskonzept Durchführung von Sensibilisierungsmaßnahmen Nachhaltigkeit und Aufrechterhaltung der Informationssicherheit Sicherheits-Kultur etablieren Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 15

17 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 INFORMATIONSSICHERHEITS-TEAM AUFBAUEN Benennung / Bestellung des ISB Organisationsstruktur abbilden Regelmäßige Jourfix- Termine Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 16

18 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 IT-DOKUMENTATION Erstellen von Rahmendokumenten Erstellen von Richtlinien Erstellen eines IT-Betriebshandbuchs Erstellen eines IT-Notfallhandbuchs Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 17

19 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 IT-SM PROZESS EINFÜHREN Wartungsprozess definieren Änderungsprozess definieren Störungsbeseitigungsprozess definieren Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 18

20 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 KRITISCHE ANWENDUNGEN IDENTIFIZIERIEN Erhebung kritischer Anwendungen Qualifizierung der Ergebnisse Schutzbedarfsfeststellungen Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 19

21 Informationssicherheit in 12 Schritten IT-STRUKTUR ANALYSIEREN Initialisierungsphase Schritte 1-2 Erhebung der IT-Infrastruktur Qualifizierung der Ergebnisse Erstellen von bereinigten Netzplänen Erhebung der Gebäude und Räume Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 20

22 Informationssicherheit in 12 Schritten SICHERHEITSMAßNAHMEN MODELLIEREN Initialisierungsphase Schritte 1-2 Darstellung der vorgeschlagenen Maßnahmen aus dem ISIS12- Maßnahmenkatalog Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 21

23 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 IST-SOLL VERGLEICH DURCHFÜHREN Erstellen einer GAP-Analyse der umgesetzten Maßnahmen zum Maßnahmenkatalog Für übergeordnete Aspekte, IT- Infrastruktur und IT-Systeme und Netze Maßnahmen aus den Ergebnissen ableiten Entwicklung und Umsetzung ISIS12 Konzept Schritte Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 22

24 Informationssicherheit in 12 Schritten UMETZUNG PLANEN Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Planung der noch umzusetzenden Maßnahmen Ermittlung von Kosten und Ressourcen zur Umsetzung Priorisierung zur Umsetzung von Maßnahmen Entwicklung und Umsetzung ISIS12 Konzept Schritte Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 23

25 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 UMSETZUNG Zuordnung von Maßnahmen zu Verantwortlichen Umsetzung der Maßnahmen begleiten Umsetzung der Maßnahmen überwachen Entwicklung und Umsetzung ISIS12 Konzept Schritte Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 24

26 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 REVISION Überprüfung der Einhaltung und Wirksamkeit der Maßnahmen Überwachung des ISMS durch den ISB Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 25

27 Datenschutz trifft Informationssicherheit Architektur Erweiterung für die DSGVO Initialisierungsphase Schritte 1-2 DS-GVO DS-GVO DS-GVO DS-GVO Aufbau- und Ablauforganisation Schritte 3-5 DS-GVO DS-GVO DS-GVO DS-GVO Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 DS-GVO DS-GVO Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 26

28 ISIS12 und die DSGVO Schritt DS-GVO - Konformität und Artikel Schritt1 Erweiterung der Sicherheitsleitlinie zur Datenschutzrichtlinie Schritt 2 Datengeheimnis und Schulung Mitarbeiter DSAnpUG-EU: 53 - Schritt 3 Datenschutzbeauftragter DS-GVO: Art. 37,38, DSAnpUG-EU: 5, 7, Schritt 4 Dokumentationspflicht DS-GVO: Art. 4, 5, 12, 13, 14, 15, Schritt 5 Datenschutzprozesse DSAnpUG-EU: 29, 34, DS-GVO: Art. 15, 16, 17, 18, 19, 20, 21, 22, 33, Schritt6 Verarbeitung personenbezogenerdaten in Anwendungen Schritt 7 Sicherheit der Verarbeitung DS-GVO: Art. 32 Schritt 12 Zertifizierung DS-GVO: Art. 42 DS-GVO: Art. 6, 7, 8, 9, 24, 28, 30, 32, 35, Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 27

29 Unterstützung durch Software Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 28

30 Unterstützung durch Software Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 29

31 Zertifizierung Ihres ISMS nach ISIS12 Möglichkeit zur Zertifizierung durch die DQS GmbH Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12-Auditoren Unterstützung durch den ISIS12-Berater Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 30

32 ISIS12 heißt Informationssicherheit die durch die DQS GmbH zertifizierbarist!... die den Datenschutz gemäß DSGVOmit berücksichtigt!... die ressourcenoptimierendumgesetzt wird!... die umfangreich und vollständig dokumentiertist!... mit fertigen Arbeitspaketen leicht umzusetzenist! Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 31

33 Vorteile / Nutzen - Zusammenfassung Vorteile eines ISMS mit ISIS Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 32

34 Abschluss Vielen Dank für die Aufmerksamkeit Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 33

35 Kontaktinformationen Hermann Banse Geschäftsführender Gesellschafter Lizenzierter / zertifizierter ISIS12 Berater (ICO-Cert) Oliver Tagisade Geschäftsführender Gesellschafter Lizenzierter / zertifizierter ISIS12 Berater (ICO-Cert) Ralf Wildvang Geschäftsführender Gesellschafter ISO Security Officer (TÜV Süd) ISO Auditor (ICO-Cert) Lizenzierter / zertifizierter ISIS12 Berater (ICO-Cert) Genesis Consulting Am Poter Bochum Telefon: Mail: info@g-c.nrw KLESYS GmbH Kastellstraße Kalkar Telefon: Mail: info@klesys.de Sempacon GmbH & Co. KG Kerschensteinerweg Hilden Telefon: Mail: kontakt@sempacon.de Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG 34