Transkript

1 Wie viel IT-Sicherheit braucht mein Unternehmen?

2 Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit

3 Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner Vorgesetzte Rechnungshöfe interne Vorschriften Wirtschaftsprüfer Innenrevision

4 Was muss IT-sicher sein? Prozesse Fachverfahren Informationen Ressourcen Schutz der Vertraulichkeit Schutz der Integrität Schutz der Verfügbarkeit Schutz vor Rechtsverstößen eine bestimmte Information ausschließlich dem zuständigen Anwender unversehrt und korrekt zur rechten Zeit am rechten Ort Einhaltung von gesetzlichen und sonstigen Anforderungen Schutz vor Missbrauch

5 Ganzheitlichkeit der IT-Sicherheit Business Continuity Management (BCP) Systementwicklung und -wartung Einhaltung der Verpflichtungen Sicherheitspolitik Zugangskontrolle Notfallplanung (DRP) Organisatorische Sicherheit Einstufung und Kontrolle der Werte Physische und umgebungsbezogene Sicherheit Personelle Sicherheit

6 IT-Sicherheitsmanagement IT-Sicherheitsmanagement ist ein Tool der Unternehmensleitung zur Erreichung der Geschäftsziele. IT-Sicherheitsmanagement ist primär Aufgabe des Managements, nicht der Technik IT-Sicherheitsmanagement ist zu 30% Strategie, 50% Organisation und nur zu 20% Technik IT-Management muss Bestandteil des Internen Kontrollsystems (IKS) unterliegen zum Beispiel durch interne Revision / externe Revision (Wirtschaftsprüfer etc.) Bei Verstößen gegen IT-Sicherheitsvorschriften kann persönliche Haftung des Managements für Schäden entstehen

7 Wie gehe ich vor? Hilfsmittel Vorgehensweisen Standards Tools

8 ISO / ISO nach Grundschutz Einziger internationaler zertifizierungsfähiger Standard für Informationssicherheitsmanagementsystem (ISMS) Verfügbar in Deutsch und Englisch Kontrollziele sind Verfügbarkeit, Integrität, Vertraulichkeit und Gesetzeskonformität Basiert auf BS7799-2, und BSI IT-Grundschutz Hoher Detaillierungsgrad

9 Struktur ISO auf Basis Grundschutz BSI Beschreibung ISMS BSI Vorgehen BSI Risikoanalyse Gefährdungs- und Maßnahmenkataloge

10

11 BSI IT-GSTool 3.1 SP1

12 Vorgehensmodell IT-Strukturanalyse Erfassung der IT und der IT-Anwendungen Gruppenbildung Schutzbedarfsfeststellung Ergänzende Risiko- und Sicherheitsanalyse Bei hohem Schutzbedarf Bei zusätzlichem Analysebedarf IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan

13 IT-Strukturanalyse Die IT-Strukturanalyse dient der Vorerhebung von Informationen, die für die weitere Vorgehensweise nach IT-Grundschutz benötigt werden. Sie gliedert sich in folgende Teilaufgaben: Netzplanerhebung Komplexitätsreduktion durch Gruppenbildung Erhebung der IT-Systeme Erfassung der IT-Anwendungen und der zugehörigen Informationen Aufwand: ca Manntage intern, 5-10 Manntage extern Ergebnis ist eine angemessen detaillierte und aktuelle Dokumentation über den IT-Verbund.

14 Schutzbedarfsfeststellung Ziel der Schutzbedarfsfeststellung ist es, für jede erfasste IT- Anwendung einschließlich ihrer Daten zu entscheiden, welchen Schutzbedarf sie bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzt. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen IT-Anwendung verbunden sind. Aufwand: ca. 3-5 Manntage intern, 2-3 Manntage extern Ergebnis ist eine Klassifizierung der IT-Ressourcen.

15 IT-Grundschutzanalyse Abbildung des IT- Verbundes auf das GSHB (Modellierung) Ableitung der Maßnahmen Soll-Ist-Vergleich Aufwand: ca. 15 Manntage intern, Ca. 5 Manntage extern Schicht 1: Schicht 2: Schicht 3: Schicht 4: Schicht 5: Übergreifende Aspekte Infrastruktur IT-Systeme Netze IT-Anwendungen

16 ISO Zertifikat Ohne Zertifikat kein wirklicher objektiver Nachweis der Zuverlässigkeit eines Dienstleisters bzgl. seiner IT-Sicherheit Dokumentation der IT-Sicherheit nach Innen und Außen Nachweis der Einhaltung von gesetzlichen Vorschriften Strukturierter Ansatz ermöglicht Kostenoptimierung Günstigere Versicherungspolicen / Besseres Basel II-Ranking Synergieeffekte zu anderen Zertifizierungen (z.b. ISO 9001, ISO / ITIL) Persönliche Absicherung des Managements

17 Evolutionsstufen - Reifegrade 1. IT-Security als Technik-Thema 2. IT-Security als Management-Thema 3. IT-Security als Alleinstellungsmerkmal 4. IT-Security in Integration zu anderen Managementsystemen (ISO9001, ITIL) 5. IT-Security in Businesstreiber

18 Zusammenfassung Sicherheit ist die Basis für Teilname am Geschäftsverkehr, Beispielsweise in der Finanzund Automobilindustrie IT-Sicherheitszertifizierung nach ISO ist Eintrittskarte bzw. Businesstreiber Ohne Zertifikat kein wirklicher objektiver Nachweis der Zuverlässigkeit eines Dienstleisters bzgl. seiner IT-Sicherheit Ausgangsbasis für IT-Sicherheit ist das IT-Sicherheitsmanagement Grundlage aller IT-Sicherheitsmaßnahmen kann das BSI IT-Grundschutzhandbuch sein Besonders wichtig ist das Notfallmanagement (Wiederanlaufverfahren, Notfallhandbücher, und Alarmierungspläne) Basis von allem ist eine aktuelle, vollständige und korrekte Dokumentation (Prozessdokumentation -> Dop Down IT-Dokumentation -> Bottom Up)

19

20 Knud Brandis