IT-Grundschutz-Tag. Synergien zwischen IT- Grundschutz und ISO Berlin, Holger Bley. HiSolutions AG, Berlin

Transkript

1 IT-Grundschutz-Tag Synergien zwischen IT- Grundschutz und ISO Berlin, Holger Bley HiSolutions AG, Berlin

2 Der rote Faden Intention des Vortrags: Der Blick über den Tellerrand was passiert im Umfeld Zusammenhänge aus Sicht der anderen Disziplin Gliederung: Was ist ISO überhaupt? Vergleiche und Überschneidungen mit IT-Grundschutz Empfehlungen 2010, HiSolutions AG IT-Grundschutz-Tag ISO

3 1 Was ist ISO überhaupt?» Ziele und Motivation» Inhalte» Vorgehen 2010, HiSolutions AG IT-Grundschutz-Tag ISO

4 ISO 20000, ITIL, IT-Service Management Best Practice: ITIL V2 IT-Service Management Ausrichtung Definition Mindestanforderungen Standard: ISO Zertifizierung 2010, HiSolutions AG IT-Grundschutz-Tag ISO

5 Die Fakten so steht es um die Zertifizierung in Deutschland International: ISO Zertifizierung im Aufwärtstrend Deutschland: Anzahl der zertifizierten Unternehmen steigt Anzahl der nach ISO zertifizierten Unternehmen Quelle: Stand , HiSolutions AG IT-Grundschutz-Tag ISO

6 Ziele und Motivation zu ISO (I): Externer Nachweis der IT Leistungsfähigkeit Ziel Objektiver Nachweis der Wirksamkeit der IT-Organisation eines Unternehmens zur Sicherstellung der effizienten Erbringung von IT-Services anhand von definierten Mindestanforderungen Marktstrategische Bedeutung Praxis: ISO als Kriterium in Ausschreibung Kontinuierliche Verbesserung der Servicequalität Internes Qualitätsbewusstsein 2010, HiSolutions AG IT-Grundschutz-Tag ISO

7 Ziele und Motivation zu ISO (II): Zielgruppen mit Imagegewinn Quelle: Newsmax Medien GmbH, Quelle: Quelle: , HiSolutions AG IT-Grundschutz-Tag ISO

8 Fragestellung zu Beginn: Was soll zertifiziert werden? Einschränkungsmöglichkeiten durch das Scoping-Statement Scoping-Statements sollten ausdrücklich enthalten: Die von der Auditierung betroffen IT-Services Geographische oder örtliche Begrenzung Organisatorische, bzw. funktionale Begrenzungen Infrastrukturelle Begrenzungen Folgendes sollte bedacht werden: Es werden ALLE ITSM Prozesse geprüft werden Das Zertifikat kann nur einer einzelnen legal entity gewährt werden Definition der abgedeckten Services Der Service Provider braucht nicht der Besitzer der Infrastruktur zu sein Eindeutigkeit in Bezug auf Supplier Es können keine Bestandteile der Norm ausgeklammert werden Nachweise müssen geführt werden, dass alle Anforderungen des Standards eingehalten werden ISO Quelle: itsmf 2010, HiSolutions AG IT-Grundschutz-Tag ISO

9 Die Inhalte des Standards und der zugehörigen Anforderungen Management system (3) Planning & implementing (4) Planning new services (5) Management Verantwortung, Anforderungen an Dokumentation, Fähigkeiten, Awareness & Training Plan, Implement, Monitor, Improve (Plan, Do, Check, Act) Planung & Implementierung neuer oder geänderter Services Capacity Management, Service Continuity & Availability Management Release Processes (10) Release Management Quelle: itsmf Service Delivery Processes (6) Service Level Management, Service Reporting Control Processes (9) Configuration Management, Change Management Resolution Processes (8) Incident Management, Problem Management Information Security, Management, Budgeting Accounting for IT services Relationship Processes (7) Business Relationship Management, Supplier Management 2010, HiSolutions AG IT-Grundschutz-Tag ISO

10 Überschneidungen: ISO und IT-Grundschutz - Kap. 6.6 ISO Part 1 Objective: To manage information security effectively within all service activities. Note: ISO/ IEC 17799, Information technology - Security techniques - Code of practice for information security management provides guidance on information security management 6.6_1 (1) Communication of policy 6.6_2a (1) Implementation of the requirements 6.6_2b (1) Managing risks 6.6_3 (1)Sec.- objective documentation 6.6_4 (1) Assessing changes 6.6_5 (1) External access to information 6.6_6 (1) Security incident reporting 6.6_7 (1) Monitoring security incidents Management with appropriate authority shall approve an information security policy that shall be communicated to all relevant personnel and customers where appropriate. Appropriate security controls shall operate to implement the requirements of the information security policy. Appropriate security controls shall operate to manage risks associated with access to the service or systems. Security controls shall be documented. The documentation shall describe the risks to which the controls relate, and the manner of operation and maintenance of the controls. The impact of changes on controls shall be assessed before changes are implemented. Arrangements that involve external organizations having access to information systems and services shall be based on a formal agreement that defines all necessary security requirements. Security incidents shall be reported and recorded in line with the incident management procedure as soon as possible. Procedures shall be in place to ensure that all security incidents are investigated, and management action taken. Mechanisms shall be in place to enable the types, volumes and impacts of security incidents and malfunctions to be quantified and monitored. Actions for improvements identified during this process shall be recorded and provide input into a plan for improving the service. 2010, HiSolutions AG IT-Grundschutz-Tag ISO

11 Erforderliche Elemente in der ISO Zertifizierung Senior Responsible Owner und Top Management IT-Services- & Servicevereinbarungen und IT-Servicekatalog Dokumentation und Dokumentenlenkung Prozessframework, Prozesse & Rollen Steuerung des IT-Service Managements (Management System, PDCA & Kennzahlen) Kompetenzen und Ausbildung Wirksamkeitsnachweise 2010, HiSolutions AG IT-Grundschutz-Tag ISO

12 Vorgehen zur Zertifizierung Entscheidung zur Zertifizierung Bedarfsgerechtes Vorgehen auswählen Was ist ISO 20000? Wirtschaftlichkeitsberechnung 1 Vorbereitung der Zertifizierung Festlegung des Scopes Anforderungslücken ermitteln (Readiness) Herausforderungen behandeln 2 3 Ausrichtung der Organisation und der Prozesse Durchführung des Audits Lücken schließen & integrieren (Managementsystem / Prozesse, Rollen) Regelungen definieren Nachweise bereitstellen Audits vorbereiten Tipps & Tricks während der Zertifizierung Nach dem Audit ist vor dem Audit 2010, HiSolutions AG IT-Grundschutz-Tag ISO

13 Welche Befürchtungen existieren? Hoher Aufwand bis zum Zertifikat Unflexible Arbeitsweise, kein Bezug zum Tagesgeschäft Überorganisation - Bürokratie Verschwenden von Ressourcen Vortäuschen von falschen Tatsachen 2010, HiSolutions AG IT-Grundschutz-Tag ISO

14 2 Vergleiche und Synergien» Vergleich» Überschneidungen» Studien 2010, HiSolutions AG IT-Grundschutz-Tag ISO

15 Vergleich und Synergien ISO und IT-Grundschutz (I) Ziele Abgrenzung ISO Nachweis der Fähigkeit zur Serviceerbringung Definiertes Scoping Statement IT-Grundschutz Nachweis der Fähigkeit zur Erlangung und Aufrechterhaltung des angemessenen Sicherheitsniveaus Definierter Informationsverbund Anforderungen Gegenstand Anforderungstiefe Alle ISO Part 1 im Kontext Scoping Statement Management System, Prozesse und Nachweis der Management Control und Wirksamkeit Generelle Prozessanforderungen Umsetzung der BSI Standards und 100-2, sowie der hierbei identifizierten Maßnahmen für den Informationsverbund Management System (Managementprinzipien, Sicherheitsprozess, Ressourcen, Mitarbeiter), Referenzdokumente, Zielobjekte Detaillierte Vorgaben 2010, HiSolutions AG IT-Grundschutz-Tag ISO

16 Vergleich und Synergien ISO und IT-Grundschutz (II) ISO IT-Grundschutz Zertifikatslebenszyklus Managementsystem Aufbauend auf QM Systemen (PDCA) Aufbauend auf QM Systemen (PDCA) Rollen Generische Rollen aus QM Andere Rollen ergeben sich aus Prozessen, sind nicht vorgegeben Benennung Sicherheitsbeauftragter Regelungen der Übernahme von Verantwortungen Auditierung Off-Site: Dokumentenaudit (Regelungen); On-Site: Prozessaudit (Wirksamkeitsüberprüfung durch Nachweise) Off-Site: Prüfung der Referenzdokumente; On-Site: Gegenprüfung der Referenzdokumente (z.b. Stichprobenprüfung der Maßnahmenumsetzung) Jährliche Überwachungsaudits; Rezertifizierung alle 3 Jahre Jährliche Überwachungsaudits; Rezertifizierung alle 3 Jahre 2010, HiSolutions AG IT-Grundschutz-Tag ISO

17 Vergleich und Synergien ISO und IT-Grundschutz (III) IT-Grundschutz Zertifikat wird nur durch BSI ausgestellt ISO Zertifikat kann durch ausgewählte, akkreditierte Organisation ausgestellt werden Vertrag BSI OGC itsmf akkreditiert Auditor auditiert zertifiziert akkreditiert RCB Organisations Auditor zertifiziert auditiert Unternehmen Unternehmen 2010, HiSolutions AG IT-Grundschutz-Tag ISO

18 Herausforderung: Rollen und Verantwortlichkeiten IT-Grundschutz Verantwortlichkeiten werden in die Linienstruktur integriert ISO Verantwortlichkeiten müssen parallel zur eigentlich Linienorganisation zugeordnet werden (Matrixorganisation) IT-Sibe GF IT-Sibe GF IT FB1 FB2 Herausforderungen: Informationssicherheitsbeauftragten auswählen und an geeigneter Stelle in die Organisationsstruktur integrieren Gremien bilden Verantwortlichkeiten sind i. d. R. vorhanden und müssen nur noch vermittelt werden. Continuity Capacity Security Availability Herausforderungen: IT FB1 FB2 Zuordnung der Rollen Verantwortlichkeiten sind zumeist nicht in der Linienstruktur vorhanden (z. B. Service Level Management) 2010, HiSolutions AG IT-Grundschutz-Tag ISO

19 Überschneidungen: ISO und IT-Grundschutz Frage: Wieviel Grundschutz hätten Sie, wenn Sie bereits nach ISO zertifiziert sind*. * Scopeabgleich kann zu weiteren Überschneidungen führen Abbildung von IT-Grundschutz durch ISO/IEC M1 Infrastruktur 100,00% 75,00% M6 Notfallvorsorge 50,00% M2 Organisation 25,00% 0,00% kompatibel vollständig teilweise n/a M5 Kommunikation M3 Personal M4 Hardware und Software Quelle: BSI Informationssicherheit - Ein Vergleich von Rahmenwerken und Standards 2010, HiSolutions AG IT-Grundschutz-Tag ISO

20 Überschneidungen: IT-Grundschutz und ISO Frage: Wieviel ISO hätten Sie, wenn Sie bereits grundschutzzertifiziert wären*. * ISO Security Anforderungen wurden nicht bewertet Abbildung von ISO/IEC durch IT-Grundschutz 6 Service delivery process 100% 75% 50% 10 Release process 7 Relationship processes kompatibel 25% vollständig teilweise 0% n/a 9 Control processes 8 Resolutions processes Quelle: BSI Informationssicherheit - Ein Vergleich von Rahmenwerken und Standards 2010, HiSolutions AG IT-Grundschutz-Tag ISO

21 Weiterführende Vergleiche: HiSolutions Studien IT-Standards ITIL und Standards für IT-Prozesse (KBSt) Informationssicherheit Ein Vergleich von Standards und Rahmenwerken (BSI) 2010, HiSolutions AG IT-Grundschutz-Tag ISO

22 3 Empfehlungen» Szenario Fokussierung ISO 20000» Szenario Fokussierung IT-Grundschutz» Szenario gleichzeitige Einführung 2010, HiSolutions AG IT-Grundschutz-Tag ISO

23 Szenario Fokussierung ISO Was sollte beachtet werden? ISO Scoping Statement mit möglicher Informationsverbundsdefinition abgleichen (Türen offen lassen) Frühzeitige Einbindung der IT-Sicherheitsverantwortlichen in die IT-Service Management Prozessentwicklung (Berücksichtigung von Sicherheitsanforderungen z.b. im Störungsmanagement) Umsetzung der ISO Sicherheitsanforderungen (Kap 6.6) unter Nutzung der detaillierten IT-Grundschutzvorgaben (Mapping) 2010, HiSolutions AG IT-Grundschutz-Tag ISO

24 Szenario Fokussierung IT-Grundschutz Was sollte beachtet werden? Definition Informationsverbund mit möglichem ISO Scoping Statement abgleichen (Türen offen lassen) Schaffung von Grundlagen eines übergreifenden Managementsystems: Rollenmodell, Dokumentenlenkung etc. (Plattform auch für andere Standards) Integration in die im Unternehmen vorhandenen IT-Prozessframeworks Umsetzung der IT-Grundschutzanforderungen an IT-Prozesse mit ISO Anforderungen kombinieren ( sich nichts verbauen z.b. Baustein Änderungsmanagement) Kooperation mit IT-Prozessverantwortlichen (soweit existent) Hinweis: Die ISO Zertifizierung auf Basis IT-Grundschutzzertifizierung bedeutet für ISO 20000, dass in der Regel das Kap 6.6 (ISO 20000) nahezu 100 % abgedeckt ist 2010, HiSolutions AG IT-Grundschutz-Tag ISO

25 Szenario Fokussierung gleichzeitige Einführung (ISO 56K) Was sollte beachtet werden? Gemeinsame Entwicklung Definition Informationsverbund und ISO Scoping Statement Frühzeitige Koordinierung der Ausrichtung und Umsetzung: Übergreifende Projektsteuerung (Integration als Teilprojekte) Entwicklung eines gemeinsamen Prozessmodells (Integration des Sicherheitsprozesses in das Prozessframework) Entwicklung eines integrierten Managementsystems: Rollenmodell, Dokumentenlenkung etc. (Plattform auch für andere Standards) Mapping der gemeinsamen Anforderungen Gemeinsame Umsetzung dieser Anforderungen Gemeinsam den Erfolg feiern! 2010, HiSolutions AG IT-Grundschutz-Tag ISO

26 4 Vielen Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? 2010, HiSolutions AG IT-Grundschutz-Tag ISO

27 Kontakt Anschrift HiSolutions AG Bouchéstraße Berlin Fon: Fax: ISO Zertifzierung Holger Bley Leitender Berater & Prokurist 2010, HiSolutions AG IT-Grundschutz-Tag ISO