ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

Transkript

1 ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014

2 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA) Mitautor BSI IT-Grundschutzhandbuch bzw. BSI IT-Grundschutzkataloge Zertifizierter Auditor für ISO der Basis von IT-Grundschutz (BSI) Im Auftrag des BSI Ausbilder für die BSI-Auditoren (ISO & IS-Revision) Zertifizierter IS-Revisions- und IS-Beratungsexperte (BSI IS-Revisor) D Auditor (BSI) ITIL Expert (APMG) Lehrtätigkeiten: Fachhochschule Brandenburg Duale Hochschule Baden-Württemberg Hochschule für Wirtschaft und Recht Berlin

3 Andreas Kalender Diplom Informatiker COBIT Practitioner (ISACA) Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Foundation Certificate in IT Service Management (ITIL) Schwerpunkte: Implementierung von Managementsystemen gemäß ISO und ISO auf Basis von BSI-IT-Grundschutz Applikationssicherheit (bei Entwurf, Entwicklung, Test und Betrieb) Konfigurationswesen IT-Service Management Kontakt:

4 Agenda 1. Einführung in die ISO Änderungen der ISO 27001:2013 im Überblick 3. Maßnahmenziele und Maßnahmen 4. Zertifizierung

5 Einführung ISO 27001

6 Informationssicherheitsmanagementsysteme Managementsystem Gesamtheit aller Regelungen, Maßnahmen, Prozesse, Kapazitäten und Fähigkeiten einer Organisation um Ziele zu definieren und zu erreichen Managementsystem für Informationssicherheit (ISMS) Definiertes Ziel gemäß BSI: Schutz von Informationen jeglicher Art und Herkunft Wahrung der Grundwerte Vertraulichkeit Verfügbarkeit Integrität

7 Inhalt der ISO Normierte Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) Nachweis der Umsetzung gegenüber Dritten durch Zertifizierung möglich Unabhängige Anwendbarkeit auf alle Arten von Organisationen Wichtig ist das WAS, nicht das WIE Umsetzung von passenden Maßnahmen

8 Historie 2005 ISO 27001: British Standard BS7799 British Standard Institute (BSI) 2000 ISO International Organization for Standardization (ISO) 2013 ISO 27001: Code of Practice for Information Security Management Department of Trade and Industry (DTI)

9 Ziele der Aktualisierung Harmonisierung der ISO Normen Insbesondere ISO 9000 Anpassung an die neue High-Level - Struktur der ISO Normen Verbesserung der Struktur und Lesbarkeit Fachliche Überarbeitung und Aktualisierung Vollständige Überarbeitung der Maßnahmenziele und Maßnahmen

10 Im Überblick Änderungen der ISO 27001:2013

11 Kapitelstruktur der ISO ISO 27001:2013 (High level Structure) 0. Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Context of the organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance Evaluation 10. Improvement Annex A (normativ) ISO 27001: Introduction 1. Scope 2. Normative references 3. Terms and definitions 4. Information security management system 5. Management responsibility 6. Internal ISMS audits 7. Management review of the ISMS 8. ISMS improvement Annex A (normativ) Annex B (informativ) Annex C (informativ)

12 Kontinuierlicher Verbesserungsprozess Nennung des PDCA-Zyklus entfällt in der ISO 27001:2013 Aber: Forderung der kontinuierlichen Verbesserung bleibt erhalten! Planung und Konzeption ( Plan ) Optimierung, Verbesserung ( Act ) Umsetzung, Anwendung und Betrieb ( Do ) Erfolgskontrolle, Überwachung der Zielerreichung ( Check )

13 Ausrichtung des ISMS Führung statt Verantwortung des Management Verpflichtungen der Organisationsleitung bleiben erhalten Weitere Leitungsebenen werden berücksichtigt Alle Interessenten sind durch das ISMS zu berücksichtigen Fokus auf die Anforderungen der Organisation ISMS auf Basis der Organisationsstrategie Integration in die bestehenden Prozesse

14 Risikomanagement Berücksichtigung der ISO Normenreihe Starker Fokus auf Risiken nicht auf organisationseigene Werte ( assets ) Risikoeigentümer statt Besitzer Status ausgewählter Maßnahmen ist zu dokumentieren

15 Maßnahmenplanung Keine vorbeugenden Maßnahmen Maßnahmen adressieren Risiken und Chancen Korrektive Maßnahmen Pflicht zur Vermeidung von Nicht- Konformitäten zu den ISMS Vorgaben Keine Forderung der Umsetzung der Maßnahmen aus Anhang A

16 Kommunikation Neue Anforderung zur Festlegung einer Kommunikationsrichtlinie Berücksichtigung aller internen und externen Ansprechpartner Definierte Anforderungen zur Dokumentation

17 Leistungsbewertung Spezifische Forderungen zur Leistungsbewertung Dokumentierten Festlegung von Messverfahren Verantwortlichkeiten Intervalle Auswertungen Überarbeitung der Anforderungen an die Organisationsleitung Mindestintervall der Leistungsbewertung (jährlich) entfällt Dokumentation von Chancen im Rahmen der kontinuierlichen Verbesserung

18 Geforderte Dokumentationen ISO 27001:2013 (13 + X) Anwendungsbereich des ISMS Informationssicherheitsrichtlinie Beschreibung des Prozess zur Risikoeinschätzung Beschreibung des Risikobehandlungsprozess Verfahren und Maßnahmen, die das ISMS unterstützen Kompetenznachweise Ergebnisse der Risikoeinschätzung Risikobehandlungspläne Erklärung zur Anwendbarkeit (statement of applicability) Ergebnisse der Leistungsbewertung des ISMS Auditergebnisse Management-Review-Berichte Feststellungen von Nichtkonformitäten zu ISMS- Vorgaben Dokumente im Rahmen der Maßnahmenumsetzung ISO 27001:2005 (7 + X) Erklärung der ISMS-Leitlinie und der ISMS-Ziele Anwendungsbereich des ISMS Beschreibung der Methode zur Risikoeinschätzung Bericht der Risikoeinschätzung Risikobehandlungsplan Verfahren, die die Organisation zur Sicherstellung der wirksamen Planung, Durchführung und Kontrolle ihrer Informationssicherheitsprozesse benötigt, und die beschreiben, wie die Wirksamkeit von Maßnahmen zu messen ist Erklärung zur Anwendbarkeit (statement of applicability) Dokumente im Rahmen der Maßnahmenumsetzung

19 Maßnahmenziele und Maßnahmen

20 Überarbeitung des Anhangs A Vollständige Überarbeitung Neustrukturierung Präzisere Forderungen zur Überwachung von Leistungen Entfernung von Duplikaten Maßnahmenziele und Maßnahmen gelten nicht mehr verpflichtend Umbenennung in Reference control objectives and controls Früher Control objectives and controls Korrespondierende Aktualisierung der ISO 27002

21 Kapitelstruktur des Anhang A ISO 27001:2013 (114 Maßnahmen / 14 Kapitel) A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance A.15 Supplier relationships A.16 Information security incident management A.17 Information security aspects of business continuity management A.18 Compliance ISO 27001:2005 (134 Maßnahmen / 11 Kapitel) A.5 Security policy A.6 Organization of information security A.7 Asset management A.8 Human ressources security A.9 Physical and environmental security A.10 Communications and operations management A.11 Access control A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance

22 Neue Maßnahmen 1. A Information security in project management 2. A Restrictions on software installation 3. A Secure development policy 4. A Secure system engineering principles 5. A Secure development environment 6. A System security testing 7. A Information security policy for supplier relationships 8. A Information and communication supply chain 9. A Assessment and decision on information security events 10. A Response to information security incidents 11. A Availability of information processing facilities

23 Zertifizierung

24 Übergangszeiten Veröffentlichung der ISO 27001: Oktober Oktober 2014 Gültigkeit aller Stichtag für Erstund Re- Zertifizierungen gemäß ISO 27001:2005 Zertifizierungen gemäß ISO 27001:2005 endet 1. Oktober 2015

25 Empfehlungen für die Erstzertifizierung Anforderungen gemäß ISO 27001:2005 sind vollständig oder weitgehend umgesetzt Zertifizierung gemäß ISO 27001:2005 wird empfohlen Andernfalls Zertifizierung gemäß ISO 27001:2013 wird empfohlen Spätere Zertifizierung gemäß ISO 27001:2013 möglich Keine Aufwände für einen späteren Wechsel Übergangszeit kann genutzt werden Kein oder nur geringer Verlust bei eventuell bestehende Vorarbeiten

26 Aktualisierung (Allgemein) Aktualisierung bestehender 27001:2005 Zertifizierungen Reguläres Audit Zusätzliches Deltaaudit ISO 27001:2005 Bei Erfolg: Zertifizierung gemäß ISO 27001:2013 Gültigkeitsdauer bestehender Zertifizierungen bleibt bestehen Nachfolgende Überwachungs- und Re-Zertifizierungsaudits erfolgen gemäß ISO 27001:2013 ISO 27001:2013

27 Konkrete Schritte zum Umstieg von der ISO 27001:2005 auf die ISO 27001:2013 Ermittlung aller Interessenten ( Stakeholder ) und deren Anforderungen Ermittlung aller Schnittstellen zwischen der Organisation und Externen Ausrichtung des ISMS an der Organisationsstrategie Umstellung des Risikomanagements Auswahl eines geeigneten Vorgehens Identifikation der Risiken und ihrer Eigentümer Auswahl der Maßnahmen zur Risikobehandlung Erfassung des Umsetzungsstatus der ausgewählten Maßnahmen Bestätigung durch die Risikobesitzer Dokumentation der Kommunikationswege Ergänzung der zusätzlich geforderten Richtlinien Anpassung der Leistungsbewertung

28 Vielen Dank für Ihre Aufmerksamkeit Friedrichstraße Berlin