BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

Größe: px

Ab Seite anzeigen:

Download "BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF"

Bernhard Hafner
vor 8 Jahren
Abrufe

1 BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009

2 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang und -aufwand Vorteile & Nutzen

3 Bundesministerium für Finanzen Organigramm.

4 . IT-Sektion Transformationsaufgabe der IT-Sektion - Dienstleister für die Anforderungen der Fachbereiche - IT-Verfahrensorganisation - Einheitliche Geschäftsprozesse - Softwareentwicklung durch BRZG Aufgaben - Finanzanwendungen - Querschnittsanwendungen - IT-Unterstützung anderer Ressorts - IT-Management

Geschäftsprozesse - Softwareentwicklung durch BRZG Aufgaben -

5 . IT-Sektion Vision - Durch organisationsübergreifende E-Government Anwendungen die Verwaltungsmodernisierung forcieren IT-Sektion ist Garant für - Umsetzung komplexer Projekte in Zeit- und Kostenrahmen - Bündelung des Bedarfes der Sektionen und Dienststellen Richtung BRZG - Bundesweit einheitliche Verfahren und finanzweit einheitliche Ausstattungen - Synergien in organisationsübergreifenden Verwaltungsprozessen - Innovative Projekte wie z.b. help.gv.at, FINANZOnline, Elektronischer Dienstausweis (eda), HV-/PM-SAP, E-Bilanz, E-Finanz, E-Rechnung - Erfolgreiche Weiterentwicklung des E-Government in Österreich

Verfahren und finanzweit einheitliche Ausstattungen - Synergien in organisationsübergreifenden Verwaltungsprozessen - Innovative Projekte wie z.b. help.

6 Vorstellung des BMF / IT-Sektion > Gründe für die Einführung des Standards Projektumfang und -aufwand Vorteile & Nutzen

7 . Ausgangssituation und Motivation Verpflichtung zum Treffen von angemessenen Maßnahmen für Auftraggeber und Dienstleister Verpflichtung zum Schutz der Daten Verpflichtung zur Gesetzmäßigkeit, Zweckmäßigkeit, Wirtschaftlichkeit und Sparsamkeit zunehmende Bedeutung der Informationssicherheit Veränderung von Einmal-Aktionen hin zu einem fortwährenden Prozess Nachweis standardisierte Steuerung u. Kontrolle Datensicherheitsmaßnahmen formale Behandlung der Geschäfte gesetzlich geregelter Wirkungsbereich Motivation ISO DSG 2000, etc. Ausgangssituation B-VG, BMG, GPE

Informationssicherheit Veränderung von Einmal-Aktionen hin zu einem fortwährenden Prozess Nachweis standardisierte Steuerung u.

8 Vorteile der Sicherheitsnorm ISO SYSTEMATIK ISO 27001, Kap. 4-8 ACT PLAN CHECK DO Informationssicherheit dauerhaft - definieren - steuern - kontrollieren - aufrecht erhalten - fortlaufend verbessern Vorgehensweise UMFANG ISO 27001, Annex A A.5. Sicherheitspolitik A.9. Physische und umgebungsbezogene Sicherheit A.13. Verwaltung von Informationssicherheitsvorfällen A.6. Organisation der Sicherheit A.10. Management der Kommunikation und des Betriebs A.14. Betriebliches Kontinuitätsmanagement A.7. Verwaltung der Vermögenswerte A.11 Zugriffskontrollen A.15. Einhaltung der Verpflichtungen A.8. Personelle Sicherheit A.12. Systemanschaffung, -entwicklung und -wartung 133 Controls Informationssicherheit

A A.5. Sicherheitspolitik A.9. Physische und umgebungsbezogene Sicherheit A.13. Verwaltung von Informationssicherheitsvorfällen A.6. Organisation der Sicherheit A.10.

9 Vorteile der Normenreihe ISO ISO Information Security Management Systems Requirements ISO Code of Practice for Information Security Management ISO (DRAFT) Information Security Management System Implementation Guidance ISO (DRAFT) Information Security Management Measurement ISO Information Security Risk Management ISO Requirements for Bodies providing Audit and Certification of ISMS

Management System Implementation Guidance ISO 27004 (DRAFT) Information Security Management Measurement

10 Vorteile der Normenreihe ISO (DRAFT) Sicherheitskennzahlen-Management - Kennzahlenkategorien Festlegung der zu messenden Ziele und Kategorisierung der Messergebnisse - Kennzahlenmessmethodik Festlegung der Vorgehensweise und Zuständigkeiten - Kennzahlenberichte Festlegung der Darstellung und Kommunikation der Messergebnisse Konformität und Wirksamkeit des ISMS Definition von Messobjekten und Messkriterien, Bereitstellung von objektiven Messdaten objektive Messergebnisse für das Management Review Kennzahlenkategorien Kennzahlenmessmethodik Kennzahlenberichte ISO ISO ISO Measurement Process Model ISO Measurement Information Model CobiT Maturity Model Unterstützung der kontinuierlichen Verbesserung

Wirksamkeit des ISMS Definition von Messobjekten und Messkriterien, Bereitstellung von objektiven Messdaten objektive Messergebnisse für das Management Review Kennzahlenkategorien

11 Vorteile der Normenreihe ISO Information Risk Management - Analysemethodik Festlegung der Vorgehensweise und Zuständigkeiten - Analysekategorien Festlegung von einheitlichen Kategorien für Schutzbedarf, Eintrittswahrscheinlichkeit, Schadenshöhe und Risikozonen Rahmenbedingungen definieren Risikoüberwachung Bedrohungskatalog, Schwachstellenkatalog Kategorien für Eintrittswahrscheinlichkeit, Schadenshöhe und Risikozonen Risikoanalyse Risikobewertung Risikobehandlung Risikoakzeptanz Risikoreporting ISO (Process, Assessment, Treatment, Acceptance, Communication, Monitoring) Annex C Annex D Annex E Annex F

Risikoüberwachung Bedrohungskatalog, Schwachstellenkatalog Kategorien für Eintrittswahrscheinlichkeit, Schadenshöhe und Risikozonen Risikoanalyse

12 Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards > Projektumfang und -aufwand Vorteile & Nutzen

13 ISMS-Zertifizierung Besonderheiten beim Scoping BMF und andere Ressorts Fachsektionen Interne Regelungen Fachaufgaben und IT-Verfahren gemäß Geschäfts- u. Personaleinteilung insbes. Infrastruktur und Personalwesen IT-Sektion erforderliche Ressourcen Personen Clients Netzwerk Infrastruktur Dienstleister Verträge Betrieb der IT-Verfahren Entwicklung und Betrieb der IT-Verfahren

Infrastruktur und Personalwesen IT-Sektion erforderliche Ressourcen Personen Clients Netzwerk

14 ISMS-Projekt Ablauforganisation Managementprozesse STEUERN KONTROLLIEREN Supportprozesse PLAN DO CHECK ACT IS Compliance Management Sicherheitsarchitektur Management Sicherheitsrichtlinien Management Sicherheitsmaßnahmen implementieren Sicherheitsmaßnahmenprogramm Sicherheitskennzahlen Management ISMS Policy Management Auditprogramm Information Risk Management Kontinuierliches Verbesserungsprogramm

Management Sicherheitsmaßnahmen implementieren Sicherheitsmaßnahmenprogramm Sicherheitskennzahlen

15 Vorstellung des BMF / IT-Sektion Gründe für Einführung des Standards Projektumfang und -aufwand > Vorteile & Nutzen

16 Vorteile Zusammenfassung Das ISMS legt klar definierte Sicherheitsvorgaben für alle organisatorischen und technischen Bereiche fest und regelt die erforderlichen operativen Abläufe. Weiters stellt es sicher, dass potenzielle Risiken für die Informationssicherheit regelmäßig und systematisch identifiziert, bewertet und durch die Anwendung geeigneter Sicherheitsmaßnahmen auf ein akzeptables und tragbares Maß reduziert werden.

Weiters stellt es sicher, dass potenzielle Risiken für die Informationssicherheit regelmäßig und

17 Vorteile Zusammenfassung Das ISMS gewährleistet eine laufende Bewertung auf Basis von durchgeführten Audits und Kennzahlen sowie die kontinuierliche Anpassung und Weiterentwicklung entsprechend der sich ändernden Aufgabenstellungen. Der Sicherheitsstandard ISO/IEC ermöglicht dabei eine strukturierte Vorgehensweise und die notwendige Transparenz in diesem komplexen Umfeld. Die Zertifizierung zwingt zur laufenden Aktualisierung

18 operativ strategisch / taktisch Nutzen Instrumente für den operativen Betrieb dokumentierte Prozesse, Organisation und Methodik Information Risk Management Auditprogramm und Checklisten dokumentierte Fachaufgaben und IT-Verfahren Sicherheitsmaßnahmen Grundschutz-Vorgaben (nach Schutzbedarf) Auditberichte Identifizierung von Verbesserungspotential relevante rechtl. und regulative Vorgaben dokumentierte Sicherheitsmaßnahmen (inkl. Umsetzungsgrad) Sicherheitskennzahlenberichte Umsetzung von Verbesserungsmaßnahmen PLAN DO CHECK ACT Sicherheitspolitik für alle Mitarbeiter Leitfaden Auditpläne Sicherheitsrichtlinien für alle Zielgruppen dokumentierte Vorgehensweise und Verantwortliche Risikoanalysebericht umzusetzende Sicherheitsmaßnahmen technische Sicherheitsvorgaben für die Umsetzung Messpläne

und regulative Vorgaben dokumentierte Sicherheitsmaßnahmen (inkl.

19 Sicherheitskennzahlen Managementbericht 0 nicht existent 2 wiederholbar aber intuitiv 4 managed und messbar 1 initial 3 definiert 5 optimiert

20 Danke für Ihre Aufmerksamkeit Allfälliges, Fragen

Ähnliche Dokumente

Technische Aspekte der ISO-27001

ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ