VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Transkript

1 VdS Cyber-Security der Brandschutz des 21. Jahrhunderts Cyber-Security für kleine und mittlere Unternehmen (KMU)

2 Zum Referenten Claus Möhler Jahrgang 1975 Berater für Informationssicherheit Seit 2000 bei Applied Security GmbH ISO Lead Auditor Anerkannter Berater für Cyber-Security gemäß VdS 3477 Zulassung als Fachexperte und Auditor für das Quick-Check- Verfahren nach VdS 3474 und für das Zertifizierungsverfahren nach VdS Folie 2

3 Agenda Begrüßung und Agenda Kurzprofil Applied Security GmbH Definition ISMS Aktuelle Management-Systeme Vorstellung VdS 3473 Fragen und Antworten Folie 3

4 Kurzprofil Applied Security GmbH Gegründet 1998 in Großwallstadt Niederlassungen in Berlin, Hamburg und Essen Top 15 Unternehmen der deutschen IT-Sicherheits-Unternehmen (Quelle: BMWi) Produkt- und Beratungsbereich fideas-produktlinie: Verschlüsselung, digitale Signatur, sichere Datenübertragung Security-Consulting, Fokus ISMS (VdS 3473, ISO 27001, BSI, ISIS12) Zertifizierter ISIS12-Dienstleister seit Oktober 2014 Zugelassene Berater und Auditoren gemäß VdS 3474, 3475 und Folie 4

5 Warum ein neues ISMS vom VdS? VdS unabhängige Institution, erstellt u.a. Vorgaben und Konzepte für Brandschutz und Security Vorgaben dienen als Grundlage bzw. Voraussetzungen für Versicherungen (z.b. Leitfaden für den Brandschutz im Betrieb, VdS 2000) Cyber-Versicherungen verlangen ebenfalls nach normierten Grundlagen Norm für Informationssicherheit (ISMS) Cyber-Security für kleine und mittlere Unternehmen (KMU) Folie 5

6 Kurzübersicht ISMS

7 ISMS - Definition Das Information Security Management System (ISMS, engl. für Managementsystem für Informationssicherheit ) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Quelle: Folie 7

8 ISMS Inhalte eine Aufstellung von Verfahren und Regeln Dokumentierte Regelwerke, Vorgaben, Strukturen und Prozesse innerhalb eines Unternehmens klare Abgrenzung, klarer Gültigkeitsbereich von der Geschäftsleitung initiiert und getragen Unternehmensweit gültige Grundlagen und Definitionen die Informationssicherheit dauerhaft zu definieren, zu steuern, und fortlaufend zu verbessern kontinuierlicher Prozess, keine Einmal-Aktionen Folie 8

9 Aktuell verfügbare Management-Systeme

10 Aktuelle Managementsysteme ISO/IEC 2700x Internationale Normenreihe Weltweit anerkannt Flexible Auslegung Zertifizierbar BSI IT-Grundschutz Umsetzungsmöglichkeit der ISO Definierte Methodik Deutschlandweite Anerkennung Standards BSI bis Zertifizierbar ISIS 12 IT-Grundschutz light Reduzierter Maßnahmensatz und Vereinfachungen gegenüber BSI Geeignetes ISMS gemäß IT-Planungsrat Zertifizierbar durch die DQS Folie 10

11 Unternehmensgröße Aktuelle Managementsysteme im Vergleich ISO BSI IT- Grundschutz VdS 3473 ISIS 12 Maßnahmenorientierung Maßnahmen-Ziele Folie 11

12 VdS 3473

13 VdS 3473 Motivation und Geltungsbereich Motivation Schutz-Standards zur Abwehr klassischer Gefahren verfügbar Richtlinien der VdS Schadenverhütung GmbH VdS 3473 begegnet den neuen Cyber- Bedrohungen IT-Risiken für Versicherer bewertbar machen Geltungsbereich VdS 3473 etabliert Mindestanforderungen an die Informationssicherheit Anwendbar für KMU, gehobener Mittelstand, Verwaltungen, Verbände und sonst. Organisationen Folie 13

14 VdS 3473 Grundsätze (1) So wenig wie möglich, so viel wie nötig Allgemeingültig für alle Branchen und Organisationen Das Thema ISMS wird nicht neu erfunden Inhaltlich große Überschneidung mit bereits etablierten Standards Keine Vorgabe von Maßnahmen eher Themenbereiche und Strukturen zur Umsetzung dadurch methodisch näher an ISO27001 als an IT-Grundschutz Folie 14

15 VdS 3473 Grundsätze (2) Risikobasierter Ansatz Basis-Schutz für alle Systeme Stärkere Fokussierung auf als kritisch identifizierte Prozesse Informationen IT-Systeme, mobile Datenträger und Verbindungen Individualsoftware Methodik zur Identifikation kritischer Systeme nicht vorgegeben Über die Kritikalität entscheidet das Unternehmen selbst Folie 15

16 VdS Kernthemen Dokumentations- Anforderungen Rollen und Verantwortlichkeiten Leitlinie zur Informationssicherheit (IS-Leitlinie) Richtlinien zur Informationssicherheit (IS-Richtlinie) Mobile IT-Systeme / Datenträger Datensicherung und Archivierung Inventarisierung der IT Prozesse ISMS: Identifikation kritischer IT- Ressourcen IS-Leitlinie IS-Richtlinien Thematisch: Störungen und Ausfälle Sicherheitsvorfälle Inbetriebnahme, Änderung und Außerbetriebnahme Datensicherung Wiederanlauf Risikoanalysen Maßnahmenziele Basis-Schutz für alle IT-Systeme Updates Anti-Virus Beschränkungen Zusätzliche Maßnahmen für als kritisch identifizierte Systeme, z.b. Risikoanalyse Notbetrieb Robustheit Überwachung Folie 16

17 Zertifizierungsmöglichkeiten

18 Quick-Check, Quick-Audit und Zertifizierung Quick-Check Online-Fragenkatalog Ergebnis: PDF-Report Quick-Audit (VdS 3474) Basiert auf den Ergebnissen des Quick-Checks Testierung der Ergebnisse durch neutralen Dritten Zertifizierung (VdS 3475) Komplette Zertifizierung des ISMS Quick-Audit bildet auch hier die Grundlage für Audit-Planungen Folie 18

19 Zertifizierungspyramide Folie 19

20 Quick-Audit nach VdS 3474 Quick- Check Quick-Check 39 Fragen zu sicherheitsrelevanten Themen in Ihrem Unternehmen* Online unter Audit-Planung Basierend auf den Angaben des Quick- Check Quick- Audit Audit- Durchführung i.d.r. 1-2 Tage vor Ort Auswertung und Berichtserstellung Testat * Der Quick-Check ist auch ohne weitere Schritte möglich Folie 20

21 Zertifizierung nach VdS 3475 Audit Zertifizierungs-Entscheidung Zertifikat Check-Up Ggf. Re-Zertifizierung Folie 21

22 Vergleich Testat & Zertifikat Quick-Check Quick-Audit Zertifizierung Self-Assessment Audit vor Ort Audit vor Ort PDF-Report Testat / Prüfbericht Zertifikat Moment-Aufnahme Keine Überwachung Werbeverbot Moment-Aufnahme Keine Überwachung Werbeverbot Gültigkeit 3 Jahre Jährlicher Check- Up Werbung erlaubt Folie 22

23 Anwendungsbereiche VdS 3473 Wann ist die Implementierung eines ISMS gemäß VdS 3473 interessant: Voraussetzung für Cyber-Versicherungen Zertifizierung eines bereits bestehenden, innerhalb des Unternehmens gewachsenen ISMS Wann ist die Implementierung eines ISMS gemäß VdS 3473 nicht interessant: volle Flexibilität oder Anerkennung eines anderen ISMS (z.b. ISO 27001, IT-Grundschutz) gewünscht oder gefordert Folie 23

24 Fragen? Folie 24

25 Vielen Dank für Ihre Aufmerksamkeit Ihre Ansprechpartner: Herr Claus Möhler Sprechen Sie mit uns. apsec bietet Ihnen umfassenden Service für alle Bereiche der Datensicherheit. Applied Security GmbH Einsteinstraße 2a Großwallstadt Telefon: +49 (0) 6022 / Folie 25