(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Transkript

1 (ISMS) Informationssicherheits-Managementsystem - das ABC der Umsetzung Skizze der Methodik nach ISO/IEC Weimar,

2 Referent Wirt.-Inf. (BA) Krzysztof Paschke Geschäftsführer GRC Partner GmbH (Kiel und Hamburg) Senior Berater IT-Sicherheit und Notfallmanagement Leiter Cyber Defense itsmf e.v. (ITIL Anwenderorganisation) Fachbuchautor 2

3 Notfallmanagement Allianz Risk Barometer 2016: (*) Die 10 größten Geschäftsrisiken 2016 Befragung von mehr als 800 Risikoexperten in 40 Ländern weltweit Unter den ersten drei Geschäftsrisiken sind: 1. Betriebsunterbrechung (inkl. Lieferkettenunterbrechung) 2. Marktentwicklung (Marktvolatilität) 3. Cybervorfälle Die Betriebsunterbrechung steht zum 4. Mal an der ersten Stelle! (*) Quelle: Abruf am

4 Agenda 1. Standards und Normen 2. ISMS-Prozess 3. Projekt ISMS 4. Kontext der Organisation und Geltungsbereich 5. Strukturanalyse 6. Schutzbedarf und Risikoanalyse 7. Maßnahmen und Erklärung der Anwendbarkeit 8. Monitoring und Verbesserung 4

5 1. Standards und Normen Standards und Normen: (ISMS) Informationssicherheits-Managementsystem BSI-Standard 100-1, ISO/IEC ISIS12 Cyber-Security für KMU (Bayerischen IT-Sicherheitscluster e.v.) VdS 3473 Cyber-Security für KMU (Gesamtverband der Deutschen Versicherungswirtschaft) Ergänzende Normen ISO/IEC 270xx (z.b. ISO/IEC 27019) ISO 31000, ISO 27005, BSI (neu Entwurf BSI-Standard 200-3) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 5

6 1. Standards und Normen Standards und Normen (warum?): Sehr gute Umsetzungshilfe (Leitfaden) Einheitliche Vorgaben und Methoden Transparenz, Vergleichbarkeit und Nachvollziehbarkeit Erlauben zuverlässige Projekt- und Kostenplanung Hohe Akzeptanz in den Unternehmen und Behörden Zertifizierung durch externe Stellen möglich Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 6

7 2. ISMS - Prozess Zusammenfassung des ISMS-Pozesses gemäß ISO/IEC 27001: Kontext der Organisation und Geltungsbereich Strukturanalyse Schutzbedarf und Risikoanalyse Maßnahmen und Anwendbarkeitserklärung Messen, steuern und verbessern 7

8 3. Projekt ISMS Einführung Projektorganisation (DIN ISO 69901) Projektziel(e) Geltungsbereich Projektleitung Projektteam Meilensteine Zeitrahmen Arbeitspakete Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7 Projekt - Notfallmanagement 8

9 3. Soll Ist - Vergleich GAP-Analyse: 1. Soll-Ist-Analyse (wie Sicher sind zurzeit die Informationen in der Organisation) Vergleich der ISMS-Anforderungen mit der (IT-) Wirklichkeit 2. Status der ISMS-Maßnahmen Organisatorische Maßnahmen Technische Maßnahmen 3. Umsetzung der Maßnahmen Annex A der ISO/IEC ggf. individuelle Maßnahmen 9

10 3. Kontext der Organisation und Geltungsbereich Kontext der Organisation Zusammenfassung der Aufgaben und Ziele der Organisation Zusammenfassung der externe Faktoren wie z.b. Soziale, kulturelle und wirtschaftliche Umwelt Wettbewerb Geografie der Organisation (lokal, regional, national, international) Erfordernisse und Erwartungen der interessierter Parteien Kunden, Lieferanten Mitarbeiter, Geschäftsführung, Betriebsrat, Behörden, Gesellschafter etc. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7 Projekt - Notfallmanagement 10

11 IT-Infrastruktur 3. Geltungsbereich Welche Bereiche der Organisationen sollen im ISMS abgebildet wrden? Unternehmensstruktur GL OE 1 OE 2 OE n Prozessbeschreibung P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste Server, Arbeitsplätze, Netzwerk Daten 11

12 IT-Infrastruktur 4. Strukturanalyse Welche Informationen werden für die Schadensanalyse benötigt? Was soll geschützt werden? Unternehmensstruktur GL OE 1 OE 2 OE n Prozessbeschreibung P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste Server, Arbeitsplätze, Netzwerk Daten 12

13 5. Schutzniveau mit Business Impact Analyse [BIA] Feststellung des Schutzbedarfs (Prozesse, Daten): Strukturierte Bewertung der Schadenspotentiale für die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) Betrachtung der Schadensszenarien Finanzielle Auswirkung Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Imageschaden Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Versorgungssicherheit (Energieversorger) Einschränkung des Energieflusses (Energieversorger) Betroffener Bevölkerungsanteil (Energieversorger) Schadenskategorien und Schutzniveau niedrig normal hoch sehr hoch 13

14 5. Risikoanalyse [RIA] Risikoanalyse für Schutzbedürftige Prozesse (Daten) und Ressourcen: Was kann die Schutzziele (VIV) negativ beeinträchtigen Standards z.b. ISO/IEC oder BSI-Standard (neu 200-3) Risikoidentifikation (z.b. BSI G0 46 Elementare Gefährdungen) Risikobewertung = Eintrittswahrscheinlichkeit * Auswirkung 14

15 6. Risikoanalyse [RIA] Ergebnis der Risikoanalyse: Basis für die Umsetzung der Maßnahmen Risikobehandlung Übernahme - ohne Maßnahmen akzeptiert Transfer - Versicherung oder Dienstleister Vermeidung - Reorganisation Reduktion - Umsetzung von Maßnahmen 15

16 7. Anwendbarkeitserklärung (SoA) Erklärung zur Anwendbarkeit: Grundlegendes Dokument im ISMS Auflistung alle Maßnahmenziele und Maßnahmen Begründung der Umsetzung u.a. Risikoanalyse Compliance Geschäftsanforderung Best Practice Unerlässlich für eine Prüfung und Zertifizierung des ISMS 16

17 10. Monitoring und Verbesserung Monitoring: Regelmäßige Überprüfung der Sachverhalte P-D-C-A z.b. Unternehmensorganisation, BIA, Risikoanalyse etc. z.b. Korrekturmaßnahmen etc. 17

18 ISMS-Umsetzung Häufige Probleme bei der Umsetzung (Auszug): Überzeugung der Geschäftsleitung und Fachbereiche Dokumentation der Organisation, Prozesse und IT Projektmanagement und -durchführung Ressourcen Kenntnisse der Standards und Methodik der Umsetzung Budget 18

19 Vielen Dank für Ihre Aufmerksamkeit Wirt.-Inf. (BA) Krzysztof Paschke GRC Partner GmbH Schauenburgerstraße 116 D Kiel Ein Unternehmen der AKRA Gruppe