Automatisierung eines ISMS nach ISO mit RSA Archer

Transkript

1 Automatisierung eines ISMS nach ISO mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, München, Germany Tel.: Mobile:

2 Agenda ISMS nach ISO Herausforderungen komplexer Umgebungen Umsetzung mit RSA Archer Kurzdemonstration 2

3 ISMS nach ISO

4 ISO ist ein ganzheitlicher Ansatz, der aus zwei Teilen besteht Management System Information Security Management System Schutzmaßnahmen 4

5 Das Management System versorgt die Governance mit Informationen Risikoanalyse Einführen von Schutzmaßnahmen Mitarbeiter sensibilisieren Interne Audits etc. Risiken Audits, Verbesserungen Sicherheitsvorfälle, Metriken Governance Schutz- Schutz- Schutzmaßnahme maßnahme maßnahme 5

6 Schutzmaßnahmen erzeugen Informationssicherheit Einhaltung der Verpflichtungen Sicherheitspolitik Geschäftskontinuität Behandlung von Sicherheitsvorfällen Lieferantenbeziehungen Beschaffung, Entwicklung und Wartung von Informationssystemen Kommunikationssicherheit Organisation der Informationssicherheit Personalsicherheit Management von Werten Zugangskontrolle Verschlüsselung Sicherheit im Betrieb Physikalische Sicherheit 6

7 Das Statement of Applicability (SoA) beschreibt das Sicherheitsprofil einer Organisation Dient als Hauptdokument im Rahmen einer Zertifizierung Zertifizierung Schutzmaßnahmen Beinhaltet die Beschreibung der Implementierung und die Begründung zur Umsetzung von Schutzmaßnahmen Statement of Applicability Beinhaltet zusätzliche Maßnahmen (z.b. Regulative Anforderungen) Zusätzliche Maßnahmen Status Dokumentiert den Status der Umsetzung von Schutzmaßnahmen 7

8 ISO hat unterschiedlichen Nutzen Erfüllung regulativer Anforderungen Verbesserung des Unternehmens Marketing Perspektiven 8

9 Herausforderungen komplexer Umgebungen 9

10 Die Komplexität muss verwaltet werden 10

11 Datensilos erschweren die Verwaltung der ISMS Komponenten Scope Inventar Information Prozesse SoA Assets Register Tickets Audits, Incidents Schutz- maßnahmen Risiken 11

12 Einfaches Reporting erfordert die flexible Verknüpfung von Komponenten des ISMS?????? ISO Compliance... Risiken pro Prozess Prozesse Information Assets Risiken Schutzmaßnahmen Incidents Audits 12

13 Einsatz einer Datenbank zur Reduktion der Komplexität Umsetzung mit RSA Archer 13

14 RSA Archer ist ein Datenbank basiertes GRC-Tool Focused Solutions Spezifische Usecases ISO27001 Application RSA Archer GRC Solutions Business Usecases Application Application Qualys Mcafee MVM Rapid7 (Nexpose) RSA Archer Platform Integration 14

15 Die ISMS Foundation nutzt bestehende Solutions Anwendungsbereich ISMS Policy Risikoanalyse Schutzmaßnahmen Risikobehandlung Überwachung ISMS Foundation ISMS St. of. App. Archer Focused Solution Enterprise Mgmt Policy Mgmt Risk Mgmt Compliance Mgmt Audit Mgmt Incident Mgmt Verbesserung 15

16 Es kommt darauf an, beliebige Datencontainer abzubilden und einfach Reports zu erzeugen! 16

17 Kurzdemonstration 17

18 Vorteile der Automatisierung eines ISMS nach ISO mit RSA Archer Einfache Dashboard Funktionen zur Konfiguration individueller Übersichten. Einfache Dashboard Funktionen Mit einem Reporting Wizard erübrigt sich die Verwendung weiterer Reporting-Systeme (z.b. Crystal Reports usw.) Verwaltung aller Aktivitäten im ISMS Prozess. Reporting Wizard Verwaltung aller Aktivitäten Ein flexibles Datenbank Modell schafft Investitionssicherheit. Zentrale Datenablage für alle Aufzeichnungen und Dokumente des ISMS Prozesses Flexibles Datenbankmodell Zentrale Datenablage 18

19 Offene Fragen / Diskussion 19