secunet SwissIT AG ISMS in der öffentlichen Verwaltung

Größe: px

Ab Seite anzeigen:

Download "secunet SwissIT AG ISMS in der öffentlichen Verwaltung"

Ewald Schumacher
vor 8 Jahren
Abrufe

1 secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010

2 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der öffentlichen Verwaltung 2

3 Normen-Dschungel Quelle: unbekannt 3

4 Was ist ein ISMS? Risikobasierter Ansatz zur Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung von Informationssicherheit, um die Geschäftsziele zu erreichen. ISMS 4

5 Relevante ISMS-Normen International: ISO/IEC Geht zurück auf den nationalen britischen Standard BS veröffentlicht das British Standards Institution (BSi) die erste Version der Normenreihe BS 7799 und trieb deren Internationalisierung voran 2005: Veröffentlichung der internationalen Norm ISO National: ISO auf der Basis von IT-Grundschutz Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht seit 1996 das IT- Grundschutzhandbuch Seit 2006 Ausrichtung des Grundschutzes an ISO/IEC Kompatibilität durch Normenreihe 100-x 5

internationalen Norm ISO 27001 National: ISO 27001 auf der Basis von IT-Grundschutz Deutsches Bundesamt für Sicherheit in der Informationstechnik

6 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der öffentlichen Verwaltung 6

7 Die ISO/IEC 27000er-Normenfamilie auf einem Blick Terminologie Überblick und Terminologie Hintergrund sowie Begriffe und Definitionen, die auf die ISMS-Normenfamilie anwendbar sind Allg. Anforderungen Anforderungen Anforderungen an die Zertifizierungsstelle Allgemeine Richtlinien Leitfaden Anl. zur Umsetzung Messungen Audit Richtlinien Risikomanagement Branchensp. Richtlinien Telekom.-Unternehmen Gesundheitsorg. Legende: Normativer Standard (Anforderung) Informativer Standard (Richtlinie) Durchgezogene Linie: unterstützt Angelehnt an: ISO/IEC 27000:2009 7

Anforderungen 27001 Anforderungen 27006 Anforderungen an die Zertifizierungsstelle Allgemeine Richtlinien 27002 Leitfaden 27003 Anl.

8 Die ISO/IEC 27000er-Normenfamilie auf einem Blick (Forts.) Terminologie 27000: ISMS Overview and vocabulary Allgemeine Anforderungen 27001: ISMS Requirements 27006: Requirements for bodies providing audit and certification of ISMS Allgemeine Richtlinien 27002: Code of practice for ISM 27003: ISMS implementation guidance 27004: ISM Measurement 27005: Information security risk management 27007: Guidelines for ISMS auditing 27008: Guidance for Auditors on ISMS controls Sektor-spezifische Richtlinien 27010: ISM for inter-sector communications 27011: ISMS for Telecommunications 27012: -- N/A : Guidance on the integrated implementation of and : IS governance framework 27015: ISMS for financial and insurance services sector Unterstützende Normen 27031: ICT readiness for business continuity 27032: Guidelines for cybersecurity 27033: Guidelines for network security 27034: Guidelines for application security 27036: Guidelines for security of outsourcing 27037: Guidelines for identification, collection and/or acquisition and preservation of digital evidence 8

27002: Code of practice for ISM 27003: ISMS implementation guidance 27004: ISM Measurement 27005: Information security risk management 27007: Guidelines for ISMS auditing 27008: Guidance for Auditors

9 Inhalte von ISO/IEC Definition der ISMS-Prozesse basierend auf einem PDCA-Zyklus Plan: Festlegen des ISMS Do: Umsetzen und Durchführen des ISMS Check: Überwachen und Überprüfen des ISMS Act: Aufrechterhalten und Verbessern des ISMS Mindestanforderung an Dokumentation des ISMS ISMS-Leitlinie Gültigkeitsbereich des ISMS Definition der Vorgehensweise zur Risikoeinschätzung Risikoeinschätzung Act Aufrechterhalten und Verbessern Plan Festlegung des ISMS Check Überwachen und Überprüfen SOA (Statement of Applicability) Lenkung von Dokumenten und Aufzeichnungen Aufgaben für die das Management verantwortlich ist Interne ISMS Audits und Management Review des ISMS Ziel: Risiken kontinuierlich zu identifizieren und diese zu reduzieren, zu verlagern oder anders zu kontrollieren Do Umsetzen und Durchführen 9

Risikoeinschätzung Act Aufrechterhalten und Verbessern Plan Festlegung des ISMS Check Überwachen und Überprüfen SOA (Statement of Applicability) Lenkung von Dokumenten und Aufzeichnungen Aufgaben für

10 Maßnahmenkatalog für ISO/IEC (aka ISO/IEC 27002) 11 Sections 39 Control Objectives 139 Controls 10

11 Zusammenhang zwischen ISO/IEC und ISO/IEC (requirements) Spezifikation der Anforderungen (Prozesse, Dokumentation etc.) an ein ISMS zertifizierbar ISO/IEC (guideline) ist nur ein Leitfaden Best Practice Empfehlungen und Detaillierung der Maßnahmen im Anhang A der ISO/IEC Unabhängig von ISO/IEC nutzbar nicht (direkt) zertifizierbar 11

) an ein ISMS zertifizierbar ISO/IEC 27002 (guideline) ist nur ein Leitfaden Best Practice

12 Aufbau eines ISMS nach ISO Unternehmensziele Sicherheitsziele Sicherheitsniveau Bereiche, Standorte, Prozesse, Systeme, Anwendungen Informationen, Bedrohungen, Schutzbedarf, Schäden, Risiken, Schwachstellen, Statistik Maßnahmen aus ISO/IEC Sowie zusätzliche Maßnahmen Sicherheitsleitlinie Gültigkeitsbereich Risikomanagement Risikoanalyse Risikobewertung Sicherheitsmaßnahmen Anwendungsnachweis Dokument zur Informationssicherheitsleitlinie Bereich des ISMS Informationswert- Schutzbedarfs- Schwachstellen- Bedrohungsanalyse Klassifizierung Priorisierung Kosten/Nutzenanalyse Restrisiko Sicherheitskonzepte Betriebskonzepte Maßnahmen zur Überwachung Zertifikat 12

Risikomanagement Risikoanalyse Risikobewertung Sicherheitsmaßnahmen Anwendungsnachweis Dokument zur Informationssicherheitsleitlinie Bereich des ISMS Informationswert-

13 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der öffentlichen Verwaltung 13

14 ISO auf der Basis von IT-Grundschutz BSI-Standard 100-1: Managementsysteme für Informationssicherheit - definiert allgemeine Anforderungen an ein ISMS - ist kompatibel zum internationalen Standard ISO/IEC BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise - wie ISMS in der Praxis aufgebaut und betrieben werden kann - wie ein IT-Sicherheitskonzept in der Praxis erstellt werden kann BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz - Standard zur Risikoanalyse - bei hohem/sehr hohem Schutzbedarf, oder wenn für Anwendungen und IT-Komponenten keine Grundschutz-Bausteine existieren BSI-Standard 100-4: Notfallmanagement - Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten Notfallmanagements - baut dabei auf der in BSI-Standard beschriebenen Vorgehensweise auf IT-Grundschutz-Kataloge (GSK) - Kataloge von Bausteinen (über 70), Gefährdungen (über 450) und Maßnahmen (über 1000) 14

kann BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz - Standard zur Risikoanalyse - bei hohem/sehr hohem Schutzbedarf, oder wenn für Anwendungen und IT-Komponenten keine

15 Philosophie des IT-Grundschutz-Ansatzes Basis IT-Systeme und IT-Anwendungen Ziele Vorschlag von konkreten Sicherheitsmaßnahmen Umsetzung leicht möglich Annahmen Gesamtsystem (IT-Verbund) enthält typische IT-Komponenten (z.b. Server und Clients, Betriebssysteme). Pauschalierte Gefährdungslagen sind sinnvoll. Es gibt Standard-Sicherheitsmaßnahmen. Umsetzung Sicherheitsmaßnahmen für typische IT-Systeme mit normalen Schutzbedarf vorgegeben Maßnahmen sind konkret und umsetzbar keine Risikoanalyse für typische IT-Systeme mit normalen Schutzbedarf nötig Ergänzende Sicherheitsanalyse für IT-Systeme mit mindestens hohem Schutzbedarf wenn keine passender GS-Baustein vorhanden 15

16 Philosophie des IT-Grundschutz-Ansatzes (Forts.) Für viele Situationen reicht Grundschutz aus: Hoher Sicherheitsgewinn bei relativ niedrigem Aufwand Schutzbedarf 100 % mittel IT-Grundschutz Typische Aufwandskurve Ggf. zusätzliche Individualmaßnahmen niedrig Aufwand gering hoch sehr 16 hoch

bei relativ niedrigem Aufwand Schutzbedarf 100 % mittel IT-Grundschutz

17 Vorgehensweise nach IT-Grundschutz Detaillierte Beschreibung im BSI- Standard Umfangreiches Schulungsmaterial online verfügbar Integration einer Methode zur Risikobetrachtung für Objekte mit hohem oder sehr hohem Schutzbedarf notwendig Strukturanalyse Analyse des Ist-Zustandes Feststellung des Schutzbedarfs Grundschutz-Analyse Modellierung des Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich) Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf keine passenden GS-Bausteine Konsolidierung der Maßnahmen Realisierung der Maßnahmen 17

Ist-Zustandes Feststellung des Schutzbedarfs Grundschutz-Analyse Modellierung des Verbundes Basis-Sicherheitscheck (Soll-Ist-Vergleich)

18 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der öffentlichen Verwaltung 18

19 Einführung von Informationssicherheit im Rahmen von Strategie-Projekte Deutschland-Online BundOnline Umsetzungsplan Bund... Je nach Fokus der Projekte Informationssicherheit nur am Rande 19

20 Rahmenbedingungen (nicht nur in der öffentlichen Verwaltung) Methodik ISO auf der Basis von IT-Grundschutz meistens gesetzt Verarbeitung von personenbezogenen Daten impliziert i.d.r. hohen bis sehr hohen Schutzbedarf hohen Aufwand bei der Umsetzung Vielfach die gleichen Herausforderungen Know-how-Aufbau notwendig fehlende Akzeptanz bei Leitungsebene und Mitarbeiter fehlende Ressourcen für Einführung und Betrieb Awareness-Kampagnen, Sensibilisierung und Schulungen auf allen Ebenen 20

rbeitung von personenbezogenen Daten impliziert i.d.r. hohen bis sehr hohen Schutzbedarf hohen Aufwand bei der Umsetzung

21 IT-Sicherheitskonzeption als Ausgangsbasis für ein ISMS IT- Strukturanalyse Wie sieht das untersuchte System aus? Welche Abhängigkeiten bestehen? Schutzbedarfsfeststellung Grundschutz- Modellierung Welche Sicherheitsanforderungen bestehen? Welche Informationen sind besonders sensibel? Ist eine ergänzende Sicherheitsanalyse notwendig? Wie kann das System auf die Bausteine des GSK abgebildet werden? Soll-/Ist- Vergleich Welche Maßnahmen des GSK sind relevant? Welche sind umgesetzt/welche fehlen? Welche Besonderheiten sind zu beachten? Umsetzungsplan 21

22 Fazit Strategie-Projekte steigern das Bewusstsein für Informationssicherheit und schaffen Rahmenbedingungen für deren Umsetzung Hoher bis sehr hoher Aufwand bei Einführung eines zertifizierbaren ISMS Abschätzung des Sicherheitsgewinn in Relation zum Aufwand unter Kenntnis der Risiken IT-Sicherheitskonzept als Ausgangsbasis für ein zukünftiges ISMS Beratung nahe am Standard, falls keine Standard-Konformität erforderlich Einsparung an Zeit und Invest für Institutionen Erzielung des Optimums aus Methodik Aufwand Investitionsschutz IT-Sicherheitsgewinn Quelle: BSI-Standard

23 Vielen Dank! secunet SwissIT AG secunet Swiss IT AG Armin Wappenschmidt

Ähnliche Dokumente

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag