ISO mit oder ohne BSI-Grundschutz? Oliver Müller

Größe: px

Ab Seite anzeigen:

Download "ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller"

Imke Schmitz
vor 8 Jahren
Abrufe

1 ISO mit oder ohne BSI-Grundschutz? Oliver Müller

2 Agenda ISO BSI IT Grundschutz ISO nativ Eignung Fazit

4 Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen sind installiert auf IT Systemen sind aufgestellt in Diese Elemente betrachtet IT Grundschutz Räumen sind Teil von Gebäuden

5 Sofortmaßnahmen für normales Niveau Auszug des Gefährdungskatalogs Auszug des Maßnahmenkatalogs Handlungsempfehlungen in Form von konkreten Maßnahmen, die typischen Gefährdungen gegenübergestellt werden. Zusammenfassung in standardisierten Bausteinen für typische Komponenten.

konkreten Maßnahmen, die typischen Gefährdungen gegenübergestellt

6 IT-Grundschutz: Grundgedanke Idee Gesamtsystem enthält typische Komponenten (z.b. Server und Clients, Betriebssysteme) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen (für normalen Schutzbedarf) Konkrete Umsetzungshinweise für Maßnahmen Vorteile Arbeitsökonomische Anwendungsweise durch Soll-Ist- Vergleich Kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle (= Maßnahmen in den ITGS-Katalogen) Praxiserprobte Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit

Sicherheitsmaßnahmen (für normalen Schutzbedarf) Konkrete Umsetzungshinweise für Maßnahmen Vorteile Arbeitsökonomische Anwendungsweise durch

7 Vorgehensweise gemäß BSI / bei erhöhtem Schutzbedarf bei besonderem Einsatzszenario bei fehlenden Bausteinen in der Regel für 20% der Ressourcen

8 IT-Grundschutz: Zertifizierungsaudit Umfang richtet sich nach den Vorgaben der Zertifizierungsstelle des BSI Hohe Vergleichbarkeit durch einheitliches Prüfschema Auditoren interpretieren Maßnahmen ähnlich Auditoren prüfen und erstellen nur den Bericht Zertifizierungsstelle prüft Angaben und ist ggf. bereits beim Audit anwesend (Qualitätsgedanke) Einheitliche Ausbildung der Auditoren für die Durchführung der Audits mit jährlicher Weiterbildung

prüfen und erstellen nur den Bericht Zertifizierungsstelle prüft Angaben und ist ggf.

9 IT-Grundschutz: Zwischenfazit Vorgehensweise Orientiert sich an der Struktur der IT-Ressourcen Sehr konkret in den BSI Standards beschrieben Risikoanalyseansatz Standardmaßnahmen für normales Niveau, detaillierte Analyse nötig für höheres Niveau Definition der Anforderungen und Maßnahmen Kaum Anforderungsmanagement Detaillierte, praxiserprobte Maßnahmenvorschläge Zertifizierungsaudit Einheitliche Prüfung, vergleichbare Ergebnisse

Analyse nötig für höheres Niveau Definition der Anforderungen und Maßnahmen Kaum Anforderungsmanagement

10 How to make ISO-Standards

11 How to make ISO Standards

12 How to make ISO-Standards

13 ISO

14 Der International Standard ISO/IEC Status: Erst-Veröffentlichung 10/2005 Titel: Information technology - Security techniques -Information security management systems Requirements Ursprung: BS 7799 Teil 2 Inhalt: Allgemeine Aussagen über ein Information Security Management System (ISMS) Umfang des normativen Teils: ca. 30 Seiten (insges. 48 Seiten) ML2 Scope: Overall business risk Zertifizierung: durch akkreditierte Zertifizierungsunternehmen möglich (aktuelle Liste ist auf der Homepage der TGA bzw. DGA) ML1

Information Security Management System (ISMS) Umfang des normativen Teils: ca. 30 Seiten (insges.

15 Folie 14 ML1 Aktuelle Version 2013 Miriam Lambert; ML2 normativer Teil 2013: 22 Seiten Miriam Lambert;

16 Der International Standard ISO/IEC Status: Erst-Veröffentlichung 2007 ML4 Titel: Information technology Code of practice for information security management Ursprung: BS :1999 Inhalt: Definition eines Rahmenwerks für das IT-Sicherheitsmanagement Umfang des normativen Teils: 136 Seiten ML3 Detailtiefe: Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technische Hinweise Zertifizierung: grundsätzlich nicht möglich

Rahmenwerks für das IT-Sicherheitsmanagement Umfang des normativen Teils: 136 Seiten ML3 Detailtiefe:

17 Folie 15 ML3 Umfang der neuen Fassung? Miriam Lambert; ML4 Aktueller Stand von 2013 Miriam Lambert;

18 ISO 27001: Anforderungen des Standards Dokumentation, Richtlinien und Aufzeichnungen Organisatorische und technische Aspekte Annex A mit 114 Anforderungen ohne jedoch konkrete Vorschläge an die Hand zu geben.

Organisatorische und technische Aspekte Annex A mit

19 ISO 27001: Die Ausprägung ist individuell gestaltbar

20 ML5 ISO 27001: Mapping der Kapitel auf den PDCA Zyklus

21 Folie 18 ML5 Alter Stand Miriam Lambert;

22 ISO 27001: Best practice Eine abgeleitete Vorgehensweise

23 ISO 27001: Risikomanagement als Anforderungsmanagement (hier gemäß ISO 27005) Erfassung konkreter Risiken auf Basis tatsächlicher Schutzanforderungen Kombination von Bauchgefühl und langjähriger Erfahrung Bestimmung eines Risikoakzeptanz-Niveaus = Anforderung Kontrolle und Überwachung der ausgewählten Maßnahmen Implementierung von Prozessen zur Verbesserung der Transparenz und Verantwortungsübernahme Integration von detaillierten IT- Risiken

24 ISO 27001: Die Control "A.9.2 Equipment security" Sehr generische Darstellung der Zielstellung (Objective) und der erwarteten Maßnahmen (Controls).

25 ISO 27002: Erweiterung der Control "A.9.2 Equipment security" Höhere Präzisierung der generischen Anforderungen in der ISO 27002, dennoch ein sehr weit gefasster Interpretationsspielraum.

26 Umsetzung zur elektrotechnischen Verkabelung im ITGrundschutz Baustein 2.2 Die Anforderungen der ISO lassen sich mit Standardmaßnahmen aus dem IT-Grundschutzkatalog abbilden.

27 ISO 27001: Zwischenfazit Vorgehensweise Die individuelle Ausprägung lässt dem implementierenden Unternehmen einen breiten Gestaltungsspielraum. Risikoanalyseansatz Geforderter Risikoanalyseansatz auf Basis der tatsächlichen Sicherheitsanforderungen der Schutzobjekte. Definition der Anforderungen und Maßnahmen Der normative Teil des Standards hat diverse Anforderungen, die aber weder im Annex A noch in der ISO konkretisiert werden. Umsetzung nach Anforderungsmanagement keine Maßnahmen. Keine Maßnahme vor Risikoanalyse. Zertifizierungsaudit Vorgehen beim Audit abhängig von der Zertifizierungsgesellschaft unterschiedlich und nicht öffentlich

28 Eignung von BSI IT-Grundschutz und ISO 27001

29 BSI IT-Grundschutz und ISO im Vergleich Folgende Parameter können zur generellen Eignung bei der Umsetzung der jeweiligen Standards und Vorgehensweisen herangezogen werden:

30 Fazit Die Eignung muss analysiert werden: Ohne Voruntersuchung keine valide Aussage möglich Anhängig von Anforderungen, Schutzlevel, Prozesse und IT-Infrastruktur im IS-Verbund/Anwendungsbereich ISO auf der Basis von IT-Grundschutz: Für deutsche Behörden (UP Bund) zwingend Für Organisationen mit normalen Anwendungsbereichen und standardisierter IT-Infrastruktur Klare Vorgehensweise gut für Ersteinführung ISO nativ: Für Unternehmen, die eine internationale Verwendbarkeit des Zertifikates anstreben (u. a. unterschiedliche Anforderungen in jedem Land) Hochsicherheitsbereiche, ungewöhnliche IT-Infrastruktur

31 Gibt es noch Fragen? Oliver Müller Geschäftsführer Hier kann ein Foto platziert werden Bitmaster EDV-Beratung GmbH Holzhauser Straße 140 H Berlin Telefon: Vielen Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin ISO 27001 mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO 27001 Senior Manager HiSolutions AG, Berlin Agenda ISO 27001+BSI IT-Grundschutz ISO 27001 nativ Eignung Fazit