esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO Version: 2.9 /

Transkript

1 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO Version: 2.9 / WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz Telefon Zimmerstraße 1 Gesmolder Straße 36 Classenstieg 9 Telefax Hamburg Osnabrück Hamburg info@wmc-direkt.de

2 esec - Management von Informationen Geltende Gesetze, Normen, Richtlinien Liegenschafts- Informationen Geschäftsprozesse Mitarbeiterinformationen IT-Infrastruktur IHR Unternehmen Patente, Innovationen Eingesetzte Assets Projekte Folie 2 (Unternehmens-) Know-How

3 esec - IT-Security / Information Security Management Technische Informationssicherheit Sicherheitsprodukte vorhanden und regelmäßig überprüft Organisatorische Informationssicherheit Angewendete, einheitliche Richtlinien Beschriebene und eingeführte Rollen Etablierte Ablauforganisation mit Verantwortlichkeiten Dokumentierte und getestete Sicherheits- Prozessabläufe Einheitlich gelebte (Sicherheits-)Prozesse Konsequenzenmanagement bei Fehlverhalten Quelle: IT-Business Akademie esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) Verhaltensbewusstsein / Awarness Hohes Informationssicherheitsverständnis Anwender, Administrator und Manager identifizieren sich mit der IS Regelmäßige Sicherheitsschulungen Vorbildfunktion des Managements Rechtssicherheit / Compliance Beachtung der rechtlichen Vorgaben Folie 3

4 Effektive wiederholende Sensibilisierung der Mitarbeiter Strategische Ausrichtung bestimmen esec - Methode zur Einführung eines ISMS Grundsätze und Leitlinien erstellen (Security Policy) 0 Selfassessment durchführen 1 Risikomanagement durchführen 2 Risikobegegnung durchführen - abgestimmte Vorgehensweise auf Ebene der Leitung - abgestimmte kommunizierte Grundsätze und Leitlinien - Organisation beschreiben - Technik prüfen und bewerten (Vulnerability Assessment) - Ressourcen den Prozessen zuordnen und bewerten - sonstige branchenspezifische Assessments (z.b. VDA PTS) - Beurteilung der Prozesse nach Business-Kritikalität - Erstellung eines Business-Blueprints der Systemlandschaft - Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems - Bedrohungs- und Schwachstellenanalyse der Systemlandschaft - Bewertung der möglichen Risiken - Erstellung eines Risikobegegnungsplans 3 Maßnahmen-Management durchführen 4 - Akzeptanz oder Transfer der Risiken - Durchführung von Sicherheitssofortmaßnahmen - Terminieren und aufsetzen notwendiger Projekte - Überprüfen der eingeleiteten Maßnahmen Folie 4

5 esec verbindet Gesetze, Standards und Vorgaben mit Systemen, Applikationen und Geschäftsprozessen Folie 5

6 esec ist nicht nur ein Produkt, esec ist Informationssicherheit mit System esec mit: Stammdaten- Management Compliance- Management Risiko-Management Maßnahmen- Management Dokumenten- Management Reporting Reifegradbewertung Sicherheit braucht jeder. Mit esec - dem sicheren, softwaregestützten Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO 27001

7 esec Module Version 1.0 Die esec Suite Compliance Dokumente Maßnahmen Risiko Folie 7

8 esec - methodisches Vorgehen Mit esec - dem sicheren, softwaregestützten Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO Stammdaten Compliance Risiko Reporting Mitarbeiter, Teams Rollen Organisation, Adressen Untersuchungsbereiche Geschäftsprozesse Assetgruppen Verknüpfungen untereinander SoA bestimmen Untersuchungsbereich festlegen, erweitern Selfassessment durchführen Selfassessment abschließen Maßnahmenübergabe Bewertungen regelmäßig überprüfen Bewertung der Prozesse Ermittlung der Assetwerte Bedrohungs- und Schwachstellenanalyse der Systemlandschaft Bewertung der möglichen Risiken Erstellung eines Risiko- Begegnungsplanes Maßnahmenübergabe Ausgabe und Darstellung Verfolgen der Entwicklung über Zeit professionelles Layout Analysen und grafische Aufbereitung Sichtweisen verschiedener Zielgruppen Act Check Sicherheit ist ein Prozess Plan Do Maßnahmen Erfassen und Managen der Maßnahmen Zuweisen von Verantwortlichkeiten Status-Abfragen bei Verantwortlichen Abschließen, abbrechen, Risiko-Akzeptanz von Maßnahmen Akzeptanz Bewertung von Maßnahmen nach Risiko-Kriterien Risiko-Akzeptanz- Protokollierung Historisierung aller wichtigen Elemente und Vorgänge Folie 8

9 esec ist eine Web-basierte Anwendung: Client Webserver Datenbank Reporting Compliance Web-Browser SSL Keine Installation Keine Wartung Microsoft Windows Server 2003 Microsoft IIS ASP.NET 3.5 Microsoft SQL Server 2005 Schnittstellen zu anderen Systemen Dokument Risiko Maßnahmen Programmierung mit Microsoft Visual Studio 2008 esec ist eine Web-basierte Anwendung Mit esec - dem sicheren, softwaregestützten Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO 27001

10 esec Beispiel Modul Risikomanagement Risikomodul - Geschäftsproz.-Bewertung - IT-Assetbewertung - Maßnahmenbewertung Folie 10

11 Steigende Produktivität und Qualität esec - Sicherheits-Reifegradbewertung Die Bewertung der Fragen erfolgt nach der internationalen Norm SPICE (ISO 15504) Stufe 5 Optimierter Prozess (optimizing) Unterschied zur vorherigen Stufe Der Prozess wird kontinuierlich verfeinert und verbessert. Stufe 4 Unterschied zur vorherigen Stufe Sicherheit ist ein Prozess Stufe 3 Etablierter Prozess (established Vorhersagbarer Prozess (practictable) Unterschied zur vorherigen Stufe Die Ausführung des Prozesses ist standardisiert. Der Prozesses ist quantitativ verstanden und kontrolliert Stufe 2 Gesteuerter Prozess (managed) Unterschied zur vorherigen Stufe Die Ausführung des Prozesses wird geplant und gesteuert. Stufe 1 Durchgeführter Prozess performed) Unterschied zur vorherigen Stufe Der Zweck des Prozesses wird erfüllt. Stufe 0 Unterschied zur vorherigen Stufe Unvollständiger Prozess (incomplete) SPICE = Software Process Improvement and Capability Determination Folie 11

12 esec - Beispiel einer Reifegradbestimmung nach SPICE Fragen A5 (Beispiel) F-nummer F-text Existiert eine Information Security Policy? Ist diese vom Management verabschiedet? Ist sie veröffentlicht und allen Mitarbeitern mitgeteilt? Ist sie auch externen Mitarbeitern verfügbar? vollständig Beinhaltet sie die Verbindlichkeit des Managements? Definiert sie das organisatorische Vorgehen für das Management von Inhalt umfasst: Sicherheit? Reifegradbewertung - Sicherheitsziele sind definiert Sind in der Security Policy besondere Anforderungen der Auftraggeber berücksichtigt? Ist ein Verantwortlicher für die Policy in der selben erwähnt? Ist definiert wer für die Pflege des Dokumentes Änderungsmanagement, verantwortlich ist? ) Ist der Review Prozess definiert? Ist ein Verantwortlicher für die Durchführung - Ressourcen des Reviews sind zugeordnet festgelegt? Ist gesichert, dass ein Review insbesondere bei Änderungen der Sicherheitslage im Unternehmen stattfindet? Ist gesichert, dass der Review die Tauglichkeit, Angemessenheit und Effektivität überprüft? überprüft. 0. Stufe keine IT-Sicherheitsregularien vorhanden 1. Stufe T-Sicherheitsregularien vereinzelt vorhanden, aber nicht systematisch oder 2. Stufe T-Sicherheitsregularien sind dokumentiert und veröffentlicht: - Managementbekenntnis / -unterstützung dokumentiert - Verantwortlichkeiten definiert und zugewiesen - Dokumentation erfolgt gemäß vorgegebenen Prozessen (Freigabe, 3. Stufe zentrale IT-Sicherheitsregularien sind dokumentiert und veröffentlicht: - Dokumentation erfolgt gemäß einheitlichen Prozessen - Erfahrungen fließen in Sicherheitsregularien ein 4. Stufe zentrale IT-Sicherheitsregularien sind bekannt und deren Einhaltung wird regelmäßig 5. Stufe zentrale IT-Sicherheitsregularien werden kontinuierlich verbessert und verfeinert: - regelmäßige Überprüfungen werden ausgewertet - Dokumentation der Maßnahmen und Korrekturen Diese Reifegradbewertung ist für jede Frage zu beantworten! Folie 12

13 Phase 1 Phase 2 Weiterentwicklung Phase 3 esec - Produktentwicklung März Produktplanung und Vorbereitung Juli Erstellung White Paper Februar Teamerweiterung Erweiterung des Personalstamms September - Dezember 1. bis 3. Pilotkunde Dezember Erstellung Datenmodell Februar Ergänzung der Datenmodellierung Oktober Version 1.0 Folie 13

14 esec - Versionsentwicklung esec Leistungen esec bis Module: Module: esec bis Normen: Eventconsole Integration (Qualys/ISS/ Checkpoint etc.) Module: Admin Stammdaten Compliance Maßnahmen Risiko (IT) Dokumenten Reporting (Reifegrad) esec bis Normen: ISO ISO ISO VDA PTS Fragenkatalog Risiko (Gesamt) BIA (Business Impact Analyse) edoc ISO 9001 ISO ISO Fragenkatalog esec Online (SaaS) Folie 14

15 ..... esec esec Version 1.0

16 Vielen Dank für Ihre Aufmerksamkeit! Gern diskutieren wir Ihre FRAGEN? Halle 4 / Stand 104A 16

17 WMC Ihr Kontakt WMC Wüpper Management Consulting GmbH Werner Wüpper Geschäftsführer Vertriebs-/Projektbüro Unternehmenssitz Zimmerstraße 1 Classenstieg Hamburg Hamburg Telefon: Telefax: werner.wuepper@wmc-direkt.de Homepage: Folie 17