Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Transkript

1 Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen Profitieren Sie von den Erfahrungen von NTT Security und Bittner+Krull Argos Connector 15.1 ist zertifiziert für SAP NetWeaver München 20. Juni 2017 Krysztof Müller, NTT Security Dr. Urs Neumair, Bittner+Krull

2 Der Rahmen für die Energiewirtschaft: IT-Sicherheitsgesetz vom 17. Juli 2017 Quelle: Bundesanzeiger Online Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

3 Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt dabei eine besondere Rolle zu Quelle: Homepage BSI Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

4 Gleichzeitig verbreiten sich offene Systeme der App-/Web-Technologie Beispiel Argos.App Quelle: Bittner+Krull Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

5 App-/Web-Technologie hat sehr konkrete Vorteile Wirtschaftlichkeit Überflüssig: Software-Verteilung und -Aktualisierung als physischer Prozess ( ) Ergonomie Gewohnte UX/UI durch Gemeinsamkeiten professioneller und privater Nutzung () Wettbewerb und Flexibilität: Höhere Auswahl an Hardwaregeräten ( ) Einarbeitung Mitarbeiter: Verkürzt durch gewohnte Bedienerführung/Ergonomie ( ) Zugriff von überall Haptik und Bildqualität: Vorteile durch Skaleneffekte () () Quelle: Bittner+Krull Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

6 aber den Nachteil des offenen Systems, der durch Maßnahmen beherrscht werden muss Must #1: ISMS bei allen Beteiligten Nachweis eines Informations-Sicherheits-Managements- Systems (ISMS) durch ISO Schwerpunkte: Verhalten Prozesse Must #2: Einsatz eines MDMs Mobile Device Management-System Schwerpunkte: Zugriffe Datenflüsse Systeme Quelle: Bittner+Krull, BSI, Mobile Iron, Soti Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

7 Bittner+Krull arbeitet mit NTT Security, um ein ISMS-Benchmark der Energiewirtschaft zu werden Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

8 Wer ist NTT Security? Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

9 Kompetenz von NTT Security: Die digitale Transformation unserer Kunden Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

10 ISMS die ISO Definition Das Information Security Management System (ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern Ein ISMS besteht aus einer Ansammlung von: Sicherheitsrichtlinien Sicherheitsorganisation und Sicherheitsprozesse Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

11 ISO ISMS Themen und 114 Kontrollen Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

12 Wie viel Sicherheit benötigt ein Unternehmen? Technologie, Digitalisierung Gesetzliche und regulative Auflagen Cyber-Kriminalität und Bedrohungen Unternehmen Business Strategie Bedeutung der Verfügbarkeit Wert der Daten Usability vs. Security Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

13 Ein großes Security Problem Digitale Welt wird auf sehr wackeliger Grundlage gebaut Researchers have been testing the security of IoT devices for a long time and have often found them lackingeven basic security practices-liviuarsene, Bitdefender Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

14 Vorteile von ISO Ganzheitliche Betrachtung Bestimmung der Informationswerte Risiko-basierende Entscheidungen Prozess Maturity, Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

15 Hintergrund: ISMS Hauptprozesse Bestimmen der Informationswerte Aufgabe: Information und andere Werte, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sollten erfasst und ein Inventar dieser Werte sollte erstellt und gepflegt werden. Eine Organisation sollte Werte ermitteln, die relevant für den Informationslebenszyklus sind und ihre Wichtigkeit dokumentieren. Die Dokumentation sollte in eigenen oder ggf. bestehenden Inventaren aufbewahrt werden. Für alle festgestellten Werte sollte ein Zuständiger benannt, und die Klassifizierung festgestellt werden. Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

16 Hintergrund: ISMS Hauptprozesse Organisation der Sicherheit Aufgabe: Verantwortlichkeiten für Informationssicherheit sollten in Übereinstimmung mit den Richtlinien zur Informationssicherheit zugeordnet werden. Verantwortungen zum Schutz individueller Werte und zum Ausführen spezifischer Informationssicherheitsprozesse sollten identifiziert werden. Mögliche Lösung: Ernennung eines IT-Sicherheitsbeauftragten als Koordinator. Viele Organisationen ernennen einen Manager für Informationssicherheit, der die Gesamtverantwortung für Entwicklung und Umsetzung der Informations-Sicherheit übernimmt und die Identifizierung von Maßnahmen unterstützt. Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

17 Hintergrund: ISMS Hauptprozesse Risikobeurteilung Aufgabe: Die Organisation muss einen Prozess zur Informationssicherheits- Risikobeurteilung festlegen und anwenden, der: Informationssicherheitsrisikokriterien festlegt die Informationssicherheitsrisiken identifiziert und analysiert und bewertet Die Behandlung der Risiken festlegt Mögliche Lösung: Anwendung der BSI Grundschutz Methode Anlehnung an die Gefahren und Schwachstellen, die in dem IT-Sicherheitskatalog der Bundesnetzagentur festgelegt sind Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

18 ISMS Aufbau Vorgehensweise Initiales Assessment Gap Analyse und Roadmap ISMS Entwicklungsphase ISMS Implementierung Festlegen der Verantwortlichkeiten, organisatorischen Strukturen und Abläufe, Ergänzung der Richtlinien und Dokumentation Umsetzen der Maßnahmen aus dem Entwicklungsphase im operativen Betrieb ISMS Bereit für Zertifizierung Letzte Überprüfung der Dokumentation und operativen Prozesse ISMS Zertifizierung ISMS Einarbeitung der Hinweise Audit durch ein akkreditiertes Unternehmen ISMS gemäß der Auflagen und Hinweise aus der Zertifizierung anpassen Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

19 Zusammenfassung: Was Sie aus diesem Vortrag mitnehmen sollten Hoher quantifizierbarer Nutzen der App-/Web-Technologie vor allem durch deutlich reduzierten Aufwand für Software-Verteilung und Aktualisierung Erhöhte Risiken der Informationssicherheit aufgrund der Webb-/App-Technologie: ISMS und MDM unabdingbar, um diese Risiken zu beherrschen! Bittner+Krull strebt an, ein ISMS-Benchmark zu werden Partner: NTT Security, führendes Beratungshaus im Bereich IT-Sicherheit Nutzung der bewährten sechsstufigen Vorgehensweise von NTT Security Zertifizierung nach ISO ist nur der erste Meilenstein: Für alle, die in der Energiewirtschaft mitwirken wollen, ist Nachhaltigkeit ein Must Bittner+Krull Softwaresysteme GmbH Dr. Urs Neumair/Krysztof Müller Argos.Forum 2017 Damit die ISMS-Einführung und die ISO Zertfifizirung gelingen

20 Bittner+Krull Softwaresysteme GmbH Welfenstraße 31a D München Tel.: Fax: