VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Größe: px

Ab Seite anzeigen:

Download "VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company"

Carsten Adenauer
vor 6 Jahren
Abrufe

1 VEGA Deutschland Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger?

2 Ihr heutiger Gesprächspartner Dieter Gottschling Baujahr 1967 Diplom Kaufmann 13 Jahre Soldat Seit 2000 als Berater tätig Hobbies: Restauration von Oldtimern

3 Inhalt IT-Sicherheit als Teilaufgabe des Risikomanagements Zertifizierung der IT-Sicherheit IT-Sicherheitszertifikate Der Weg zum IT-Sicherheitszertifikat Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Zusammenfassung

4 IT-Sicherheit als Teilaufgabe des Risikomanagements 01/10/2013

5 IT-Sicherheit als Teilaufgabe des Risikomanagements

6 IT-Sicherheit als Teilaufgabe des Risikomanagements Pannen bei der Datenverarbeitung oder im Umgang mit Daten sind ein Risiko für Ihr Unternehmen. Da einzelne Gesetze und Vorgaben ein Risikomanagement fordern, kann die IT-Sicherheit als eine Teilaufgabe des Risikomanagements verstanden werden!

7 IT-Sicherheit als Teilaufgabe des Risikomanagements ISO sieht das Informations-Sicherheits- Management-System als Teil des gesamten Managementsystems, das auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit umfasst. (ISO Kapitel 3.7 ISMS)

8 Zertifizierung der IT-Sicherheit 01/10/2013

9 Zertifizierung der IT-Sicherheit Das Management trägt die Gesamtverantwortung für die IT-Sicherheit gemäß ISO und den BSI-Grundschutz- Anforderungen! Frage: Wie kann das Management nachweisen, dass es dieser Aufgabe aktiv nachgekommen ist?

10 Zertifizierung der IT-Sicherheit Lösungsansatz: Zertifizierung des IT-Sicherheitsprozesses Vorteile: Deckt Lücken auf und hilft somit bei deren Schließung zum Schutz unternehmenswichtiger Daten Unterstützt das Unternehmen beim Nachweis der Einhaltung von Vorschriften und Gesetzen Wettbewerbsfaktor in einem Markt mit vergleichbaren Leistungen / Produkten

11 Zertifizierung der IT-Sicherheit Nachteile: IT-Sicherheit gibt es nicht zum Nulltarif Prozess IT-Sicherheit ist eine Daueraufgabe Hohe Komplexität bei Konzernen und Mitgliedern der Supply Chain (z.b. Lieferanten mit Zugang zum Warenwirtschaftsystem, Outsourcing von Rz-Dienstleistungen)

12 IT-Sicherheitszertifikate 01/10/2013

13 IT-Sicherheitszertifikate BSI: (Auditor-Testat Einstiegsstufe ) (Auditor-Testat Aufbaustufe ) ISO Zertifizierung auf Basis von IT-Grundschutz ISO: ISO 27001: 2005 (2008 Version in Deutsch) (ISO enthält Empfehlungen für Kontrollmechanismen)

14 IT-Sicherheitszertifikate TÜV: Trusted Site Infrastructure TSI V2.0 Level 1 4 (entspricht im Wesentlichen den Infrastrukturanforderungen des BSI Grundschutzes)

15 IT-Sicherheitszertifikate Auditor Testat Einstiegsstufe Auditor Testat Aufbaustufe ISO ISO auf Basis IT- Grundschutz Anzahl u. Einstufung der Maßnahmen Ca. 55 % (insbesondere A) Ca. 70 % (A und insbesondere B) > 80% (A,B, C und ggf. Z) > 80% (A,B, C und ggf. Z) Prüfung des Auditorreports Keine durch das BSI Keine durch das BSI Keine durch das BSI BSI Gültigkeit 2 Jahre 2 Jahre 3 Jahre 3 Jahre (bei jährlichen Überwachungsaudits) Wiederholbarkeit nein nein ja ja Prüfung des ISMS und der konkreten IT- Grundschutzmaßnahmen beinhaltet eine offizielle ISO Zertifizierung

16 Der Weg zum IT-Sicherheitszertifikat 01/10/2013

17 Der Weg zum IT-Sicherheitszertifikat (ISO auf Basis von IT-Grundschutz) 6 Erteilt Zertifikat Antragsteller 2 Antrag auf Zertifizierung 3 Prüfung 4 Einreichung Prüfbericht 1 Auswahl eines Auditors ISO Auditor auf Basis von IT-Grundschutz 5 Überprüft Auditor / Prüfbericht

18 Der Weg zum IT-Sicherheitszertifikat (ISO auf Basis von IT-Grundschutz) Vollständiger Antrag inkl. Unabhängigkeitserklärung Auditbericht 1 Kann Zertifikat noch erteilt werden? Beginn Audit (Sichtung der Dokumente) Nachforderungen Auditbericht 2 Vorlauf >1 Jahr 1 Monat (in Einzelfällen länger) Max. 3 Monate Max. 1 Monat Max. 3 Monate

19 Der Weg zum IT-Sicherheitszertifikat (ISO auf Basis von IT-Grundschutz) Der Vorlauf umfasst folgende Tätigkeiten gem. BSI-Standard (Vorgehensweise): IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung nach IT-Grundschutz Basis Sicherheitscheck Ergänzende Sicherheitsanalyse i.v.m. BSI- Standard (Risikoanalyse) Realisierung der Sicherheitsmaßnahmen

20 Der Weg zum IT-Sicherheitszertifikat (ISO auf Basis von IT-Grundschutz) Das Audit erfolgt in zwei Schritten: Schritt 1: Dokumentenprüfung ( Erhebung ) Information über den zu prüfenden IT-Verbund Prüfung der relevanten Dokumente Schritt 2: Vor-Ort Prüfung Prüfung der Umsetzung der dokumentierten IT-Sicherheit Prüfung, über Stichproben

21 Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat 01/10/2013

22 Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat IT-Grundschutz- Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge IT-Grundschutz- Standards BSI-Standard (ISMS) Prüfraster für IT-Sicherheit Bedarfsermittlung und Maßnahmenauswahl Leitlinie Allg. Konzepte konkrete Anforderungen Vorgaben zur Umsetzung Technik-übergreifend Spezifische Konzepte konkrete Anforderungen Vorgaben zur Umsetzung Konzentration auf bestimmte Technik / Formen der IT-Nutzung BSI-Standard (Vorgehensweise) BSI-Standard (Risikoanalyse) BSI-Standard (Notfall-Management) Anf.-Katalog zur Produktauswahl Technische Umsetzung Ist- / Soll- Konfiguration Evtl. detaill. Pflichtenheft Betriebshandbücher + Tools Notfallvor sorge- Dokumente Admin- Richtlinien Arbeitsanweisungen IT-Personal für einzelne Produkte Technische Umsetzung Information für Nutzer Arbeitsanweisungen für Nutzer einzelner Produkte

23 Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat IT-Grundschutz- Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge

24 Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Frage: Wie kann sichergestellt werden, dass nichts vergessen wird? Lösungsansatz: Schritt 1: IT-Strukturanalyse Netze Hardware (inkl. Patchständen, Telefonanlage) Software (inkl. Patchständen) Schnittstellen

25 Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Schritt 2: Nutzung des GSTOOLs des BSI (oder vergleichbarer Software) Auswahl der relevanten Bausteine Ergänzung um unternehmensspezifische Gegebenheiten Vorteile: Strukturierte Vorgehensweise Bei einer SW-gestützten IT-Strukturanalyse gibt es immer wieder Überraschungen

26 Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Nachteile: Arbeitsintensiv Nur eine Momentaufnahme

27 Zusammenfassung 01/10/2013

28 Zusammenfassung Zusammenfassung: IT-Sicherheit ist eine Teilaufgabe des Risikomanagements Zertifizierung schafft Sicherheit und einen Wettbewerbsvorteil IT-Strukturanalyse stellt die wesentliche Grundlage dar Die strukturierte Vorgehensweise des BSI und das GSTOOL unterstützen bei der Erstellung von IT-Sicherheitskonzepten

29 Zusammenfassung Zusammenfassung: Die Lenkung der IT-Sicherheit im Unternehmen wird maßgeblich durch IT-Sicherheitskonzepte und deren Umsetzung bestimmt. IT-Sicherheitskonzepte sind viel mehr als ein Papiertiger!

30 VEGA Deutschland GmbH Industriestraße Köln +49 (0)

Ähnliche Dokumente

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit Ausblick und Diskussion Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit IT-Grundschutz-Tag, Köln, 12.05.2016 IT-Grundschutz-Tools IT-Grundschutz-Tools Übersicht lizenzierter