Stolpersteine bei der Einführung von ISO und BSI IT- Grundschutz. Wilhelm Dolle Partner, Consulting Information Technology

Größe: px

Ab Seite anzeigen:

Download "Stolpersteine bei der Einführung von ISO 27001 und BSI IT- Grundschutz. Wilhelm Dolle Partner, Consulting Information Technology"

Luisa Messner
vor 8 Jahren
Abrufe

1 Stolpersteine bei der Einführung von ISO und BSI IT- Grundschutz Wilhelm Dolle Partner, Consulting Information Technology

2 Unternehmensdarstellung KPMG KPMG ist ein weltweites Netzwerk rechtlich selbstständiger Firmen mit Mitarbeitern in 152 Ländern. Auch in Deutschland gehört KPMG zu den führenden Wirtschaftsprüfungsund Beratungsunternehmen und ist mit Mitarbeitern an 25 Standorten präsent. Unsere Leistungen sind in die Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt von Audit steht die Prüfung von Konzernund Jahresabschlüssen. Tax steht für die steuerberatende Tätigkeit von KPMG. Der Bereich Advisory bündelt unser hohes fachliches Know-how zu betriebswirtschaftlichen, regulatorischen und transaktionsorientierten Themen. Für wesentliche Branchen unserer Wirtschaft haben wir eine geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier laufen die Erfahrungen unserer Experten weltweit zusammen und tragen zusätzlich zur Beratungsqualität bei. Essen Kiel Bremen Hamburg Hannover Bielefeld Dortmund Halle Berlin Im Bereich Informationssicherheit verfügt KPMG in Deutschland über Köln Düsseldorf Jena Leipzig Dresden Ca. 100 Mitarbeiter im Bereich Security Consulting Über 40 zertifizierte ISO/IEC Lead Auditoren (eigene Zertifizierungsstelle) Mehrere ISO Auditoren für Audits auf der Basis von IT-Grundschutz Über 20 Mitarbeiter mit Certified Information Systems Auditor (CISA) Mainz Frankfurt Saarbrücken Mannheim Karlsruhe Nürnberg Regensburg 20 spezialisierte Penetrationstester, insb. Webapplikationstests Zugang zum weltweiten KPMG-internen Penetration Tester Netzwerk mit mehr als 500 Mitgliedern Stuttgart Freiburg Augsburg München Weitere zertifizierte Mitarbeiter: CISSP, TISP, CISM, PRINCE2, ITIL, COBIT,

Unsere Leistungen sind in die Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt von Audit steht die Prüfung von Konzernund Jahresabschlüssen.

3 BSI IT-Grundschutz (C)

IT-Grundschutz(handbuch): Historie 1994 2012 16 Bausteine 160 Maßnahmen 150 Seiten kein

420+ Gefährdungen 1140+ Maßnahmen 4000+ Seiten (ab 11.

4 IT-Grundschutz(handbuch): Historie Bausteine 160 Maßnahmen 150 Seiten kein integraler Sicherheitsprozess Zielgruppe: Behörden 18 Jahre IT- Grundschutz Bausteine 420+ Gefährdungen Maßnahmen Seiten (ab 11. Ergänzungslieferung) Vorgehensweise für Sicherheitskonzepte etabliertes Standardwerk für Behörden und Unternehmen im In-und Ausland

5 IT-Grundschutzgedanke Idee Gesamtsystem enthält typische Komponenten (z.b. Server und Clients, Betriebssysteme) pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten Empfehlung geeigneter Bündel von Standard-Sicherheitsmaßnahmen konkrete Umsetzungshinweise für Maßnahmen Ziel Durch organisatorische, personelle, infrastrukturelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau für IT- Systeme aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.

Bündel von Standard-Sicherheitsmaßnahmen konkrete Umsetzungshinweise für Maßnahmen Ziel Durch organisatorische,

Vorgehensweise IT-Grundschutz Ablauf Grundschutzvorgehen Informationsverbund Strukturanalyse Analyse des Ist-Zustandes Welche Systeme und Anwendungen?

6 Vorgehensweise IT-Grundschutz Ablauf Grundschutzvorgehen Informationsverbund Strukturanalyse Analyse des Ist-Zustandes Welche Systeme und Anwendungen? Feststellung des Schutzbedarfs - Infrastruktur - Organisation - Personal - Technik IT-Grundschutzanalyse: Modellierung des IT-Verbunds (Auswahl der Maßnahmen) Basis-Sicherheitscheck (Soll-Ist-Vergleich) Ca. 80% Ergänz. Sicherheitsanalyse bei (sehr) hohem Schutzbedarf Ca. 20% Konsolidierung der Maßnahmen Realisierung der Maßnahmen

Feststellung des Schutzbedarfs - Infrastruktur - Organisation - Personal - Technik IT-Grundschutzanalyse: Modellierung

7 IT-Grundschutzkataloge Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen Auszug Gefährdungskatalog Auszug Maßnahmenkatalog Handlungsempfehlungen in Form von konkreten Maßnahmen, die typischen Gefährdungen gegenübergestellt werden. Zusammenfassung > in standardisierten Bausteinen für typische Komponenten.

Handlungsempfehlungen in Form von konkreten Maßnahmen, die typischen

8 ISO (C)

9 Anforderungen des Standards ISO (Umsetzungstipps in ISO 27002) Requirements (27001) und Code of Practice (27002) Organisatorische und technische Aspekte ISO 27001: Kapitel 4-8 und Anhang A mit normativen > Anforderungen ohne konkrete Vorschläge an die Hand zu geben.

Organisatorische und technische Aspekte ISO 27001: Kapitel 4-8 und

Der Managementprozess nach ISO 27001 Act Erstellung des Scope Inventory of Information Assets Plan Schwachstellenund Risikoanalyse Etablierung von Kontrollen Do Etablierung Internal Audit gem.

10 Der Managementprozess nach ISO Act Erstellung des Scope Inventory of Information Assets Plan Schwachstellenund Risikoanalyse Etablierung von Kontrollen Do Etablierung Internal Audit gem. ISO/IEC 27001:2005 Etablierung eines Information Security Forums Check Regionale Ausrichtung? Organisatorische Ausrichtung? Services Hardware Schaden Anwendung des Annex A des ISO bzw. ISO oder eigene Controls Behandlung von Sicherheitsvorfällen Preventives Audit durch internal Audit Das ganze Unternehmen? Software Eintrittswahrscheinlichkeit Entwicklung des SoA Verbesserungen des ISMS

Organisatorische Ausrichtung? Services Hardware Schaden 3 4 5 6 2 3 4 5 1 2 3 4 Anwendung des Annex A des ISO 27001 bzw.

11 Bespiel ISO 27001: Die Control "A.9.2 Equipment security" Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization s activities. Sehr generische Darstellung der Zielstellung (Objective) und der > erwarteten Maßnahmen (Controls).

compromise of assets and interruption to the organization s

12 Beispiel ISO 27002: Erweiterung der Control "A.9.2 Equipment security" > Höhere Präzisierung der generischen Anforderungen in der ISO 27002, dennoch ein sehr weit gefasster Interpretationsspielraum.

13 Umsetzung zur elektrotechnischen Verkabelung im IT-Grundschutz Baustein 2.2 Die Anforderungen der ISO lassen sich mit Standardmaßnahmen > aus dem IT-Grundschutzkatalog abbilden.

14 Stolpersteine

15 Stolpersteine Zeitliche Planung Überschätzung des Reifegrades der eigenen Organisation und dadurch oft zeitlich zu kurz geplante Einführungsdauer. Pauschal keine Aussage zum Aufwand möglich (typisch Monate für ISO 27001/GS) Starke Abhängigkeit von Größe und Komplexität des Scopes / IV Wenn möglich GAP-Analyse (10 15 PT) zur Aufwandsabschätzung mit echten und erfahrenen Auditoren Verschiedene Modelle vom Coaching bis zur Komplettunterstützung Interne Verfügbarkeiten (und Know How) sind häufig Flaschenhals Aufwand des Auditors (15 40 PT) Zeitlicher Aufwand des Zertifizierungsverfahrens (BSI ca. 6 Monate)

möglich GAP-Analyse (10 15 PT) zur Aufwandsabschätzung mit echten und erfahrenen Auditoren Verschiedene Modelle vom Coaching bis zur

16 Stolpersteine Komplexität des Projektes Geschäftsprozesse müssen dokumentiert und benötigte Assets (u.a. Hardware, Software, Personal, Daten oder Services) abgeleitet werden; Die Detaillierung ist dabei so zu wählen, dass die Komplexität unter Kontrolle bleibt (Risikoanalyse). Inhomogene Umgebungen mit wenig Standardkomponenten und hohem Schutzbedarf machen Einführung eines ISMS (insb. GS) sehr aufwändig. Bei großen Unternehmen sollte das ISMS evtl. mit zunächst gut handhabbaren Scope/IV eingeführt werden Internationalität / Kulturelle Unterschiede

17 Zusammenfassung Erfolgsfaktoren Hindernisse Sinnvolle Zeitplanung Schlechtes internes Marketing Reduktion der Komplexität (Unterstützung inbs. Bei der Definition des Scopes / IV) Verzicht auf die konsequente Anwendung von Projektmanagement Methoden Unterstützung durch Vorstand, Geschäftsführung, Behördenleitung Verständnis, Kooperationsbereitschaft und aktive Unterstützung durch alle Verantwortlichen (ins. IT-Leitung) Tool-Unterstützung (u.a. GSTool, HiScout, Verinice) Bestehendes Qualitätsmanagementsystem (zum Beispiel ISO 9001). Die Dokumentation der Geschäftsprozesse ist dann bereits abgeschlossen. Fehlende frühzeitige Definition der Security Organisation, also Transparenz hinsichtlich Rollen und Verantwortlichkeiten und den Schnittstellen zu den Fachbereichen - damit verbunden das frühzeitige "Abholen" der Mitarbeiter. Die Einführung ist meistens ja auch ein gewisser Kulturwandel im Unternehmen. Personalwechsel Umbau der Systemlandschaft Änderung der Prüfgrundlagen (insb. IT- Grundschutz-Kataloge, weniger ISO 27001) Zu starke Fokussierung auf technische Aspekte

Kooperationsbereitschaft und aktive Unterstützung durch alle Verantwortlichen (ins. IT-Leitung) Tool-Unterstützung (u.a. GSTool, HiScout, Verinice) Bestehendes Qualitätsmanagementsystem (zum Beispiel ISO 9001).

Vielen Dank für Ihre Aufmerksamkeit Wilhelm Dolle Partner, Consulting Information Technology Klingelhöferstr. 18 Tel. +49 30 2068-2323 10785 Berlin Mobile +49 174 3049537 wdolle@kpmg.

18 Vielen Dank für Ihre Aufmerksamkeit Wilhelm Dolle Partner, Consulting Information Technology Klingelhöferstr. 18 Tel Berlin Mobile Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Alle Rechte vorbehalten. Der Name KPMG, das Logo und cutting through complexity" sind eingetragene Markenzeichen von KPMG International.

Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie

Ähnliche Dokumente

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen