Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert und bewertet Führungsaufgabe, die Risiken einer Organisation
Risikomanagement mit IT-Grundschutz Führungsaufgabe Informationssicherheitsleitlinie IT-Sicherheitsbeauftragter ist Stabstelle zur Leitungsebene
Risikomanagement mit IT Grundschutz Risiken identifizieren Risiken analysieren Risiken bewerten Vorgehen nach 100-3 Risikoanalyse
Compliance?! Compliance ist entweder der Status, mit Gesetzen/Richtlinien/Vorschriften zu sein, oder der Prozess der dies anstrebt. Es gibt hier zig Bereiche des Unternehmens/der Behörde die Compliance nachweisen müssen.
Compliance im IT-Grundschutz entweder der Status Grundschutz umgesetzt Ja Nein Teilweise Entbehrlich Sicherheitsniveau Sicherheitsaspekte Bundesamt für Sicherheit in der Informationstechnik
Compliance im IT-Grundschutz oder der Prozess Vorgehen nach BSI 100-2 Grundschutzvorgehensweise
Risikomanagement und Compliance Und wie hängen Risikomanagement und Compliance in der Praxis zusammen?
Risikomanagement und Compliance ISO 27001:2013 PDCA Zyklus Plan Phase Risikoidentifikation und Bewertung Do Phase Identifizierung und Entwicklung von Vorgehensweisen zum Risikomanagement Auswahl von Zielen und Kontrollen
Kurz gesagt! Anforderungen Risiken Vorschriften Compliance Anforderungen Passend für die Unternehmung/Behörde
Ein Beispiel aus dem Leben
Ein Beispiel aus der Praxis! Sieht doch erstellt gut aus! Aber wie machen die das genau? Risikomanagement der Holding Hört sich gut an! Compliance Kataloge Töchterunternehmen
Wie wurde es bei dem Beispiel gemacht? Das Risikomanagement hat auf Basis mehrerer Standards Compliance Kataloge erstellt. ISO 27001/27002/Grundschutz/ISAE3402 etc. Diese wurden dann in Excel-Tools aufbereitet. Diese wurden an die Töchterunternehmen verteilt. Die Töchter haben nun jeder für sich festgestellt ob Sie compliant waren oder nicht. Nicht compliance = Risiko
Was sind die Probleme gewesen? Standards wurden nicht in Anforderungen sondern in Maßnahmen umgewandelt. Viele Töchter konnten keine Compliance nachweisen da Maßnahmen zu strikt definiert waren. Non-Compliance wurde als Risiko festgestellt aber nicht weiter an das zentrale Risikomanagement gemeldet bzw. nicht weiterverfolgt.
Was sind die Probleme gewesen? Maßnahmen wurden als unwirtschaftlich behandelt, weil die Umsetzung nur mit dem Budget der einzelnen Bereiche gemessen wurde. Reports bezogen sich immer nur auf einen Teilbereich. Das Zusammenführen der Ergebnisse war zu kompliziert. Durch fehlende Rückmeldung waren die Checklisten schnell veraltet.
Wie kann man es besser machen? 1. Standards als Hilfsmittel nutzen. 2. Anforderungen und Werkzeuge zentral festlegen und dezentral ausrollen aber zentral managen Gesamtkatalog den man reduzieren kann Tools die Daten aggregieren können 3. Kommunikation zwischen dem Risikomanagement und dem Informationssicherheitsmanagement herstellen
Kann ich das auch mit BSI Grundschutz? JA, können Sie! Wie? Ok ein Schnelldurchgang!
Anwenden von Standards Wer kennt das nicht?! Bundesamt für Sicherheit in der Informationstechnik
Wie kann man es besser machen mit Grundschutz Gemeinsame Vorgehensweise durch Sicherheitsrahmenkonzept (SRK) ISMS Tool zum zentralen Risikomanagement etablieren und dezentral zugänglich machen Risikoanalysen in den dezentralen Bereichen als Informationen für die Weiterentwickelung des zentralen Risikomanagements nutzen Restrisiken MELDEN!
Und gehen Sie zum äußersten REDEN SIE MITEINANDER!!!!
Vielen Dank! Referent: Kontakt: Dirk Brand d.brand@sila-consulting.de T.I.S.P. / CISSP SILA Consulting GmbH Landwehr 105 46325 Borken 0 28 61/8 08 47-700 Internet: www.sila-consulting.de