Verbesserung des ISMS durch Messung der Informationssicherheit

Ähnliche Dokumente
Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

DAkkS Anwendungshinweise DIN EN ISO Erfassung wesentlicher Energieverbräuche und Überwachung. Stand 05/2014

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Comparison of Software Products using Software Engineering Metrics

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Mit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden -

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Informationssicherheitsmanagement

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Workshop. Zeitmanagement Hamburg, 24. November 2004

6. Qualitätsseminar

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

10. Fachtagung IT-Beschaffung 2014 Fachforum 6

9.6 Korrekturmaßnahmen, Qualitätsverbesserung

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

DIN EN ISO 9000 ff. Qualitätsmanagement. David Prochnow

BSI Technische Richtlinie

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

AKH-DER-P-5.3. Gültig ab: Version:1.0.1 Seite 1 von 5

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

3 Meldepflichten der Zahlstellen und der Krankenkassen

AQL. 9. Statistisches Qualitätsmanagement 9.3 Statistische Methoden der Warenannahme (AQL)

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Managementbewertung Managementbewertung

Aspekte zur Sicherung der Wirtschaftlichkeit von. Sportboothäfen im Zeichen des demografischen Wandels

OECD Programme for International Student Assessment PISA Lösungen der Beispielaufgaben aus dem Mathematiktest. Deutschland

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Erstellung eines QM-Handbuches nach DIN. EN ISO 9001: Teil 1 -

Fragebogen ISONORM 9241/110-S

Regulatorische Anforderungen an die Entwicklung von Medizinprodukten

Media Teil III. Begriffe, Definitionen, Übungen

Info zum Zusammenhang von Auflösung und Genauigkeit

SWE12 Übungen Software-Engineering

Um Ihre Ziele durchzusetzen! Um Beziehungen zu knüpfen und zu pflegen! Um in Begegnungen mit anderen Ihre Selbstachtung zu wahren!

ISO 9001:Kundenorientierung

BGI 5190 Wiederkehrende Prüfungen ortsveränderlicher elektrischer Arbeitsmittel - Organisation durch den Unternehmer

Wichtiges Thema: Ihre private Rente und der viel zu wenig beachtete - Rentenfaktor

Managementsysteme und Arbeitssicherheit

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

2. Psychologische Fragen. Nicht genannt.

CERTQUA-Servicecenter Nahtlose IT-Anbindung per Schnittstelle

Professionelle Seminare im Bereich MS-Office

Das GQMS-Vorgehensmodell für das Messen der Wirksamkeit von Informationssicherheitsmanagementsystemen

Wärmerückgewinnungsgerät mit Wärmepumpe

CTI SYSTEMS S.A. CTI SYSTEMS S.A. 12, op der Sang. Fax: +352/ L Lentzweiler. G.D.

TÜV NORD CERT GmbH. Wie sichere ich die Qualität der praktischen Zerifizierung. Ausbildung? QM-Grundlagen, Methoden und Werkzeuge

Test zur Bereitschaft für die Cloud

Wir organisieren Ihre Sicherheit

Bundesverband Flachglas Großhandel Isolierglasherstellung Veredlung e.v. U g -Werte-Tabellen nach DIN EN 673. Flachglasbranche.

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

IT-Governance und COBIT. DI Eberhard Binder

Software-Qualität Ausgewählte Kapitel

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Kieler Prozessmanagementforum 2013 Prozessmanager der Zukunft Referent: Dr. Klaus Thoms, IHK zu Kiel 20. Dezember 2013

Willkommen zur Vorlesung Qualitätsmanagement und Führen über Ziele. Qualitätsmanagement - J.Kirchner - 2. Prozeßorientierung, Folie: 1

Kosten-Leistungsrechnung Rechenweg Optimales Produktionsprogramm

Änderungen ISO 27001: 2013

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

26. November Dipl.- Inf. Holger Röder stuhgart.de

Erfahrungen mit Hartz IV- Empfängern

Arbeitshilfen Messecontrolling Wie geht denn das?

Statuten in leichter Sprache

Allensbach: Das Elterngeld im Urteil der jungen Eltern

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Aktualisierung der ISO/IEC (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Balanced ScoreCard (BSC) Quality Operating System (QOS)

Kapitel 10: Dokumentation

Informationssicherheit als Outsourcing Kandidat

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Leseauszug DGQ-Band 14-26

Benutzerhandbuch Moodle für Kursteilnehmer/innen am MPG

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

PROZESSBETRACHTUNG DURCH DIE NEUE NORM ISO 9001


Bedienerhandbuch Toleranztabellen Version 1.2.x. Copyright Hexagon Metrology

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Lichtbrechung an Linsen

Fragebogen zur Diplomarbeit von Thomas Friedrich

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Umgang mit Schaubildern am Beispiel Deutschland surft

GEVITAS Farben-Reaktionstest

Konzentration auf das. Wesentliche.

Dieter Brunner ISO in der betrieblichen Praxis

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Das Seminar ist eine Prüfungsleistung für Bachelor und Masterstudierende der Informatik!

Leistungsorientierte Bezahlung LOB

Betriebliches Leistungsmanagement - Zielvereinbarungen, Leistungs- und erfolgsorientierte Vergütung

Transkript:

Verbesserung des ISMS durch Messung der Informationssicherheit Prof. Dr. Rainer Rumpel Fachtagung "lt-security in der Praxis der Netz- und Stationsleittechnik Frankfurt 3. Februar 2016 Partner: RWE Deutschland AG / Westnetz GmbH

Referent Prof. Dr. rer. nat. Rainer Rumpel Hochschule für Wirtschaft und Recht Berlin Fachbereich Duales Studium Facheinheit Wirtschaftsinformatik E-Mail: rainer.rumpel@hwr-berlin.de http://www.hwr-berlin.de Auditor für Konfomitätsbewertungen mit ISO/IEC 27001 im Auftrag von TÜV Saarland Bundesamt für Sicherheit in der Informationstechnik Mitglied des DIN-Ausschusses NIA-27 zu ISO/IEC JTC 1/SC 27 (IT-Sicherheitsverfahren) und der deutschen Delegation bei ISO/IEC (JTC 1 / SC 27) 2

Alles ist messbar!? Messen ist Vergleichen! - Stab und Zollstock liefert quantitativen Vergleich - Stab und Stab lassen sich qualitativ und quantitativ vergleichen: Welcher ist der Längste? Archimedes fordert: Miss alles, was sich messen lässt, und mach alles messbar, was sich nicht messen lässt. - Kann man Informationssicherheit messen? - Kann man die Qualität eines Managementsystems messen? 3

Managementsysteme ISO/IEC 27000: Ein Managementsystem ist ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Ziele, Richtlinien und Prozesse zum Erreichen dieser Ziele festzulegen. Zentrale Elemente eines Managementsystems sind: Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung. MANAGEMENTPROZESSE! 4

Informationssicherheitsmanagementsysteme (ISMS) Anforderungen: ISO/IEC 27001:2013 Abschnitt 9.1: Überwachung, Messung, Analyse und Bewertung des ISMS Die Organisation muss bestimmen: a) was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen; b) die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen; c) Anforderungen und Qualität ISO 9000: Qualität ist der Grad, in dem ein Satz inhärenter Merkmale Anforderungen erfüllt. 5

Bewertung des ISMS ISO/IEC 27001:2013, Anforderungen aus Abschnitt 9.1 - Bewertung der Wirksamkeit des ISMS und - Bewertung der Informationssicherheitsleistung Es sind sowohl die Managementprozesse als auch die Informationssicherheitsprozesse mit validen Methoden zu messen und zu bewerten: - valid results / gültige Ergebnisse - Beispiel: Messung Stromstärke mittels Lichtstrom Spannungsquelle - ISMS: Effektivität (Wirksamkeit) muss gemessen werden Lampe - Informationssicherheit: Leistung (Performance) muss gemessen werden Messung über Erfüllung der Anforderungen ( Qualität ) gemäß ISO/IEC 27001:2013 (Anhang A) Effektivität 6

ISO/IEC 27004:2009 Empfehlungen zur Messung des Informationssicherheitsmanagements Information security measurement model in Anlehnung an ISO/IEC 15939:2007, Systems and software engineering Measurement process Messkonstrukt Auswahl des Maßes Messmethode Messfunktion - Ergebnis: Indikatoren - abgeleitet aus Basismaßen Umfrage: nur von 10% der ISMS- Anwender bzw. Experten genutzt!? 7

Ziel Betreibern von Managementsystemen (und Experten für Informationssicherheitsmanagement) soll eine solide und verständliche theoretische Grundlage für das Messen, Analysieren und Bewerten der Effektivität von ISMS geliefert werden, deren Anwendbarkeit und Verständlichkeit ausreichend ist, um beträchtliche Akzeptanz bei den Zielgruppen zu erreichen. 8

Anwendungshintergrund SMART GRIDS Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Energiewirtschaftsgesetz (EnWG) 11 Betrieb von Energieversorgungsnetzen IT-Sicherheitskatalog Unter anderem: Forderung eines ISMS ISO/IEC TR 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry 9

Goal Question Metric (GQM) Victor R. Basili und David Weiss Ansatz zum zielorientierten Messen Top-Down-Ansatz Operationalisierung von Zielen in Frageform Zuordnung von Metriken anhand der Fragen 10

Messen / Metriken Binäres Maß / Binäre Länge 0 wwwwwwww xx = 0 LL 2 xx = 1 wwwwwwww xx 0 Dreiwertmaß / Dreiwertige Länge 0 LL 3 (xx) = 0,5 1 Beispiel: Anforderungen 0 bedeutet: nicht erfüllt 0,5 bedeutet: teilweise erfüllt 1 bedeutet: erfüllt wwwwwwww xx = 0 wwwwwwww xx (0,1) wwwwwwww xx = 1 11

GQMS-Vorgehensmodell ISO/IEC 27001:2013, Abschnitt 9.1 Bewertung der Wirksamkeit des ISMS und Bewertung der Informationssicherheitsleistung Es sind sowohl die Managementprozesse als auch die Informationssicherheitsprozesse mit validen Messmethoden zu messen und zu bewerten.

Anforderungsorientiertes Messverfahren Hauptteil der Norm ISO/IEC 27001 ist eine Liste von Anforderungen Checklistenverfahren (erfüllt: 1; nicht erfüllt: 0) Alternative: Beispiel mit dreiwertigem Maß: Legende: 0 bedeutet: nicht erfüllt; 0,5 bedeutet: teilweise erfüllt; 1 bedeutet: erfüllt 13

Anforderungsorientiertes Messverfahren Bei n Anforderungen ergibt sich als Punktsumme SS 3 = L 3 xx 1 + L 3 xx 2 + + LL 3 (xx nn ) Beispiel (der Einfachheit halber wird n=10 angenommen) SS 3 = 1 + 0 + 0,5 + 0,5 + 0,5 + 0 + 1 + 0,5 + 1 + 0,5 = 5,5 ; EE 3 = 55% Anforderungen können unterschiedliches Gewicht haben! Punktsumme mit Gewichtung SS 3gg = gg 1 L 3 xx 1 + gg 2 L 3 xx 2 + + gg nn LL 3 xx nn Probleme des Messverfahrens: - Wie kommen die Werte zustande? - Was bedeutet teilweise erfüllt? Subjektivität der Gewichtung ist Problem und Chance zugleich. 14

Zielorientiertes Messverfahren ISO/IEC 27001:2013, Abschnitt 6.2 Die Organisation muss Sicherheitsziele für das ISMS festlegen. Die Ziele sollen messbar sein (sofern machbar). Goal-Question-Metrik-Ansatz (GQM) - Operationalisierung der Ziele durch organisationsspezifische Fragen - Verknüpfung mit Metriken GQM-Beispiel Industrieunternehmen - Ziel aus ISO/IEC 27001:2013 15

Zielorientiertes Messverfahren Zielerfüllungsgrad - Clusterung - Normierung 0 wwwwwwww MM 1 = 0 ZEG1 = 0,5 wwwwwwww MM 1 = 1 1 wwwwwwww MM 1 > 1 Bei m Messgrößen pro Frage ergibt sich: ZEG(Frage) = (ZEG1 + ZEG2 + + ZEGn) / m Bei n Fragen pro Ziel ergibt sich: ZEG(ZIel) = (ZEG(Frage 1 ) + ZEG(Frage 2 ) + + ZEG(Frage n )) / n Die Werte von ZEG liegen jeweils zwischen 0 und 1 und können in Prozent angegeben werden. 16

Prozessorientiertes Messverfahren Managementprozesse gemäß ISO/IEC 27001:2013 Kürzel M1 M2 M3 M4 M5 M6 Bezeichnung Führung Planung Unterstützung Betrieb Bewertung Verbesserung Die Managementprozesse des ISMS haben den Zweck die Informationssicherheitsprozesse zu planen, zu implementieren, zu bewerten und zu verbessern. 17

Prozessorientiertes Messverfahren Informationssicherheitsprozesse gemäß ISO/IEC 27001:2013 (Anhang A) Kürzel Bezeichnung Quelle I01 Informationssicherheitsrichtlinien A.5 I02 Verwaltung der Sicherheitsorganisation A.6 I03 Management der Personalsicherheit A.7 I04 Handhabung der Unternehmenswerte A.8 I05 Zugangssteuerung A.9 I06 Handhabung der Kryptographie A.10 I07 Physische Sicherheit A.11 I08 Betriebssicherheit A.12 I09 Kommunikationssicherheit A.13 I10 Systementwicklung A.14 I11 Lieferantenbeziehungsmanagement A.15 I12 Handhabung von Informationssicherheitsvorfällen A.16 I13 Business-Continuity-Management A.17 I14 Compliancemanagement A.18 18

Prozessorientiertes Messverfahren Anforderungen Durchlaufzeit der Prozesse - Regelmäßige Überprüfung des ISMS ist eine Anforderung der Norm in der Regel jährlich Durchlaufzeit 1 Jahr - Ergebnis: Messergebnisse zur Effektivität - Anforderungserfüllung / Ergebnisqualität / Zielerreichung Man kann sowohl die Anforderungen aus dem Hauptteil der Norm als auch die Maßnahmenbereiche aus Anhang A als Prozesse auffassen und somit die Wirksamkeit bzw. Leistung mit einem einheitlichen Ansatz messen. 19

GQMS: Ermittlung der Basismessgrößen Prozessbeispiel (I12) Prozessname Bearbeitungsobjekt Prozessziel(e) Eingaben I12: Handhabung von Informationssicherheitsvorfällen Sicherheitsvorfall Eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen ist sichergestellt. Richtlinie(n), Verfahrensanweisung(en) Normverweis ISO/IEC 27001:2013, Anhang A.16 20

GQMS: Ermittlung der Basismessgrößen Anhang A erleichtert das Finden von Fragen, da zu den Maßnahmenzielen auch Maßnahmen ausformuliert sind. Maßnahme gemäß ISO/IEC 27001:2013, Anhang A.16 Verantwortlichkeiten und Verfahren Verantwortlichkeiten der Leitung und Verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen. Meldung von Informationssicherheitsereignissen Informationssicherheitsereignisse werden so schnell wie möglich über geeignete Kanäle zu deren Handhabung gemeldet. Nr. I12_F01 I12_F02 I12_F03 I12_F04 I12_F05 Mögliche Frage Welche Leitungsverantwortlichkeiten sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? Welche Verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? Welche Kanäle werden zur Meldung von Informationssicherheitsereignissen genutzt? Sind die Meldekanäle geeignet? Wie schnell erfolgt die Meldung? Reaktion auf Informationssicherheitsvorfälle Auf Informationssicherheitsvorfälle wird entsprechend den dokumentierten Verfahren reagiert. Ergänzung aus ISO/IEC TR 27019:2013: Where a national or sector specific CSIRT is established to that purpose it should be informed as required. I12_F06 I12_F07 Sind Verfahren dokumentiert, die die Reaktion auf Informationssicherheitsvorfälle behandeln? Wird ein nationales oder sektorspezifisches CSIRT /CERT über Informationssicherheitsvorfälle informiert? 21

GQMS: Ermittlung der Basismessgrößen Messgrößen zum Prozess I12 gemäß GQM-Ansatz Nr. Mögliche Frage Nr. Messgröße Messwert I12_F01 Welche I12_F01_M01 Anzahl der 0 wenn I12_F01_M01=0 Leitungsverantwortlichkeiten sind festgelegt, um lichen für die Leitungsverantwort- 0,5 wenn I12_F01_M01=1 eine schnelle, effektive und Vorfallreaktion 1 wenn I12_F01_M01>1 geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? I12_F02 Welche Verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? I12_F02_M01 I12_F02_M02 I12_F02_M03 Anzahl der Verfahren für die Reaktion auf Sicherheitsvorfälle Durchschnittliche Reaktionsdauer auf Sicherheitsvorfälle im letzten Monat Anteil der Sicherheitsvorfälle, die von einem Fachexperten bearbeitet wurden 0 wenn I12_F02_M01=0 1 wenn I12_F02_M01>0 0 wenn I12_F02_M02> 24h 0,5 wenn I12_F02_M02 24h, aber größer als 12 h 1 wenn I12_F02_M02 12 h 0, wenn I12_F02_M03 < 50% 0,5 wenn I12_F02_M03 50%, aber kleiner als 80% 1 wenn I12_F02_M03 80% Festlegung der Messwerte in der Regel gemäß Dreiwertmaß L 3 (x) 22

GQMS: Ermittlung der Basismessgrößen Beispiel: I12_F02_M02 / Reaktionsdauer Sicherheitsvorfälle Messungsfrequenz: monatlich Maßeinheit: Stunde (h) Zielwert: Durchschnittliche Reaktionsdauer höchstens 12 h Messverfahren - Einstufung des Informationssicherheitsereignisses als Informationssicherheitsvorfall im Störungsmanagementsystem Einstufungszeitpunkt - Dokumentation der Reaktionsaktivität im Störungsmanagementsystem Reaktionszeitpunkt - Reaktionsaktivitäten können sein: - Zuweisung des Vorgangs an einen Fachexperten - Rückfrage an den Melder usw. - Reaktionsdauer: Reaktionszeitpunkt minus Einstufungszeitpunkt 23

Abgeleitete Maße und Indikatoren Prozessbeispiel I12 Handhabung von Informationssicherheitsvorfällen 11 Fragen und 22 Basismessgrößen Abgeleitete Maße - Pro Frage ein abgeleitetes Maß - Beispiel: Frage I12_F01 (Leitungsverantwortlichkeiten?) - Einzige Messgröße: I12_F01_M01 (Anzahl der Verantwortlichen) - Abgeleitetes Maß: A_I12_F01 = I12_F01_M01 1 - Beispiel: Frage I12_F02 (Welche Verfahren?) - Drei Messgrößen - I12_F02_M01: Anzahl der Verfahren - I12_F02_M02: Reaktionsdauer Sicherheitsvorfälle - I12_F02_M03: Anteil der Bearbeitungen durch Experten - Abgeleitetes Maß A_I12_F02 = I12_F02_M01 + I12_F02_M02 + I12_F02_M03 3 Nicht normiert 24

Abgeleitete Maße und Indikatoren Normierung durch Division mit der Anzahl der Messgrößen - A n (I12_F01) = (I12_F01_M01) / 1 - A n (I12_F02) = (I12_F02_M01 + I12_F02_M02 + I12_F02_M03) / 3 Indikator für die Effektivität des Prozesses (I12) Eff(I12) = A n (I12_F01) + A n (I12_F02) + A n (I12_F03) + + A n (I12_F11) - Effektivität in Prozent (Normierung) Eff n (I12) = (A n (I12_F01) + A n (I12_F02) + A n (I12_F03) + + A n (I12_F11))/11 - Beispiel: - Eff n (I12) = (0,4+0+0,5+0,7+1+1+0+0,35+0,2+0,6+0,9) / 11 = 0,51 = 51% - Erinnerung: Effektivität = Zielerreichungsgrad 25

Abgeleitete Maße und Indikatoren Gewichtung der abgeleiteten Maße - Priorisierung von Fragen - Organisationsspezifische Gründe - Normierung beachten! - Gewichteter, normierter Prozesseffektivitätsindikator - Beispiel (vgl. vorherige Folie) Eff_g n (I12) = (1*0,4+1*0+1*0,5+2*0,7+2*1+1*1+1*0+1*0,35+1*0,2+1*0,6+2*0,9) / 14 = 8,25 / 14 = 0,589 = 58,9% - Gewichtung kann beachtlichen Einfluss auf das Effektivitätsergebnis haben! 26

Gesamteffektivität Prozesseffektivitätsindikatoren im Vergleich Spinnennetzdiagramm für die sechs Managementprozesse Bewertung des Managementsystems (M1 bis M6) Eff n (MS) = (Eff_g n (M1) + Eff_g n (M6)) / 6 Bewertung des Prozessportfolios Informationssicherheitsmanagement (I1 bis I14) Eff n (ISM) = (Eff_g n (I01) + Eff_g n (I02) + Eff_g n (I14)) / 14 27

Kurzfassung GQMS-Verfahren 1. Die Kapitel des Hauptteils der Norm ISO/IEC 27001 als Prozesse definieren 2. Die Kapitel des Anhangs A der Norm ISO/IEC 27001 als Prozesse definieren 3. Den Prozessen des Hauptteils per GQM-Ansatz Ziele, Fragen und Metriken zuordnen 4. Den Prozessen des Anhangs A als Ziele die Maßnahmenziele des Anhang A zuordnen und die Fragen anhand der Maßnahmen aus Anhang A stellen; anhand der Fragen normierte Basismessgrößen samt Zielwerten entwickeln 5. Aus den Basismessgrößen durch Summierung abgeleitete Maße für die Fragen erzeugen; gegebenenfalls gewichtete Summen bilden 6. Durch Summierung der abgeleiteten Maße Effektivitätsindikatoren für den Prozess erzeugen; Indikator normieren; gegebenenfalls gewichtete Summen bilden 7. Durch Summierung der Effektivitätsindikatoren für die Prozesse und Normierung Effektivitätsindikatoren für die Prozessgebiete Managementsystem und Informationssicherheitsmanagement erzeugen 28

Fazit Anforderung ISO/IEC 27001:2013, Abschnitt 9.1 - Bewertung der Wirksamkeit des ISMS und - Bewertung der Informationssicherheitsleistung - mit validen Messmethoden erfüllt Einheitliches Verfahren Schrittweises, nachvollziehbares Verfahren (GQMS) Metriken: nicht zu einfach, nicht zu komplex Vergleichbarkeit durch Normierung Möglichkeit der Gewichtung Spitzenkennzahl (KPI) für Wirksamkeit des ISMS möglich 29

Vielen Dank für die Aufmerksamkeit! Prof. Dr. Rainer Rumpel 14055 Berlin E-Mail: beratung@rumpel.de Fachtagung "lt-security in der Praxis der Netz- und Stationsleittechnik 3. Februar 2016 30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback