Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten.
plan42 GmbH Wir sind ein reines Beratungsunternehmen ohne Produktvertrieb, unsere Beratung erfolgt produktneutral und herstellerunabhängig. Unsere Senior Consultants sind zertifizierte IT Service Manager (ITIL) ISO 20000 certified Consultants BSI IT-Grundschutz Auditoren ISO 27001 Auditoren Wir verbinden technische Expertise aus den Bereichen Enterprise Computing und IT-Security mit praxisbewährten IT-Management Konzepten.
Agenda Einführung Standards und Rahmenwerke zum Thema IT-Sicherheit ISO / IEC 27001 IT-Grundschutz Anwendung der Standards in der Praxis
Einführung
Was ist IT-Security? Was ist ein ISMS? IT-Security ist der Zustand des Systems, in dem die Risiken, die beim Einsatz des Systems aufgrund von Bedrohungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. Das Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die IT-Security dauerhaft zu definieren, zu steuern, zu kontrollieren und vor allem aufrecht zu erhalten.
Warum IT-Security? Betriebswirtschaftliche Rahmenbedingungen Abhängigkeit der Geschäftsprozesse von IT Rechtliche Rahmenbedingungen KONTRAG BSDG GmbHG AktG EuroSOX...
Wo befinden sich IT-Risiken?
Der Sicherheitsmanagement Prozess IT-Sicherheitsleitlinie Unternehmensleitung IT-Sicherheitsmanagement IT-Sicherheitskonzept Revision ITManagement Planung Kontrolle Umsetzung Systemadministration Betrieb Schulung
Dokumentenhierachie Sicherheitskonzept & abgeleitete Dokumente Technische Dokumentation & Handlungsanweisungen Detailierungsgrad Sicherheitsleitlinie
Standards & Rahmenwerte für IT-Sicherheit ISO / IEC 27001 Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS BSI IT-Grundschutz Internationaler Informationssicherheitsstandard mit nationaler Ausprägung Fokus: Etablierung eines ISMS, konkrete Empfehlungen für Basissicherheitsmaßnahmen ITIL / ISO 20000 Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen Verweis auf ISO 27001
ISO / IEC 27001
ISO / IEC 27000 Normen ISO / IEC 27000: Grundlagen und Vokabular geplante Veröffentlichung: 2009 (frei verfügbar) ISO / IEC 27001: ISMS Requirements veröffentlicht seit: 2005 in Revision ISO / IEC 27002: Maßnahmenkatalog ehemals ISO 17799:2005 in Revision ISO / IEC 27003: Leitfaden für die Umsetzung geplante Veröffentlichung 2009 ISO / IEC 27004: Messbarkeit von ISMS geplante Veröffentlichung: 2009
ISO / IEC 27000 Normen ISO / IEC 27005: Risikomanagement für ISMS Veröffentlicht seit Juni 2008 ISO / IEC 27006: Anforderungen an Zertifizierungsstellen veröffentlicht seit: 2007 ISO / IEC 27007: ISMS-Auditor-Richtlinien geplante Veröffentlichung??? ISO / IEC 27008: Richtlinien für die Auditierung von ISMS Controls Erster Draft Zertifizierung nach ISO / IEC 27001 möglich
Der ISMS Prozess nach ISO 27001
ISO / IEC 27001 Struktur Kapitel 0 bis 3 - Einführung und Definitionen Kapitel 4 - Information Security Management System Establishing the ISMS Implement and operate the ISMS Monitor and Review the ISMS Maintain and Improve the ISMS Documentation Requirements Kapitel 5 - Management Responsibility Management Commitment Provision of Resources Training Awareness and Competence
ISO / IEC 27001 Struktur Kapitel 6 - Internal ISMS Audits Kapitel 7 - Management Review of the ISMS Review Input Review Output Kapitel 8 - ISMS Improvement Continual Improvement Corrective Action Preventive Action
ISO / IEC 27001 Struktur Anhang A Controls Security Policy Organization of Information Security Asset Management Human Resource Security Physical and Environmental Security Communications and Operations Management Access Control Information Systems Akquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance
IT-Grundschutz
Zusammenhang ISO 27001 und IT-Grundschutz Seit 1.1.2006 stellt das BSI ISO 27001-Zertifikate auf der Basis von ITGrundschutz aus. IT-Grundschutz ist eine Methode ISO 27001 zu implementieren. ISO 27001 Zertifikat auf Basis von IT-Grundschutz
Gliederung des IT-Grundschutzes
Struktur der Grundschutzkataloge Kapitel ("Bausteine") Gefährdungskataloge Maßnahmenkataloge
Das Schichtenmodell Schicht 1: Übergreifende Aspekte Schicht 2: Infrastruktur Schicht 3: IT-Systeme Schicht 4: Netze Schicht 5: IT-Anwendungen
BSI-Standard 100-1
Zusammenführung von ISO 27001 und GS
Erstellen eines Sicherheitskonzeptes nach BSIStandard 100-2 IT-Strukturanalyse Erfassung der IT-Umgebung Gruppenbildung Schutzbedarfsfeststellung IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Ergänzende Sicherheits + Risikoanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan Quelle: BSI IT-Grundschutzhandbuch
IT-Strukturanalyse nach BSI-Standard 100-2 Auswertung eines Netzplans IT-Systeme, z. B. Clients, Server, Netzkomponenten Netzverbindungen zwischen diesen Systemen Verbindungen nach außen, z. B. Einwahl oder Internet Aktualisierung des Netzplans Netzplan ist meist nicht auf aktuellem Stand IT-Verantwortliche und Administratoren konsultieren ggf. Netz- und Systemmanagement heranziehen
Wenn wir fertig sind, nicht vergessen: IT-Security ist ein Prozess
Ansprechpartner IT-Security Management IT-Service Management Marc Heinzmann (Dipl.-Inform. Univ.) Christian Lotz (Dipl.-Inform. Med. Univ.) BSI zertifizierter IT-Grundschutz Auditor ISO 27001 Auditor auf Basis von IT-Grundschutz marc.heinzmann@plan42.com zertifizierter IT-Service Manager ISO 20000 certified Consultant / internal Auditor christian.lotz@plan42.com plan42 Gmbh Bauerstr. 19 80796 München Tel: +49 89 3076 5716 http://www.plan42.com