Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1
Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2
CARMAO Das Unternehmen Gegründet 2003 Firmensitz ist die Gemeinde Brechen (bei Limburg an der Lahn) Geschäftsstelle in München 10 Mitarbeiter Mitglied im KoSiB, CAST, GDD, ISACA,, Ploenzke Netzwerk, VSW Kooperationen mit Fraunhofer SIT, COMPASS, QGroup, E-SEC Beratungen, Dienstleistungen und Schulungen zu risikoorientiertem Informationsmanagement Informationssicherheitsmanagement Informationsrisikomanagement BCM / ITSCM / Notfallmanagement Identitäts- und Berechtigungsmanagement Sicherheitskultur Datenschutzmanagement Nächste Seminare Datenschutzmanagement mit System Brechen, 26.09.2013 Informationsrisikomanagement nach ISO 27005 Brechen, 6.11.2013 www.carmao.de/weiterbildung/ Online-Informationen www.carmao.de www.xing.com/companies/carmaogmbh www.facebook.com/carmaogmbh www.twitter.com/carmaogmbh CARMAO GmbH 2013 3
CARMAO Expert Services Experten finden Experten für die temporäre Einbindung in Ihre Projekte Informations- und IT-Sicherheit Informations- und IT-Risikomanagement Datenschutzmanagement Compliance und IT-Recht BCM und Notfallmanagement Leistungen der CARMAO Fachliche Unterstützung bei der Erstellung des Anforderungsprofils Zeitnahe Reaktion, Vorauswahl und Empfehlung geeigneter Kandidaten Durchführung von Background Screenings (Integritäts-Check) Dienstleister- und Vertragsmanagement CARMAO GmbH 2013 4
Die Begriffswelt der Informationssicherheit Informationssicherheit handelt von Begriffen wie Information, Sicherheit und Risiko Informationen sind immaterielle Vermögenswerte eines Unternehmens Anlageinformationen Kontoinformationen elektronische Archive Mitglieder und Versichertendaten Informationen werden hauptsächlich, aber nicht ausschließlich durch IT verarbeitet Sicherheit kennzeichnet einen Zustand, in dem das verbleibende Risiko als akzeptabel eingestuft wird. Risiko eine Ereignis mit der Möglichkeit negativer Auswirkungen / Abweichungen von einem Ziel CARMAO GmbH 2013 5
Die Ziele der Informationssicherheit Vertraulichkeit Integrität Verfügbarkeit Authentizität Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit Nicht-Abstreitbarkeit CARMAO GmbH 2013 6
Geltungsbereich der Informationssicherheit Die gesamte Organisation Die Geschäftsleitung Alle Geschäftsbereiche Alle Infrastrukturbereiche z.b. auch die Informationstechnik Ausgelagerte Dienste Betriebsrat / Personalrat Aufsichtsgremien CARMAO GmbH 2013 7
Die fünf häufigsten Ursachen für Sicherheitsvorfälle* Informationssicherheit wird nicht als Geschäftskernprozess akzeptiert Verantwortlichkeit an falscher Stelle Fehlende persönliche Haftung und Verantwortlichkeit, Stichwort Zusatzaufgabe Interessenskonflikt wenn reine IT-Aufgabe Fehlender Governance Prozess um Entscheidungsträgern Grundlage für Risikomanagement (Maßnahmen, Controls, Akzeptanz) zu liefern *Quelle: https://community.rapid7.com/community/infosec/blog/2012/06/29/5-non-technical-reasons-organization-get-breached CARMAO GmbH 2013 8
Nutzen von Informationssicherheit Investitionen in Informationssicherheitsverfahren haben folgende Wirtschaftlichkeitseffekte*: Sie minimieren Risiken. Hierbei werden keine Effizienzsteigerungen erwartet sondern lediglich mögliche Schäden, die ohne eine Sicherheitslösung entstehen können, reduziert. Sie steigern die Effizienz von Prozessen, indem sie zur wirtschaftlicheren Gestaltung von Abläufen beitragen. In diesem Fall lassen sich echte Einsparungen durch Investitionsrechenverfahren nachweisen. Sie ermöglichen neue Chancen. Der Einsatz von IT-Sicherheitslösung unterstützt neue Produktionsverfahren, neue Formen der Kundenansprache, neue Leistungsangebote oder erschließt neue Kundengruppen. Auch hier lassen sich positive Erträge berechnen. *Quelle: https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_reports/it-security-whitepaper-aktuell.pdf CARMAO GmbH 2013 9
Die Organisation der Informationssicherheit Informationssicherheits-Managementsystem (ISMS) Managementberichte Unternehmensziele Unternehmensvorgaben Informationssicherheit Umsetzung unternehmerische Zielvorgaben Ziele Geschäftsleitung Anforderungsziele / Control objectives / Policies Informationssicherheit Risikomanagement Informationssicherheit Regeln Informationssicherheitsanforderungen/-konzept/-controls Rechtliche und vertragliche Vorgaben Compliance Informationssicherheit Umsetzung von regulatorischen und juristischen Vorgaben Compliance-Berichte Controlling Informationssicherheit BO / IT Informationssicherheitsmaßnahmen Betriebsorganisation und IT-Management CARMAO GmbH 2013 10
Management der Informationssicherheit für IT-Services Kunde Security SLA s Interne Informationssicherheitsrichtlinien Anforderungsziele / Control objectives / Policies Informationssicherheit Compliance Informationssicherheit Umsetzung von vertraglichen und gesetzlichen Vorgaben IT-Service Provider Risikomanagement Informationssicherheit Informationssicherheitsanforderungen/-konzept/-controls Compliance-Berichte Controlling Informationssicherheit Informationssicherheitsmaßnahmen IT-Service Management CARMAO GmbH 2013 11
Aufgaben des Informationssicherheitsbeauftragten Zuständigkeit Der Informationssicherheitsbeauftragte ist nur der Geschäftsleitung gegenüber weisungsgebunden Agiert im Rahmen des Informationssicherheitsleitbilds Hält die Informationssicherheitsrichtlinien aktuell Formuliert die Sicherheitsanforderungen nach Risikoaspekten Schafft Transparenz durch Prüfungen und Managementberichte im Rahmen des Information Security Controllings Kompetenzanforderungen Unterstützung der technischen und geschäftlichen Führungskräfte Unterstützung des operationellen Risikomanagement (Informationsrisiken) Schulung der Mitarbeiter und Schaffung eines Sicherheitsbewusstseins Ansprechpartner bei Vorfällen und Notfällen CARMAO GmbH 2013 12
Informationssicherheit und ITIL Service Design: Information Security Management Die konkrete Ausgestaltung der IT-Services müssen bereits in der Designphase an den Anforderungen der Informationssicherheit ausgerichtet werden Anforderungen des Kunden als Security SLA s Interne Anforderungen aus den eigenen Informationssicherheitsrichtlinien Weitere relevante Prozesse im Service Design Design Coordination Änderungen von Sicherheitsanforderungen im Service-Lifecycle berücksichtigen Service Level Management Management der Security SLA s Supplier Management Verpflichtung der Supplier auf die Informationssicherheitsanforderungen IT Service Continuity Management Festlegung der Sicherheitsanforderungen im Notbetrieb Availability Management Auswirkungen von Security Incidents auf die Verfügbarkeit der Services CARMAO GmbH 2013 13
Informationssicherheit und ITIL Service Transition Change Management Bewertung eines RfC neben Dringlichkeit und Auswirkung auch auf Sicherheitsrelevanz Change Evaluation Informationsrisikobewertung Service Asset und Configuration Management Ermittlung des Schutzbedarfs zu Vertraulichkeit, Verfügbarkeit und Integrität der Configuration Items Release and Deployment Management Berücksichtigung von Tests zur Informationssicherheit Sichere Löschung und Vernichtung bei Stilllegung von CI-Assets Service Validation and Testing IT-Security Audits Knowledgemanagement Wissen über Risiken und Gefahren Wissen über Handlungsoptionen und CARMAO GmbH 2013 14
Informationssicherheit und ITIL Weitere Aspekte Service Operations Umsetzung aller Sicherheitsanforderungen im Betrieb Kontinuierlicher Verbesserungsprozess Kontinuierliche Verbesserung innerhalb des IT-Service Lifecycle Kontinuierliche Verbesserung im internen Informationssicherheitsmanagement Kontinuierliche Verbesserung im ISMS des Kunden CARMAO GmbH 2013 15
Vielen Dank für Ihre Aufmerksamkeit! Firmensitz Rathausstraße 17 65611 Brechen Tel: +49 (6438) 9249-20 Fax: +49 (6438) 9249-23 Geschäftsstelle München Pilotystraße 4 80538 München Tel: +49 (89) 25557-246 Fax: +49 (89) 25557-247 kontakt@carmao.de www.carmao.de CARMAO GmbH 2013 16