Zertifizierungsvorbereitung großer Informationsverbünde

Ähnliche Dokumente
Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

DS-GVO und IT-Grundschutz

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

SerNet. Praxisbericht: Überwachungsaudit nach dem neuen Zertifizierungsschema. Alexander Koderman. SerNet GmbH

Informationssicherheit

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

BSI Technische Richtlinie

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Zertifizierung Auditdauer und Preise

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Glücklich mit Grundschutz Isabel Münch

secunet Security Networks AG

IT-Grundschutz-Methodik im Kontext von Outsourcing

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

_isis12_de_sample_set01_v2, Gruppe A

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

Vorgehensweisen des neuen IT-Grundschutzes

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

_isis12_de_sample_set01_v1, Gruppe A

Zertifizierung Auditdauer und Preise

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

Informationssicherheitsmanagement und Compliance

Agenda INTELLIGENT. EINFACH. PREMIUM.

IT-Grundschutz Einführung und Anwendung auf Datenbanken

Amtliche Bekanntmachung der Universität Konstanz

1. IT-Grundschutz-Tag 2014

ENTSPANNT LERNEN CYBER AKADEMIE- SUMMER SCHOOL. Lead-Auditor nach ISO/IEC Juli IT-Grundschutz-Experte

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

IT-Sicherheit an der Freien Universität Berlin

ISO Zertifizierung

Selbständiger IT Berater seit über 12 Jahren: Schwerpunkte: Systeme, Netzwerke Cyber-Security ISMS und Compliance. Consultant & Projektleiter

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Brandschutzbeauftragter (TÜV )

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

BSI IT-Grundschutz in der Praxis

Auf den Schultern von Riesen ISIS12 als Vorstufe zum BSI IT-Grundschutz

Zertifizierung von IT-Standards

Hand in Hand: IT- und Facility-Management

Grundlagen des Datenschutzes und der IT-Sicherheit

BSI Grundschutz & ISMS nach ISO 27001

Information Security Management System Informationssicherheitsrichtlinie

Best Practises verinice.pro

Informationssicherheit für den Mittelstand

Genesis Consulting. ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse Oliver Tagisade- Ralf Wildvang

Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

Einführung eines ISMS nach ISO 27001:2013

Ronny Kirsch Interim Security Officer

Leitlinien für Informationssicherheit. Düsseldorf,

Cassini I Guiding ahead

Bundespolizei. Projekt Automatisierter Grundschutz. it-sa Michael Jokisch, Referat 51 IT-Strategie und Sicherheitsmanagement

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Blick über den Tellerand Erfahrungen der EVU

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

_isis12_de_sample_set01_v2, Gruppe A. Fragebogen

Automatisierter IT-Grundschutz Hannover

Der neue IT-Grundschutz im Kontext der ISO 27001

Die praxisorientierte IT-Grundschutzzertifizierung

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Compliance as a Service (CaaS) AWS Enterprise Summit

Service-Provider unter Compliance-Druck

FSKB IT Guideline Ausgabe 2018

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

15 Jahre IT-Grundschutz

_isis12_de_sample_set01_v1, Gruppe A. Fragebogen

IT-Sicherheitszertifikat

IT-SICHERHEITSMANAGEMENT: FORDERUNGEN DER ABNEHMERINDUSTRIEN

Zertifizierung von Netzbetreibern nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG

VdS-Richtlinien 3473 Workshop zur LeetCon 2017

Umsetzung der Anschlussbedingungen Verbindungsnetz in Hessen

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

ISIS12 und die DS-GVO

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

Risikomanagement kri.scher Geschä3sprozesse

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

Transkript:

Zertifizierungsvorbereitung großer Informationsverbünde 5. IT Grundschutztag 22.11.2012 Presse und Besucherzentrum des BPA Raum 4-6, Reichstagufer 14, 10117 Berlin Referent: Axel Leitner Unternehmensberater IT Sicherheit

Vorstellung 1 Selbständiger IT Berater seit 10 Jahren: Technischer Schwerpunkt Unix, Netzwerke und Internet ISMS Schwerpunkt: BSI IT-Grundschutz Erfahrung seit über 10 Jahren zur Zeit Consultant für Sicherheits-Architekturen

Vorstellung 2 Grundschutz bezogene Projekte aus der nahen Vergangenheit: DOI De-Mail Tätigkeiten: Sicherheitskonzeption mit Grundschutz- und Verinice Tool Zertifizierungsvorbereitung Antragstellung Umsetzungsberatung schwieriger Maßnahmen Lieferung von Referenzdokumenten Basissicherheitscheck und internes Audit Einsatz erfolgte jeweils bis zum erfolgreichen Abschluß des Audits

Ausgangslage 1 Erstzertifizierung nach ISO 27001 auf Basis von IT Grundschutz Grund für die Zertifizierung klar definieren Zertifizierungsgegenstand grob beschreiben Geschäftsprozesse grob beschreiben, die zertifiziert werden sollen Budgetierung sichern - und Entscheidung bei der Unternehmensleitung herbeiführen Wichtig: Eingrenzen und Definition des Informationsverbundes so früh wie möglich grobe Modellierung, um Dokumente von Anfang an erstellen zu können Vorabprüfung des Vorhabens durch BSI erwägen

Ausgangslage 2

Grundlagen 1 Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Auswahl: ISO/IEC 27001:2008 Information security management systems BSI-Standard 100-2 IT-Grundschutz-Kataloge aktuelle Ergänzungslieferung Auditierungsschema Zertifizierungsschema Liste der Referenzdokumente Prüfaspekte zur Wirksamkeit eines ISMS IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

Grundlagen 2 Informationssicherheitsprozeß Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene Konzeption und Planung des Sicherheitsprozesses Erstellung der Leitlinie zur Informationssicherheit Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen Einbindung aller Mitarbeiter in den Sicherheitsprozeß Erstellung einer Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung initiieren

Grundlagen 3

Planung 1 Projektmitarbeiter: Senior Projektleiter, bevorzugt langjähriger Mitarbeiter des Unternehmens, welcher die Organisation und Fachbereiche kennt Fachmitarbeiter die Fachabteilungen kennen: intern Voll- oder Teilzeit im Projekt Grundschutzberater: wichtig sind Branchenkenntnisse und Fachkenntnisse weitere Berater auf Anforderung Empfehlung: erfahrene Grundschutz Berater Team/Auditfirma pre Assessment um Planungsaufwände einzuschätzen Zuordnung der Schlüsselrollen (Prozesse und Fachanwendungen) und Initiierung eines Koordinierungsausschusses Administratoren/Ingenieure der Fachabteilungen frühzeitig einbinden: Maßnahmenumsetzung, Dokumentation, wie Betriebshandbücher, etc.

Planung 2 Informations/Prozeßeigentümer müssen von Beginn eingebunden werden Grundschutz Rollen: laut Grundschutzhandbuch je Maßnahme beschrieben personelle Zuordnung pro Rolle Zuordnung der Rollen zu Personen und Stellvertretern getrennt nach Verantwortlich für Initiierung und Umsetzung Zeitliche Planung: Dauer ein bis zwei Jahre je Rolle unterschiedliche Anforderungen Geschäftsverantwortliche und Leiter Sicherheitsmanagement, -beauftragte Administratoren z.b. System, Datenbank, Applikation, Netzwerk, etc. Servicerollen Anknüpfung an vorhandene Prozesse z.b. nach ITIL

Planung 3 Kostenplanung: Kosten erheblich abhängig von Einflußfaktoren: Größe des Verbundes, Schutzbedarf, Neuentwicklung günstiger als alte Strukturen Hinweis: Inventarisierung und IST Aufnahme sollte aus dem Projektbudget ausgeklammert werden Projektleiter, der Organisationsstrukturen kennt mit PM Office je nach Größe Grundschutzberater aufgeteilt nach senior und junior (intern oder extern) Fachabteilung vorzeitig aufstocken um interne Grundschutzrollen für Zertifizierungsvorbereitung "freizuschaufeln", dabei ist der Ersatz durch externe Fachmitarbeiter meist günstiger, da regionale Verfügbarkeit besser und Tagessatz meist geringer als bei ISMS Berater Ext. Auditfirma (meist 1-3 Auditoren) zeitlich geringerer Anteil (ca. 2-4 Monate) Idee: Provisionsanteil um Anreiz für zeitliche Fertigstellung zu geben

Sicherheitskonzeption 1

Sicherheitskonzeption 2 A.0 Richtlinien für Informationssicherheit A.1 IT-Strukturanalyse A.2 Schutzbedarfsfeststellung A.3 Modellierung des Informationsverbundes A.4 Ergebnis des Basis-Sicherheitschecks A.5 Ergänzende Sicherheitsanalyse A.6 Risikoanalyse A.7 Risikobehandlungsplan Voraussetzung: Definition des Gegenstandes wenn Eingrenzen des Informationsverbundes unklar, erfolgt Produktion nicht zielgerichteter Dokumente

Sicherheitskonzeption 3 A.1 Strukturanalyse: durch ausgeklügelte Gruppierung verringert sich die Anzahl der Zielobjekte z.b. von 4- auf 3stellig. A.4 Basis Sicherheits Check Aufwand - 2-fach Verringern z.b. Selbsteinschätzung der Fachbereiche mittels Tool A.5 Ergänzende Sicherheitsanalyse meist kurzes Lenkungsdokument für Leitung A.7 Risikobehandlungsplan: Umgang mit offenen Maßnahmen und Restrisiken auf oberster Leitungsebene Tätigkeitsrollen (Auswahl): Sicherheitskonzepterstellung: allg. Sicherheitsberater, müssen nicht alle Grundschutz Berater sein, können MA aus Fachabteilung sein Prozeßberater (RiskM), ITIL, ISO27001, etc. erfahrener externer Auditor im Koordinierungsausschuß (alle 1-2 Wochen, zu beachten, darf nicht aus dem externen Auditteam sein)

Hilfsmittel 1 ISMS/Grundschutz Werkzeuge Vorteile eines Tools: geringe Anschaffungskosten Einhalten der im Standard vorgegebenen Verknüpfungen der Systeme, Anwendungen und deren Abhängigkeiten, Gruppierungen, Schutzbedarf und Modellierung, Betriebseinheiten, etc. (Methodische Hilfe) gleichzeitige Benutzung und leicht absicherbar zentrale Kontrolle des Prozesses - Einsparungen bei Aufrechterhaltung Auditkosten Einsparung, da vorgefertigte BSI konforme Berichtsformate vom Audit Team schneller bearbeitet werden können Synergien bei Verwendung des Tools auch für andere Standards

Hilfsmittel 2 Nachteile Tool: Implementierungskosten, nach Toolauswahl ist man daran gebunden Herstellerbindung Alternativen: Dokumente und Tabellen: Nachteile: aufwendiger zu erstellen, einzugrenzen und aufrecht zu erhalten Tabellenformen sind bei größeren Verbünden kaum übersichtlich darstellbar, Anzahl oft zu groß Datenbankeigenentwicklung/Erweiterung CMDB: Zentrale Datenbank der in der Organisation angewandten Sicherheitsvorschriften Die Controls aus selbst entwickelten oder Fremd- Standards erzeugen Synergien längerfristige Vorteile durch zentrale ISMS Verwaltung und Entlastung der Fachabteilungen z.b. Aufwand von Basis Sicherheitschecks und internen Audits

Schwierigkeiten 1 Unternehmenshierarchien Geschäftsinteressen der Gesellschaften Fachliche Koordinierung der Projekt-Matrixorganisation Planung der fachlichen Vorbereitung - Terminlicher Gewaltakt Sicherheit - und im erhöhtem Maße eine Zertifizierung - wird von vielen Mitarbeitern als zusätzliche Last empfunden im Tagesgeschäft Wichtig: Abrechenbarkeit für Abteilungen von Anfang an definieren und ermöglichen Notfallkonzeption mit hohem Aufwand wird meist vernachlässigt Outsourcing: Spezialfälle die ebenfalls aufwendig sind

Schwierigkeiten 2 erhöhte und nicht geplante Aufwände z.b. physische Sicherheit von Betriebsstandorten Auswahl der Betriebseinheiten exakt dokumentieren Schulung der Mitarbeiter in definierten Rollen so früh wie möglich Gültigkeit der Grundschutzversion für das Audit Sonderfälle: Sprachschwierigkeiten bei Zertifizierung im Ausland: Vorbereitungsseminare, Unterlagen, Bausteine und Richtlinien müssen übersetzt werden spezielle Klärungen bei GS betreuten Unternehmen Voraussetzungen nach den BDSG, z.b. Offshoring

Schwierigkeiten 3 Typische technische Schwierigkeiten in Administration als auch Entwicklung: Verschlüsselung von Verbindungen: z.b. Algorithmuskriterien Außenverbindungen sind kritisch und haben besondere Anforderungen an Datenflußkontrolle, Vertraulichkeit und Integrität Verschlüsselung & Integrität von Datenbanken Verfügbarkeit von ALGs Auswirkungen der Maßnahmen auf Performance und Hochverfügbarkeitsplanung SIEM Logfileanalyse Integration

Zertifizierungsantrag 1 nach dem optionalen freiwilligen Voraudit: Zertifizierungsantrag: mindestens 1 Monat vor Beginn des Audits enthält im Wesentlichen: Beschreibung des Zertifizierungsgegenstandes bereinigten Netzplan Firmenprofil unbedingte Voraussetzungen: Strukturanalyse und Schutzbedarfsfeststellung fertig empfohlene Voraussetzungen: alle Richtlinien und Referenzdokumente fertig

Zertifizierungsantrag 2 Problemfälle: Abgrenzung des Verbundes und Beschreibung der Außenverbindungen nicht aktuelle Strukturanalyse (durch dynamische Umfeld) und Schutzbedarfsanalyse Folgen: fehlerhafter bereinigter Netzplan Zeitplanung fürs Audit nicht abgestimmt mit BSI Zertifizierungsstelle, externen Auditteam und betroffenen internen Abteilungen

Auditvorbereitungen Aufnahme und Einarbeitung der Hinweise aus dem Auditierungs- und Zertifizierungsschema Prüfaspekte zur Wirksamkeit eines ISMS Liste der Referenzdokumente Kommunikation mit Auditor Einhalten der Vertraulichkeit stark authentifizierter Datenaustausch z.b. über verschlüsselte Dokumentenablage Vorteil: Transparenz und Nachvollziehbarkeit der Kommunikation zu Auditteam und BSI Zertifizierungsstelle Auditplanung: Auditdauer (bis 3 Monaten): Planung, Vorbereitung, Durchführung. z.b. Termine des Vor-Ort Audits und Auditbegleitung Nachbesserungen einplanen (bis zu 3 Monaten)

Betriebsübergabe Übergabeplanung von Projektteam an Betrieb Betrieb des ISMS: eigener Sicherheitsbeauftragte Mehraufwand in Fachabteilungen für Betriebshandbücher, erhöhter Dokumentationsaufwand und schwieriger technischer Betrieb (z.b. Verschlüsselung) Kontrollanforderungen (z.b. Logfileanalyse) Weitere Aufwände nach der Zertifizierung: Vorbereitungen des Überwachungsaudits Aufrechterhaltung des ISMS Dokumentation der Änderungen und Abstimmung mit der Zertifizierungsstelle Regelmäßige Treffen, z.b. Notfallübungen Revision und Aktualisierung der Richtlinien Aktualisierung der Fachkonzepte und Schreiben der Betriebshandbücher

Fragen und Diskussion Vielen Dank für Ihre Aufmerksamkeit!

Kontakt Axel Leitner Unternehmensberater IT Schleißheimer Straße 398 80809 München axel.leitner(at)aritron.de Mobil: +49 170 966 28 52

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback