Zertifizierungsvorbereitung großer Informationsverbünde 5. IT Grundschutztag 22.11.2012 Presse und Besucherzentrum des BPA Raum 4-6, Reichstagufer 14, 10117 Berlin Referent: Axel Leitner Unternehmensberater IT Sicherheit
Vorstellung 1 Selbständiger IT Berater seit 10 Jahren: Technischer Schwerpunkt Unix, Netzwerke und Internet ISMS Schwerpunkt: BSI IT-Grundschutz Erfahrung seit über 10 Jahren zur Zeit Consultant für Sicherheits-Architekturen
Vorstellung 2 Grundschutz bezogene Projekte aus der nahen Vergangenheit: DOI De-Mail Tätigkeiten: Sicherheitskonzeption mit Grundschutz- und Verinice Tool Zertifizierungsvorbereitung Antragstellung Umsetzungsberatung schwieriger Maßnahmen Lieferung von Referenzdokumenten Basissicherheitscheck und internes Audit Einsatz erfolgte jeweils bis zum erfolgreichen Abschluß des Audits
Ausgangslage 1 Erstzertifizierung nach ISO 27001 auf Basis von IT Grundschutz Grund für die Zertifizierung klar definieren Zertifizierungsgegenstand grob beschreiben Geschäftsprozesse grob beschreiben, die zertifiziert werden sollen Budgetierung sichern - und Entscheidung bei der Unternehmensleitung herbeiführen Wichtig: Eingrenzen und Definition des Informationsverbundes so früh wie möglich grobe Modellierung, um Dokumente von Anfang an erstellen zu können Vorabprüfung des Vorhabens durch BSI erwägen
Ausgangslage 2
Grundlagen 1 Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Auswahl: ISO/IEC 27001:2008 Information security management systems BSI-Standard 100-2 IT-Grundschutz-Kataloge aktuelle Ergänzungslieferung Auditierungsschema Zertifizierungsschema Liste der Referenzdokumente Prüfaspekte zur Wirksamkeit eines ISMS IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten
Grundlagen 2 Informationssicherheitsprozeß Initiierung des Sicherheitsprozesses Übernahme der Verantwortung durch die Leitungsebene Konzeption und Planung des Sicherheitsprozesses Erstellung der Leitlinie zur Informationssicherheit Aufbau einer geeigneten Organisationsstruktur für das Informationssicherheitsmanagement Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen Einbindung aller Mitarbeiter in den Sicherheitsprozeß Erstellung einer Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung initiieren
Grundlagen 3
Planung 1 Projektmitarbeiter: Senior Projektleiter, bevorzugt langjähriger Mitarbeiter des Unternehmens, welcher die Organisation und Fachbereiche kennt Fachmitarbeiter die Fachabteilungen kennen: intern Voll- oder Teilzeit im Projekt Grundschutzberater: wichtig sind Branchenkenntnisse und Fachkenntnisse weitere Berater auf Anforderung Empfehlung: erfahrene Grundschutz Berater Team/Auditfirma pre Assessment um Planungsaufwände einzuschätzen Zuordnung der Schlüsselrollen (Prozesse und Fachanwendungen) und Initiierung eines Koordinierungsausschusses Administratoren/Ingenieure der Fachabteilungen frühzeitig einbinden: Maßnahmenumsetzung, Dokumentation, wie Betriebshandbücher, etc.
Planung 2 Informations/Prozeßeigentümer müssen von Beginn eingebunden werden Grundschutz Rollen: laut Grundschutzhandbuch je Maßnahme beschrieben personelle Zuordnung pro Rolle Zuordnung der Rollen zu Personen und Stellvertretern getrennt nach Verantwortlich für Initiierung und Umsetzung Zeitliche Planung: Dauer ein bis zwei Jahre je Rolle unterschiedliche Anforderungen Geschäftsverantwortliche und Leiter Sicherheitsmanagement, -beauftragte Administratoren z.b. System, Datenbank, Applikation, Netzwerk, etc. Servicerollen Anknüpfung an vorhandene Prozesse z.b. nach ITIL
Planung 3 Kostenplanung: Kosten erheblich abhängig von Einflußfaktoren: Größe des Verbundes, Schutzbedarf, Neuentwicklung günstiger als alte Strukturen Hinweis: Inventarisierung und IST Aufnahme sollte aus dem Projektbudget ausgeklammert werden Projektleiter, der Organisationsstrukturen kennt mit PM Office je nach Größe Grundschutzberater aufgeteilt nach senior und junior (intern oder extern) Fachabteilung vorzeitig aufstocken um interne Grundschutzrollen für Zertifizierungsvorbereitung "freizuschaufeln", dabei ist der Ersatz durch externe Fachmitarbeiter meist günstiger, da regionale Verfügbarkeit besser und Tagessatz meist geringer als bei ISMS Berater Ext. Auditfirma (meist 1-3 Auditoren) zeitlich geringerer Anteil (ca. 2-4 Monate) Idee: Provisionsanteil um Anreiz für zeitliche Fertigstellung zu geben
Sicherheitskonzeption 1
Sicherheitskonzeption 2 A.0 Richtlinien für Informationssicherheit A.1 IT-Strukturanalyse A.2 Schutzbedarfsfeststellung A.3 Modellierung des Informationsverbundes A.4 Ergebnis des Basis-Sicherheitschecks A.5 Ergänzende Sicherheitsanalyse A.6 Risikoanalyse A.7 Risikobehandlungsplan Voraussetzung: Definition des Gegenstandes wenn Eingrenzen des Informationsverbundes unklar, erfolgt Produktion nicht zielgerichteter Dokumente
Sicherheitskonzeption 3 A.1 Strukturanalyse: durch ausgeklügelte Gruppierung verringert sich die Anzahl der Zielobjekte z.b. von 4- auf 3stellig. A.4 Basis Sicherheits Check Aufwand - 2-fach Verringern z.b. Selbsteinschätzung der Fachbereiche mittels Tool A.5 Ergänzende Sicherheitsanalyse meist kurzes Lenkungsdokument für Leitung A.7 Risikobehandlungsplan: Umgang mit offenen Maßnahmen und Restrisiken auf oberster Leitungsebene Tätigkeitsrollen (Auswahl): Sicherheitskonzepterstellung: allg. Sicherheitsberater, müssen nicht alle Grundschutz Berater sein, können MA aus Fachabteilung sein Prozeßberater (RiskM), ITIL, ISO27001, etc. erfahrener externer Auditor im Koordinierungsausschuß (alle 1-2 Wochen, zu beachten, darf nicht aus dem externen Auditteam sein)
Hilfsmittel 1 ISMS/Grundschutz Werkzeuge Vorteile eines Tools: geringe Anschaffungskosten Einhalten der im Standard vorgegebenen Verknüpfungen der Systeme, Anwendungen und deren Abhängigkeiten, Gruppierungen, Schutzbedarf und Modellierung, Betriebseinheiten, etc. (Methodische Hilfe) gleichzeitige Benutzung und leicht absicherbar zentrale Kontrolle des Prozesses - Einsparungen bei Aufrechterhaltung Auditkosten Einsparung, da vorgefertigte BSI konforme Berichtsformate vom Audit Team schneller bearbeitet werden können Synergien bei Verwendung des Tools auch für andere Standards
Hilfsmittel 2 Nachteile Tool: Implementierungskosten, nach Toolauswahl ist man daran gebunden Herstellerbindung Alternativen: Dokumente und Tabellen: Nachteile: aufwendiger zu erstellen, einzugrenzen und aufrecht zu erhalten Tabellenformen sind bei größeren Verbünden kaum übersichtlich darstellbar, Anzahl oft zu groß Datenbankeigenentwicklung/Erweiterung CMDB: Zentrale Datenbank der in der Organisation angewandten Sicherheitsvorschriften Die Controls aus selbst entwickelten oder Fremd- Standards erzeugen Synergien längerfristige Vorteile durch zentrale ISMS Verwaltung und Entlastung der Fachabteilungen z.b. Aufwand von Basis Sicherheitschecks und internen Audits
Schwierigkeiten 1 Unternehmenshierarchien Geschäftsinteressen der Gesellschaften Fachliche Koordinierung der Projekt-Matrixorganisation Planung der fachlichen Vorbereitung - Terminlicher Gewaltakt Sicherheit - und im erhöhtem Maße eine Zertifizierung - wird von vielen Mitarbeitern als zusätzliche Last empfunden im Tagesgeschäft Wichtig: Abrechenbarkeit für Abteilungen von Anfang an definieren und ermöglichen Notfallkonzeption mit hohem Aufwand wird meist vernachlässigt Outsourcing: Spezialfälle die ebenfalls aufwendig sind
Schwierigkeiten 2 erhöhte und nicht geplante Aufwände z.b. physische Sicherheit von Betriebsstandorten Auswahl der Betriebseinheiten exakt dokumentieren Schulung der Mitarbeiter in definierten Rollen so früh wie möglich Gültigkeit der Grundschutzversion für das Audit Sonderfälle: Sprachschwierigkeiten bei Zertifizierung im Ausland: Vorbereitungsseminare, Unterlagen, Bausteine und Richtlinien müssen übersetzt werden spezielle Klärungen bei GS betreuten Unternehmen Voraussetzungen nach den BDSG, z.b. Offshoring
Schwierigkeiten 3 Typische technische Schwierigkeiten in Administration als auch Entwicklung: Verschlüsselung von Verbindungen: z.b. Algorithmuskriterien Außenverbindungen sind kritisch und haben besondere Anforderungen an Datenflußkontrolle, Vertraulichkeit und Integrität Verschlüsselung & Integrität von Datenbanken Verfügbarkeit von ALGs Auswirkungen der Maßnahmen auf Performance und Hochverfügbarkeitsplanung SIEM Logfileanalyse Integration
Zertifizierungsantrag 1 nach dem optionalen freiwilligen Voraudit: Zertifizierungsantrag: mindestens 1 Monat vor Beginn des Audits enthält im Wesentlichen: Beschreibung des Zertifizierungsgegenstandes bereinigten Netzplan Firmenprofil unbedingte Voraussetzungen: Strukturanalyse und Schutzbedarfsfeststellung fertig empfohlene Voraussetzungen: alle Richtlinien und Referenzdokumente fertig
Zertifizierungsantrag 2 Problemfälle: Abgrenzung des Verbundes und Beschreibung der Außenverbindungen nicht aktuelle Strukturanalyse (durch dynamische Umfeld) und Schutzbedarfsanalyse Folgen: fehlerhafter bereinigter Netzplan Zeitplanung fürs Audit nicht abgestimmt mit BSI Zertifizierungsstelle, externen Auditteam und betroffenen internen Abteilungen
Auditvorbereitungen Aufnahme und Einarbeitung der Hinweise aus dem Auditierungs- und Zertifizierungsschema Prüfaspekte zur Wirksamkeit eines ISMS Liste der Referenzdokumente Kommunikation mit Auditor Einhalten der Vertraulichkeit stark authentifizierter Datenaustausch z.b. über verschlüsselte Dokumentenablage Vorteil: Transparenz und Nachvollziehbarkeit der Kommunikation zu Auditteam und BSI Zertifizierungsstelle Auditplanung: Auditdauer (bis 3 Monaten): Planung, Vorbereitung, Durchführung. z.b. Termine des Vor-Ort Audits und Auditbegleitung Nachbesserungen einplanen (bis zu 3 Monaten)
Betriebsübergabe Übergabeplanung von Projektteam an Betrieb Betrieb des ISMS: eigener Sicherheitsbeauftragte Mehraufwand in Fachabteilungen für Betriebshandbücher, erhöhter Dokumentationsaufwand und schwieriger technischer Betrieb (z.b. Verschlüsselung) Kontrollanforderungen (z.b. Logfileanalyse) Weitere Aufwände nach der Zertifizierung: Vorbereitungen des Überwachungsaudits Aufrechterhaltung des ISMS Dokumentation der Änderungen und Abstimmung mit der Zertifizierungsstelle Regelmäßige Treffen, z.b. Notfallübungen Revision und Aktualisierung der Richtlinien Aktualisierung der Fachkonzepte und Schreiben der Betriebshandbücher
Fragen und Diskussion Vielen Dank für Ihre Aufmerksamkeit!
Kontakt Axel Leitner Unternehmensberater IT Schleißheimer Straße 398 80809 München axel.leitner(at)aritron.de Mobil: +49 170 966 28 52