Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8
INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES IT-SICHERHEITSMANAGEMENT SYSTEMS...3 2.1 Aufnahme IST-Situation... 4 2.2 Analyse und Auswertung... 5 2.3 Ergebnisdokumentation... 5 2.4 Rahmenbedingungen... 5 3 PROJEKTORGANISATION...7 4 MITWIRKUNGSPFLICHTEN DES AUFTRAGGEBERS...7 5 GEHEIMHALTUNG UND VERTRAULICHKEIT...8 Human Internet CONSULT AG 2006 Seite 2
1 AUSGANGSSITUATION Die modernen Geschäftsprozesse in den Instituten erleben eine immer stärker werdende Abhängigkeit von der IT. Unternehmensziele sind heutzutage nur noch bei einem ordnungsmäßigen und sicheren Einsatz der EDV möglich. Durch die vernetzten Systeme, die große Verbreitung, die hohe Leistungsfähigkeit als auch die große Funktionalität steigt die Abhängigkeit immer mehr. Aus diesen Gründen sind IT Sicherheitsmanagement Systeme im Einsatz die über geeignete Regelungen zur Steuerung, Überwachung und Kontrolle der Risiken verfügen sowie angemessene Sicherheitsvorkehrungen für den Einsatz der Elektronischen Datenverarbeitung abbilden. Dieses IT Sicherheitsmanagement Systeme müssen in regelmäßigen Abständen geprüft werden. Information Security Management System ISMS Einführung und Einhaltung der IT - Sicherheit IT-Risikomanagement Schutzbedarfsfeststellung Risikoanalyse IT-Strukturanalyse Dokumentsichtung, Interviews, Begehung Maßnahmenkatalog Implementierung Technik, Prozesse, Sensibilisierung, Vertragsinhalte,... Frame Work Strategien Security Policies Richtlinien Konzepte Rahmenbedingungen Geschäftsprozesse, Gesetze, Kultur Scope Review / Audit Prozess-Sicht Review / Audit Asset-Sicht Kontrolle / Überwachung Security Reports Monitoring Abbildung 1: IT Sicherheitsmanagementprozess (Information Security Management System) 2 AUDITIERUNG EINES IT- SICHERHEITSMANAGEMENT- SYSTEMS Aufgrund bestehender, komplexer Sicherheitsanforderungen benötigen die verantwortlichen Stellen (IT Sicherheitsbeauftragter, Sicherheitsteam) externe Unterstützung bei der Auditierung ihrer im Einsatz befindlichen e, die sich wie folgt darstellt: Aufnahme IST Situation Analyse und Auswertung Ergebnisdokumentation Bei der Bewertung der IT-Sicherheitsmaßnahmen wird besonders auf die Konformität zum MA- RISK, KWG, OPDV, Grundschutzhandbuch des BSI und der ISO 17799/BS7799 Wert gelegt. Unser Vorgehen im Einzelnen: Human Internet CONSULT AG 2006 Seite 3
Innerhalb des Projektes wird der derzeitige Stand der IT- Sicherheit überprüft. Hierbei werden neben der Technik insbesondere auch organisatorische und prozessbezogene Sicherheitsmaßnahmen aufgenommen und analysiert. Das bestehende Sicherheitsniveau wird gegenüber den Anforderungen aus etablierten Sicherheitsstandards wie MA RISK, KWG, OPDV, Grundschutzhandbuch des BSI und der ISO 17799/BS7799 überprüft. Darüber hinaus findet eine Prüfung der Einhaltung gesetzlicher Vorgaben statt (z.b. Bundesdatenschutzgesetz). Die Human Internet CONSULT AG stellt das bestehende Sicherheitsniveau transparent dar und zeigt Sicherheitslücken und Optimierungsbedarf innerhalb eines Maßnahmenkataloges auf. Der Maßnahmenkatalog beschreibt hierbei die erforderlichen Maßnahmen und die kundenindividuelle Vorgehensweise zur Anpassung des IT- Sicherheitsmanagementprozesses. Darüber hinaus werden notwendige Maßnahmen im Bereich der Organisation, Betriebsprozesse und Technik dokumentiert und diskutiert. Zusammenfassend ergeben sich folgende Ziele: Identifizierung vorhandener Schwachstellen im Bereich Technik, Betrieb oder Prozessen Bewertung des aktuellen Sicherheitsniveaus Kostengünstige und unabhängige Ermittlung Ihrer individuellen Potentiale zur Erhöhung der IT- Sicherheit inklusive konkreter Lösungsvorschläge Sensibilisierung des IT- Managements bezüglich IT- Sicherheit Argumentationshilfe bezüglich notwendiger Investitionen Beschreibung der Vorgehensweise und der erforderlichen Maßnahmen zur Anpassung des IT- Sicherheitsmanagementprozesses Prüfung auf Einhaltung gesetzlicher Vorgaben und Anforderungen aus Sicherheitsstandards 2.1 Aufnahme IST- Situation Durch Sichtung von Dokumenten (z.b. Netz- und Systemdokumentationen, Richtlinien, etc.) sowie durch Interviews mit Ansprechpartnern im Bereich IT- Sicherheit, Netzwerk- und Systemadministration gewinnen die Mitarbeiter der Human Internet CONSULT AG ein Bild des Sicherheitsniveaus beim Kunden. Die Aufnahme umfasst unter anderen folgenden Bereich: IT- Sicherheitsmanagementprozess Security Policy Internet- und Mailnutzungsrichtlinien Content Security, Virenschutz Netzwerkabsicherung (RAS, VPN, Firewall) Authentisierung und Authorisierungskonzepte, Verschlüsselung sensitiver Daten Security Incident Erkennung (Intrusion Detection Systeme, Logauswertung,...) Betriebsprozesse (Incident Management, Change Management) Betriebsaspekte (Patch Management, Backup & Restore,...) Infrastruktur (Zutrittsregelungen, Stromversorgung, Klimaanlage, Feuerschutz,...) Human Internet CONSULT AG 2006 Seite 4
2.2 Analyse und Auswertung Die Human Internet CONSULT AG wertet die aufgenommenen Informationen aus. Die Auswertung erfolgt hinsichtlich der Ermittlung des derzeitigen Sicherheitslevels sowie zur Identifizierung von Bereichen, in denen eine Erhöhung der IT- Sicherheit durch Anpassungen der Infrastruktur, Systeme oder Prozesse sinnvoll und erforderlich ist. Die Prüfung erfolgt gegenüber gesetzlichen Vorgaben und Anforderungen aus Sicherheitsstandards wie BSI Grundschutzhandbuch und BS7799/ ISO17799. Sind Optimierungen möglich, so werden konkrete Lösungsvorschläge erarbeitet und dokumentiert. 2.3 Ergebnisdokumentation Die Human Internet CONSULT AG dokumentiert die Ergebnisse der Analyse und der Auswertung innerhalb von zwei Dokumenten: SOLL-IST Vergleich Dokumentation des derzeitigen Sicherheitsniveaus Maßnahmenkatalog Dokumentation von Sicherheitsmängeln und Optimierungsansätzen inklusive konkreter Lösungsvorschläge 2.4 Rahmenbedingungen Zustimmung der IT-Bereichsleitung und falls notwendig des Vorstandes Benennung aller relevanten Ansprechpartner Zeitnahe Verfügbarkeit aller relevanten Ansprechpartner (für Interviews, Workshops, etc.) Mitarbeit durch die Fachabteilungen (IT, Personal, Betriebsrat, Datenschutz) sowie die beteiligten Leitungsebenen Zugang zu allen benötigten DV-Unterlagen, Räumlichkeiten und sonstigen Informationen Eventuelle, während des Projektes aufkommende, Verzögerungen oder Zusatzaufgaben werden durch den Projektleiter direkt an den Ansprechpartner des Kunden kommuniziert und für das weitere Vorgehen abgestimmt Der Auftraggeber bestimmt einen Projektkoordinator, der für die internen Abstimmungsprozesse verantwortlich ist. Der Projektkoordinator wird spätestens zum Projekt Kick-Off benannt. Human Internet CONSULT AG 2006 Seite 5
Der Auftraggeber benötigt für die Erarbeitung der Ergebnisse ein Kernteam mit den folgenden Aufgaben und Funktionen: interner Koordinator und Verantwortlicher für die Durchführung (IT-Sicherheitsbeauftragter) einen Stellvertreter für den internen Koordinator, der auch von einem der beiden folgenden Funktionen wahrgenommen werden kann Mitarbeiter, der zu den eingesetzten IT-Systemen und Netzen fachkundig ist Mitarbeiter, der zu den IT-Anwendungen aus fachlicher Sicht aussagefähig ist Wünschenswert ist die Präsenz von Revision und Datenschutzbeauftragtem des Auftraggebers im Projektverlauf. Der Auftraggeber stellt das oben beschriebene Kernteam auf. Die Anzahl der beteiligten Personen hängt davon ab, inwieweit die o. a. Aufgaben und Funktionen unter den Personen aufgeteilt bzw. zusammengefasst werden. Die im Rahmen des Projektes durchzuführenden Arbeiten werden innerhalb von Arbeitspaketen erfolgen. Diese bilden logische Einheiten im Projekt und liefern die Teilergebnisse des Projektes. Die Beteiligung der verschiedenen Experten des Auftraggebers und des Auftragnehmers erfolgt auf der Basis der Themen jedes Arbeitspaketes und wird weiter unten tabellarisch dargestellt. Das Vorgehensmodell für die Durchführung des Projektes lehnt sich an das Grundschutzhandbuch des BSI und den Code of Practice der ISO 17799/BS7799 an. Human Internet CONSULT AG 2006 Seite 6
3 PROJEKTORGANISATION Im Rahmen des Projektmanagements werden Leistungen zur Koordination, Abstimmung und Kommunikation erbracht. In Abhängigkeit vom Zeitpunkt der Vertragsunterzeichnung erstellt die Human Internet CONSULT AG zusammen mit dem Auftraggeber und der Sparkasse einvernehmlich einen detaillierten Projektplan. Terminverschiebungen werden rechtzeitig der anderen Vertragsseite mitgeteilt und die Terminplanung einvernehmlich abgeändert. In diesem Rahmen erfolgt ebenfalls die Definition der Pflichten der Geschäftspartner und der Eskalationsstufen im Problemfall. Der Auftraggeber benennt einen Ansprechpartner für die Human Internet CONSULT AG, der als Koordinator die Gesamtverantwortung für die ordnungsgemäße Durchführung des Auftrages hat. Die Human Internet CONSULT AG benennt einen Projektleiter. Die Human Internet CONSULT AG wird nach Absprache externe Berater und Beraterinnen einsetzen. Während der Durchführung der Tätigkeiten werden Berater/innen auch beim Auftraggeber vor Ort sein. Für eine erfolgreiche Tätigkeit ist die Human Internet CONSULT AG auf die intensive Zusammenarbeit mit den Mitarbeitern des Auftraggebers angewiesen. 4 MITWIRKUNGSPFLICHTEN DES AUFTRAGGEBERS Der Auftraggeber verpflichtet sich, die Human Internet CONSULT AG bei der Durchführung ihrer Aufgaben zu unterstützen. Insbesondere wird der Auftraggeber folgende Anforderungen sicherstellen: Pläne/Unterlagen/Dokumente Für die reibungslose Durchführung der vereinbarten Dienstleistungen können Zugriffe auf Verkabelungspläne, Aufzeichnungen zur Netzwerk-Infrastruktur, Mitarbeiterverzeichnis mit Raumund Telefonnummern, etc. notwendig sein. Der Auftraggeber stellt diese im Bedarfsfall zur Verfügung. Inventarisierung Sind Aufzeichnungen und Eintragungen zur Inventarisierung notwendig, so sind Ablauf und inhaltliche Angaben vom Auftraggeber in der jeweiligen Anlage zu benennen und aufzunehmen. Auftraggeber-Infrastruktur Der Auftraggeber stellt sicher, dass der Human Internet CONSULT AG und seinen Beratern sämtliche Kommunikationsanschlüsse und -komponenten kostenlos zur Verfügung gestellt werden, die zur Durchführung der Vertragsleistungen notwendig sind. Die für die Leistungserbringung notwendigen Arbeitsmittel sowie die für die Arbeitsumgebungen erforderlichen Zugriffsberechtigungen werden im Einzelfall vom Auftraggeber zeitaktuell bereitgestellt. Human Internet CONSULT AG 2006 Seite 7
5 GEHEIMHALTUNG UND VERTRAULICHKEIT Die Human Internet CONSULT AG verpflichtet sich, alle im Zusammenhang mit der Durchführung ihrer Aufgaben und Funktionen bekannt gewordenen Informationen vertraulich zu behandeln und nicht an Dritte weiterzugeben. Diese Verpflichtung erstreckt sich auf alle mit den Aufgaben und Funktionen beauftragten Mitarbeiter/innen der Human Internet CONSULT AG sowie auf die unter Vertrag stehenden Mitarbeiter/innen der eingesetzten Subunternehmen. Die Human Internet CONSULT AG wird alle im Zusammenhang mit dieser Vereinbarung anvertrauten Schriftstücke, Drucksachen, Geschäftspapiere sowie alle eigenen Aufzeichnungen über geschäftliche Dinge, die den Auftraggeber berühren, jederzeit als das Eigentum des Auftraggebers betrachten. Diese Dokumente dürfen nicht in die Hände Unbefugter gelangen und sind auf Verlangen jederzeit, spätestens nach Beendigung dieses Vertrages, unaufgefordert dem Auftraggeber auszuhändigen. Die Human Internet CONSULT AG wird ihre Mitarbeiter/innen darauf hinweisen, dass die in den Räumen des Auftraggebers geltenden Sicherheits- und Ordnungsvorschriften befolgt werden. Human Internet CONSULT AG 2006 Seite 8