(ISMS) Informationssicherheits-Managementsystem - das ABC der Umsetzung Skizze der Methodik nach ISO/IEC 27001 Weimar, 02.12.2016
Referent Wirt.-Inf. (BA) Krzysztof Paschke Geschäftsführer GRC Partner GmbH (Kiel und Hamburg) Senior Berater IT-Sicherheit und Notfallmanagement Leiter Cyber Defense itsmf e.v. (ITIL Anwenderorganisation) Fachbuchautor WWW.GRC-PARTNER.DE 2
Notfallmanagement Allianz Risk Barometer 2016: (*) Die 10 größten Geschäftsrisiken 2016 Befragung von mehr als 800 Risikoexperten in 40 Ländern weltweit Unter den ersten drei Geschäftsrisiken sind: 1. Betriebsunterbrechung (inkl. Lieferkettenunterbrechung) 2. Marktentwicklung (Marktvolatilität) 3. Cybervorfälle Die Betriebsunterbrechung steht zum 4. Mal an der ersten Stelle! (*) Quelle: www.agcs.allianz.com. Abruf am 14.09.2016 WWW.GRC-PARTNER.DE 3
Agenda 1. Standards und Normen 2. ISMS-Prozess 3. Projekt ISMS 4. Kontext der Organisation und Geltungsbereich 5. Strukturanalyse 6. Schutzbedarf und Risikoanalyse 7. Maßnahmen und Erklärung der Anwendbarkeit 8. Monitoring und Verbesserung WWW.GRC-PARTNER.DE 4
1. Standards und Normen Standards und Normen: (ISMS) Informationssicherheits-Managementsystem BSI-Standard 100-1, 100-2 ISO/IEC 27001 ISIS12 Cyber-Security für KMU (Bayerischen IT-Sicherheitscluster e.v.) VdS 3473 Cyber-Security für KMU (Gesamtverband der Deutschen Versicherungswirtschaft) Ergänzende Normen ISO/IEC 270xx (z.b. ISO/IEC 27019) ISO 31000, ISO 27005, BSI 100-3 (neu Entwurf BSI-Standard 200-3) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen WWW.GRC-PARTNER.DE 5
1. Standards und Normen Standards und Normen (warum?): Sehr gute Umsetzungshilfe (Leitfaden) Einheitliche Vorgaben und Methoden Transparenz, Vergleichbarkeit und Nachvollziehbarkeit Erlauben zuverlässige Projekt- und Kostenplanung Hohe Akzeptanz in den Unternehmen und Behörden Zertifizierung durch externe Stellen möglich Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen WWW.GRC-PARTNER.DE 6
2. ISMS - Prozess Zusammenfassung des ISMS-Pozesses gemäß ISO/IEC 27001: Kontext der Organisation und Geltungsbereich Strukturanalyse Schutzbedarf und Risikoanalyse Maßnahmen und Anwendbarkeitserklärung Messen, steuern und verbessern WWW.GRC-PARTNER.DE 7
3. Projekt ISMS Einführung Projektorganisation (DIN ISO 69901) Projektziel(e) Geltungsbereich Projektleitung Projektteam Meilensteine Zeitrahmen Arbeitspakete Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7 Projekt - Notfallmanagement WWW.GRC-PARTNER.DE 8
3. Soll Ist - Vergleich GAP-Analyse: 1. Soll-Ist-Analyse (wie Sicher sind zurzeit die Informationen in der Organisation) Vergleich der ISMS-Anforderungen mit der (IT-) Wirklichkeit 2. Status der ISMS-Maßnahmen Organisatorische Maßnahmen Technische Maßnahmen 3. Umsetzung der Maßnahmen Annex A der ISO/IEC 27001 ggf. individuelle Maßnahmen WWW.GRC-PARTNER.DE 9
3. Kontext der Organisation und Geltungsbereich Kontext der Organisation Zusammenfassung der Aufgaben und Ziele der Organisation Zusammenfassung der externe Faktoren wie z.b. Soziale, kulturelle und wirtschaftliche Umwelt Wettbewerb Geografie der Organisation (lokal, regional, national, international) Erfordernisse und Erwartungen der interessierter Parteien Kunden, Lieferanten Mitarbeiter, Geschäftsführung, Betriebsrat, Behörden, Gesellschafter etc. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7 Projekt - Notfallmanagement WWW.GRC-PARTNER.DE 10
IT-Infrastruktur 3. Geltungsbereich Welche Bereiche der Organisationen sollen im ISMS abgebildet wrden? Unternehmensstruktur GL OE 1 OE 2 OE n Prozessbeschreibung P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste Server, Arbeitsplätze, Netzwerk Daten WWW.GRC-PARTNER.DE 11
IT-Infrastruktur 4. Strukturanalyse Welche Informationen werden für die Schadensanalyse benötigt? Was soll geschützt werden? Unternehmensstruktur GL OE 1 OE 2 OE n Prozessbeschreibung P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste Server, Arbeitsplätze, Netzwerk Daten WWW.GRC-PARTNER.DE 12
5. Schutzniveau mit Business Impact Analyse [BIA] Feststellung des Schutzbedarfs (Prozesse, Daten): Strukturierte Bewertung der Schadenspotentiale für die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) Betrachtung der Schadensszenarien Finanzielle Auswirkung Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Imageschaden Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Versorgungssicherheit (Energieversorger) Einschränkung des Energieflusses (Energieversorger) Betroffener Bevölkerungsanteil (Energieversorger) Schadenskategorien und Schutzniveau niedrig normal hoch sehr hoch WWW.GRC-PARTNER.DE 13
5. Risikoanalyse [RIA] Risikoanalyse für Schutzbedürftige Prozesse (Daten) und Ressourcen: Was kann die Schutzziele (VIV) negativ beeinträchtigen Standards z.b. ISO/IEC 27005 oder BSI-Standard 100-3 (neu 200-3) Risikoidentifikation (z.b. BSI G0 46 Elementare Gefährdungen) Risikobewertung = Eintrittswahrscheinlichkeit * Auswirkung WWW.GRC-PARTNER.DE 14
6. Risikoanalyse [RIA] Ergebnis der Risikoanalyse: Basis für die Umsetzung der Maßnahmen Risikobehandlung Übernahme - ohne Maßnahmen akzeptiert Transfer - Versicherung oder Dienstleister Vermeidung - Reorganisation Reduktion - Umsetzung von Maßnahmen WWW.GRC-PARTNER.DE 15
7. Anwendbarkeitserklärung (SoA) Erklärung zur Anwendbarkeit: Grundlegendes Dokument im ISMS Auflistung alle Maßnahmenziele und Maßnahmen Begründung der Umsetzung u.a. Risikoanalyse Compliance Geschäftsanforderung Best Practice Unerlässlich für eine Prüfung und Zertifizierung des ISMS WWW.GRC-PARTNER.DE 16
10. Monitoring und Verbesserung Monitoring: Regelmäßige Überprüfung der Sachverhalte P-D-C-A z.b. Unternehmensorganisation, BIA, Risikoanalyse etc. z.b. Korrekturmaßnahmen etc. WWW.GRC-PARTNER.DE 17
ISMS-Umsetzung Häufige Probleme bei der Umsetzung (Auszug): Überzeugung der Geschäftsleitung und Fachbereiche Dokumentation der Organisation, Prozesse und IT Projektmanagement und -durchführung Ressourcen Kenntnisse der Standards und Methodik der Umsetzung Budget WWW.GRC-PARTNER.DE 18
Vielen Dank für Ihre Aufmerksamkeit Wirt.-Inf. (BA) Krzysztof Paschke GRC Partner GmbH Schauenburgerstraße 116 D-24118 Kiel Ein Unternehmen der AKRA Gruppe www.grc-partner.de kpaschke@grc-partner.de +49 431 530 33 990 WWW.GRC-PARTNER.DE 19