ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller
Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit
http://www.bsi.bund.de
Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen sind installiert auf IT Systemen sind aufgestellt in Diese Elemente betrachtet IT Grundschutz Räumen sind Teil von Gebäuden
Sofortmaßnahmen für normales Niveau Auszug des Gefährdungskatalogs Auszug des Maßnahmenkatalogs Handlungsempfehlungen in Form von konkreten Maßnahmen, die typischen Gefährdungen gegenübergestellt werden. Zusammenfassung in standardisierten Bausteinen für typische Komponenten.
IT-Grundschutz: Grundgedanke Idee Gesamtsystem enthält typische Komponenten (z.b. Server und Clients, Betriebssysteme) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen (für normalen Schutzbedarf) Konkrete Umsetzungshinweise für Maßnahmen Vorteile Arbeitsökonomische Anwendungsweise durch Soll-Ist- Vergleich Kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle (= Maßnahmen in den ITGS-Katalogen) Praxiserprobte Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit
Vorgehensweise gemäß BSI 100-2 / 100-3 bei erhöhtem Schutzbedarf bei besonderem Einsatzszenario bei fehlenden Bausteinen in der Regel für 20% der Ressourcen
IT-Grundschutz: Zertifizierungsaudit Umfang richtet sich nach den Vorgaben der Zertifizierungsstelle des BSI Hohe Vergleichbarkeit durch einheitliches Prüfschema Auditoren interpretieren Maßnahmen ähnlich Auditoren prüfen und erstellen nur den Bericht Zertifizierungsstelle prüft Angaben und ist ggf. bereits beim Audit anwesend (Qualitätsgedanke) Einheitliche Ausbildung der Auditoren für die Durchführung der Audits mit jährlicher Weiterbildung
IT-Grundschutz: Zwischenfazit Vorgehensweise Orientiert sich an der Struktur der IT-Ressourcen Sehr konkret in den BSI Standards beschrieben Risikoanalyseansatz Standardmaßnahmen für normales Niveau, detaillierte Analyse nötig für höheres Niveau Definition der Anforderungen und Maßnahmen Kaum Anforderungsmanagement Detaillierte, praxiserprobte Maßnahmenvorschläge Zertifizierungsaudit Einheitliche Prüfung, vergleichbare Ergebnisse
How to make ISO-Standards
How to make ISO Standards
How to make ISO-Standards
ISO 27001 http://www.iso.org
Der International Standard ISO/IEC 27001 Status: Erst-Veröffentlichung 10/2005 Titel: Information technology - Security techniques -Information security management systems Requirements Ursprung: BS 7799 Teil 2 Inhalt: Allgemeine Aussagen über ein Information Security Management System (ISMS) Umfang des normativen Teils: ca. 30 Seiten (insges. 48 Seiten) ML2 Scope: Overall business risk Zertifizierung: durch akkreditierte Zertifizierungsunternehmen möglich (aktuelle Liste ist auf der Homepage der TGA bzw. DGA) ML1
Folie 14 ML1 Aktuelle Version 2013 Miriam Lambert; 16.03.2015 ML2 normativer Teil 2013: 22 Seiten Miriam Lambert; 16.03.2015
Der International Standard ISO/IEC 27002 Status: Erst-Veröffentlichung 2007 ML4 Titel: Information technology Code of practice for information security management Ursprung: BS 7799-1:1999 Inhalt: Definition eines Rahmenwerks für das IT-Sicherheitsmanagement Umfang des normativen Teils: 136 Seiten ML3 Detailtiefe: Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technische Hinweise Zertifizierung: grundsätzlich nicht möglich
Folie 15 ML3 Umfang der neuen Fassung? Miriam Lambert; 16.03.2015 ML4 Aktueller Stand von 2013 Miriam Lambert; 16.03.2015
ISO 27001: Anforderungen des Standards Dokumentation, Richtlinien und Aufzeichnungen Organisatorische und technische Aspekte Annex A mit 114 Anforderungen ohne jedoch konkrete Vorschläge an die Hand zu geben.
ISO 27001: Die Ausprägung ist individuell gestaltbar
ML5 ISO 27001: Mapping der Kapitel auf den PDCA Zyklus
Folie 18 ML5 Alter Stand Miriam Lambert; 16.03.2015
ISO 27001: Best practice Eine abgeleitete Vorgehensweise
ISO 27001: Risikomanagement als Anforderungsmanagement (hier gemäß ISO 27005) Erfassung konkreter Risiken auf Basis tatsächlicher Schutzanforderungen Kombination von Bauchgefühl und langjähriger Erfahrung Bestimmung eines Risikoakzeptanz-Niveaus = Anforderung Kontrolle und Überwachung der ausgewählten Maßnahmen Implementierung von Prozessen zur Verbesserung der Transparenz und Verantwortungsübernahme Integration von detaillierten IT- Risiken
ISO 27001: Die Control "A.9.2 Equipment security" Sehr generische Darstellung der Zielstellung (Objective) und der erwarteten Maßnahmen (Controls).
ISO 27002: Erweiterung der Control "A.9.2 Equipment security" Höhere Präzisierung der generischen Anforderungen in der ISO 27002, dennoch ein sehr weit gefasster Interpretationsspielraum.
Umsetzung zur elektrotechnischen Verkabelung im ITGrundschutz Baustein 2.2 Die Anforderungen der ISO lassen sich mit Standardmaßnahmen aus dem IT-Grundschutzkatalog abbilden.
ISO 27001: Zwischenfazit Vorgehensweise Die individuelle Ausprägung lässt dem implementierenden Unternehmen einen breiten Gestaltungsspielraum. Risikoanalyseansatz Geforderter Risikoanalyseansatz auf Basis der tatsächlichen Sicherheitsanforderungen der Schutzobjekte. Definition der Anforderungen und Maßnahmen Der normative Teil des Standards hat diverse Anforderungen, die aber weder im Annex A noch in der ISO 27002 konkretisiert werden. Umsetzung nach Anforderungsmanagement keine Maßnahmen. Keine Maßnahme vor Risikoanalyse. Zertifizierungsaudit Vorgehen beim Audit abhängig von der Zertifizierungsgesellschaft unterschiedlich und nicht öffentlich
Eignung von BSI IT-Grundschutz und ISO 27001
BSI IT-Grundschutz und ISO 27001 im Vergleich Folgende Parameter können zur generellen Eignung bei der Umsetzung der jeweiligen Standards und Vorgehensweisen herangezogen werden:
Fazit Die Eignung muss analysiert werden: Ohne Voruntersuchung keine valide Aussage möglich Anhängig von Anforderungen, Schutzlevel, Prozesse und IT-Infrastruktur im IS-Verbund/Anwendungsbereich ISO 27001 auf der Basis von IT-Grundschutz: Für deutsche Behörden (UP Bund) zwingend Für Organisationen mit normalen Anwendungsbereichen und standardisierter IT-Infrastruktur Klare Vorgehensweise gut für Ersteinführung ISO 27001 nativ: Für Unternehmen, die eine internationale Verwendbarkeit des Zertifikates anstreben (u. a. unterschiedliche Anforderungen in jedem Land) Hochsicherheitsbereiche, ungewöhnliche IT-Infrastruktur
Gibt es noch Fragen? Oliver Müller Geschäftsführer Hier kann ein Foto platziert werden oliver.mueller@bitmaster-edv.de Bitmaster EDV-Beratung GmbH Holzhauser Straße 140 H 13509 Berlin Telefon: +49 30 516327-71 www.bitmaster-edv.de Vielen Dank für Ihre Aufmerksamkeit!