ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

Ähnliche Dokumente
ISO mit oder ohne BSI-Grundschutz? Oliver Müller

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

Stolpersteine bei der Einführung von ISO und BSI IT- Grundschutz. Wilhelm Dolle Partner, Consulting Information Technology

1. IT-Grundschutz-Tag 2014

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Lösungen die standhalten.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

ISO / ISO Vorgehen und Anwendung

Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

Informationssicherheit - Nachhaltig und prozessoptimierend

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Der neue IT-Grundschutz im Kontext der ISO 27001

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

BYOD und ISO Sascha Todt. Bremen,

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz nach BSI 100-1/-4

S-ITsec: strategisches IT-Security-Managementsystem

Automatisierter IT-Grundschutz Hannover

BSI Technische Richtlinie

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

BSI Grundschutz & ISMS nach ISO 27001

IT-Grundschutz-Novellierung Security Forum Hagenberger Kreis. Joern Maier, Director Information Security Management

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

Brandschutzbeauftragter (TÜV )

15 Jahre IT-Grundschutz

ISO Zertifizierung

Zertifizierung von IT-Standards

Software EMEA Performance Tour Juni, Berlin

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

Auf den Schultern von Riesen ISIS12 als Vorstufe zum BSI IT-Grundschutz

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

IT-Sicherheit in der Energiewirtschaft

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

BCM Business Continuity Management

Neues vom IT-Grundschutz: Ausblick und Modernisierung

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

ÄNDERUNGEN UND SCHWERPUNKTE

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Die wichtigsten Änderungen

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

VdS 3473 Informationssicherheit für KMU

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Einführung eines ISMS nach ISO 27001:2013

ENTSPANNT LERNEN CYBER AKADEMIE- SUMMER SCHOOL. Lead-Auditor nach ISO/IEC Juli IT-Grundschutz-Experte

Praxisbuch ISO/IEC 27001

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

GRC TOOLBOX PRO Vorstellung & News

Zentrum für Informationssicherheit

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

IT-Grundschutz Einführung und Anwendung auf Datenbanken

Kryptokonzepte. BSI-Leitfaden und praktische Umsetzung. Frank Rustemeyer. Director System Security HiSolutions AG, Berlin

Übersicht über die IT- Sicherheitsstandards

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

Informations- / IT-Sicherheit Standards

Normrevision DIN EN ISO 9001:2015. Seite: 1

ISO Ihr. Angriffe Alexander Häußler TÜV SÜD Management Service GmbH

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

SerNet. Praxisbericht: Überwachungsaudit nach dem neuen Zertifizierungsschema. Alexander Koderman. SerNet GmbH

Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Zuordnung der Anforderungen der DIN EN ISO 9001:2015 im QMS-Reha

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

Der niedersächsische Weg das Beste aus zwei Welten

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

11. Westsächsisches Umweltforum 12. November 2015, Meerane. Informationen zur Revision der DIN EN ISO 14001:2015

Cyber Security der Brandschutz des 21. Jahrhunderts

Die Hohe Schule für IRIS Manager

Risikomanagement. DGQ Regionalkreis Ulm Termin: Referent: Hubert Ketterer. ISO/DIS 31000: Herausforderung und Chance für KMU

Regelwerk der Informationssicherheit: Ebene 1

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Umweltmanagement nach ISO 14001:2015

ISO 9001: Einleitung. 1 Anwendungsbereich. 2 Normative Verweisungen. 4 Qualitätsmanagementsystem. 4.1 Allgemeine Anforderungen

Gegenüberstellung der Normkapitel

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

E DIN EN ISO 9001: (D/E)

Transkript:

ISO 27001 mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO 27001 Senior Manager HiSolutions AG, Berlin

Agenda ISO 27001+BSI IT-Grundschutz ISO 27001 nativ Eignung Fazit We secure your business. (tm) 2010, HiSolutions AG BSI ISO IT-Grundschutz 27001 mit oder oder ohne ISO IT-Grundschutz? 27001/27002 2

Informationssicherheit: Wir haben ja schon etwas getan! Wirksamkeit, Angemessenheit, Vergleichbarkeit? Standards! We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 3

BSI IT-Grundschutz (C) http://www.bsi.bund.de/ We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 4

IT-Grundschutz: Grundsätzlicher Analyseansatz Prozess benötigt Diese Elemente betrachtet IT-Grundschutz Anwendungen sind installiert auf IT-Systemen sind aufgestellt in Räumen sind Teil von Gebäuden We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 5

IT-Grundschutz: Grundgedanke Idee Gesamtsystem enthält typische Komponenten (z.b. Server und Clients, Betriebssysteme) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen (für normalen Schutzbedarf) Konkrete Umsetzungshinweise für Maßnahmen Vorteile Arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich Kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle (= Maßnahmen in den ITGS-Katalogen) Praxiserprobte Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 6

IT-Grundschutz: Sofortmaßnahmen für normales Niveau Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen Auszug des Gefährdungskatalogs Auszug des Maßnahmenkatalogs > Handlungsempfehlungen in Form von konkreten Maßnahmen, die typischen Gefährdungen gegenübergestellt werden. Zusammenfassung in standardisierten Bausteinen für typische Komponenten. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 7

IT-Grundschutz: Vorgehensweise gemäß BSI 100-2 / 100-3 Definition Informationsverbund 5 0 0 0 0 0 Strukturanalyse Schadenshöhe 4 0 0 0 0 0 3 0 0 0 0 0 2 0 0 0 0 0 Schutzbedarfsfeststellung 1 0 0 0 0 0 1 2 3 4 5 Modellierung Basissicherheitscheck Ergänzende Sicherheitsanalyse Risikoanalyse Realisierung Standard-Sicherheit Gefährdungsübersicht Zusätzliche Gefährdungen Gefährdungsbewertung Behandlung von Risiken Konsolidierung Risikoanalyse Bei erhöhtem Schutzbedarf Bei besonderem Einsatzszenario Bei fehlenden Bausteinen In der Regel für ca. 20% der Ressourcen We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 8

IT-Grundschutz: Zertifizierungsaudit Umfang richtet sich nach den Vorgaben der Zertifizierungsstelle des BSI Hohe Vergleichbarkeit durch einheitliches Prüfschema Auditoren interpretieren Maßnahmen ähnlich Auditoren prüfen und erstellen nur den Bericht Zertifizierungsstelle prüft Angaben und ist ggf. bereits beim Audit anwesend (Qualitätsgedanke) Einheitliche Ausbildung der Auditoren für die Durchführung der Audits mit jährlicher Weiterbildung We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 9

IT-Grundschutz: Zwischenfazit Vorgehensweise Orientiert sich an der Struktur der IT-Ressourcen Sehr konkret in den BSI Standards beschrieben Risikoanalyseansatz Standardmaßnahmen für normales Niveau, detaillierte Analyse nötig für höheres Niveau Definition der Anforderungen und Maßnahmen Kaum Anforderungsmanagement Detaillierte, praxiserprobte Maßnahmenvorschläge Zertifizierungsaudit Einheitliche Prüfung, vergleichbare Ergebnisse We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 10

ISO 27001 (C) http://www.iso.org/ We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 11

Der International Standard ISO/IEC 27001 Status: Erst-Veröffentlichung 10/2005 Titel: Information technology - Security techniques - Information security management systems Requirements Ursprung: BS 7799 Teil 2 Inhalt: Allgemeine Aussagen über ein Information Security Management System (ISMS) Umfang des normativen Teils: ca. 30 Seiten (insges. 48 Seiten) Scope: Overall business risk Zertifizierung: durch akkreditierte Zertifizierungsunternehmen möglich (aktuelle Liste ist auf der Homepage der TGA bzw. DGA) We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 12

Der International Standard ISO/IEC 27002 Status: Erst-Veröffentlichung 2007 Titel: Information technology Code of practice for information security management Ursprung: BS 7799-1:1999 Inhalt: Umfang: Definition eines Rahmenwerks für das IT-Sicherheitsmanagement 136 Seiten Detailtiefe: Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technische Hinweise Zertifizierung: Zertifizierung nach ISO/IEC 27002 ist grundsätzlich nicht möglich We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 13

ISO 27001: Anforderungen des Standards Dokumentation, Richtlinien und Aufzeichnungen Organisatorische und technische Aspekte > Annex A mit 17 Seiten der diversesten Anforderungen ohne jedoch konkrete Vorschläge an die Hand zu geben. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 14

ISO 27001: Die Ausprägung ist individuell gestaltbar Sicherheitskonzept Oracle Sicherheitskonzept Passworte Sicherheitskonzept Virtuelle Maschinen Regelungsstruktur Organisation Sicherheitskonzept Virenschutz Sicherheitskonzept Datensicherung Sicherheitskonzept Sicherheitszonen Sicherheitskonzept Unix Risikomanagementprozess Prozesse im Sicherheitsmanagement Richtlinien und Aufzeichnungen techn. Maßnahmen We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 15

ISO 27001: Mapping der Kapitel auf den PDCA Zyklus 4.2.1 Festlegen des ISMS Interessenten (stakeholder): Erwartungen / Anforderungen 7.3 Ergebnisse der Bewertung 4 Informationssicherheitsmanagementsystem 8.2 Korrekturmaßnahmen 8.3 Vorbeugungsmaßnahmen 7.2 Eingaben für die Bewertung Act 5.1 Verpflichtung des Managements Plan Steuerung Check 6. Interne ISMS-Audits Do 4.2.3 Überwachen und Überprüfen des ISMS 8.1 Ständige Verbesserung (KVP) 4.2.2 Umsetzen und Durchführen des ISMS 5.2.1 Bereitstellung von Ressourcen 5.2.2 Schulungen, Bewusstsein und Kompetenz 3M: measure, monitor, manage Interessenten (stakeholder): Zufriedenheit / Umsetzung We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 16

ISO 27001: Best practice Eine abgeleitete Vorgehensweise Scope Schritt 1: Festlegung des Anwendungsbereichs Werte Schritt 2: Inventarisieren der Werte (Assets) Dokumentation Risiko KVP Schadenshöhe 5 0 0 0 0 0 4 0 0 0 0 0 3 0 0 0 0 0 2 0 0 0 0 0 1 0 0 0 0 0 1 2 3 4 5 Schritt 3: Analysieren und Behandeln von Risiken Maßnahmen Schritt 4: Maßnahmen festlegen umsetzen KVP: Kontinuierlicher Verbesserungsprozess Anwendbarkeit Schritt 5: Aufbau des Statement of Applicability (SOA) We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 17

ISO 27001: Risikomanagement als Anforderungsmanagement (hier gemäß ISO 27005) Anzahl der Risiken Erfassung konkreter Risiken auf Basis tatsächlicher Schutzanforderungen Kombination von Bauchgefühl und langjähriger Erfahrung Bestimmung eines Risikoakzeptanz- Niveaus = Anforderung Kontrolle und Überwachung der ausgewählten Maßnahmen Implementierung von Prozessen zur Verbesserung der Transparenz und Verantwortungsübernahme Integration von detaillierten IT- Risiken We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 18

ISO 27001: Die Control "A.9.2 Equipment security" Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization s activities. > Sehr generische Darstellung der Zielstellung (Objective) und der erwarteten Maßnahmen (Controls). We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 19

ISO 27002: Erweiterung der Control "A.9.2 Equipment security" > Höhere Präzisierung der generischen Anforderungen in der ISO 27002, dennoch ein sehr weit gefasster Interpretationsspielraum. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 20

Umsetzung zur elektrotechnischen Verkabelung im IT- Grundschutz Baustein 2.2 > Die Anforderungen der ISO lassen sich mit Standardmaßnahmen aus dem IT-Grundschutzkatalog abbilden. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 21

ISO 27001: Zwischenfazit Vorgehensweise Die individuelle Ausprägung lässt dem implementierenden Unternehmen einen breiten Gestaltungsspielraum. Risikoanalyseansatz Geforderter Risikoanalyseansatz auf Basis der tatsächlichen Sicherheitsanforderungen der Schutzobjekte. Definition der Anforderungen und Maßnahmen Der normative Teil des Standards hat diverse Anforderungen, die aber weder im Annex A noch in der ISO 27002 konkretisiert werden. Umsetzung nach Anforderungsmanagement keine Maßnahmen. Keine Maßnahme vor Risikoanalyse. Zertifizierungsaudit Vorgehen beim Audit abhängig von der Zertifizierungsgesellschaft unterschiedlich und nicht öffentlich We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 22

Eignung von BSI IT-Grundschutz und ISO 27001 We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 23

BSI IT-Grundschutz und ISO 27001 im Vergleich Folgende Parameter können aus unserer Sicht der generellen Eignung bei der Umsetzung der jeweiligen Standards und Vorgehensweisen herangezogen werden: 1 Quelle: https://www.bsi.bund.de/ (September 2010) 2 Quelle: http://www.iso27001certificates.com/ (September 2010) We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 24

Fazit Die Eignung muss analysiert werden: Ohne Voruntersuchung keine valide Aussage möglich Anhängig von Anforderungen, Schutzlevel, Prozesse und IT- Infrastruktur im IS-Verbund/Anwendungsbereich ISO 27001 auf der Basis von IT-Grundschutz: Für deutsche Behörden (UP Bund) zwingend Für Organisationen mit normalen Anwendungsbereichen und standardisierter IT-Infrastruktur Klare Vorgehensweise gut für Ersteinführung ISO 27001 nativ: Für Unternehmen, die eine internationale Verwendbarkeit des Zertifikates anstreben (u. a. unterschiedliche Anforderungen in jedem Land) Hochsicherheitsbereiche, ungewöhnliche IT-Infrastruktur We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 25

Ihre Ansprechpartner ISO 27001 auf der Basis von IT-Grundschutz ISO 27001 nativ Ronny Frankenstein Senior Manager Produkt Manager IT-Grundschutz / ISO 27001 Volker Herten Managing Consultant Produkt Manager ISO 27001 We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 26

Kontakt Anschrift HiSolutions AG Bouchéstraße 12 12435 Berlin, Germany Fon: +49 30 533289-0 Fax: +49 30 533289-99 www.hisolutions.com Information Security Timo Kob Mitglied des Vorstands Leiter Information Security kob@hisolutions.com Ronny Frankenstein Senior Manager Produkt Manager IT-Grundschutz frankenstein@hisolutions.com We secure your business. (tm) 2010, HiSolutions AG BSI ISO IT-Grundschutz 27001 mit oder oder ohne ISO IT-Grundschutz? 27001/27002 27

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback