ISO 27001 mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO 27001 Senior Manager HiSolutions AG, Berlin
Agenda ISO 27001+BSI IT-Grundschutz ISO 27001 nativ Eignung Fazit We secure your business. (tm) 2010, HiSolutions AG BSI ISO IT-Grundschutz 27001 mit oder oder ohne ISO IT-Grundschutz? 27001/27002 2
Informationssicherheit: Wir haben ja schon etwas getan! Wirksamkeit, Angemessenheit, Vergleichbarkeit? Standards! We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 3
BSI IT-Grundschutz (C) http://www.bsi.bund.de/ We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 4
IT-Grundschutz: Grundsätzlicher Analyseansatz Prozess benötigt Diese Elemente betrachtet IT-Grundschutz Anwendungen sind installiert auf IT-Systemen sind aufgestellt in Räumen sind Teil von Gebäuden We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 5
IT-Grundschutz: Grundgedanke Idee Gesamtsystem enthält typische Komponenten (z.b. Server und Clients, Betriebssysteme) Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten Empfehlung geeigneter Bündel von Standard- Sicherheitsmaßnahmen (für normalen Schutzbedarf) Konkrete Umsetzungshinweise für Maßnahmen Vorteile Arbeitsökonomische Anwendungsweise durch Soll-Ist-Vergleich Kompakte IT-Sicherheitskonzepte durch Verweis auf Referenzquelle (= Maßnahmen in den ITGS-Katalogen) Praxiserprobte Maßnahmen mit hoher Wirksamkeit Erweiterbarkeit und Aktualisierbarkeit We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 6
IT-Grundschutz: Sofortmaßnahmen für normales Niveau Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen Auszug des Gefährdungskatalogs Auszug des Maßnahmenkatalogs > Handlungsempfehlungen in Form von konkreten Maßnahmen, die typischen Gefährdungen gegenübergestellt werden. Zusammenfassung in standardisierten Bausteinen für typische Komponenten. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 7
IT-Grundschutz: Vorgehensweise gemäß BSI 100-2 / 100-3 Definition Informationsverbund 5 0 0 0 0 0 Strukturanalyse Schadenshöhe 4 0 0 0 0 0 3 0 0 0 0 0 2 0 0 0 0 0 Schutzbedarfsfeststellung 1 0 0 0 0 0 1 2 3 4 5 Modellierung Basissicherheitscheck Ergänzende Sicherheitsanalyse Risikoanalyse Realisierung Standard-Sicherheit Gefährdungsübersicht Zusätzliche Gefährdungen Gefährdungsbewertung Behandlung von Risiken Konsolidierung Risikoanalyse Bei erhöhtem Schutzbedarf Bei besonderem Einsatzszenario Bei fehlenden Bausteinen In der Regel für ca. 20% der Ressourcen We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 8
IT-Grundschutz: Zertifizierungsaudit Umfang richtet sich nach den Vorgaben der Zertifizierungsstelle des BSI Hohe Vergleichbarkeit durch einheitliches Prüfschema Auditoren interpretieren Maßnahmen ähnlich Auditoren prüfen und erstellen nur den Bericht Zertifizierungsstelle prüft Angaben und ist ggf. bereits beim Audit anwesend (Qualitätsgedanke) Einheitliche Ausbildung der Auditoren für die Durchführung der Audits mit jährlicher Weiterbildung We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 9
IT-Grundschutz: Zwischenfazit Vorgehensweise Orientiert sich an der Struktur der IT-Ressourcen Sehr konkret in den BSI Standards beschrieben Risikoanalyseansatz Standardmaßnahmen für normales Niveau, detaillierte Analyse nötig für höheres Niveau Definition der Anforderungen und Maßnahmen Kaum Anforderungsmanagement Detaillierte, praxiserprobte Maßnahmenvorschläge Zertifizierungsaudit Einheitliche Prüfung, vergleichbare Ergebnisse We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 10
ISO 27001 (C) http://www.iso.org/ We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 11
Der International Standard ISO/IEC 27001 Status: Erst-Veröffentlichung 10/2005 Titel: Information technology - Security techniques - Information security management systems Requirements Ursprung: BS 7799 Teil 2 Inhalt: Allgemeine Aussagen über ein Information Security Management System (ISMS) Umfang des normativen Teils: ca. 30 Seiten (insges. 48 Seiten) Scope: Overall business risk Zertifizierung: durch akkreditierte Zertifizierungsunternehmen möglich (aktuelle Liste ist auf der Homepage der TGA bzw. DGA) We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 12
Der International Standard ISO/IEC 27002 Status: Erst-Veröffentlichung 2007 Titel: Information technology Code of practice for information security management Ursprung: BS 7799-1:1999 Inhalt: Umfang: Definition eines Rahmenwerks für das IT-Sicherheitsmanagement 136 Seiten Detailtiefe: Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technische Hinweise Zertifizierung: Zertifizierung nach ISO/IEC 27002 ist grundsätzlich nicht möglich We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 13
ISO 27001: Anforderungen des Standards Dokumentation, Richtlinien und Aufzeichnungen Organisatorische und technische Aspekte > Annex A mit 17 Seiten der diversesten Anforderungen ohne jedoch konkrete Vorschläge an die Hand zu geben. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 14
ISO 27001: Die Ausprägung ist individuell gestaltbar Sicherheitskonzept Oracle Sicherheitskonzept Passworte Sicherheitskonzept Virtuelle Maschinen Regelungsstruktur Organisation Sicherheitskonzept Virenschutz Sicherheitskonzept Datensicherung Sicherheitskonzept Sicherheitszonen Sicherheitskonzept Unix Risikomanagementprozess Prozesse im Sicherheitsmanagement Richtlinien und Aufzeichnungen techn. Maßnahmen We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 15
ISO 27001: Mapping der Kapitel auf den PDCA Zyklus 4.2.1 Festlegen des ISMS Interessenten (stakeholder): Erwartungen / Anforderungen 7.3 Ergebnisse der Bewertung 4 Informationssicherheitsmanagementsystem 8.2 Korrekturmaßnahmen 8.3 Vorbeugungsmaßnahmen 7.2 Eingaben für die Bewertung Act 5.1 Verpflichtung des Managements Plan Steuerung Check 6. Interne ISMS-Audits Do 4.2.3 Überwachen und Überprüfen des ISMS 8.1 Ständige Verbesserung (KVP) 4.2.2 Umsetzen und Durchführen des ISMS 5.2.1 Bereitstellung von Ressourcen 5.2.2 Schulungen, Bewusstsein und Kompetenz 3M: measure, monitor, manage Interessenten (stakeholder): Zufriedenheit / Umsetzung We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 16
ISO 27001: Best practice Eine abgeleitete Vorgehensweise Scope Schritt 1: Festlegung des Anwendungsbereichs Werte Schritt 2: Inventarisieren der Werte (Assets) Dokumentation Risiko KVP Schadenshöhe 5 0 0 0 0 0 4 0 0 0 0 0 3 0 0 0 0 0 2 0 0 0 0 0 1 0 0 0 0 0 1 2 3 4 5 Schritt 3: Analysieren und Behandeln von Risiken Maßnahmen Schritt 4: Maßnahmen festlegen umsetzen KVP: Kontinuierlicher Verbesserungsprozess Anwendbarkeit Schritt 5: Aufbau des Statement of Applicability (SOA) We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 17
ISO 27001: Risikomanagement als Anforderungsmanagement (hier gemäß ISO 27005) Anzahl der Risiken Erfassung konkreter Risiken auf Basis tatsächlicher Schutzanforderungen Kombination von Bauchgefühl und langjähriger Erfahrung Bestimmung eines Risikoakzeptanz- Niveaus = Anforderung Kontrolle und Überwachung der ausgewählten Maßnahmen Implementierung von Prozessen zur Verbesserung der Transparenz und Verantwortungsübernahme Integration von detaillierten IT- Risiken We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 18
ISO 27001: Die Control "A.9.2 Equipment security" Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization s activities. > Sehr generische Darstellung der Zielstellung (Objective) und der erwarteten Maßnahmen (Controls). We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 19
ISO 27002: Erweiterung der Control "A.9.2 Equipment security" > Höhere Präzisierung der generischen Anforderungen in der ISO 27002, dennoch ein sehr weit gefasster Interpretationsspielraum. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 20
Umsetzung zur elektrotechnischen Verkabelung im IT- Grundschutz Baustein 2.2 > Die Anforderungen der ISO lassen sich mit Standardmaßnahmen aus dem IT-Grundschutzkatalog abbilden. We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 21
ISO 27001: Zwischenfazit Vorgehensweise Die individuelle Ausprägung lässt dem implementierenden Unternehmen einen breiten Gestaltungsspielraum. Risikoanalyseansatz Geforderter Risikoanalyseansatz auf Basis der tatsächlichen Sicherheitsanforderungen der Schutzobjekte. Definition der Anforderungen und Maßnahmen Der normative Teil des Standards hat diverse Anforderungen, die aber weder im Annex A noch in der ISO 27002 konkretisiert werden. Umsetzung nach Anforderungsmanagement keine Maßnahmen. Keine Maßnahme vor Risikoanalyse. Zertifizierungsaudit Vorgehen beim Audit abhängig von der Zertifizierungsgesellschaft unterschiedlich und nicht öffentlich We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 22
Eignung von BSI IT-Grundschutz und ISO 27001 We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 23
BSI IT-Grundschutz und ISO 27001 im Vergleich Folgende Parameter können aus unserer Sicht der generellen Eignung bei der Umsetzung der jeweiligen Standards und Vorgehensweisen herangezogen werden: 1 Quelle: https://www.bsi.bund.de/ (September 2010) 2 Quelle: http://www.iso27001certificates.com/ (September 2010) We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 24
Fazit Die Eignung muss analysiert werden: Ohne Voruntersuchung keine valide Aussage möglich Anhängig von Anforderungen, Schutzlevel, Prozesse und IT- Infrastruktur im IS-Verbund/Anwendungsbereich ISO 27001 auf der Basis von IT-Grundschutz: Für deutsche Behörden (UP Bund) zwingend Für Organisationen mit normalen Anwendungsbereichen und standardisierter IT-Infrastruktur Klare Vorgehensweise gut für Ersteinführung ISO 27001 nativ: Für Unternehmen, die eine internationale Verwendbarkeit des Zertifikates anstreben (u. a. unterschiedliche Anforderungen in jedem Land) Hochsicherheitsbereiche, ungewöhnliche IT-Infrastruktur We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 25
Ihre Ansprechpartner ISO 27001 auf der Basis von IT-Grundschutz ISO 27001 nativ Ronny Frankenstein Senior Manager Produkt Manager IT-Grundschutz / ISO 27001 Volker Herten Managing Consultant Produkt Manager ISO 27001 We secure your business. (tm) 2010, HiSolutions AG ISO 27001 mit oder ohne IT-Grundschutz? 26
Kontakt Anschrift HiSolutions AG Bouchéstraße 12 12435 Berlin, Germany Fon: +49 30 533289-0 Fax: +49 30 533289-99 www.hisolutions.com Information Security Timo Kob Mitglied des Vorstands Leiter Information Security kob@hisolutions.com Ronny Frankenstein Senior Manager Produkt Manager IT-Grundschutz frankenstein@hisolutions.com We secure your business. (tm) 2010, HiSolutions AG BSI ISO IT-Grundschutz 27001 mit oder oder ohne ISO IT-Grundschutz? 27001/27002 27