VEGA Deutschland Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger?
Ihr heutiger Gesprächspartner Dieter Gottschling Baujahr 1967 Diplom Kaufmann 13 Jahre Soldat Seit 2000 als Berater tätig Hobbies: Restauration von Oldtimern
Inhalt IT-Sicherheit als Teilaufgabe des Risikomanagements Zertifizierung der IT-Sicherheit IT-Sicherheitszertifikate Der Weg zum IT-Sicherheitszertifikat Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Zusammenfassung
IT-Sicherheit als Teilaufgabe des Risikomanagements 01/10/2013
IT-Sicherheit als Teilaufgabe des Risikomanagements
IT-Sicherheit als Teilaufgabe des Risikomanagements Pannen bei der Datenverarbeitung oder im Umgang mit Daten sind ein Risiko für Ihr Unternehmen. Da einzelne Gesetze und Vorgaben ein Risikomanagement fordern, kann die IT-Sicherheit als eine Teilaufgabe des Risikomanagements verstanden werden!
IT-Sicherheit als Teilaufgabe des Risikomanagements ISO 27001 sieht das Informations-Sicherheits- Management-System als Teil des gesamten Managementsystems, das auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit umfasst. (ISO 27001 Kapitel 3.7 ISMS)
Zertifizierung der IT-Sicherheit 01/10/2013
Zertifizierung der IT-Sicherheit Das Management trägt die Gesamtverantwortung für die IT-Sicherheit gemäß ISO 27001 und den BSI-Grundschutz- Anforderungen! Frage: Wie kann das Management nachweisen, dass es dieser Aufgabe aktiv nachgekommen ist?
Zertifizierung der IT-Sicherheit Lösungsansatz: Zertifizierung des IT-Sicherheitsprozesses Vorteile: Deckt Lücken auf und hilft somit bei deren Schließung zum Schutz unternehmenswichtiger Daten Unterstützt das Unternehmen beim Nachweis der Einhaltung von Vorschriften und Gesetzen Wettbewerbsfaktor in einem Markt mit vergleichbaren Leistungen / Produkten
Zertifizierung der IT-Sicherheit Nachteile: IT-Sicherheit gibt es nicht zum Nulltarif Prozess IT-Sicherheit ist eine Daueraufgabe Hohe Komplexität bei Konzernen und Mitgliedern der Supply Chain (z.b. Lieferanten mit Zugang zum Warenwirtschaftsystem, Outsourcing von Rz-Dienstleistungen)
IT-Sicherheitszertifikate 01/10/2013
IT-Sicherheitszertifikate BSI: (Auditor-Testat Einstiegsstufe ) (Auditor-Testat Aufbaustufe ) ISO 27001 Zertifizierung auf Basis von IT-Grundschutz ISO: ISO 27001: 2005 (2008 Version in Deutsch) (ISO 27002 enthält Empfehlungen für Kontrollmechanismen)
IT-Sicherheitszertifikate TÜV: Trusted Site Infrastructure TSI V2.0 Level 1 4 (entspricht im Wesentlichen den Infrastrukturanforderungen des BSI Grundschutzes)
IT-Sicherheitszertifikate Auditor Testat Einstiegsstufe Auditor Testat Aufbaustufe ISO 27001 ISO 27001 auf Basis IT- Grundschutz Anzahl u. Einstufung der Maßnahmen Ca. 55 % (insbesondere A) Ca. 70 % (A und insbesondere B) > 80% (A,B, C und ggf. Z) > 80% (A,B, C und ggf. Z) Prüfung des Auditorreports Keine durch das BSI Keine durch das BSI Keine durch das BSI BSI Gültigkeit 2 Jahre 2 Jahre 3 Jahre 3 Jahre (bei jährlichen Überwachungsaudits) Wiederholbarkeit nein nein ja ja Prüfung des ISMS und der konkreten IT- Grundschutzmaßnahmen beinhaltet eine offizielle ISO Zertifizierung
Der Weg zum IT-Sicherheitszertifikat 01/10/2013
Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) 6 Erteilt Zertifikat Antragsteller 2 Antrag auf Zertifizierung 3 Prüfung 4 Einreichung Prüfbericht 1 Auswahl eines Auditors ISO 27001- Auditor auf Basis von IT-Grundschutz 5 Überprüft Auditor / Prüfbericht
Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) Vollständiger Antrag inkl. Unabhängigkeitserklärung Auditbericht 1 Kann Zertifikat noch erteilt werden? Beginn Audit (Sichtung der Dokumente) Nachforderungen Auditbericht 2 Vorlauf >1 Jahr 1 Monat (in Einzelfällen länger) Max. 3 Monate Max. 1 Monat Max. 3 Monate
Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) Der Vorlauf umfasst folgende Tätigkeiten gem. BSI-Standard 100-2 (Vorgehensweise): IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung nach IT-Grundschutz Basis Sicherheitscheck Ergänzende Sicherheitsanalyse i.v.m. BSI- Standard 100-3 (Risikoanalyse) Realisierung der Sicherheitsmaßnahmen
Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) Das Audit erfolgt in zwei Schritten: Schritt 1: Dokumentenprüfung ( Erhebung ) Information über den zu prüfenden IT-Verbund Prüfung der relevanten Dokumente Schritt 2: Vor-Ort Prüfung Prüfung der Umsetzung der dokumentierten IT-Sicherheit Prüfung, über Stichproben
Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat 01/10/2013
Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat IT-Grundschutz- Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge IT-Grundschutz- Standards BSI-Standard 100-1 (ISMS) Prüfraster für IT-Sicherheit Bedarfsermittlung und Maßnahmenauswahl Leitlinie Allg. Konzepte konkrete Anforderungen Vorgaben zur Umsetzung Technik-übergreifend Spezifische Konzepte konkrete Anforderungen Vorgaben zur Umsetzung Konzentration auf bestimmte Technik / Formen der IT-Nutzung BSI-Standard 100-2 (Vorgehensweise) BSI-Standard 100-3 (Risikoanalyse) BSI-Standard 100-4 (Notfall-Management) Anf.-Katalog zur Produktauswahl Technische Umsetzung Ist- / Soll- Konfiguration Evtl. detaill. Pflichtenheft Betriebshandbücher + Tools Notfallvor sorge- Dokumente Admin- Richtlinien Arbeitsanweisungen IT-Personal für einzelne Produkte Technische Umsetzung Information für Nutzer Arbeitsanweisungen für Nutzer einzelner Produkte
Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat IT-Grundschutz- Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge
Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Frage: Wie kann sichergestellt werden, dass nichts vergessen wird? Lösungsansatz: Schritt 1: IT-Strukturanalyse Netze Hardware (inkl. Patchständen, Telefonanlage) Software (inkl. Patchständen) Schnittstellen
Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Schritt 2: Nutzung des GSTOOLs des BSI (oder vergleichbarer Software) Auswahl der relevanten Bausteine Ergänzung um unternehmensspezifische Gegebenheiten Vorteile: Strukturierte Vorgehensweise Bei einer SW-gestützten IT-Strukturanalyse gibt es immer wieder Überraschungen
Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Nachteile: Arbeitsintensiv Nur eine Momentaufnahme
Zusammenfassung 01/10/2013
Zusammenfassung Zusammenfassung: IT-Sicherheit ist eine Teilaufgabe des Risikomanagements Zertifizierung schafft Sicherheit und einen Wettbewerbsvorteil IT-Strukturanalyse stellt die wesentliche Grundlage dar Die strukturierte Vorgehensweise des BSI und das GSTOOL unterstützen bei der Erstellung von IT-Sicherheitskonzepten
Zusammenfassung Zusammenfassung: Die Lenkung der IT-Sicherheit im Unternehmen wird maßgeblich durch IT-Sicherheitskonzepte und deren Umsetzung bestimmt. IT-Sicherheitskonzepte sind viel mehr als ein Papiertiger!
VEGA Deutschland GmbH Industriestraße 161 50999 Köln +49 (0)2236 748-0 www.vega-deutschland.de info@vega-deutschland.de