INDUSTRIAL Informationssicherheitsmanagement 0
Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle Anforderungskriterien Zertifizierungsverfahren 1
Wie ohne ein Informationssicherheitsmanagementsystem heute oft gelebt wird 2
Mythen der Sicherheit Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht. Diese Einschätzung ist in den meisten Fällen zu oberflächlich. Was ist wenn Daten in falsche Hände geraten? Bei uns ist noch nie etwas passiert. Diese Aussage ist Mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt Unser Netz ist sicher. Die Fähigkeit potentieller Angreifer werden oft unterschätzt. Was ist mit den Webapplikationen? Unsere Mitarbeiter sind vertrauenswürdig: Verschiedene Statistiken zeichnen ein anderes Bild: Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. 3
IT Sicherheit und Informationssicherheit IT - Sicherheit Sicherheit Sicherheit von von Systemen Systemen der der Informationstechnik. Informationstechnik. Dies Dies umfasst umfasst Hardware, Hardware, Software, Software, Daten Daten aber aber auch auch organisatorische, organisatorische, bauliche bauliche und und personelle personelle Fragen, Fragen, soweit soweit sie sie in in direktem direktem Zusammenhang Zusammenhang mit mit der der Sicherheit Sicherheit von von IT IT -Systemen -Systemen stehen. stehen. Informationssicherheit Genereller Genereller Schutz Schutz von von Informationen, Informationen, Werten Werten unabhängig unabhängig von von ihrer ihrer Form. Form. Dies Dies umfasst umfasst sowohl sowohl schriftliche, schriftliche, bildliche bildliche als als auch auch gesprochene gesprochene Informationen. Informationen. 4
Herausforderungen / Risiken Rechtliche Rahmenbedingungen Basel Basel II II SOX SOX KontrAG KontrAG Internet Internet Viren Viren & Würmer Würmer Hackerangriffe Hackerangriffe Unvorsichtiges Unvorsichtiges Serven Serven 5 Konkurrenz Spionage Spionage Terrorismus Terrorismus Katastrophen Unwetter Unwetter Blitzeinschlag Blitzeinschlag Hochwasser Hochwasser Brand Brand Physikalische Bedrohung Einbrecher Einbrecher & Diebe Diebe Vandalismus Vandalismus Mitarbeiter Unwissenheit Unwissenheit Leichtsinnigkeit Leichtsinnigkeit Demotivation Demotivation
ISO/IEC 27001 / PDCA - Modell Planung (Plan) Etablieren des ISMS Ausführung (Do) Implementieren und Betrieb des ISMS Kreislauf der Entwicklung, Wartung und Verbesserung Aktion (Act) Wartung und Verbesserung des ISMS Prüfung (Check) Überwachung und Prüfung des ISMS 6
Ziel der ISO/IEC 27001 Die Die ISO/IEC ISO/IEC 27001 27001 wurde wurde als als Modell Modell für für den den Aufbau, Aufbau, die die Verwirklichung Durchführung, Überwachung, Bewertung, Aufrechterhaltung und und Verbesserungen eines eines Informationssicherheitsmanagementsystems ISMS ISMS erarbeitet. erarbeitet. Die Die ISO/IEC ISO/IEC 27001 27001 wurde wurde darüber darüber hinaus hinaus auch auch mit mit dem dem Ziel Ziel erstellt, erstellt, Führungskräften eines eines Unternehmens ein ein Modell Modell zur zur Verfügung Verfügung zu zu stellen, stellen, dass dass die die Einführung Einführung und und den den Betrieb Betrieb eines eines effektiven effektiven ISMS ISMS erlaubt. erlaubt. 7
Ziel des Informationssicherheitsmanagement Ertragskraft / Betriebssicherheit Reibungsloser, effizienter Ablauf der Unternehmensprozesse (nahezu ausschließlich IT unterstützt) Verfügbarkeit Ihrer Systeme Informationssicherheit Gewährleistung, dass unternehmensrelevante Daten als Basis von Entscheidungsprozessen nicht verfälscht oder gelöscht werden. Verlässlichkeit der Daten 8 Wettbewerbsfähigkeit Sicherstellen, dass unternehmenskritische Daten oder Kundeninformationen nicht von Unbefugten gelesen oder kopiert werden können Vertraulichkeit
Die Entstehungsgeschichte 9 1995 1998 1999 2000 2002 06/2005 10/2005 Veröffentlichung des BS 7799-1. Leitfaden zum Management von Informationssicherheit ( Code of Practice ) BS 7799-2 wird veröffentlicht und beschreibt die Anforderungen an ein Informationssicherheitsmanagementsystem. Revision des BS 7799-1 Erhöhung der internationalen Akzeptanz durch Aktualisierung auf Aspekte wie, E Commerce und Mobility. Mit der Bezeichnung ISO 17799:2000 wird Teil 1 der BS 7799 ohne inhaltliche Korrekturen als internationaler Standard veröffentlicht. Harmonisierung des Teil 2 mit anderen Managementsystemen und Veröffentlichung als BS 7799-2:2002. Vorteil: ISMS kann als Bestandteil eines integralen Managementsystem begutachtet werden. Überarbeitung der ISO 17799:2000 in die neue Version ISO 17799:2005 Der BS 7799 Standard wird durch die neue ISO/IEC Familie 27000 ersetzt.
Die Struktur der ISO/IEC Familie 27000 Norm Veröffentlichung Inhalt ISO 27000 Oktober 2005 Definition und Wording der Normenreihe ISO 27001 Oktober 2005 Definiert die Zertifizierungsanforderungen an ein ISMS; löst die BS 7799 ab; enthält Querverweise zu ISO 17799 ISO 27002 2007 Leitfaden zur Implementierung; enthält mehr als 130 Kontrollziele, löst die ISO 17799 ab; Teile der ISO TR 13335 ISO 27003 offen Tiefgehende Implementierungsrichtlinien, Teile der ISO TR 13335 (technische Aspekte) ISO 27004 2006 Definierte Kennzahlensysteme für ISMS und Kontrollziele 10 ISO 27005 offen Beschreibt Modelle zu IT Risiko-Management; soll Anfang 2006 als BS 7799-3 veröffentlicht und später umgewandelt werden
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Die Norm lässt sich grundsätzlich auf alle Arten der Organisation und Geschäftsformen anwenden. Sind Anforderungen aufgrund der Charakteristik eines Unternehmens nicht anwendbar, so kann es diese in der Realisation des ISMS ausschließen. Aber: Ausschlüsse dürfen die Fähigkeit der Bereitstellung der Informationssicherheit nicht beeinflussen Ausschlüsse welche sich auf Maßnahmen einer Risikobewertung ergeben, müssen gerechtfertigt sein und bedürfen einer klaren Verantwortlichkeit zur Risikoakzeptanz. 11 Ausschlüsse dürfen sich nicht auf die Abschnitte 4 bis 8 der Norm beziehen
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Der Der erste erste Bereich Bereich der der Norm Norm umfasst umfasst die die Abschnitte 4 bis bis 8 sowie sowie die die Kontrollziele im im Anhang Anhang A 4. Informationssicherheitsmanagementsystem - Aufbau und Umsetzung eines ISMS 5. Verantwortung der Leitung / Management - Verpflichtungen, Resourcenmanagement 6. Interne ISMS Audits 7. Managementbewertung 8. Verbesserung des ISMS - Korrektur- und Vorbeugemaßnahmen 12
Spezielle Anforderungskriterien 13 Klassifizierung der Unternehmenswerte Durchführung einer Risikoanalyse Erstellung eines Maßnahmenkataloges Bereitstellung der erforderlichen Mittel Verpflichtung der Unternehmensführung zur Sicherheit Implementierung eines ISMS Dokumentation der Unternehmensregeln (Security Policy) Sensibilisierung der Mitarbeiter Regelmäßige Bewertung des ISMS Korrektur- und Vorbeugemaßnahmen
Anhang A Kontrollziele und Kontrollen A 5 Sicherheitspolitik - Definition einer Informationssicherheitspolitik - Berücksichtigung der geschäftlichen Erfordernisse und zutreffende Gesetze und Bestimmungen A 6 Organisation der Informationssicherheit - Interne Organisation (Zuständigkeiten/Verantwortungen) - Dritte (z.b. externe Dienstleister, Kunden etc.) A 7 Management der Vermögenswerte - Verantwortlichkeiten für Vermögenswerte - Klassifizierung von Informationen (wichtig, unwichtig ) 14
Inhalte und Ablauf des ISO 27001:2005-Verfahrens A 8 Personelle Sicherheit - Anforderungen vor der Anstellung eines Mitarbeiters - Während der Anstellung - Beendigung oder Änderung der Anstellung A 9 Physische und umgebungsbezogene Sicherheit - Sicherheitszonen klassifizieren - Sicherheit der Anlagen und Geräte 15
Inhalte und Ablauf des ISO 27001:2005-Verfahrens A 10 Management der Kommunikation und des Betriebs - Betriebsverfahren und -verantwortlichkeiten - Management von externe Dienstleistern - Systemplanung und abnahme - Schutz vor Software mit Schadensfunktion - Backup - Netzwerk Sicherheitsmanagement - Handhabung von Datenträgern - Austausch von Informationen - E-Commerce Dienste - Überwachung 16
Anhang A Kontrollziele und Kontrollen A 11 Zugriffskontrollen - Geschäftsanforderungen an die Zugriffskontrollen - Verwaltung der Benutzer - Verantwortlichkeiten der Benutzer - Netzwerkzugriffskontrolle - Kontrolle des Zugriffs auf Betriebssysteme - Anwendungs- und Informationszugriffskontrolle - Einsatz portabler PC s - Telearbeit A 12 Erwerb, Entwicklung und Wartung von Informationssystemen 17 - Sicherheitsanforderungen an Informationssysteme - Sicherheit in Anwendungssysteme - Kryptographische Kontrollen - Sicherheit der Systemdateien - Sicherheit der entwicklungs- und Supportprozesse - Management von technischen Schwachstellen
Inhalte und Ablauf des ISO 27001:2005-Verfahrens A 13 Management von Informationssicherheitsvorfällen - Erfassung und Meldung von Sicherheitsvorfällen - Analyse und Maßnahmen - Verbesserungsprozess A 14 Betriebliches Kontinuitätsmanagement - Informationssicherheitsaspekte des betrieblichen Kontinuitätsmanagement A 15 Einhaltung der Verpflichtungen - Einhaltung gesetzlicher Verpflichtungen - Übereinstimmung mit der Sicherheitspolitik und normen und den technischen Vorgaben - Gesichtspunkte von Informationssystemaudits 18
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Informationssicherheit bedeutet: Risiken Risiken managen managen und und innerhalb innerhalb einer einer wirtschaftlichen und und sicheren sicheren Toleranzbreite halten. halten. Veränderungen wahrnehmen und und darauf darauf reagieren reagieren Spielregeln festlegen festlegen (Security (SecurityPolicy) ISMS ISMS regelmäßig prüfen prüfen Korrektur- Korrektur-und und Verbesserungsmaßnahmen 19
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Ablauf und Leistungen der Zertifizierung nach ISO 27001 Informationsgespräch Ziel: Klären offener Fragen hinsichtlich der Normenanforderungen und des Zertifizierungsablaufes. Voraudit Ziel: Feststellen ob das Unternehmen grundsätzlich zertifizierungsfähig ist. 20
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Ablauf und Leistungen der Zertifizierung nach ISO 27001 Zertifizierungsaudit 1. Phase Ziel: Die 1. Phase dient dazu ein Verständnis des ISMS im Kontext der Sicherheitspolitik und Ziele der Organisation zu gewinnen. Darüber hinaus soll eine erste Einschätzung erfolgen, ob und inwieweit die 2. Phase erfolgreich abgeschlossen werden kann. Folgende Themen werden dabei geprüft: - Bewertung der Risikoanalyse - Bewertung der Anwendbarkeitserklärung - Bewertung der ISMS Dokumentation - Erfassung der offenen Punkte die für eine erfolgreiche Durchführung der 2. Phase kritisch sind 21 Zertifizierungsaudit 2. Phase Ziel: Bei der Durchführung der zweiten Phase werden folgende Punkte geprüft: - Maßnahmen aus der 1. Phase - Überprüfung der Elemente aus der ISO 27001 - Managementreview - Interne Audits
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Ablauf und Leistungen der Zertifizierung nach ISO 27001 Ziel: Überprüfung der Wirksamkeit des ISMS gemäß der Risiken, neuen Anforderungen, Veränderungen und des KVP -Prozesses. Überwachungsaudit Wiederholungsaudit Ziel: Feststellen, ob das bestehende Zertifikat um weitere 3 Jahre verlängert werden kann. 22
Vorteile einer Zertifizierung Der internationale Standard ISO 27001 versetzt Ihre Organisation in die Lage, einen Sicherheitsprozess zu etablieren, der den Sicherheitswert Ihrer Organisation systematisch auf einem zu definierenden Niveau optimiert. Dieser Prozess führt zu einer ganzen Reihe von Vorteilen: 23 Reduzierung des Haftungsrisikos gegenüber Dritten (Gesetzgeber, Kunden und Partner) Kostenreduktion durch transparente und optimierte Strukturen/Prozesse Sicherheit als integraler Bestandteil der Geschäftsprozesse Beherrschung und Kontrolle der IT Risiken / -Restrisiken Gesteigertes Sicherheitsbewusstsein der Mitarbeiter Dokumentation von Strukturen und Prozessen Beurteilung der Organisationsprozesse nach Sicherheitsgesichtspunkten Wettbewerbsvorteil: Durch den Nachweis eines ISMS durch eine unabhängige Instanz Mögliche Senkung von Versicherungsprämien
Ziel des Informationssicherheitsmanagement Es gibt keine absolute Sicherheit - deshalb bin ich vorsichtig!!!! (Carl Valentin) 24
Inhalte und Ablauf des ISO 27001:2005-Verfahrens Vielen Dank Für Ihre Aufmerksamkeit Kontaktaufnahme: Tel.: 0711-78612902 Fax.: 0711-78612615 klaus.peter.junk@dekra-certification.com 25