Post on 22-Oct-2019
transcript
Einführung eines ISMS nach ISO 27001
Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)
17.10.11 2
Was ist Informationssicherheit?
§ Vorhandensein von – Integrität – Vertraulichkeit und – Verfügbarkeit
in einem geplanten Ausmaß.
17.10.11 3
DIE Bedrohung
Wichtigste langfristige Bedrohungsquelle:
Mitarbeiter („HumanOS“)
§ „Schwächstes Glied“ in der Sicherheitskette § Fehlende Sicherheitskenntnisse/ Schulungen § Fehlende umfassende personelle Konzepte § Leichte Opfer für Social Engineering § Oft zu weit reichende
Berechtigungen
17.10.11 4
Sensibilisierung: Tür
17.10.11 5
Sensibilisierung
17.10.11 6
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
Model for establishing, implementing, operating, monitoring, reviewing,
maintaining and improving an Information Security Management System
BS7799-2
17.10.11 7
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
Set of controls, including policies, processes, procedures, organizational structures,
software/ hardware functions
BS7799-1
17.10.11 8
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
ISO 27003 Implementation Guidance
Instructions how to [technically] implement ISO 27001
17.10.11 9
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
ISO 27003 Implementation Guidance
ISO 27004 Metrics and Measurements
Definition of KPIs, quantitative/ qualitative measurements, metrics etc.
17.10.11 10
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
ISO 27003 Implementation Guidance
ISO 27004 Metrics and Measurements
ISO 27015 Accreditation Guidelines
17.10.11 11
Initiierung des Sicherheitsprozesses: - Erstellen einer ISMS Policy - Einrichten eines IT-Sicherheitsmanagements
IT-Sicherheitskonzept: Identifikation von Controls
Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: - Infrastruktur - Organisation - Personal - Technik - Kommunikation - Notfallvorsorge
Aufrechterhaltung im laufenden Betrieb
Insbesondere § Sensibilisierung für IT-Sicherheit § Schulung zur IT-Sicherheit
Der
Sic
herh
eits
proz
ess
Sicherheit als Prozess (PDCA)
17.10.11 12
Sensibilisierung: Schranke Bielefeld
17.10.11 13
5 Schritte zum ISMS
1. Schritt
• Managementunterstützung für ISMS Einführung und Aufbau
2. Schritt
• Festlegung des Geltungsbereichs • Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt • Organisationsanalyse
4. Schritt
• Risikoanalyse • Identifikation von Kontrollmechanismen und Maßnahmen
5. Schritt • (Aus-)Gestaltung des ISMS
17.10.11 14
Initiierung des IT-Sicherheitsprozesses
§ Grundregeln – Die Initiative für IT-
Sicherheit geht vom Management aus.
– Die Verantwortung für IT-Sicherheit liegt beim Management.
– Nur wenn sich das Management um IT-Sicherheit bemüht, wird die Aufgabe "IT-Sicherheit" wahrgenommen.
– Vorbildfunktion
Verantwortung des Managements
Einrichten des IT-Sicherheits-managements
17.10.11 15
5 Schritte zum ISMS
1. Schritt
• Managementunterstützung für ISMS Einführung und Aufbau
2. Schritt
• Festlegung des Geltungsbereichs • Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt • Organisationsanalyse
4. Schritt
• Risikoanalyse • Identifikation von Kontrollmechanismen und Maßnahmen
5. Schritt • (Aus-)Gestaltung des ISMS
17.10.11 16
5 Schritte zum ISMS
1. Schritt
• Managementunterstützung für ISMS Einführung und Aufbau
2. Schritt
• Festlegung des Geltungsbereichs • Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt • Organisationsanalyse
4. Schritt
• Risikoanalyse • Identifikation von Kontrollmechanismen und Maßnahmen
5. Schritt • (Aus-)Gestaltung des ISMS
17.10.11 17
Netzplan
17.10.11 18
Netzplan - bereinigt
17.10.11 19
Grundschutzkataloge
§ Bausteinbeschreibung § Darstellung der Gefährdungslage § Maßnahmenempfehlungen
– Planung und Konzeption – Beschaffung (sofern erforderlich) – Umsetzung – Betrieb – Aussonderung (sofern erforderlich) – Notfallvorsorge
17.10.11 20
IT- Grundschutzkataloge
S-1
C-1 C-2
N-1 N-2
WWW
TK-1
7.3 Firewall
8.6 Mobiltelefon
7.11 Router/Switches
5.7 Win2K Client 5.3 Tragbarer PC
6.9 Win2K Server
Grundschutzkataloge
17.10.11 21
Basis-Sicherheitscheck
www2 MBit/s SFV
Router A
Server A Server C
Server B
Firewall
Personal
Drucker
GeschäftsleitungNotebooks
VerwaltungIT-‐Grundschutzmodell
Realisierte Maßnahmen
Maßnahmen-empfehlungen
Sicherheitskonzept: defizitäre
Maßnahmen
Soll-Ist-Vergleich
17.10.11 22
5 Schritte zum ISMS
1. Schritt
• Managementunterstützung für ISMS Einführung und Aufbau
2. Schritt
• Festlegung des Geltungsbereichs • Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt • Organisationsanalyse
4. Schritt
• Risikoanalyse • Identifikation von Kontrollmechanismen und Maßnahmen
5. Schritt • (Aus-)Gestaltung des ISMS
17.10.11 23
Schutzbedarfsfeststellung
§ Definitionen der Kategorien müssen individuell angepasst werden
§ Normal – Schadensauswirkungen sind begrenzt und
überschaubar.
§ Hoch – Schadensauswirkungen können beträchtlich
sein.
§ Sehr hoch – Schadensauswirkungen
können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
Definition der Schutzbedarfs-
kategorien
Rechtliches, Datenschutz, Marketing, Finanzen, Gesundheit... => Vertraulichkeit, Integrität, Verfügbarkeit
17.10.11 24
Schutzbedarfsfeststellung
Schu
tzbe
darf
/Sic
herh
eits
nive
au
normal
hoch
sehr hoch
Prozess 1 Prozess 2 Prozess 3
IT-Grundschutz
17.10.11 25
Höherer Schutzbedarf: Risikoanalyse
Ausw
irku
ngen
Wahrscheinlichkeit gering
hoch
hoch
Brand GAU Flugzeugabsturz Blitzschlag
Erkältung
Stromschwankungen
Insektenstich
Stau
?gering
17.10.11 26
Schadens-beseitigung planen Höchste Priorität
Vorbeugen Akzeptieren und Versichern
Höherer Schutzbedarf: Risikoanalyse
Ausw
irku
ngen
gering
gering
hoch
hoch Wahrscheinlichkeit
17.10.11 27
Abgestufte Risikobewältigung
Gesamtrisiko
Restrisiko
17.10.11 28
5 Schritte zum ISMS
1. Schritt
• Managementunterstützung für ISMS Einführung und Aufbau
2. Schritt
• Festlegung des Geltungsbereichs • Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt • Organisationsanalyse
4. Schritt
• Risikoanalyse • Identifikation von Kontrollmechanismen und Maßnahmen
5. Schritt • (Aus-)Gestaltung des ISMS
17.10.11 29
Initiierung des Sicherheitsprozesses: - Erstellen einer ISMS Policy - Einrichten eines IT-Sicherheitsmanagements
IT-Sicherheitskonzept: Identifikation von Controls
Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: - Infrastruktur - Organisation - Personal - Technik - Kommunikation - Notfallvorsorge
Aufrechterhaltung im laufenden Betrieb
Insbesondere § Sensibilisierung für IT-Sicherheit § Schulung zur IT-Sicherheit
Der
Sic
herh
eits
proz
ess
Sicherheit als Prozess (PDCA)
17.10.11 30
Erstellung eines Notfallvorsorgekonzepts
Umsetzung des Notfallvorsorgekonzepts
Tests und Übungen, Notfallbewältigung
Aufrechterhaltung und kontinuierliche Verbesserung
Initiierung des Notfallmanagements
Notfallvorsorge
17.10.11 31
Notfallvorsorge
Cold- Stand-By Hardware
Zeit
Scha
dens
höhe
/ Ko
sten
1 Woche 4 Tage 2 Tage 1 Tag 8 Stunden
4 Stunden 1 Minute
1 Monat
Hot
-Sta
nd-B
y RZ
Col
d-St
and-
By R
Z
Handlung nach Notfallplan D
iens
tleis
ter
- Ver
träg
e
Schaden für KMU
Finanzinstitute
17.10.11 32
Risikobewältigung
Gesamtrisiko
Restrisiko
17.10.11 33
neam IT-Services GmbH Stand C11 Technologiepark 21 D-33100 Paderborn +49 5251 1652-0 +49 5251 1652-444 http://www.neam.de info@neam.de