Date post: | 12-Aug-2019 |
Category: |
Documents |
Upload: | nguyenthien |
View: | 228 times |
Download: | 0 times |
Einführung ISMS nach ISO27001Vorgehensweise, Kompetenzen, Maßnahmen
Veritas Management Group GmbH & Co.KG
2019
Vorgehensweise Einführung ISMS nach ISO27001
▪Sicherheit ist kein Produkt
▪Sicherheit kann nicht erkauft, Sicherheit muss erschaffen werden. Natürlich wird zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgegriffen.
▪Sicherheit ist kein Projekt
▪Es genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheit muss aufrecht erhalten werden. Aufbau und Aufrechterhaltung von Sicherheit wird auch teilweise in Projekten abgewickelt.
Sicherheit ist ein Prozess!
Täti
gkeit
en
Erg
ebnis
se
◼ Sicherheitsleitlinie erstellen
◼ Verantwortlichkeiten
◼ Richtlinien
◼ Risikosituation
◼ Ressourcen, Kompetenzen
◼ Erfassung physischer und technischer Maßnahmen
◼ Bestandsaufnahme Netzinfrastruktur
◼ Prozesse zur Messung und Überwachung
◼ Ist-Zustand ist
dokumentiert
Ist-Aufnahme
Definition
Anwendungs-
bereich
Definition der
Sicherheitsziele
und Politik
Risiko-
identifizierung
Festlegung
Maßnahmen
Umsetzung der
IS-Maßnahmen
Überwachung &
Verbesserung
◼ Identifikation der primären und sekundären/unter-stützenden Assets
◼ Identifikation der relevanten internen und externen Aspekte
◼ Identifikation der Anforderungen und Erwartungen Dritter
◼ Identifikation der Schnittstellen zwischen intern und extern ausgeführten Aufgaben
◼ Identifikation von Sicherheitszielen aus den Prozessen
◼ Festlegung der Organisationsstruktur des Sicherheitsmanagements
◼ Ermittlung der benötigten Ressourcen
◼ Definition von Verantwortlichkeiten
◼ Definition von Messmethoden
◼ Definition von Kommunikations-strukturen
◼ Festlegung eines Risikomanagement-prozesses
◼ Festlegung von Risikokategorien und -kriterien
◼ Definition des Risiko-Eigners
◼ Durchführung von Risikoanalysen
◼ Festlegung angemessener Maßnahmen zur Risikobehandlung
◼ GAP-Analyse be-stehendes ISMS
◼ Erstellung der SoA
◼ Festlegung der notwendigen Ressourcen
◼ Personalanforderung und erforder-liche Kompetenzen festlegen
◼ Konzeption der Prozesse (Behand-lung von Incidents, Dokumentation, Interne Audits,...)
◼ In Risikoanalyse identifizierte Maßnahmen priorisieren, planen und konzeptionieren
◼ Umsetzung der in den Risikoanalysen identifizierten Maßnahmen sowie der geplanten Prozesse
◼ Erkennung und Analyse von Sicherheitsvorfällen
◼ Durchführung von Sensibilisierungs- und Schulungs-maßnahmen
◼ Regelmäßige Durchführung von Risikoanalysen und Anpassung der Risikobehandlungspläne
◼ Wirksamkeit der Maßnahmen und Prozesse messen
◼ Durchführung von internen Sicherheits-und Lieferantenaudits
◼ Durchführung von Managementbewer-tungen
◼ Abweichungen korrigieren
◼ Verbesserungs-möglichkeiten umsetzen
◼Geltungsbereich ist
definiert und klar
abgegrenzt
◼Sicherheitsrichtlinie
und Politik sind
erstellt, und
veröffentlicht
Bedarfsanalyse SicherheitskonzeptionOperatives
Sicherheitsmanagement
Kommunikation und
Changemanagement
◼Risikoanalyse ist
erstellt und der
Risikobehandlungs-
plan ist definiert
◼Die Maßnahmen sind
geplant und
konzeptioniert
◼Die unternehmens-
eigene Sicherheits-
konzeption ist
umgesetzt
◼Gemäß P-D-C-A-Zyklus
wird der ISMS
kontrolliert und
überwacht
Vorgehensweise Einführung ISMS nach ISO27001
Bedarfsanalyse
◼ Sicherheitsleitlinie erstellen
▪ Der Geltungsbereich zur Einführung des ISMS muss definiert werden.
▪ Allgemein gilt: „Scope“, der Anwendungen und Systeme, die betrachtet werden sollen.
▪ Weitere Bereiche können bei Bedarf hinzu genommen werden.
▪ Dies ist ein zentrales Dokument und bildet die Grundlage für ein ISMS, da hier die Ziele des Unternehmens definiert und von der Geschäftsführung veröffentlicht werden.
IST-Aufnahme
Vorgehensweise Einführung ISMS nach ISO27001
Vorgehensweise Einführung ISMS nach ISO27001
Phasen im Projekt Initialisierung IST-Aufnahme Implementierung Vor-Audit Audit Re-Audit
Geschäftsführer ◼
IT-Sicherheitsbeauftragter ◼ ◼ ◼ ◼ ◼ ◼
Berater ◼ ◼ ◼ ◼ ◼ ◼
Auditor ◼ ◼ ◼
Revision ◼ ◼ ◼
IT-Leiter ◼ ◼ ◼ ◼ ◼ ◼
Leiter Netzsteuerung ◼ ◼ ◼ ◼ ◼
Arbeitssicherheitsingenieur ◼ ◼
Verantwortlicher QM ◼ ◼
Verantwortlicher Umwelt ◼ ◼
Facility-Verantwortlicher ◼ ◼
Personal-Verantwortlicher ◼ ◼
Risiko-Manager ◼ ◼ ◼ ◼ ◼ ◼
Datenschutzbeauftragter ◼ ◼
Lieferanten ◼ ◼
Externe Dienstleister ◼ ◼ ◼ ◼ ◼
◼ beteiligt; ◼ ggf. beteiligt, wenn nötig
◼ Verantwortlichkeiten
Bedarfsanalyse
IST-Aufnahme
Vorgehensweise Einführung ISMS nach ISO27001
Bedarfsanalyse
▪ Um mögliche Schäden quantifizieren zu können, ist es notwendig, alle materiellen und immaterielle Werte zu erfassen. Hierzu zählen: Mitarbeiter, Patente, Anwendungen, ...
▪ Hier sind u.a. relevant:
▪ Systeme und Systembetrieb (z.B. Zentrale Messwerterfassungssysteme, Datenarchivierungssysteme, …)
▪ Übertragungstechnik und Kommunikation (z.B. Router, Switches, Firewalls, Übertragungstechnische Netzelemente, Funksysteme, Kommunikationsendgeräte, …)
▪ Sekundär-, Automatisierungs- und Fernwirktechnik (z.B. Steuerungs- und Automatisierungs-komponenten, Leit- und Feldgeräte, Fernwirkgeräte, Mess- und Zählvorrichtungen, …)
▪ Die Bestandsaufnahme listet alle Assets auf, die sich innerhalb des Geltungsbereiches befinden und grenzt diesen somit klar ab.
◼ Bestandsaufnahme NetzinfrastrukturIST-Aufnahme
Der Übergabepunkt grenzt den Bereich der Bestandsauf-nahme Netzinfrastruktur ab.
Die Bestandsaufnahme erfolgt erst nach diesem Punkt.
Vorgehensweise Einführung ISMS nach ISO27001
▪ Auflistung aller zum Geltungsbereich gehörenden Assets
–Standorte
–Netztechnik
–IT-Infrastruktur
–Personal
–Dienstleister
–Systeme
–Anwendungen
–...
Gruppierung zu logischen EinheitenFührt zur Vereinfachung der Risikoanalyse
Evtl. UmstrukturierungUmstrukturierung von Assets für eine bessere Übersicht (inhaltlich bzw. auch physisch)
◼ Identifikation der primären und sekundären/unterstützenden AssetsDefinition Anwendungsbereich
Sicherheitskonzeption
▪ Im Rahmen der Risikoanalyse stehen standardisierte Verfahren zur Verfügung, welche quantitative und/oder qualitative Ergebnisse liefern.
▪ Für den Bereich der Einführung eines ISMS hat sich der Standard ISO 27005 etabliert.
▪ Andere Verfahren sind auch anwendbar, sollten jedoch die spezifischen Merkmale der Informationssicherheit beinhalten.
▪ Aus dem Ergebnis der Risikoanalyse werden die Maßnahmen der IT-Sicherheit erarbeitet und abgeleitet.
Sicherheitskonzeption
Risikoidentifizierung ◼ Durchführung von Risikoanalysen
Vorgehensweise Einführung ISMS nach ISO27001
(Kriterien: Auswirkung, Eintrittswahrscheinlichkeit und Erkennbarkeit)
Ausführliche Risikoanalyse auf alle erfassten Assets• Erfassen der momentanen IST-Situation
• Erfassen der momentanen Maßnahmen
• Abbilden möglicher Risiko-Szenarien
• Betrachtung des Business Impacts
• Betrachtung der Außenwirkung
• Betrachtung der Kostenaspekte
Sicherheitskonzeption
◼ Durchführung von RisikoanalysenRisikoidentifizierung
Sicherheitskonzeption
▪ Mit dem Umgang der Risiken und den Anforderungen aus der ISO 27001 wird ein wichtiges Dokument des ISMS befüllt: die SoA
▪ Eine Feststellung/Erklärung zur Anwendbarkeit beinhaltet folgenden Merkmale:
▪ IT-Sicherheitszielsetzungen und die eingesetzten Maßnahmen sowie die Gründe für ihre Auswahl
▪ IT-Sicherheitszielsetzungen und die umgesetzten Maßnahmen
▪ Ausschluss von IT-Sicherheitszielsetzungen und eingesetzten Maßnahmen gem. Anhang A ISO 27001 und die Begründung für ihren Ausschluss
▪ Die SoA listet alle geforderten Maßnahmen auf und ist ein zentrales Dokument für den aktuellen Stand der Umsetzung der Maßnahmen. Der Reifegrad der Umsetzung einer ISO lässt sich hier ablesen.
◼ Erstellung der SoARisiko-identifizierung
Vorgehensweise Einführung ISMS nach ISO27001
Vorgehensweise Einführung ISMS nach ISO27001
▪ Erarbeitung der Einzelmaßnahmen anhand der Risikoanalyse
▪ Überprüfen der vorhandenen technischen und organisatorischen Maßnahmen
▪ Im Rahmen eines Best-Practices-Ansatzes werden bestehende Strukturen genutzt und angepasst
▪ Neue technische und organisatorische Maßnahmen können u.a. sein:
▪ Dienstanweisungen
▪ Richtlinien (Clear-Desk-Policy, Datenträgervernichtung, ...)
▪ Vorschriften zur Systemhärtung, Antivirensoftware, ...
▪ Klassifizierung von Assets
Sicherheitskonzeption
◼ In Risikoanalyse identifizierte Maßnahmen priorisieren, planen und konzeptionierenFestlegung Maßnahmen
Vorgehensweise Einführung ISMS nach ISO27001
Regelmäßige Überprüfung der Maßnahmen
▪ Im Rahmen von regelmäßigen Audits werden die umgesetzten Maßnahmen überprüft und bei Bedarf
entsprechend angepasst.
▪ Dies kann einen erheblichen Aufwand darstellen und umfangreiche organisatorische Aktivitäten
erfordern, wie z.B.:
▪Änderung von Arbeitsplänen
▪Neuausrichten von Leittechnik
▪Überprüfen von Stammdaten
▪Durchführung von Schulungen
▪Anpassung von Aufbau- und Ablauforganisation)
▪Zusätzliche Investitionen (an allen vergleichbaren Arbeitsplätzen, in allen Werken)
Ursachen dieser Änderungen können z.B. neue gesetzliche und regulatorische Anforderungen sein.
Sicherheitskonzeption
◼ Wirksamkeit der Maßnahmen und Prozesse messenÜberwachung & Verbesserung
Vorgehensweise Einführung ISMS nach ISO27001
13
Testweise Umsetzung an vereinzelten Stellen
Überprüfung der Tests auf Funktionalität und Sinnhaftigkeit
Technische und organisatorische Maßnahmen sind umgesetzt
Unternehmensweites Ausrollen der Maßnahmen
Vorgehensweise Einführung ISMS nach ISO27001
Eine durchdachte Struktur ist für den Aufbau eines ISMS wichtig, da es die Orientierung erheblich erleichtert.
Hierzu können schon vorhandene Systeme genutzt werden, indem dort die entsprechenden Strukturen erstellt werden.
Hilfsprogramme zur Etablierung eines ISMS geben indes meist noch Hilfestellungen, sodass fehlende Merkmale des ISMS eingepflegt werden können.
Vorgehensweise Einführung ISMS nach ISO27001
▪ Definition der IT-Sicherheit: Darunter fallen allgemeine und besondere Sicherheitsziele, welche die Bedeutung
von IT-Sicherheit untermauern.
▪ Intentionen der Geschäftsleitung, damit alle Beteiligten von dem Sinn und Zweck der IT-Sicherheit oder einem
speziellen Sicherheitsgrad überzeugt werden können.
▪ Ein Rahmenwerk für den Einsatz der Ziele und Kontrollen, was auch die Struktur der Risikoabschätzung und des
Risikomanagements betrifft.
▪ Eine knappe Erklärung der Sicherheitsrichtlinien, Prinzipien, Standards und betrieblichen oder dienstlichen
Vereinbarungen, die Folgendes beinhalten:
▪ Vereinbarungen, die den gesetzlichen Bestimmungen des jeweiligen Landes oder der Branche entsprechen
▪ Sicherheitsschulungen, die nicht nur Fakten vermitteln, sondern auch das Sicherheitsbewusstsein aufbauen
und stärken
▪ das Fortführen der Geschäftsabläufe bei Auftreten von Sicherheitsvorfällen
▪ Konsequenzen, die eine Verletzung der IT-Sicherheitsrichtlinie mit sich ziehen
▪ Eine Definition des Tätigkeitsfeldes des IT-Sicherheitsmanagements. Im Tätigkeitsfeld sollten die allgemeinen
und speziellen Verantwortlichkeiten der Personen beschrieben sein. Mitglied des IT-Sicherheitsmanagements ist
für Energieversorger der Ansprechpartner IT-Sicherheit.
▪ Verweise zu weiteren externen Quellen, die die Dokumentation unterstützen, wie beispielsweise zu einer
besonders detaillierten Sicherheitsrichtlinie.
Vorgehensweise Einführung ISMS nach ISO27001
▪ Anforderung nach ISO 27001 Kapitel 7.5:
▪ „Das Informationssicherheitsmanagementsystem der Organisation muss Folgendes umfassen:
a) nach dieser internationalen Norm erforderliche dokumentierte Informationen und b) von
der Organisation als für die Wirksamkeit des Informationssicherheitsmanagementsystems
erforderlich befundene dokumentierte Informationen.“
▪ Für die Maßnahmen gilt hierbei:
▪ Beschreibungen der operativen Verfahren, Konzepte, Arbeits- und Dienstanweisungen.
▪ Die Dokumente müssen derart abgelegt sein, dass die betroffenen Parteien diese problemlos
einsehen können.
6-9
Monate
2-3
Monate
3-6
Monate
Tätigkeiten
Aufnahme der vorhandenen Netzinfrastruktur (Systeme, Komponenten,
Anwendungen, Personen etc. im Geltungsbereich)
Risikoeinschätzung: nach Kapitel 6.1.2 ISO 27001:2013: kritisch, hoch, mäßigRisikobehandlung: Erarbeitung der unternehmensspezifischen Maßnahmen nach Kapitel 6.1.3 ISO 27001
Sicherheitskategorien und Maßnahmen: erarbeitet basierend auf ISO 27001 Teil A, ergänzt um die ISO 27019
Festlegung des Geltungsbereiches (für Energieversorger ist die Basis schon
definiert)
Ressourcen bereit stellen
Zuständigkeiten
Asset-Owner
Ansprechpartner IT-
Sicherheit
Management
Ansprechpartner IT-
Sicherheit
Management
Management
Ansprechpartner IT-
Sicherheit
Umsetzung und Etablierung der Maßnahmen aus der Risikobehandlung:Kapitel 6.1.3 ISO 27001
Management
Ansprechpartner IT-
Sicherheit
Bedarf
sanaly
seSic
herh
eit
s-
konzepti
on
Opera
tives
Sic
herh
eit
smanage-
ment
Aufgaben
Bestandsaufnahme
Risikoanalyse
Erklärung zur
Anwendbarkeit
Leitlinie
Umsetzung &
Etablierung
Zertifizierung
Vorgehensweise Einführung ISMS nach ISO27001
Vorgehensweise Einführung ISMS nach ISO27001
(ungefährer Aufwand nach Unternehmensgröße)
▪ Zeitaufwand für die Einführung eines ISMS
▪ < 10 Mitarbeiter: bis zu 4 Monate
▪ 10 - 50 Mitarbeiter: bis zu 8 Monate
▪ 50 - 500 Mitarbeiter: bis zu 12 Monate
▪ > 500 Mitarbeiter: über 18 Monate
▪ Zeitaufwand Zertifizierung
▪ ca. 2-3 Monate (inkl. Audits und Erstellung des Zertifikats)
4 Monate
IST-Aufnahme
• Beginn 07/2016
9 Monate
Etablierung und Umsetzung
2 Monate
Zertifizierung
• Ende: 10/2017Geschätzter Zeitstrahl für ein mittleres Unternehmen mit 200 Mitarbeitern
Dokument erstellt durch
Information Security Management Center Team
Veritas Management Group
Bereichsleiter ISMC
Email: [email protected]
Telefon: +49 8104 / 64832-0
Mobil: +49 151 – 72 64 44 51
www.veritas-group.de