Einführung von …...Eine durch die Geschäftsführung bestätigte Liste der offenen Punkte mit...

(c) 2015 - SAMA PARTNERS Business Solutions GmbH

Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades

Agenda

Vorstellung SAMA PARTNERS

Vorstellung Teilnehmer

Ablauf vom Scoping bis zur Zertifizierung

Beispiel einer GAP-Analyse mit dem VDA-ISA Fragebogen

Die Normenfamilie um ISO 27000

13.11.2015 SAMA PARTNERS Business Solutions GmbH 2


13.11.2015 3SAMA PARTNERS Business Solutions GmbH

SAMA PARTNERS ist ein unabhängiges Management- und IT- Beratungsunternehmen

Wir verstehen uns als Bindeglied zwischen klassischer (Office-) IT und industrieller IT

Seit der Gründung im Jahr 2010 verzeichnen wir ein kontinuierliches Wachstum

Unser Expertenteam verfügt über hohe Qualifikationen und langjährige Praxiserfahrung in verschiedenen Branchen

Unsere Dienstleistungen decken folgende Bereiche ab:

• Professionelle Dienstleistungen, Consulting mit Schwerpunkt I3 (Information-/ IT-/Industry-) Security

• Produkt-Dienstleistungen (Einführung von Standard-Lösungen)

• Operative Dienstleistungen (Überprüfung von Sicherheitsarchitekturen und industrieller Kontrollsysteme, Schwachstellenanalyse und Penetrations-Tests, Schulungen und Coachings)


SAMA PARTNERS Business Solutions GmbH 413.11.2015

Unser Leistungsportfolio

Qualitäts-management

IT-ManagementEnterpriseArchitektur

SW-Architektur& -Entwicklung

I3 (Information-/IT-/Industry-) Security• IT-/Informationssicherheit nach ISO/IEC 27001• Sicherheit industrieller Kontrollsysteme – ICS/SCADA-Sicherheit• Sicherheit von Industrie 4.0• Konzeption und Optimierung von Sicherheitsarchitekturen• Schwachstellenanalyse/Penetrations-Tests • Schulungen und Coaching

SAMA PARTNERS

Klassische IT/Industrielle IT


I-3 Security

Governance & Management

ICS/SCADA Architektur SW-Entwicklung Technische Audits

ISMS & Prozesse

BCM

Compliance (z. B. GMP)

Audits

SCADA Security Assessments

Security Architecture

Security Policy und Audit

Information & Data Sec. Architecture

Security Domains

Transformation & Service Architecture

Architecture Review

Secure SDLC

Secure Service

Code Review

Vulnerability Scans

Penetration Testing

Survivability Testing

TÜV: ISO27001 FoundationISO27001 Officer

Eigene Schulung: SCADA Security Architecture

EC Council SchulungCEH

OpenGroup Schulung (in Kürze): Open CAOpen CITSOpen FAIR

Domains

Services

Trainings

Mitarbeiterschulungen und Personenzertifizierungen

Beratung inklusive Umsetzung



7SAMA PARTNERS Business Solutions GmbH13.11.2015

Arndt Schürg

SAMA PARTNERS Business Solutions GmbH

ICS/SCADA Architektur

SW-Entwicklung Technische Audits

Arndt SchürgSenior Security Consultant

Mail: [email protected]

Schwerpunkte:

• IT-/Informationssicherheit• IT-Audit• Projektmanagement

813.11.2015

…und wer sind Sie?



Die Normenfamilie um ISO 27000


Die Familie der 27000-Standards

ISO/IEC 27000Überblick und Vokabular

ISO/IEC 27001Requirements

ISO/IEC 27006Anforderung an Zertifizierer

ISO/IEC 27002Code of Practice

ISO/IEC 27007Leitfaden zur Durchführung von ISMS-Audits

ISO/IEC 27003Leitfaden zur Implementierung eines ISMS

ISO/IEC 27005Risikomanagement

ISO/IEC 27004Messungen

ISO/IEC 27011Richtlinien für Informationssicherheit der Telekommunikation

ISO/IEC 27799Gesundheitswesen

Beg

riff

eA

nfo

rde

-ru

nge

nEm

pfe

hlu

nge

nB

ran

chen

-sp

ezif

isch

No

rmativ

No

rmativ

Info

rmativ

Info

rmativ

ISO/IEC 27019Energieversorger

SAMA PARTNERS Business Solutions GmbH 11

weitere ISO/IEC 27xxx

13.11.2015

Informationssicherheit ist…

der Präventivschutz für Persönlichkeits- und Unternehmensinformationen

Ist auf Geschäftsprozesse fokussiert

Ist nicht nur auf die IT bezogen

Grundlagen der Informationssicherheit


Bezieht sich gleichermaßen auf:

• Personen,• Unternehmen,• Systeme und• Prozesse.

Wird erzielt durch:

• Vertraulichkeit,• Verfügbarkeit,• Integrität,• Verbindlichkeit,• Nachweisbarkeit und• Authentizität.

Grundlagen der Informationssicherheit

Soll…

• den Verlust, • die Manipulation, • den unberechtigten Zugriff und • die Verfälschung

von Informationswerten verhindern.


Wird erreicht durch:

• konzeptionelle,• organisatorische und• operative/technische

Maßnahmen.

13.11.2015

Maßnahmenziele aus Katalog

Die ISO/IEC 27001 Anhang A listet einige Maßnahmenziele und Maßnahmen auf

• Ausschlüsse von Maßnahmen (Controls) (ISO/IEC 27001, Anhang A) grundsätzlich möglich, aber:Jeder Ausschluss einer Maßnahme (Control) muss begründet werden!

• Die ISO 27002 macht Vorschläge zur Umsetzung der Anforderungen aus ISO/IEC 27001 Anhang A nach Best Practice

Weitere Kataloge und Vorgaben• BSI IT-Grundschutz• Cobit• HIPAA• …

Maßnahmen aus Maßnahmenkatalogen


Maßnahmenziele und Maßnahmen (Annex A)

A.5 Sicherheitsleitlinie 1 2

A.6 Organisation der Informationssicherheit 2 7

A.7 Sicherheit des Personalwesens 3 6

A.8 Management von Werten (assets) 3 10

A.9 Zugriffskontrolle 4 14

A.10 Kryptographie 1 2

A.11 Schutz vor physischem Zugang und Umwelteinflüssen 2 15

A.12 Betriebssicherheit 7 14

A.13 Sicherheit in der Kommunikation 2 7

A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen 3 13

A.15 Lieferantenbeziehungen 2 5

A.16 Management von Informationssicherheitsvorfällen 1 7

A.17 Business Continuity Management 2 4

A.18 Richtlinienkonformität (Compliance) 2 8

Legende

Maßnahmenkategorien

Anzahl der Maßnahmenziele

Anzahl der Maßnahmen


Ablauf vom Scoping bis zur Zertifizierung


Phasen ISO 27001 Zertifizierung


Scope-Festlegung

Gap-AnalyseMaßnahmen-

PlanMaßnahmen-

Umsetzung

Statement ofApplicability

(SOA)Internes Audit Zertifizierung

Phase 1 Phase 2 Phase 3

13.11.2015

Identifizierung der Kern- und Supportprozesse zur Erfüllung der Unternehmensziele

Abgrenzung der mit in die Betrachtung einbezogenen Unternehmensbereiche, wie Abteilungen, Abteilungen usw.

Identifikation der betroffenen Werte, Assets und Informationen

Ergebnis: Einschätzung des vorläufigen Scopes für die GAP-Analyse

Scope festlegen


Identifizierung der benötigten Schritte zur Erreichung der Zertifizierungsreife

Maßnahmenkataloge (IT-Grundschutz, ISO27001,ISO27799)

Andere Fragenkataloge (z.B. VDA-ISA)

Überprüfung des zuvor identifizierten Scopes, ggf. Anpassung

Abnahme und Bestätigung durch die Geschäftsführung

Ergebnis:

Eine durch die Geschäftsführung bestätigte Liste der offenen Punkte mit Beauftragung der Umsetzung

Der durch die Geschäftsführung bestätigte Scope für die Zertifizierung

GAP-Analyse


Ableitung und Spezifizierung der Maßnahmen aus der GAP-Analyse

Identifikation von Abhängigkeiten zwischen den Maßnahmen untereinander und nach Außen

Erstellung eines Zeitplans

Ergebnis: Projektplan

Maßnahmenplan


Umsetzung der Maßnahmen als Teilprojekte in einem Programm

ggf. Anpassung der Maßnahmen durch neue Erkenntnisse (Change-Prozess!)

Umsetzung der Maßnahmen


Betrifft vor allem Zertifizierung nach ISO 27001:

Schriftliche Dokumentation, welche Controls aus dem Anhang A der Norm umgesetzt bzw. nicht umgesetzt wurden

Begründung der Nichtumsetzung

Ergebnis: Durch die Geschäftsführung bestätigtes SoA

Statement of Applicability (SoA)


SoA

13.11.2015

Überprüfung der Maßnahmen durch interne Fachleute

Durchführung von Nacharbeiten (Dokumentation usw.)

Internes Audit


Überprüfung der Maßnahmen durch externe Auditoren

Dokumentenanalyse

Zwischenbericht

Vor-Ort Audit

Abschluss mit Empfehlung

Zertifizierungsaudit


Beispiel einer GAP-Analyse mit dem VDA-ISA Fragebogen


Werkzeug des VDA zur Umsetzung der Anforderungen aus ISO 27001 und ISO 27002

• Identifizierung von Umsetzungslücken

• Anforderungsdefinition zum Schließen der Lücken

• Strukturierung der Anforderungen nach Themengebieten

• Liefert eine Kennzahl zur Identifikation des aktuellen Reifegrades (Steuerung und Reporting)

Frei im Internet erhältlich (Creative Commons)

• Excel:https://www.vda.de/dam/vda/publications/2015/information-security-assessment-isa-de.xlsx

• Verinice:http://verinice.org/

VDA-ISA-Fragebogen


Der Fragebogen gliedert sich in einzelne Bereiche mit unterschiedliche Themen z. B.:

• General Aspects

• Human Resource Security

• Operational Security

• Supplier Relationships

Jede Frage kann mit einem Reifegrad von 0-5 oder mit n/a (nicht anwendbar) bewertet werden

Reifegrade:• RG0: Der Prozess existiert nicht. Es werden keine Maßnahmen betreffend der Fragestellung umgesetzt.

• RG1: Der Prozess wird umgesetzt. Eine Prozessdokumentation ist nicht vorhanden oder unvollständig.

• RG2: Der Prozess wird umgesetzt. Eine Prozessdokumentation ist vorhanden. Belegdokumente (Results) werden erstellt.

• RG3: Der Prozess ist unternehmensweit über Schnittstellen integriert. Rollen zur Prozessdurchführung sind definiert und mit ausreichend Ressourcen besetzt.

• RG4: Der Prozess ist durch KPI bewertbar, wird aber noch nicht durchgängig zur Verbesserung angewendet.

• RG5: Der Prozess wird durch Kennzahlen gesteuert und unterliegt einem laufenden Verbesserungsprozess.

Für die Zertifizierungsreife müssen u.a. alle betroffenen Controls mindestens einen RG 3 haben. Ein Durchschnitt des RG>3 über alle Fragen ist nicht ausreichend.

Hinweise zum Umgang mit dem VDA-ISA Fragebogen


Der Reifegrad kann als Steuerungs- und Reportinginstrument über alle Managementebenen hinweg angewendet werden

Die Anforderungen für jede Maßnahme (Frage) können durch den Reifegrad identifiziert werden

Der Reifegrad liefert erste Anhaltspunkte für die Aufwandschätzung

• RG 01: organisatorische Anpassungen des Unternehmens notwendig = Hoher Projektaufwand, da Organisationsprojekt

• RG 12: Dokumentationsaufwand notwendig = mittlerer bis geringer Projektaufwand für Dokumentationsprojekte

• RG 23: Übernahme und Betrieb der Controls in der Linie = Linienaufwand

• RG 3: Etablierter Prozess (Zertifizierungsreife?)

• RG 4+5: Optimierte Prozesse = Steuerung durch Prozessmanagement mit Kennzahlen und KVP

Der VDA-ISA Fragebogen hilft dem Projektmanagement


VDA ISA Beispiel


Fragen?

Vielen Dank


Date post:	08-Jul-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Einführung von …...Eine durch die Geschäftsführung bestätigte Liste der offenen Punkte mit...

Documents