BSI IT-Grundschutz, ISO 27001 & Datenschutz · Ihre IT in sicheren Händen BSI IT-Grundschutz, ISO 27001 & Datenschutz Wie identifiziere und begegne ich Risiken bei der Digitalisierung?

Ihre IT in sicheren Händen

BSI IT-Grundschutz, ISO 27001 & Datenschutz

Wie identifiziere und begegne ich Risiken bei der Digitalisierung?

Kai Wittenburg, Geschäftsführer

neam IT-Services GmbH

§ gegründet 1996§ Paderborn, Wiesbaden & Berlin§ ca. 80 Mitarbeiter– ISO27001 Lead Auditoren– ISO27001 Lead Implementer– BSI-Auditoren


Informationssicherheit

§ Managementsysteme (ISMS) – ISO27001 – BSI Grundschutz

§ Business Continuity– Notfallvorsorge– Notfallbehandlung

§ Zertifizierung & Audits


Informationssicherheit

§ Penetrationstests– Infrastruktur– Webanwendungen– Social Engineering

§ Schulungen & Mitarbeiter-sensibilisierung


EU-DSGVO Art. 32Sicherheit der VerarbeitungUnter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitungsowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikosfür die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risikoangemessenes Schutzniveau zu gewährleisten;

Informationssicherheitsmanagement-system§ ISMS basierend auf – ISO 27001 (Zertifikat)

• Leitlinien & allgemeine Prinzipien• Maßnahmenziele & Maßnahmen (Anhang A)

– ISO 27002

• Umsetzungsempfehlungen für Maßnahmen• Ergänzend: BSI Grundschutzkataloge

§ Unterstützt: Datenschutzmanagementsystem

Informationssicherheitsmanagement-system§ ISMS basierend auf – ISO 27001 (Zertifikat)

• Leitlinien & allgemeine Prinzipien• Maßnahmenziele & Maßnahmen (Anhang A)

– ISO 27002

• Umsetzungsempfehlungen für Maßnahmen• Ergänzend: BSI Grundschutzkataloge

ISO 27002

§ ISO 27001 Anhang A

0

1

2

3

4

5

A5I nf or m at io nss ich er hei t sr icht l in ie n

A6 O r gani sat io n derI nf or m at io nss ich er hei t

A7 Pe r sonal s ich er hei t

A8 V er wa lt un g d er We rt e

A9 Zu gangsst eu er ung

A1 0 K r ypt ogr ap hie

A1 1 P hysi sche undum ge bung sbezoge ne Sich er hei t

A1 2 B et r ieb ss ich er hei t

A1 3 K om m un ikat i onss i cher h eit

A1 4 A nscha ff un g, Ent w i cklu ng undI nst andh al tu ng von Syst em en

A1 5 Li ef er an te nbezi ehu ngen

A1 6 M anage me nt vo nI nf or m at io nss ich er hei t svor f äl len

A1 7I nf or m at io nss ich er hei t saspekt e

bei m Busi ness Con ti nu it yM an agem en t

A1 8 C om pl ia nce

Sol l- Zu stan d

I s t- Zust an d

BSI IT-Grundschutz

§ Bausteine im IT-Grundschutz-Kompendium– Prozessorientierte Schichten• ISMS• ORP (Organisation & Personal)• CON (Konzepte)• OPS (Betrieb)• DER (Detektion & Reaktion)

BSI IT-Grundschutz

§ Bausteine im IT-Grundschutz-Kompendium– Systemorienterte Schichten:• INF (Infrastruktur)• NET (Netze und Kommunikation)• SYS (IT-Systeme)• APP (Anwendungen)• IND (Industrielle IT)

BSI IT-Grundschutz

Einführung ISMS nach ISO 27001

Planung

• Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & -behandlung; Anwendbarkeitserklärung

Umsetzung

• IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzung von IS-Maßnahmen; Incident-Management

Kontrolle

• Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung

Anpassung• Behandlung von Abweichungen; kontinuierliche Verbesserung

Initiierung des Sicherheitsprozesses:SicherheitsleitlinieSicherheitsmanagement

Erstellen eines IT-Sicherheitskonzeptes

Umsetzung fehlender Maßnahmen in den Bereichen:-Infrastruktur-Organisation-Personal-Technik-Notfallvorsorge

Aufrechterhaltung im laufenden Betrieb

Sensibilisierung & Schulung zur IT-Sicherheit

Der S

icher

heits

proz

ess

Sicherheitsprozess

Vorgehensweisen nach BSI-Standard 200-2

IT -Strukturanalyse und M odellierungErfassen der IT und der IT-Anw endungen

G ruppenbildung

SchutzbedarfsfeststellungD efin ition der Schutzbedarfskategorien

Schadenszenarien

Risikoanalysebei hohem Schutzbedarf

bei zusätzlichem Analysebedarf

RealisierungsplanungKonsolid ierung der M aßnahm en

U m setzungsplan

IT -G rundschutz-Check (I)

Soll-Ist-Vergle ichIT -G rundschutz-Kom pendium

G eltungsbereichkle in abgegrenzt

ca. 20 %

Schritte zur Kern-Absicherung

IT-G rundschutz-Check (II)

Soll-Ist-Vergle ichIT -G rundschutz-Kompendium

ca. 80 %

Kronjuw elenidentifiz iert

Standard-A bsicherungzur Verbesserung

Zertifizierungals O ption

BSI IT-Grundschutz

www2 MBit/s SFV

Router A

Server A Server C

Server B

Firewall

Personal

Drucker

GeschäftsleitungNotebooks

VerwaltungIT-Grundschutz-Kompendium

Realisierte Maßnahmen

Maßnahmen-empfehlungen

Sicherheitskonzept: defizitäre Maßnahmen

Soll-Ist-Vergleich

• Normal– Schadensauswirkungen sind

begrenzt und überschaubar.

• Hoch– Schadensauswirkungen können

beträchtlich sein.

• Sehr hoch– Schadensauswirkungen

können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Definition der Schutzbedarfs-

kategorien

Schutzbedarfsfeststellung

Normal

Hoch: „besonders schützenswerte Daten“

Sehr hoch: „besonders schützenswerte Daten“

PlanungsphaseSchutzbedarfsfeststellung

§ Zuordnung der Schäden durch Verlust der Vertraulichkeit, Integrität und Verfügbarkeitanhand folgender Szenarien:– Verstoß gegen

Gesetze/Vorschriften/Verträge, – Beeinträchtigung des

informationellen Selbstbestimmungsrechts,

– Beeinträchtigung der persönlichen Unversehrtheit,

– Beeinträchtigung der Aufgabenerfüllung,

– negative Außenwirkung und – finanzielle Auswirkungen.

Typische Schadensszenarien

Schutzbedarfsfeststellung

Nr. IT-Anwendung / Informationen

Pers.-bez.

DatenGrund-wert Schutz-

bedarfBegründung

A1 Branchensoftware

Vertraulich-keit

normalEs handelt sich um frei zugängliche Daten, deren Bekanntwerden zu keinen Schaden führen würde.

Integrität normal Fehler können schnell erkannt und korrigiert werden.

Verfügbar-keit

normal Wichtige Informationen können aus anderen Quellen bezogen werden.

A2 Personalverwaltung X

Vertraulich-keit

hochEs handelt sich um pers.-bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträchtigen kann.

Integrität normal Fehler können schnell erkannt und korrigiert werden.

Verfügbar-keit

normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

Schu

tzbe

darf

/ Sic

herh

eits

nive

au

Normal

Hoch

Sehr hoch

Prozess1 Prozess2 Prozess3

Standardmaßnahmen,

IT-Grundschutz-Kompendium Standard-Absicherung

Standardmaßnahmen,

IT-Grundschutz-Kompendium Basis-Absicherung

Risikomanagement

Windows 10

Individuelle Risikoanalyse

§ Prozesse mit (sehr) hohem Schutzbedarf1. Assetliste des Prozesses2. Erstellung einer Gefährdungsübersicht3. Ermittlung zusätzlicher Gefährdungen4. Gefährdungsbewertung5. Risikobehandlungsplan


§ Identifikation der Assets (CMDB)§ Vererbung des Schutzbedarfs

Nr. IT-Anwendung / Informationen

Pers.-bez.

Daten

IT-Systeme

C1 C2 C3 C4 L1 S1 S2 N1 N2 TK1

A1 Branchensoftware X X X X X

A2 Personalverwaltung X X X X

A3 Onlinebanking X X X X


§ Prozesse mit (sehr) hohem Schutzbedarf1. Assetliste des Prozesses2. Erstellung einer Gefährdungsübersicht• BSI Gefährdungsliste• Reduziert: 46 „elementare Gefährdungen“• Beispiele und Beschreibungen

3. Ermittlung zusätzlicher Gefährdungen

• Workshop (Brainstorming)4. Gefährdungsbewertung5. Risikobehandlungsplan


§ Prozesse mit (sehr) hohem Schutzbedarf1. Assetliste des Prozesses2. Erstellung einer Gefährdungsübersicht3. Ermittlung zusätzlicher Gefährdungen4. Gefährdungsbewertung• Eintrittswahrscheinlichkeit• Auswirkung

5. Risikobehandlungsplan


§ Gefährdungsbewertung – Bewertungskriterien– Eintrittswahrscheinlichkeit


§ Gefährdungsbewertung – Bewertungskriterien– Auswirkung

Schutzbedarf = Summe (für Vertraulichkeit, Integrität und Verfügbarkeit)


§ Risikoakzeptanz


§ Bewertung


§ Bewertung


§ Bewertung


§ Prozesse mit (sehr) hohem Schutzbedarf1. Assetliste des Prozesses2. Erstellung einer Gefährdungsübersicht3. Ermittlung zusätzlicher Gefährdungen4. Gefährdungsbewertung5. Risikobehandlungsplan


Gesamtrisiko1.

Risikove

rmeid

ung

2. Risik

overminderung

3. Risik

oübertragu

ng

4. Risik

oübernahme

Restrisiko

Projektvorgehensweise zurEinführung ISMS nach ISO 27001

Planung


Umsetzung

• IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzung von IS-Maßnahmen; Incident-Management

Kontrolle

• Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung


Umsetzungsphase

§ Umsetzung von IS-Maßnahmen– Umsetzungsplan für noch umzusetzende IS-Maßnahmen– Unterstützung bei der Umsetzung von IS-Maßnahmen

§ Schulung und Sensibilisierung– Analyse des Schulungs- und Sensibilisierungsstandes– Durchführung von Sensibilisierungsschulungen

§ Incident-Management– Planung, Einführung und Dokumentation einer Vorgehensweise

zum Umgang mit Vorfällen innerhalb der Organisation


Planung


Umsetzung

• IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management

Kontrolle• Überwachung, Bewertung und Überprüfung; Interne Audits;

Managementüberprüfung



Planung


Umsetzung






Planung


Umsetzung





neam IT-Services GmbHTechnologiepark 8D-33100 Paderborn

+49 5251 1652-0+49 5251 1652-444

http://www.neam.de

Documents

BSI IT-Grundschutz, ISO 27001 & Datenschutz · Ihre IT in sicheren Händen BSI IT-Grundschutz, ISO 27001 & Datenschutz Wie identifiziere und begegne ich Risiken bei der Digitalisierung?