www.materna.com 1© MATERNA GmbH 2009

GI Regionalgruppe Dortmund08.06.2009

Helmut ElschnerSenior Consultant Information Security

DIN ISO/IEC 27001:2005Informationssicherheits­Managementsysteme

www.materna.com 2© MATERNA GmbH 2009

Informationssicherheit –Definitionen

Information security means protecting informationand information systems from unauthorized access,

use, disclosure, disruption, modification, or destruction.en.wikipedia.org based on 44 U.S.C § 3542 (b)(1) (2006)

Informationssicherheit ist das Ergebnis eines Systems vonStrategien und Verfahren zur Identifizierung, Kontrolle

und zum Schutz von Informationen und Geräten,die im Zusammenhang mit ihrer Speicherung,Übermittlung und Verarbeitung genutzt werden

Source: ISO/IEC 20000­2 Clause 6.6.1

www.materna.com 3© MATERNA GmbH 2009

Informationssicherheit –und noch eine Definition

Informationssicherheit nach ISO / IEC 17799

Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen;andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nicht­Abstreitbarkeit

und Verlässlichkeit können ebenfalls berücksichtigt werden

www.materna.com 4© MATERNA GmbH 2009

„Informationssicherheit“ist mehr als nur „IT­Sicherheit“

IT­Sicherheitfokussiert sich traditionell auf den Schutz von

IT­Systemen und den dort gespeicherten Daten

Informationssicherheitbetrachtet Information in jeder Form:

auf Datenträgern, auf Papier, gesprochen, …

www.materna.com 5© MATERNA GmbH 2009

Informationen sind Werte

Mehr denn je ist uns bewusst: Informationen sind Werte. Wir besitzensie aus unterschiedlichen Gründen ­ weil wir für ihre Verwahrung oderVerarbeitung Verantwortung tragen, weil wir aus ihnen einen Vorteilziehen, weil ihre Kenntnis uns vor Schaden bewahrt und noch viel

mehr. Gehen sie uns verloren, werden sie gestohlen, sind sie falschoder einfach nicht auffindbar, wenn wir sie benötigen, dann erleiden

wir Schaden ­ die Palette reicht von geringfügig bisexistenzbedrohend.

Österreichisches Informationssicherheitshandbuch (April 2007)

www.materna.com 6© MATERNA GmbH 2009

Informationssicherheit im Detail

Alle Organisationen betreiben Geschäftsprozesse

Geschäftsprozesse nutzen Anlagen und Werte (Assets)(Kundendaten, Patente, IT­Systeme / ­Einrichtungen, … )

Risiken bedrohen die Prozesse, Anlagen, Werte

Geschäftsprozesse werden durch IT­Servicesunterstützt oder auch erst ermöglicht

Informationssicherheit hat den Schutz der Werte zum Ziel

www.materna.com 7© MATERNA GmbH 2009

Verfügbarkeitvon EDV­Systemen, Anwendungen, Daten

Grundwerte der Informationssicherheit

IntegritätNicht autorisierte Änderungen gespeicherter oderübertragener Daten ausschließen bzw. erkennen

VertraulichkeitGeschäftsgeheimnisse, Sensitive Daten

www.materna.com 8© MATERNA GmbH 2009

Höhere GewaltAusfall, Blitz, Feuer, Wasser, Kabelbrand, ...

Bedrohungen

Vorsätzliche HandlungenManipulation, Diebstahl, Vandalismus,Missbrauch, „Trojanische Pferde“, ...

Menschliche FehlhandlungenFehlbedienung, fehlerhafte Administration,

Übertragen falscher Datensätze, ...

Technisches VersagenAusfall der Stromversorgung, Ausfall von

Netzkomponenten, Datenverlust

Organisatorische MängelFehlende oder unzureichende Regelung

Mangelhafte Kontrolle, Unbefugter Zutritt, ...

www.materna.com 9© MATERNA GmbH 2009

Infrastrukturelle MaßnahmenBlitzschutz, Feuerlöscher, Klimatisierung, Räume

Schutzmaßnahmen

Notfall VorsorgemaßnahmenNotfallhandbuch, Alarmierungsplan,

Datensicherungsplan, Ersatzsysteme, ...

Personelle MaßnahmenEinarbeitung, Einweisung, Schulung,Sicherheitsbewusstsein schaffen, ...

Technische MaßnahmenPasswortschutz, Bildschirmsperre, Firewalls,

Virenschutz, Verschlüsselung, ...

Organisatorische MaßnahmenFestlegen von Verantwortlichkeiten, Zugangs­ und

Zugriffsrechte, Firewallkonzept, Kontrolle, ...

www.materna.com 10© MATERNA GmbH 2009

„Informations­Sicherheits­Strategien“

bürokratisch

technisch

optimistisch

„Es ist noch immer gut gegangen!“„Bei uns passiert sowas nicht.“

„Firewalls, Virenscanner, Biometrie, ...

„Alles ist geregelt!“... und theoretisch sicher

www.materna.com 11© MATERNA GmbH 2009

Kosten / Nutzen ­ Relation

Aufwand

100­prozentige Sicherheit ist nicht erreichbarAber wie weit müssen wir gehen?

Was ist das „passende“Sicherheitsniveau?

0 %

Sicherheit

100 %

0 €

www.materna.com 12© MATERNA GmbH 2009

Wahl eines realistischen Sicherheitsniveaus

gefordertes Sicherheitsniveau hochniedrig

„geheim“ „geheim01“ „xKi8&dZp“

Beispiel Passwortauswahl

Ohnejegliche

Vorgaben

8 Zeichenmindestens

1 Ziffer

automatischgeneriertesPasswort

geringerSchutz

Nicht wirklichbesser

landet unweigerlichauf gelbem Klebezettel

www.materna.com 13© MATERNA GmbH 2009

Sicherheitsmaßnahmen im praktischen Einsatz

www.materna.com 14© MATERNA GmbH 2009

Komponenten der Informations­Sicherheit

TECHNIKFirewalls, Virenscanner, Kryptografie,Intrusion Detection, Smartcards, Token, …

ORGANISATIONSicherheitsleitlinien, Sicherheitsrichtlinien,Sicherheitskonzepte, Regelung von Verantwortlichkeiten, …

MENSCHENMitdenken, Verstehen, Beobachten, Melden, Reagieren, …

!!! Unkoordinierte Einzelmaßnahmen alleinkönnen nicht die benötigte Wirkung erzielen.

Gebraucht wirdein ganzheitlicher Ansatzeine methodische Vorgehensweiseeine sinnvolle Koordinationkontinuierliche Verbesserungein Managementsystem für Informationssicherheit

www.materna.com 15© MATERNA GmbH 2009

Informationssicherheits­Managementsystem

Informationssicherheits­Managementsystem (ISMS)Teil des gesamten Managementsystems, der auf der Basis einesGeschäftsrisikoansatzes die Entwicklung, Implementierung,Durchführung, Überwachung, Überprüfung, Instandhaltung undVerbesserung der Informationssicherheit abdeckt

ANMERKUNG Das Managementsystem enthält die Struktur, Grundsätze,Planungsaktivitäten, Verantwortung,Praktiken, Verfahren, Prozesse und Ressourcen der Organisation.

(ISO 27001, Begriffe 3.7)

www.materna.com 16© MATERNA GmbH 2009

Drei Normen aus der Normenreihe ISO 27000

ISO 27001 Informationssicherheits­Managementsysteme –AnforderungenEnthält die formale Spezifikation und die normativen Anforderungen, wasfür die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung,Instandhaltung und Verbesserung eines Informationssicherheits­Managementsystemsrealisiert werden muss (ca. 45 Seiten)

ISO 27002 Leitfaden für das Informationssicherheits­ManagementEnthält Empfehlungen und Anleitungen zur Umsetzung, wie die Maßnahmenzielerealisiert werden können (ca. 138 Seiten)

ISO 27005 Informationssicherheits­RisikomanagementEnthält einen der möglichen und systematischen Ansätze zum Aufbau einesInformationssicherheits­Risikomanagements, wie er zur Realisierung einesInformationssicherheits­Managementsystems gefordert wird

“Die Internationale Norm ISO 27001 ist mit ISO 9001 (Qualitätsmanagementsysteme)und ISO 14001 (Umweltmanagementsysteme) abgestimmt worden, um diekonsistente und integrierte Umsetzung und Durchführung mit verwandtenManagementsystemen zu unterstützen.”

www.materna.com 17© MATERNA GmbH 2009

Historische Entwicklung

1992: Information Security Best PracticesKommission des Department of Trade and Industry (UK)

1993: „Code of Practice“veröffentlicht1995: BS 7799:1995 (British Standard Institute)1999: BS 7799­1 (Best Practices)1999: BS 7799­2 (Specifications) Zertifizierungsgrundlage

2000: ISO 17799:2000 (Best Practices ­ BS 7799­1)2002: BS 7799­2:2002 (Einführung PDCA)2005: ISO/IEC 17799:2005 (Code of practice)2005: ISO/IEC 27001:2005 (Requirements) Zertifizierungsgrundlage

2007: ISO/IEC 27002 (durch Umbenennung der ISO/IEC 17799 in 27002)

www.materna.com 18© MATERNA GmbH 2009

Risikomanagement

Business Prozesse

Schwachstellen Bedrohungen

Assets (Werte)

nutzen

bedrohenRisiken

+

ergeben

Analysiere

Analysiere

Maßnahmen schützenbekämpfen

www.materna.com 19© MATERNA GmbH 2009

Der prozessorientierte Ansatz und das PDCA Modell

ISMSbasierend auf

ISO 27001

Handeln(Act)

Instandhalten undVerbessern des

ISMS

Prüfen(Check)

Überwachenund Überprüfen

des ISMS

Planen(Plan)

Festlegendes ISMS

Durchführen(Do)

Umsetzen undDurchführen

des ISMS

ISO 27001 verwendet das PDCA Modell zur Strukturierung der ISMS Prozesse.Informationssicherheit ist ein Kontinuierlicher Verbesserungsprozess (KVP).

www.materna.com 20© MATERNA GmbH 2009

Das Management­Rahmenwerk für ein ISMS

Plan –Abschnitt 5Managementverantwortung

5.1 –Verpflichtungdes ManagementsDas Managementmuss seine eigeneVerpflichtung für dengesamten ISMSProzess nachweisen

5.2 –Managementvon RessourcenBereitstellung vonRessourcen für dengesamten IMS Prozessund Schulungen,Bewusstsein undKompetenz für dasPersonal sicherstellen

Do –Abschnitt 4Das Managementsystem

4.1 –Allgemeines… ein dokumentiertesISMS im Kontext ihrerallgemeinen Geschäfts­Aktivitäten…

4.2 –Festlegungund Verwaltungdes ISMS, Detailssiehe Folgefolie4.3. –Dokumentations­Anforderungenz.B. dokumentierteLeitlinie, Maßnahmen,Verfahren, Geltungs­Bereich, Methode zurRisikoeinschätzung,Risikobericht,Risikobehandlungs­Plan, usw.

Check –Abschnitt 6Interne ISMS Audits

Durchführung voninternen Audits ingeplanten AbständenFestlegung vonKriterien, Umfang,Häufigkeit undMethoden der AuditsWahrung vonObjektivität undUnparteilichkeitMaßnahmen zurBeseitigung derNichtkonformitätmüssen unverzüglichergriffen werdenVerfahren müssendokumentiert sein

Check –Abschnitt 7Managementbewertung

7.1 –AllgemeinesManagementbewertungin geplanten Abständen,mindestens 1x jährlich

7.2 –Eingabenz.B. Auditergebnisse,Status von Korrektur­und Vorbeugungs­Maßnahmen, Folge­Aktivitäten vorherigerBewertungen, usw.

7.3 –Ergebnissez.B. Entscheidungenzur Verbesserung derWirksamkeit,Aktualisierung vonRisikoeinschätzungs­und Risikobehandlungs­plan, usw.

Act –Abschnitt 8Verbesserung des ISMS

8.1 –StändigeVerbesserungStändige Verbesserungder Wirksamkeit desISMS

8.2 –Korrektur­MaßnahmenUrsachenbeseitigungvon Nichtkonformitätenzur Vermeidung deserneuten Auftretens

8.3 –Vorbeugungs­Ursachenbeseitigungvon möglichenNichtkonformitäten,zur Vermeidung desAuftretens

Verfahren müssendokumentiert sein

ISO 27001 strukturiert den ISMS Prozess in fünf Phasen:

www.materna.com 21© MATERNA GmbH 2009

Wie die Festlegung und Verwaltung eines ISMS erfolgt

Plan –Abschnitt 4.2.1Festlegen des ISMS

Definition der Grenzen unddes AnwendungsbereichesDefinition der LeitlinieVorgehensweise zurRisikoeinschätzungIdentifizierung der RisikenAnalyse und Bewertungder RisikenBewertung der Optionenfür die RisikobehandlungAuswahl von Maßnahmenund MaßnahmenzielenManagement Zustimmungzu den RestrisikenGenehmigung des ISMSdurch das ManagementErstellung einer Erklärungzur Anwendbarkeit

Do –Abschnitt 4.2.2Umsetzen und Durchführen

Formulierung einesRisikobehandlungsplansUmsetzung desRisikobehandlungsplansUmsetzung ausgewählterMaßnahmen und ­zieleDefinition eines Maßesder WirksamkeitUmsetzung von Schulungund BewusstseinsbildungVerwaltung des BetriebsRessourcen­VerwaltungUmsetzung von Verfahrenfür die sofortige Erkennungvon SicherheitsereignissenUmsetzung von Verfahrenfür die Reaktion aufSicherheitsvorfälle

Check –Abschnitt 4.2.3Überwachen und Überprüfen

Ausführung von Verfahrenzur Überwachung undÜberprüfungRegelmäßige Überprüfungder Wirksamkeit des ISMSMessung der Wirksamkeitvon MaßnahmenRegelmäßige Überprüfungder Risikoeinschätzungen,Restrisiken und desakzeptablen RisikoniveausRegelmäßige Durchführungvon internen AuditsRegelmäßigeManagementbewertungAktualisierung derSicherheitspläneErkennung von Einflüssenauf die Wirksamkeit

Act –Abschnitt 4.2.4Instandhalten und Verbessern

Umsetzung deridentifiziertenVerbesserungenErgreifung von geeignetenKorrektur­ undVorbeugungsmaßnahmenLehren aus gesammeltenSicherheitserfahrungenziehenMitteilung der Maßnahmenund Verbesserungen analle BeteiligtenSicherstellung, dass diebeabsichtigten Zieleerreicht werden

Die Anforderungen und die vier Phasen aus Abschnitt 4 im Detail:

www.materna.com 22© MATERNA GmbH 2009

Die normativen Maßnahmenziele der ISO 27001

A.5 SicherheitsleitlinieA.5.1 Informationssicherheitsleitlinie

A.6 Organisation der InformationssicherheitA.6.1 Interne OrganisationA.6.2 Externe Beziehungen

A.7 Management von organisationseigenen WertenA.7.1 Verantwortung für organisationseigene WerteA.7.2 Klassifizierung von Informationen

A.8 Personelle SicherheitA.8.1 Vor der AnstellungA.8.2 Während der AnstellungA.8.3 Beendigung oder Änderung der Anstellung

A.9 Physische und umgebungsbezogeneSicherheit

A.9.1 SicherheitsbereicheA.9.2 Sicherheit von Betriebsmitteln

A.10 Betriebs­ und KommunikationsmanagementA.10.1 Verfahren und VerantwortlichkeitenA.10.2 Management der Dienstleistung von DrittenA.10.3 Systemplanung und AbnahmeA.10.4 Schutz vor Schadsoftware und mobilem CodeA.10.5 BackupA.10.6 Management der NetzwerksicherheitA.10.7 Handhabung von SpeichermedienA.10.8 Austausch von InformationenA.10.9 E­Commerce­AnwendungenA.10.10 Überwachung

A.11 ZugangskontrolleA.11.1 Geschäftsanforderungen für ZugangskontrolleA.11.2 BenutzerverwaltungA.11.3 BenutzerverantwortungA.11.4 Zugangskontrolle für NetzeA.11.5 Zugriffskontrolle auf BetriebssystemeA.11.6. Zugangskontrolle zu Anwendungen und InformationA.11.7 Mobile Computing und Telearbeit

A.12 Beschaffung, Entwicklung und Wartung vonInformationssystemen

A.12.1 Sicherheitsanforderungen an InformationssystemeA.12.2 Korrekte Verarbeitung in AnwendungenA.12.3 Kryptographische MaßnahmenA.12.4 Sicherheit von SystemdateienA.12.5 Sicherheit bei Entwicklungs­ und

UnterstützungsprozessenA.12.6 Schwachstellenmanagement

A.13 Umgang mit InformationssicherheitsvorfällenA.13.1 Melden von Ereignissen und SchwachstellenA.13.2 Umgang mit Vorfällen und Verbesserungen

A.14 Sicherstellung des Geschäftsbetriebs (BCM)A.14.1 Informationssicherheitsaspekte bei BCM

A.15 Einhaltung von Vorgaben (Compliance)A.15.1 Einhaltung gesetzlicher VorgabenA.15.2 Einhaltung von Sicherheitsregelungen und ­standards

sowie technischer VorgabenA.15.3 Überlegungen zu Revisionsprüfungen

www.materna.com 23© MATERNA GmbH 2009

Die fünf möglichen Schritte zur Zertifizierung

Durchführungeiner Basis­Sicherheits­ÜberprüfungBasierend aufMaßnahmenund Richtliniender ISO 27002Entscheidungs­Grundlage fürweitereMaßnahmen

Workshop mitallen BeteiligtenVermittlung desMehrwertesder Umsetzungeines ISMSAnforderungenund Erwartungenan ein ISMSerkennen

Identifizierungvon WertenIdentifizierungvon RisikenRisiko­Einschätzungund ­BewertungRisiko­Behandlung, inkl.Verminderung,Akzeptanz,Vermeidung undÜberwälzungRisikoplan

ISMS Aktivitätenund die damitverbundenenProzesse prüfenFortschritte inder Umsetzungdes ISMSermittelnFeststellen desReifegrades derausgewähltenMaßnahmenziele

Feststellen, obdas ISMS dieAnforderungenund dieInternationaleNorm erfülltWird von eineminternen ISMSAuditor durch­geführtNächster Schritt:formellerZertifizierungs­Prozess

Einschätzung

Bewusstsein

Risikoanalyse

Implementierung

Internes Audit

“Die Einführung eines ISMS sollte eine strategische Entscheidung (… ) sein.”Informationssicherheit ist weder ein Produkt noch ein Projekt, sondern ein Prozess.

www.materna.com 24© MATERNA GmbH 2009

Von der TGA akkreditierte Zertifizierungsstellen für ISO 27001

Anforderungen für Zertifizierungsstellen: ISO/IEC 17021:2006 und 27006:2007

www.materna.com 25© MATERNA GmbH 2009

ISO 27001 „live!“–Blick in den Normentext

DIN ISO/IEC 27001 (deutsch)Bezug z.B. hier: http://www.beuth.de/langanzeige/DIN+ISO%2FIEC+27001/103960154.htmlHinweis: Für Zertifizierungen ist der englische Text maßgeblich!

Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.

Wir bitten um Ihr Verständnis!

www.materna.com 26© MATERNA GmbH 2009

ISO 27001 „live!“–Blick in den Normentext

ISO/IEC 27001 (Original, englisch)Bezug z.B. hier: http://www.beuth.de/langanzeige/ISO%2FIEC+27001/de/85689528.htmlHinweis: Für Zertifizierungen ist der englische Text maßgeblich!

Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.

Wir bitten um Ihr Verständnis!

www.materna.com 27© MATERNA GmbH 2009

ISO 27002 „live!“–Blick in den Normentext

DIN ISO/IEC 27001 (deutsch)Bezug z.B. hier: http://www.beuth.de/langanzeige/DIN+ISO%2FIEC+27002/de/110488964.html

Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.

Wir bitten um Ihr Verständnis!

www.materna.com 28© MATERNA GmbH 2009

ISO 27002 „live!“–Blick in den Normentext

ISO/IEC 27002 (Original, englisch)Bezug z.B. hier: http://www.beuth.de/langanzeige/ISO%2FIEC+27002/de/83099069.html

Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.

Wir bitten um Ihr Verständnis!

www.materna.com 29© MATERNA GmbH 2009

Vielen Dank für Ihre Aufmerksamkeit!

Name

Funktion

E­Mail

Helmut Elschner

Senior Consultant Information Security

helmut.elschner@materna.de