Einführung eines ISMS nach ISO 27001

Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

17.10.11 2

Was ist Informationssicherheit?

§  Vorhandensein von –  Integrität –  Vertraulichkeit und –  Verfügbarkeit

in einem geplanten Ausmaß.

17.10.11 3

DIE Bedrohung

Wichtigste langfristige Bedrohungsquelle:

Mitarbeiter („HumanOS“)

§  „Schwächstes Glied“ in der Sicherheitskette §  Fehlende Sicherheitskenntnisse/ Schulungen §  Fehlende umfassende personelle Konzepte §  Leichte Opfer für Social Engineering §  Oft zu weit reichende

Berechtigungen

17.10.11 4

Sensibilisierung: Tür

17.10.11 5

Sensibilisierung

17.10.11 6

ISO 2700x ISMS Standards

ISO 27000 Terms and Definitions

ISO 27005 Risk

Management

ISO 27001 Information Security Management System

Model for establishing, implementing, operating, monitoring, reviewing,

maintaining and improving an Information Security Management System

BS7799-2

17.10.11 7

ISO 2700x ISMS Standards

ISO 27000 Terms and Definitions

ISO 27005 Risk

Management

ISO 27001 Information Security Management System

ISO 27002 Code of Practice

Set of controls, including policies, processes, procedures, organizational structures,

software/ hardware functions

BS7799-1

17.10.11 8

ISO 2700x ISMS Standards

ISO 27000 Terms and Definitions

ISO 27005 Risk

Management

ISO 27001 Information Security Management System

ISO 27002 Code of Practice

ISO 27003 Implementation Guidance

Instructions how to [technically] implement ISO 27001

17.10.11 9

ISO 2700x ISMS Standards

ISO 27000 Terms and Definitions

ISO 27005 Risk

Management

ISO 27001 Information Security Management System

ISO 27002 Code of Practice

ISO 27003 Implementation Guidance

ISO 27004 Metrics and Measurements

Definition of KPIs, quantitative/ qualitative measurements, metrics etc.

17.10.11 10

ISO 2700x ISMS Standards

ISO 27000 Terms and Definitions

ISO 27005 Risk

Management

ISO 27001 Information Security Management System

ISO 27002 Code of Practice

ISO 27003 Implementation Guidance

ISO 27004 Metrics and Measurements

ISO 27015 Accreditation Guidelines

17.10.11 11

Initiierung des Sicherheitsprozesses: -  Erstellen einer ISMS Policy -  Einrichten eines IT-Sicherheitsmanagements

IT-Sicherheitskonzept: Identifikation von Controls

Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: - Infrastruktur - Organisation - Personal - Technik - Kommunikation - Notfallvorsorge

Aufrechterhaltung im laufenden Betrieb

Insbesondere §  Sensibilisierung für IT-Sicherheit §  Schulung zur IT-Sicherheit

Der

Sic

herh

eits

proz

ess

Sicherheit als Prozess (PDCA)

17.10.11 12

Sensibilisierung: Schranke Bielefeld

17.10.11 13

5 Schritte zum ISMS

1. Schritt

• Managementunterstützung für ISMS Einführung und Aufbau

2. Schritt

•  Festlegung des Geltungsbereichs •  Festlegung der Sicherheitsleitlinie (ISMS Policy)

3. Schritt • Organisationsanalyse

4. Schritt

• Risikoanalyse •  Identifikation von Kontrollmechanismen und Maßnahmen

5. Schritt •  (Aus-)Gestaltung des ISMS

17.10.11 14

Initiierung des IT-Sicherheitsprozesses

§  Grundregeln –  Die Initiative für IT-

Sicherheit geht vom Management aus.

–  Die Verantwortung für IT-Sicherheit liegt beim Management.

–  Nur wenn sich das Management um IT-Sicherheit bemüht, wird die Aufgabe "IT-Sicherheit" wahrgenommen.

–  Vorbildfunktion

Verantwortung des Managements

Einrichten des IT-Sicherheits-managements

17.10.11 15

5 Schritte zum ISMS

1. Schritt

• Managementunterstützung für ISMS Einführung und Aufbau

2. Schritt

•  Festlegung des Geltungsbereichs •  Festlegung der Sicherheitsleitlinie (ISMS Policy)

3. Schritt • Organisationsanalyse

4. Schritt

• Risikoanalyse •  Identifikation von Kontrollmechanismen und Maßnahmen

5. Schritt •  (Aus-)Gestaltung des ISMS

17.10.11 16

5 Schritte zum ISMS

1. Schritt

• Managementunterstützung für ISMS Einführung und Aufbau

2. Schritt

•  Festlegung des Geltungsbereichs •  Festlegung der Sicherheitsleitlinie (ISMS Policy)

3. Schritt • Organisationsanalyse

4. Schritt

• Risikoanalyse •  Identifikation von Kontrollmechanismen und Maßnahmen

5. Schritt •  (Aus-)Gestaltung des ISMS

17.10.11 17

Netzplan

17.10.11 18

Netzplan - bereinigt

17.10.11 19

Grundschutzkataloge

§  Bausteinbeschreibung §  Darstellung der Gefährdungslage §  Maßnahmenempfehlungen

–  Planung und Konzeption –  Beschaffung (sofern erforderlich) –  Umsetzung –  Betrieb –  Aussonderung (sofern erforderlich) –  Notfallvorsorge

17.10.11 20

IT- Grundschutzkataloge

S-1

C-1 C-2

N-1 N-2

WWW

TK-1

7.3 Firewall

8.6 Mobiltelefon

7.11 Router/Switches

5.7 Win2K Client 5.3 Tragbarer PC

6.9 Win2K Server

Grundschutzkataloge

17.10.11 21

Basis-Sicherheitscheck

www2 MBit/s SFV

Router A

Server A Server C

Server B

Firewall

Personal

Drucker

GeschäftsleitungNotebooks

VerwaltungIT-­‐Grundschutzmodell  

Realisierte Maßnahmen

Maßnahmen-empfehlungen

Sicherheitskonzept: defizitäre

Maßnahmen

Soll-Ist-Vergleich

17.10.11 22

5 Schritte zum ISMS

1. Schritt

• Managementunterstützung für ISMS Einführung und Aufbau

2. Schritt

•  Festlegung des Geltungsbereichs •  Festlegung der Sicherheitsleitlinie (ISMS Policy)

3. Schritt • Organisationsanalyse

4. Schritt

• Risikoanalyse •  Identifikation von Kontrollmechanismen und Maßnahmen

5. Schritt •  (Aus-)Gestaltung des ISMS

17.10.11 23

Schutzbedarfsfeststellung

§  Definitionen der Kategorien müssen individuell angepasst werden

§  Normal –  Schadensauswirkungen sind begrenzt und

überschaubar.

§  Hoch –  Schadensauswirkungen können beträchtlich

sein.

§  Sehr hoch –  Schadensauswirkungen

können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Definition der Schutzbedarfs-

kategorien

Rechtliches, Datenschutz, Marketing, Finanzen, Gesundheit... => Vertraulichkeit, Integrität, Verfügbarkeit

17.10.11 24

Schutzbedarfsfeststellung

Schu

tzbe

darf

/Sic

herh

eits

nive

au

normal

hoch

sehr hoch

Prozess 1 Prozess 2 Prozess 3

IT-Grundschutz

17.10.11 25

Höherer Schutzbedarf: Risikoanalyse

Ausw

irku

ngen

Wahrscheinlichkeit gering

hoch

hoch

Brand GAU Flugzeugabsturz Blitzschlag

Erkältung

Stromschwankungen

Insektenstich

Stau

?gering

17.10.11 26

Schadens-beseitigung planen Höchste Priorität

Vorbeugen Akzeptieren und Versichern

Höherer Schutzbedarf: Risikoanalyse

Ausw

irku

ngen

gering

gering

hoch

hoch Wahrscheinlichkeit

17.10.11 27

Abgestufte Risikobewältigung

Gesamtrisiko

Restrisiko

17.10.11 28

5 Schritte zum ISMS

1. Schritt

• Managementunterstützung für ISMS Einführung und Aufbau

2. Schritt

•  Festlegung des Geltungsbereichs •  Festlegung der Sicherheitsleitlinie (ISMS Policy)

3. Schritt • Organisationsanalyse

4. Schritt

• Risikoanalyse •  Identifikation von Kontrollmechanismen und Maßnahmen

5. Schritt •  (Aus-)Gestaltung des ISMS

17.10.11 29

Initiierung des Sicherheitsprozesses: - Erstellen einer ISMS Policy - Einrichten eines IT-Sicherheitsmanagements

IT-Sicherheitskonzept: Identifikation von Controls

Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: - Infrastruktur - Organisation - Personal - Technik - Kommunikation - Notfallvorsorge

Aufrechterhaltung im laufenden Betrieb

Insbesondere §  Sensibilisierung für IT-Sicherheit §  Schulung zur IT-Sicherheit

Der

Sic

herh

eits

proz

ess

Sicherheit als Prozess (PDCA)

17.10.11 30

Erstellung eines Notfallvorsorgekonzepts

Umsetzung des Notfallvorsorgekonzepts

Tests und Übungen, Notfallbewältigung

Aufrechterhaltung und kontinuierliche Verbesserung

Initiierung des Notfallmanagements

Notfallvorsorge

17.10.11 31

Notfallvorsorge

Cold- Stand-By Hardware

Zeit

Scha

dens

höhe

/ Ko

sten

1 Woche 4 Tage 2 Tage 1 Tag 8 Stunden

4 Stunden 1 Minute

1 Monat

Hot

-Sta

nd-B

y RZ

Col

d-St

and-

By R

Z

Handlung nach Notfallplan D

iens

tleis

ter

- Ver

träg

e

Schaden für KMU

Finanzinstitute

17.10.11 32

Risikobewältigung

Gesamtrisiko

Restrisiko

17.10.11 33

neam IT-Services GmbH Stand C11 Technologiepark 21 D-33100 Paderborn +49 5251 1652-0 +49 5251 1652-444 http://www.neam.de info@neam.de