EINFÜHRUNG EINES „INFORMATIONS- SECURITY … · Regelwerk wird vom ISMS vorgeschlagen WAS? IT-Sicherheitsstandards Entwurf durch das IT-Sicherheitsmanagement WIE? Ausführliche

28.11.2014

1

Ihr starker IT-Partner.Heute und morgen

Rainer Kretschmann

Competence Center Datenschutz & Datensicherheit

EINFÜHRUNG EINES „INFORMATIONS-SECURITY-MANAGEMENT-SYSTEMS“ (ISMS)

2 | IHK-Heilbronn | 25.11.2014 | Rainer Kretschmann Competence Center Datenschutz & Datensicherheit

Rainer Kretschmann

Geprüfter Datenschutzbeauftragter (udis, Ulmer Modell)

IT-Sicherheitsbeauftragter

Dozent

Bechtle Competence Center„Datenschutz & Datensicherheit“ Systemhaus-Neckarsulm

VORSTELLUNG

28.11.2014

2


VORSTELLUNGBechtle Competence Center Datenschutz & Datensicherheit

Datenschutz� Beratung / Schulung� Datenschutz-Audit� Externer

Datenschutzbeauftragter

IT-Recht� Beratung / Schulung� BDSG / LDSG� SOX � TMG / TKG

IT-Sicherheit� Beratung / Schulung� IT-Grundschutz-Audit� Workshops� ISO 27001 Zertifizierung� Ext.IT-Sicherheitsbeauftragter� IEC 80001-1

Rechtskonforme Beratung Rechtskonforme Beratung


INFORMATIONSSICHERHEIT

28.11.2014

3


INFORMATIONSSICHERHEITHERAUSFORDERUNGEN

data center


INFORMATIONSSICHERHEITHERAUSFORDERUNGEN

Einführung / Planung oder Umsetzung neuer Technologien ?

• Cloud (Private-, Public-, Hybrid-...)

• Mobile Strategie (Smartphone, BYOD)

• Virtualisierung (Datenschutz, Archivierung)

• Big Data (große Datenbanken managen)

• Outsourcing / Managed Services (Adv)

• Network-Security / intelligente Netze...

• Industrie 4.0 (Vernetzung ERP u. Internet)

• und viele mehr …

28.11.2014

4


INFORMATIONSSICHERHEITHERAUSFORDERUNGENDsiN Sicherheitsmonitor 2014 / Mittelstand


INFORMATIONSSICHERHEITRECHTLICHE RAHMENBEDINGUNGEN

Berührte Gesetze:KonTraGGesetz zur Kontrolle u. Transp. im UnternehmensbereichKWGKreditwesengesetzGoB / GoDVGrundsätze ordentlicherBuchhaltung/ Datenverarb.ProdHaftGGesetz über die Haftung fürfehlerhafte ProdukteBDSGBundesdatenschutzgesetzSTGBStrafgesetzbuch (§202a, §263a,§269, § 303a, ..)SOX (SOA)(Sarbanes-Oxley-Act.)Signaturgesetz

Normen u. ä.:Qualitäts-Management- ISO 9000:2000Security-Management- ISO / IEC 17799- ISO 27001- BS 7799- IT-GSHB (BSI)Modell (Prozesse)- ITIL- CobitGDPdUGrundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen mit § 146 u.§ 147 Abgabenordnung Archivierung)

Übergr. Vorschriften:BaFin, MaRisk (alt = MaH,MaK)IDW, Basel II

Haftungsrisiko der GL:KontrollverschuldenWenn keine Kontrolle im Unter-nehmen installiert wurden. (Revision, Controlling, IT-Governance etc.)

AuswahlverschuldenWenn sich der falsche Mitarbeiter an einemfalschen Ort befindet.

EinweisungsverschuldenWenn Mitarbeiter nicht ordnungsgemäß in Aufgaben eingewiesen wurden.

OrganisationsverschuldenWenn keine angemessene Organisation verarbeitet und installiert wurde (insbesondereauch Sicherheitsmanagement).

28.11.2014

5



Warum Informationssicherheit?

� BDSG, AktG, GmbHG,KonTraG, Basel II, SOX, TKG

� EU-Gesetze und EU-Richtlinien

� Produkthaftungsgesetz

� Richtlinien der Sachversicherer

� Qualität-SicherungssystemDIN ISO 9001 / EN 29001

� IT-Risikomanagement

� IT-Grundschutz / ISO 27001

Vermeidung der persönlichen Haftung der GF oder der

Vorstände (§93 II Akt Gesetz)

GmbH Gesetz§43 I, II

AktG§91 II

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein

Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft

gefährdende Entwicklungen früh erkannt werden.“

(Wortlaut des § 91 Abs. 2 AktG)



Zutrittskontrolle

Eingabekontrolle

Zugangskontrolle

Auftragskontrolle

Zugriffskontrolle

Verfügbarkeitskontrolle

Weitergabekontrolle

Trennungsgebot

28.11.2014

6



Organisatorische und technische Sicherheitsmaßnahmen (BDSG)

� ausdrückliche Aufgabenverteilung

� ausschließlich auftragsgemäße Datenverwendung

� Belehrungspflicht der Mitarbeiter

� Regelung der Zutritts-, Zugangs- und Zugriffsberechtigungen

� Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten

� Dokumentationspflicht zur Kontrolle und Beweissicherung

� Protokollierungspflicht

Insgesamt können diese Maßnahmen als Verpflichtung zu einer Security-Policy verstanden werden!

z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinie oder ISO 27001 Informationssicherheitsleitlinie



12

12

Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen

Kritische Infrastrukturen (KRITIS) sind die Lebensadern unserer Gesellschaft. Die verlässliche Bereitstellung der Dienstleistungen dieser Infrastrukturen ist eine Grundvoraussetzung für die wirtschaftliche Entwicklung in unserem Land, für das Wohlergehen unserer Gesellschaft und für politische Stabilität.

Bundesamt für Sicherheit in der Informationstechnik

28.11.2014

7



13

13

Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen

Definition:Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

(Quelle: www.kritis.bund.de)

Bundesamt für Sicherheit in der Informationstechnik


IT-GRUNDSCHUTZINFORMATIONSSICHERHEIT

Geschäftsgeheimnisse, sensitive Daten, persönliche

Informationen

• Abhörsicherheit• Anonymität• Unbeobachtbarkeit

Unautorisierte Änderungen gespeicherter oder übertragener Daten

ausschließen bzw. erkennen

• Übertragungsintegrität• Zurechenbarkeit• (Rechts)-Verbindlichkeit

von EDV-Systemen, Anwendungen, Daten

• Funktionssicherheit• Technische Sicherheit• Katastrophenschutz• Kommunikation und

Datenaustausch

Nur befugte Personen haben Zugang

Unversehrtheit und Korrektheit der Daten

„zur rechten Zeit am rechten Ort“

Vertraulichkeit Integrität Verfügbarkeit

Grundprinzipien der Informationssicherheit

28.11.2014

8



Bedrohungen:

Höhere GewaltAusfall, Blitz, Feuer, Wasser, Kabelbrand, …

Organisatorische Mängelfehlende, oder unzureichende Regelungen, mangelhafte Kontrolle, unbefugter Zugriff…

Menschliche FehlhandlungenFehlbedienung, fehlende Administration,

übertragen falscher Datensätze, …

Technisches VersagenAusfall der Stromversorgung, Ausfall von

Netzkomponenten, Datenverlust, …

Vorsätzliche HandlungenManipulation, Diebstahl, Vandalismus, Missbrauch, „Trojanische Pferde“,…

Schutzmaßnahmen:

Infrastrukturelle MaßnahmenBlitzschutz, Feuerlöscher, Klimatisierung, Räume, …

Organisatorische MaßnahmenFestlegung von Verantwortlichkeiten, Zugangs,- und

Zugriffsrechte. Firewallkonzept, Kontrolle,…

Personelle MaßnahmenEinarbeitung, Einweisung, Schulung, Sicherheitsbewußtsein schaffen, …

Technisches MaßnahmenPasswortschutz, Bildschirmsperre, Firewalls,

Virenschutz, Verschlüsselung, …

Notfall-VorsorgemaßnahmenNotfallhandbuch, Alarmierungsplan,

Datensicherungsplan, Ersatzsysteme,…



Informationssicherheitist Chefsache !

Wer ist für den IT-Sicherheitsprozess verantwortlich?

Grundregel:

� Für die Einführung von IT-Sicherheit („Initiierung des IT-Sicherheitsprozesses“) ist das Management verantwortlich!

� Die Verantwortung für die Umsetzung von Informationssicherheit liegt beim Management.

� Nur wenn sich das Management um Informationssicherheit bemüht, wird die Aufgabe „IT-Sicherheit" im Unternehmen oder in einer Organisation vollumfänglich wahrgenommen.

28.11.2014

9



Kenntnis / Wissen� Systeme, Anwendungen, Kommunikationsverbindungen, Räume

� Schutzbedarf der Geschäftsprozesse

Management und Organisation� Sicherheitsmanagement

� Sicherheitskonzept

� Organisation

� Personal

� Notfallvorsorge

Technik� Sicherung der Infrastruktur

� Standardsicherheitsmaßnahmen für Standardkomponenten

Informationssicherheit bedeutet...



Warum sollte Sicherheit strukturiert und organisiert sein?

Weil einzelne Maßnahmen für sich nicht ausreichen!

28.11.2014

10



Schutz aller anvertrauten

Daten

Vertrauen und

Seriosität

Gründe für einen prozessorientierten Ansatz

Schutz des existenziellen

Wissens

Sicherungder

Wertschöpfung

Qualitäts-und

Wertsteigerung

Standardisierte Prozesse &

gesch. Personal



Technische Sicherheit

Organisatorische Sicherheit

Juristische Sicherheit

Wirtschaftliche Sicherheit

FirewallVirenscannerURL-/Content-Filter

IT-Policy, AuditsRisk-ManagementSchulungZertifizierung

Haftungsrecht,Arbeitsvertragsrecht,Betriebsvereinb.

Restrisikoversich.IT-Risiken über PartnerWettbewerb

Ganzheitliche Betrachtung der Informationssicherheit

28.11.2014

11



Hardware

statische und dynamische Daten

Gebäude

Umfeld

Etage / Raum



ISO 17799 / ISO 27001� Internationaler Informationssicherheitsstandard

� Fokus: Etablierung eines ISMS

Rahmenwerke & Standards im Bereich Informationssicherheit

BSI IT-Grundschutz� Nationaler Sicherheitsstandard

� Empfehlung für (technische) Basis-Sicherheitsmaßnahmen

COBIT� Control Objectives for Information & related Technologie

� Modell zur Überwachung & Prüfung der IT

ITIL / ISO 20000 – Sicherheitsmanagement� Sammlung von „Best Practices“

� Betrieb von IT-Infrastrukturen

28.11.2014

12



Der prozessorientierte Ansatz und das PDCA Modell

ISO 27001 verwendet das PDCA Modell zur Strukturierung der ISMS Prozesse.Informationssicherheit ist ein kontinuierlicher Verbesserungsprozess (KVP).

ISMSbasierend auf

ISO 27001

Handeln (Act)

Instandhaltung und Verbesserung des ISMS

Planen (Plan)

Festlegen des ISMS

Durchführen (Do)

Umsetzen und Durchführung des ISMS

Prüfen (Check)

Überwachen und Überprüfen des ISMS



Leb

ensz

yklu

s d

es IT

-S

ich

erh

eits

kon

zep

ts

• Auswahl einer Methode zur Risikobewertung• Klassifizierung von Risiken bzw. Schäden• Risikobewertung• Entwicklung einer Strategie zur Behandlung von Risiken• Auswahl von IT-Sicherheitsmaßnahmen

Planung und Konzeption [ PLAN ]

• Realisierungsplan für das IT-Sicherheitskonzept• Umsetzung der IT-Sicherheitsmaßnahmen• Überwachung und Steuerung der Umsetzung• Aufbau Notfallvorsorge und Behandlung von Sicherheitsvorfällen• Schulung uns Sensibilisierung der Mitarbeiter

Durchführen, Umsetzen [ DO ]

• Detektion von IT-Sicherheitsvorfällen im laufenden Betrieb• Überprüfung der Einhaltung von Vorgaben und Richtlinien• Überprüfung der Eignung und Wirksamkeit von Maßnahmen• Überprüfung der Effizienz der IT-Sicherheitsmaßnahmen• Management-Berichte

Prüfen, Überwachung [ CHECK ]

• Beseitigung von Fehlern und IT-Problemfällen• Verbesserung der IT-Sicherheitsmaßnahmen

Handeln, Verbesserung [ ACT ]

Leb

enszyklu

s des IT-

Sich

erheitsko

nzep

ts

28.11.2014

13



laufende Steuerung

Korrektur / Prozessverbesserung

IT-Sicherheitsbedarf IT-Sicherheit

Sicherheitsbewusst-sein entwickeln / verstehen

IT-Sicherheit in der Unternehmenskultur verankern

Sicherheitsstrategie definieren und in der Unternehmenspolitik klar positionieren

Sicherheitsverantwort-lichen in der Organisation etablieren

Status und vorhandenesSicherheitsniveau ermitteln

Sicherheitsstrategie entwickeln / überprüfen

Schutzbedarf feststellen

Risikoanalyse

Bedrohungsanalyse

Sicherheitsanforderung ableiten

Sicherheitskonzepte erarbeiten (technisch und organisatorisch)

Was/Wie muss geregelt werden? (technisch und organisatorisch)

Policies und Richtlinien definieren

Einführung und Ressourcen planen

Schulungen und Sensibilisierung planen

Prozesscontrolling(stabilisieren und verbessern)

Betrieb / Administration

Audits / Assessments

Kenngrößen ermittelnsteuern / korrigieren

Dokumentenmanagement

Schulung / Awareness

Technik

Management CommitmentInitialisierung

BestandsaufnahmeAnalyse

Planung / Konzeptionund Umsetzung

Betrieb / SteuerungMonitoring

SensibilisierungProzesse Systeme Organisation



WARUM?IT-Sicherheitsziele durch OrganisationsleitungRegelwerk wird vom ISMS vorgeschlagen

WAS?IT-SicherheitsstandardsEntwurf durch das IT-Sicherheitsmanagement

WIE?Ausführliche AnforderungenZugehörige Maßnahmen

WOMIT?Konkreter ProzessVerwendete Mechanismen

IT-Sicherheitsleitlinie

Allgemeine System-IT-Richtlinien

Sicherheitskonzeption

Detaillierte Regelungen

28.11.2014

14



BSI Standard 100-1:ISMS: Managementsysteme fürInformationssicherheit

BSI Standard 100-2:IT-Grundschutz-Vorgehensweise(Schichtenmodell und Modellierung)

BSI Standard 100-3:Risikoanalyse auf der Basis vonIT-Grundschutz

Zertifizierung nach ISO 27001auf der Basis von IT-Grundschutz inkl. Audits

BSI-Standards

BSI Standard 100-4:Systematische Wege zu einem Notfallmanagement



Gefährdungs-Kataloge

� Höhere Gewalt� Organisatorische Mängel� Menschliche Fehlhandlungen� Technisches Versagen� Vorsätzliche Handlungen

Maßnahmen-Kataloge

� Infrastruktur� Organisation� Personal� Hardware/Software� Kommunikation� Notfallvorsorge

� B1 „Übergreifende Aspekte“� B1.0 IT-Sicherheitsmanagement

� B2 „Infrastruktur“� B3 „IT-Systeme“� B4 „Netze“� B5 „IT-Anwendungen

Bausteine-Kataloge(Schichtenmodell)

BSI Standard 100-2: IT-Grundschutz-Vorgehensweise

28.11.2014

15



Informations-Sicherheitsmanagement

IT-Grundschutz (BSI)

IT-Sicherheitsrichtlinien / Policies

Erstellung IT-Sicherheitskonzept

IT-StrukturanalyseErfassung der IT-Systeme, Anwendungen und zu verarbeitende Informationen < Gruppenbildung >

Schutzbedarfsfeststellungnormal – hoch – sehr hoch

Modellierung nach IT-GrundschutzBasis-Sicherheitscheck mit Soll-/Ist-Vergleich

RealisierungsplanKonsolidierung der Maßnahmen

ggf. ergänzende Risiko- bzw.

Sicherheitsanalyse



IT - Grundschutzzertifikat

Selbsterklärung Aufbaustufe

Selbsterklärung Einstiegsstufe

Auditor-TESTAT„Einstiegsstufe“

Auditor-TESTAT„Aufbaustufe“

ISO 27001 - ZERTIFIKAT

Informationssicherheit

Ver

trau

ensw

ürdi

gkei

t

GS ca. 72%max. 2 Jahre

GS ca.55%max. 2 Jahre

Rezertifizierung nach 2 Jahre

28.11.2014

16



Motivation für Zertifizierung� Anerkanntes Standardwerk

� Bemühungen um IT-Sicherheit transparent zu machen (IST = Soll ?)

� Vertrauensgewinn bei Kunden und Lieferanten

� Vereinfachung für Revision und Wirtschaftsprüfung

� Marketing, Marktposition ausbauen

Beispiel� Kooperierende Unternehmen möchten sich darüber informieren, welchen

Grad an IT-Sicherheit ihre Geschäftspartner zusichern können

� Nachweis ausreichender IT-Sicherheit für Netzanschlüsse



Bechtle unterstützt Sie mit einer IST-Aufnahmeauf der Basis von BDSG/LDSG sowie denübergreifenden Aspekte (BSI IT-Grundschutz) mit einer Grobanalyse Ihres Sicherheitsniveaus.

0%10%20%30%40%50%60%70%80%90%

100%

AllgemeineAnforderungen

Personalwesen

Betriebsrat

Vertrieblicher BereichIT-Wesen

Server- / Verteilerräume

ISO 27001 PRÜFPUNKTE GESAMTAllgemeine Anforderungen 22 4 17 2 45

Personalwesen 16 3 1 6 26

Betriebsrat 9 4 3 0 16

Vertrieblicher Bereich 2 3 1 0 6

IT-Wesen 46 18 33 2 99

Server- / Verteilerräume 106 13 20 7 146

ISO 27001 97 41 63 14 217

GESAMT 298 86 138 31 555

28.11.2014

17



Datenschutzberatung und –Bestandsaufnahme

Audit bzw. IST-Aufnahme zur Stellung eines externen Datenschutzbeauftragten entsprechend der gesetzlichen Regelungen und Compliance.

IT-Sicherheitsaudit

Ermittlung des IT-Sicherheitsniveaus nach BSI und IT-Grundschutzrichtlinien, IT-Sicherheits-Reifegrad, Statusmitteilung und Bestandsaufnahme.

Workshop ISO/IEC 27001

Unterstützung und Beratung vor Einführung der IT-Sicherheitsorganisation nach ISO 27001 (ISMS) sowie Überprüfung der organisatorischen und konzeptionellen Informations-Sicherheits-Strategie.


Bechtle Competence Center „Datenschutz & Datensicherheit“

Rainer KretschmannDatenschutzbeauftragter & IT-Sicherheitsberater

Bechtle Platz 1 | 74172 NeckarsulmFon: (07132) 981-2334 | [email protected]

Documents

EINFÜHRUNG EINES „INFORMATIONS- SECURITY … · Regelwerk wird vom ISMS vorgeschlagen WAS? IT-Sicherheitsstandards Entwurf durch das IT-Sicherheitsmanagement WIE? Ausführliche