Dr. Marlen Hofmann Referentin Informationssicherheit

Informationssicherheit-Managementsystems (ISMS) – mehr als IT-Sicherheit

ONTRAS Netzforum 25.10.2016

Marlen.hofmann@ontras.com

Informationssicherheit und ISMS

Rechtliche Grundlagen

Implementierung und Betrieb eines ISMS

Fazit

Agenda

3 © ONTRAS 2015

Informationssicherheit und ISMS

Wissen der Mitarbeiter

Informationen auf Papier

Informationen in IT-Anwendungen

Netzwerkdaten

Lokale Daten auf Endgeräten

Serverdaten

Vertraulichkeit Verfügbarkeit Integrität

Informationen in Standorten

Informationen sind vor unbefugter Veränderung geschützt und liegen stets korrekt und vollständig vor.

Informationen sind vor Verlust geschützt und stehen stets wie vorgesehen zur Verfügung.

Informationen sind stets vor unbefugter Kenntnisnahme durch Dritte geschützt.

Schutz von geschäftskritischen

Informationen & Daten

Schutzziele der Informationssicherheit

Ein ISMS dient der Herstellung von Informationssicherheit.

Informationssicherheit und ISMS

4 © ONTRAS 2015

ISMS – Ein dezentrales Risikomanagementsystem (1)

Informationssicherheit und ISMS

Integrität Verfügbarkeit Vertraulichkeit

Es gibt nicht nur „den einen ISMS-Beauftragten“ - jeder einzelne Mitarbeiter im Unternehmen trägt zum erfolgreichen Betrieb eines ISMS bei.

5 © ONTRAS 2015

ISMS – Ein dezentrales Risikomanagementsystem (2)

Informationssicherheit und ISMS

ISMS IS-Experten

IS-Koordinatoren IS-Managementforum

Jeder einzelne Mitarbeiter!

Top-Management

ISMS-Kernteam ISMS-Beauftragter

IT-Sicherheitsbeauftragter Chief Information Security Officer

Informationssicherheit und ISMS

Rechtliche Grundlagen

Implementierung und Betrieb eines ISMS

Fazit

Agenda

• IT-Sicherheitsgesetz (Juni 2015) = Artikelgesetz mit Relevanz für 8 Sektoren

7 © ONTRAS 2015

Rechtliche Grundlagen Rechtliche Grundlagen

Ernährung IKT Gesundheit

Transport & Verkehr

Medien & Kultur

Wasser

Finanzen & Versicherung

Energie

Gesetze Anwendungsbereich

BSI Gesetz Betreiber der 8 KRITIS-Sektoren in Abhängigkeit von ihrer Größe gemäß BSI-KritisV

EnWG Alle Betreiber von Energieversorgungsnetzen (und Energieanlagen in 2017)

Zur Gewährleistung der Kontinuität von kritischen Versorgungsdienstleistungen durch Betrieb eines sicheren & zuverlässigen Energieversorgungsnetzes.

Konkretes für Netzbetreiber • Meldung von erheblichen IT-Sicherheitsvorfällen an das BSI

• IT-Sicherheit nach dem „Stand der Technik“ umsetzen • Technisch-Organisatorische Schutzmaßnahmen ergreifen • Benennung einer Kontaktstelle

• Umsetzung des IT-Sicherheitskataloges der BNetzA • Benennung eines Ansprechpartners für IT-Sicherheit • Erstellung eines Netzstrukturplanes • Einführung und Zertifizierung eins ISMS (ISO 27001+)

Informationssicherheit und ISMS

Rechtliche Grundlagen

Implementierung und Betrieb eines ISMS

Fazit

Agenda

9 © ONTRAS 2015

Vom Projekt zum Prozess Implementierung und Betrieb eines ISMS

Risiko- methodik

ISMS Leitlinie

Mgt.- Review

Ist- Analyse

1

2

3 4

5

… …

…

n

ISMS-Einführungsprojekt ISMS-Betrieb

Schon bei der Einführung des ISMS gibt der PDCA-Zyklus den groben Rahmen vor.

Optimierung / Verbesserung • Identifikation von Optimierungsbedarf • Beseitigung von Fehlern • Verbesserung von Maßnahmen • Abholen der Mitarbeiter

Kontrolle • Erkennung und Behandlung von Informationssicherheitsvorfällen • Durchführen von Audits • Wirksamkeitsmessung • Managementreview

10 © ONTRAS 2016

Der PDCA-Zyklus gibt den groben Rahmen vor

Implementierung und Betrieb eines ISMS

PDCA-Modell

Plan

Do Check

Act

Planung und Konzeption • Bewertung der Ist-Situation • Festlegung des Anwendungsbereichs • Planung ISMS • Durchführung Informationssicherheits- Risikobeurteilung

Umsetzung • Implementierung ISMS • Umsetzung Maßnahmen • Schulungen • Sensibilisierung durch lfd. Information/

interne Kommunikation • Menschlicher Faktor ist kritischer

Erfolgsfaktor

1. HJ 2015 2. HJ 2015 1. HJ 2016 2. HJ 2016

Startphase

Etablierung ISMS-Prozess

Anpassung Dokumentation

• Geltungsbereich festlegen • ISMS-Assets ermitteln • Risikobeurteilung durchführen • Maßnahmen festlegen

• Erarbeitung der Methodik • Ist-Analyse

• Erarbeitung Systematik • Erarbeitung und Anpassung von

Richtlinien, Betriebskonzepten etc.

11 © ONTRAS 2015

Die ISMS-Implementierung ist ein aufwändiger Prozess

Implementierung und Betrieb eines ISMS

Auditierung • Vor-Audits • Audit

Maßnahmen-Umsetzung

• Verfolgung der Umsetzung von Maßnahmen

1. HJ 2017

Kommunikation und Einbeziehung Top-Management bis Mitarbeiter

• Aus Definition Geltungsbereich wurde

• Projektorganisation abgeleitet und Ressourcenbedarf

• bestimmt.

© ONTRAS 2016

Projektorganisation ONTRAS Implementierung und Betrieb eines ISMS

ISM

S-Fo

rum

/ K

ernt

eam

Lenkungskreis Geschäftsführung und 3 Bereichsleiter

Projektleitung Informationssicherheits-Beauftragter

Prozess- und Dokumenten- management

Technologie

Netz- steuerung/ -überwach-

ung

Interne Kommu- nikation

Prozess-IT

Netz-/ Anlagen-

Technologie

Querschnitts- themen

(z.B. Personal, Büro-IT, phys.

Sicherheit)

Recht/ Compliance

Externer PL

Externer Projekt-

Mit- arbeiter

Externes LK-

Mitglied

Messtechnik

Büro-IT

Informationssicherheit und ISMS

Rechtliche Grundlagen

Implementierung und Betrieb eines ISMS

Fazit

Agenda

Die Akzeptanz der großen Bedeutung des Themas beim Management und den Mitarbeitern ist unabdingbar für den Erfolg des ISMS.

14 © ONTRAS 2016

• Es gibt nicht nur „den einen ISMS-Beauftragten“ - jeder einzelne Mitarbeiter im Unternehmen trägt zum erfolgreichen Betrieb eines ISMS bei.

• Informationssicherheit ist weit mehr als IT-Sicherheit und die Einführung eines ISMS verursacht erhebliche Aufwände, die aber auch einen weitergehenden Nutzen für das Unternehmen haben können.

• Die Definition des ISMS-Anwendungsbereichs ist die wichtigste Voraussetzung für den weiteren Aufbau des ISMS und bestimmt maßgeblich die Projektorganisation.

• Bei der Strukturierung des ISMS-Einführungsprojekts sollte der PDCA-Zyklus berücksichtigt werden, um eine Zertifizierung bei Projektabschluss zu erreichen.

• Die Erarbeitung einer effizienten Methodik und die Anpassung der Dokumentationen sind sehr aufwändig und sollten mit ausreichend Zeit bei der Projektplanung berücksichtigt werden.

• Die Methodik der ONTRAS geht auf Besonderheiten von Netzbetreibern und speziellen Anforderungen des IT-Sicherheitskatalogs der BNetzA ein und dürfte damit in weiten Teilen auf andere Netzbetreiber übertragbar sein.

Fazit

15 © ONTRAS 2016

Kontakt

Marlen Hofmann Referentin Informationssicherheit ONTRAS Gastransport GmbH Büroanschrift: Maximilianallee 4, 04129 Leipzig Postanschrift: Postfach 21 11 48, 04112 Leipzig +49 341 27111-2760 (Tel.) E-Mail: marlen.hofmann@ontras.com Internet: www.ontras.com

Vielen Dank für Ihre Aufmerksamkeit!

© ONTRAS 2015

17 © ONTRAS 2015

Backup

Die Ist-Analyse schafft einen groben Überblick über die Abweichungen von den Anforderungen der Normen

18 © ONTRAS 2016

• Implementierung ISMS

Ist-Analyse Implementierung ISMS - Startphase

19 © ONTRAS 2016

Der Geltungsbereich hat großen Einfluss auf den Aufwand

• Alle zentralen und dezentralen Anwendungen, Systeme und

Komponenten, die für einen sicheren Netzbetrieb notwendig sind

• TK- und EDV-Systeme, die steuerbar sind und somit die Fahrweise des Netzes unmittelbar beeinflussen

• TK- und EDV-Systeme, die selbst zwar nicht steuerbar sind, aber mittelbar die Netzfahrweise beeinflussen (z.B. durch Bereitstellung von Daten) und auf diese Weise auch der Netzsteuerung dienen

• Bei Outsourcing von Anwendungen, Systemen und Komponenten, die im Geltungsbereich liegen, ist durch Vereinbarungen die Umsetzung der Anforderungen sicher zu stellen. Verantwortung dafür trägt der Netzbetreiber

Vorgaben Beschreibung Maßnahme ONTRAS

Geschäftsprozess „Netzsteuerung und

-überwachung“ aufnehmen

Erstellung ISMS- Assetliste inkl. Schutzbedarfs-

ermittlung

+

IT-Sicherheits-katalog gem. § 11 Abs. 1a

EnWG (BNetzA)

Abschnitt D Schnittstellen zu Dienstleitern und

Kunden aufzeigen

Erstellung Dokument zum ISMS-

Anwendungsbereich

+

+

Implementierung ISMS - Etablierung ISMS-Prozess

Komplexitätsreduktion durch Bündelung in ISMS-Assets mit gleichem Schutzbedarf, gleicher „Ebene“ und/oder gleichem Asset-Eigentümer

20 © ONTRAS 2016

ISMS-Assets können in Gruppen gefasst werden

Implementierung ISMS - Etablierung ISMS-Prozess

Prozesse

Informa-tionen /

Dokumente

Personal

Technologie (IT/TK/

Services)

Standorte

Erfassung ISMS-Assets und Schutzbedarfsermittlung Assetliste

Bündelung

Zurück

ONTRAS hat an weiteren Stellen Komplexität reduziert

2. Gruppierung 3. Risiko- identifikation

1. Erfassung ISMS-Assets und Schutzbedarfs- ermittlung

Prozesse Bedrohungs-analyse

nur kritische ISMS-Assets

Die Norm verlangt den Nachweis einer vollständigen Betrachtung der Risiken!

21 © ONTRAS 2016

Implementierung ISMS - Etablierung ISMS-Prozess

5. Risiko- behandlung

4. Risikoanalyse und -bewertung

Informa-tionen /

Dokumente

Personal

Technologie (IT/TK/

Services)

Standorte

Maßnahmen-analyse

Restrisiko- identifik-

ation

Schadens-höhe

Bewertung

Maßnahmen

Was? Wer?

Wann?

Eintritts- wahrschein-

lichkeit

nur für ISMS-Assetskat. relevante Controls

Standardisierung von Eintritts-WS

und Schaden

Entfall relativ unkritischer Restrisiken

Bedrohungs-analyse

Standardisierung Bedrohungen

Zurück

22 © ONTRAS 2015

Das ISMS wirkt auf viele neue und bestehende Dokumente

Implementierung ISMS - Dokumentation

RL Dokumenten-

ordnung

Leitlinie IS

RL Informations-

sicherheit (ISMS)

AA ISMS-Prozess

AA ISMS-Kommu-

nikation

Strategisch

Taktisch

Operativ

Betriebs-konzepte

Prozess IT-Betriebs-verfahren

Prozess Änderungs-

management

Störungs-bearbeitungs-

prozess

Anforderungen ISMS an

Lieferanten/ Dienstleister

u.a.

u.a.

u.a.

Zurück

23 © ONTRAS 2016

Die ISMS-Leitlinie ist in die Unternehmens-Grundsätze integriert

Implementierung ISMS - Dokumentation

Kritischer Erfolgsfaktor des ISMS sind alle Mitarbeiter. Deshalb muss allen Mitarbeitern die Sinnhaftigkeit und Notwendigkeit der Informationssicherheit nahe gebracht werden. Alle Prozesse und Maßnahmen, die einer gesteigerten Informationssicherheit dienen, sind ohne unterstützendes und ggf. verändertes Verhalten der Mitarbeiter nicht zielführend!

24 © ONTRAS 2016

Die Kommunikation ist ein sehr wichtiger Teil des ISMS

Implementierung ISMS – Kommunikation

Verstehen

Akzeptieren

Adaptieren

Sensibilität für Informationssicherheit erzeugen

Erreichung einer dauerhaften Verhaltensänderung in Bezug auf Informationssicherheit

Aktives Annehmen des Themas Informationssicherheit

Privat ausgeprägtes Gefühl für „Werte“, „Schutzgüter“ und „Sicherheit“ lassen sich auf den Arbeitsalltag übertragen

25 © ONTRAS 2016

Internes Kommunikationskonzept Implementierung ISMS – Kommunikation