ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau

secunomic GmbH

www.secunomic.com

1

2

014 s

ecunom

ic G

mbH

Zur Person

2

Geschftsfhrer

Senior Security Consultant

Berater fr Informationssicherheit seit 1999

Akkreditierter Auditor fr ISO 27001 (DQS)

Christian Wahl Dipl. Ing. (FH) Nachrichtentechnik

secunomic GmbH

Kloppenheimer Strae 105

D-68239 Mannheim

www.secunomic.com

Telefon: +49-621-48 25 745

Fax: +49-621-48 25 796

Mobil: +49-162-27 65 834

chris.wahl@secunomic.com

IT, Security & Risk Management

Management Consulting

Projektmanagement

2

014 s

ecunom

ic G

mbH

Zum Thema

ISMS = Informations-Sicherheits-Management-System

ISO 27001 beschreibt Aufzucht und Hege eines ISMS

ISO 2700[2 bis xx] beschreiben konkrete Mglichkeiten

ein ISMS

nach ISO 27001 zu betreiben

und zu auditieren (ISO 27006)

31.03.2014 / Intern 3

2

014 s

ecunom

ic G

mbH

Agenda

Teil 1: Des Pudels Kern und zu viel Respekt

Teil 2: Informationssicherheit und der Bezug zum Standard

Teil 3: Praktische Beispiele

Teil 4: Diskussion

31.03.2014 / Intern 4

2

014 s

ecunom

ic G

mbH

ber Pudel, Kerne und Respekt

31.03.2014 / Intern 5

Was ist Informationssicherheit?

Informationssicherheit IT Sicherheit

> Das kann ich Ihnen nicht sagen

> es lsst sich jedoch herausfinden

> Eine belastbare Aussage ist jedoch nur unter Anwendung

sinnvoller Methoden mglich

> Einige dieser Methoden sind Bestandteile eines ISMS

> Andere Bestandteile des ISMS braucht es erst spter

> Informationssicherheit ist alles, was damit zu tun hat Informationswerte des Unternehmens zu schtzen

> Informationswerte sind die Informationen, die einen besonderen Wert fr das Unternehmen oder

berechtigte Dritte haben (Information Assets)

> Also Informationen, von denen nicht gewnscht wird, dass Unbefugte sie haben oder verndern

> IT = Information Technology

> IT Sicherheit ist also die Sicherheit der Technologie und nicht der Informationen

> Eine sichere IT schtzt die Informationswerte

> IT ist also nur Mittel zum Zweck

Warum Ich?

2

014 s

ecunom

ic G

mbH

ber Pudel, Kerne und Respekt

31.03.2014 / Intern 6

These Hintergrund

> Informationssicherheit ist zu 75% gesunder Menschenverstand

> Technologien ndern sich, Konzepte bleiben gleich

> Komplexitt ist der Feind der Informationssicherheit

> Informationssicherheit muss den Geschftszweck untersttzen

> (Fast) jeder schtzt seine Werte auch privat und berlegt wie viel Aufwand er wofr treibt

> Es ist gut, zuerst Zeit in ein Konzept zu investieren, die Technologie findet sich meist

> Mit wachsender Komplexitt steigt die Fehlerwahrscheinlichkeit und Anwendbarkeit

> Alles andere wre eine Fehlinvestition aber es ist auch mit Reibung zu rechnen

> Informationssicherheit behindert nur bei der Arbeit

> Ohne Schlssel wren Tren auch praktischer es geht um das Ma

2

014 s

ecunom

ic G

mbH

Fazit

31.03.2014 / Intern 7

Des Pudels Kern Respekt

> Es gibt Informationswerte

> Informationssicherheit IT Sicherheit > Fokussieren Sie sich auf die

Wertschpfungsprozesse

> Analysieren Sie die Relevanz des Themas Informationssicherheit

> Nehmen Sie sich Zeit fr Konzepte und Analysen. Sie sparen die Zeit wieder bei

der Umsetzung.

> Akzeptieren Sie, dass einige Ablufe sich ndern und Arbeit hinzukommt

> Akzeptieren Sie nicht, dass Wertschpfung verunmglicht wird

> Informationssicherheit hat viel mit gesundem Menschenverstand zu tun

> Halten Sie die Themen so einfach wie mglich und so komplex wie notwendig

> berlegen Sie sich genau, warum Sie was brauchen und konzentrieren Sie

sich auf das Wichtige

> Die einfachen Lsungen sind oftmals die Besten, weil sie verstanden und

angewendet werden

Informationssicherheit ist nicht schlimm, aber es muss strukturiert organisiert

und gefhrt (gemanaget) werden. Hier hilft ein ISMS nach ISO 27001.

2

014 s

ecunom

ic G

mbH

Agenda

Teil 1: Des Pudels Kern und zu viel Respekt

Teil 2: Informationssicherheit und der Bezug zum Standard

Teil 3: Praktische Beispiele

Teil 4: Diskussion

31.03.2014 / Intern 8

2

014 s

ecunom

ic G

mbH

Informationssicherheit und der

Bezug zum Standard

31.03.2014 / Intern 9

Schlsselfragen Zu erarbeiten

> Was sind die Wertschpfungsprozesse zur Erreichung der Geschftsziele?

> Welche Parteien haben Interesse am Schutz der Informationswerte?

> Welche Bedrohungen und Risiken existieren fr die Geschftsziele?

> Welche dieser Risiken sollten getragen und welche Risiken behandelt werden?

> Alles womit Geld verdient wird und die dafr wichtigen Support Prozesse

> Interessierte Parteien: Unternehmen, Kunden, Gesetzgeber, Aufsichtsbehrden

> Identifikation Risikopotential zur Erreichung der Geschftsziele

> Risikoavers oder Risikotolerant? Oder eine gesunde Mischung?

> Welche Manahmen mssen ergriffen werden um die Risiken zu behandeln?

> Technisch, organisatorisch, prozedural etc.

> Wie kann dies strukturiert organisiert und nachhaltig gefhrt werden?

> Entwurf, Aufbau und Betrieb eines ISMS nach ISO 27001

2

014 s

ecunom

ic G

mbH

Informationssicherheit und der

Bezug zum Standard

Alle Ziele und damit verbundenen Manahmen mssen hinsichtlich ihrer Anwendbarkeit analysiert werden. Das Ergebnis muss in einem Statement of Applicability dokumentiert werden.

A.18

A.X A.5

31.03.2014 / Intern 10

27001:2013 Annex A 27001:2013 Kap. 1 - 10

Kapitel 1 bis 10 beschreiben das Management System und die

Anforderungen an dieses.

Alle Anforderungen aus diesen Kapiteln mssen erfllt werden.

Eine der Anforderungen ist, dass die Ziele und Manahmen aus dem (normativen) Anhang im Detail

betrachtet werden. Nicht anwendbare Ziele und Manahmen drfen

ausgeschlossen werden.

2

014 s

ecunom

ic G

mbH

Informationssicherheit und der

Bezug zum Standard

31.03.2014 / Intern 11

ISO 27001:2013

4 Context of the Organisation (P)

5 Leadership (P)

6 Planning (P)

7 Support (P)

8 Operation (D)

9 Performance Evaluation (C)

10 Improvement (A)

> Was sind die Wertschpfungsprozesse zur Erreichung der Geschftsziele?

> Welche Parteien haben Interesse am Schutz der Informationswerte?

> Welche Bedrohungen und Risiken existieren fr die Geschftsziele?

> Welche dieser Risiken sollten getragen und welche Risiken behandelt werden?

> Wie kann das alles strukturiert organisiert und gefhrt werden?

> Welche Manahmen mssen ergriffen werden um die Risiken zu behandeln?

Aus einer Mischung all dieser berlegungen knnen Ziele formuliert werden.

Das Management muss die Erreichung dieser Ziele untersttzen.

2

014 s

ecunom

ic G

mbH

Informationssicherheit und der

Bezug zum Standard

31.03.2014 / Intern 12

4 Context of the Organisation (P)

> Wer hat warum, welches Interesse an Informationssicherheit?

> Hieraus soll abgeleitet werden, was warum gemacht wird

> Es werden die Eckpfeiler definiert

> Anforderungen des Standards

> Understanding the organization and its context

> Understanding the needs and expectations of interested parties

> Determining the scope of the information security management

system

5 Leadership (P)

> Informationssicherheit muss man wollen

> Vor allem das Top Management muss dahinter stehen

> Notwendige Rahmenbedingungen mssen vorhanden sein

> Anforderungen des Standards

> Leadership and commitment

> Policy

> Organizational roles, responsibilities and authorities

2

014 s

ecunom

ic G

mbH

Informationssicherheit und der

Bezug zum Standard

31.03.2014 / Intern 13

6 Planning (P)

> Verantwortungsvolles Management von Informationssicherheit setzt eine

serise Planung voraus

> Identifikation und Behandlung vorhandener Risiken

> Setzen angemessener Ziele

> Erreichen der Ziele

> Hier kommt der Annex A ins Spiel!

> Anforderungen des Standards

> Actions to address risks and opportunities

> Information security objectives and planning to achieve them

7 Support (P)

> Ein ISMS ist nicht umsonst, es muss gefrdert und gepflegt werden

> Ohne die Bereitstellung von Zeit, Material und organisatorischen

Mechanismen kann kein ISMS

nutzstiftend existieren

> Anforderungen des Standards

> Resources

> Competence

> Awareness

> Communication

> Documented Information

2

014 s

ecunom

ic G