VdS Cyber-Security – der Brandschutz

des 21. Jahrhunderts Cyber-Security für kleine und mittlere Unternehmen (KMU)

22.01.2016 Folie 2

Zum Referenten

Claus Möhler

Jahrgang 1975

Berater für Informationssicherheit

Seit 2000 bei Applied Security GmbH

ISO 27001 Lead Auditor

Anerkannter Berater für Cyber-Security gemäß VdS 3477

Zulassung als Fachexperte und Auditor für das Quick-Check-

Verfahren nach VdS 3474 und für das Zertifizierungsverfahren nach

VdS 3475

22.01.2016 Folie 3

Agenda

Begrüßung und Agenda

Kurzprofil Applied Security GmbH

Definition „ISMS“

Aktuelle Management-Systeme

Vorstellung VdS 3473

Fragen und Antworten

22.01.2016 Folie 4

Kurzprofil Applied Security GmbH

Gegründet 1998 in Großwallstadt

Niederlassungen in Berlin, Hamburg und Essen

Top 15 Unternehmen der deutschen IT-Sicherheits-Unternehmen

(Quelle: BMWi)

Produkt- und Beratungsbereich

fideAS-Produktlinie: Verschlüsselung, digitale Signatur, sichere Datenübertragung

Security-Consulting, Fokus ISMS (VdS 3473, ISO 27001, BSI, ISIS12)

Zertifizierter ISIS12-Dienstleister seit Oktober 2014

Zugelassene Berater und Auditoren gemäß VdS 3474, 3475 und

3477

22.01.2016 Folie 5

Warum ein neues ISMS vom VdS?

VdS unabhängige Institution, erstellt u.a. Vorgaben und

Konzepte für Brandschutz und Security

Vorgaben dienen als Grundlage bzw. Voraussetzungen für

Versicherungen (z.B. „Leitfaden für den Brandschutz im

Betrieb“, VdS 2000)

Cyber-Versicherungen verlangen ebenfalls nach normierten

Grundlagen

„Norm“ für Informationssicherheit (ISMS)

„Cyber-Security für kleine und mittlere Unternehmen (KMU)“

Kurzübersicht „ISMS“

22.01.2016 Folie 7

ISMS - Definition

„Das Information Security Management System (ISMS, engl. für

„Managementsystem für Informationssicherheit“) ist eine Aufstel-

lung von Verfahren und Regeln innerhalb eines Unternehmens,

welche dazu dienen, die Informationssicherheit dauerhaft zu

definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und

fortlaufend zu verbessern.“

Quelle: http://de.wikipedia.org/wiki/ISMS

22.01.2016 Folie 8

ISMS Inhalte

„… eine Aufstellung von Verfahren und Regeln …“

Dokumentierte Regelwerke, Vorgaben, Strukturen und Prozesse

„… innerhalb eines Unternehmens …“

klare Abgrenzung, klarer Gültigkeitsbereich

von der Geschäftsleitung initiiert und getragen

Unternehmensweit gültige Grundlagen und Definitionen

„… die Informationssicherheit dauerhaft zu definieren, zu

steuern, … und fortlaufend zu verbessern“

kontinuierlicher Prozess, keine Einmal-Aktionen

Aktuell verfügbare Management-Systeme

22.01.2016 Folie 10

Aktuelle Managementsysteme

ISO/IEC 2700x

• Internationale Normenreihe

• Weltweit anerkannt

• Flexible Auslegung

• Zertifizierbar

BSI IT-Grundschutz

• Umsetzungsmöglichkeit der ISO 27001

• Definierte Methodik

• Deutschlandweite Anerkennung

• Standards BSI 100-1 bis 100-4

• Zertifizierbar

ISIS 12

• „IT-Grundschutz light“

• Reduzierter Maßnahmensatz und Vereinfachungen gegenüber BSI 100-2

• Geeignetes ISMS gemäß IT-Planungsrat

• Zertifizierbar durch die DQS

22.01.2016 Folie 11

Aktuelle Managementsysteme im Vergleich

Maßnahmen-Ziele Maßnahmenorientierung

BSI IT-

Grundschutz

ISIS 12

ISO 27001

VdS 3473

Unte

rne

hm

ensgrö

ße

VdS 3473

22.01.2016 Folie 13

VdS 3473 – Motivation und Geltungsbereich

• Schutz-Standards zur Abwehr „klassischer“ Gefahren verfügbar

• Richtlinien der VdS Schadenverhütung GmbH

• VdS 3473 begegnet den „neuen“ Cyber-Bedrohungen

• IT-Risiken für Versicherer bewertbar machen

Motivation

• VdS 3473 etabliert „Mindestanforderungen“ an die Informationssicherheit

• Anwendbar für KMU, gehobener Mittelstand, Verwaltungen, Verbände und sonst. Organisationen

Geltungsbereich

22.01.2016 Folie 14

VdS 3473 – Grundsätze (1)

So wenig wie möglich, so viel wie nötig

Allgemeingültig für alle Branchen und Organisationen

Das Thema ISMS wird nicht neu erfunden

Inhaltlich große Überschneidung mit bereits etablierten Standards

Keine Vorgabe von Maßnahmen

eher Themenbereiche und Strukturen zur Umsetzung

dadurch methodisch näher an ISO27001 als an IT-Grundschutz

22.01.2016 Folie 15

VdS 3473 – Grundsätze (2)

Risikobasierter Ansatz

Basis-Schutz für alle Systeme

Stärkere Fokussierung auf als kritisch identifizierte

Prozesse

Informationen

IT-Systeme, mobile Datenträger und Verbindungen

Individualsoftware

Methodik zur Identifikation kritischer Systeme nicht vorgegeben

Über die Kritikalität entscheidet das Unternehmen selbst

22.01.2016 Folie 16

VdS 3473 - Kernthemen

Dokumentations-Anforderungen

• Rollen und Verantwortlichkeiten

• Leitlinie zur Informationssicherheit (IS-Leitlinie)

• Richtlinien zur Informationssicherheit (IS-Richtlinie)

• Mobile IT-Systeme / Datenträger

• Datensicherung und Archivierung

• Inventarisierung der IT

Prozesse

• ISMS:

• Identifikation kritischer IT-Ressourcen

• IS-Leitlinie

• IS-Richtlinien

• Thematisch:

• Störungen und Ausfälle

• Sicherheitsvorfälle

• Inbetriebnahme, Änderung und Außerbetriebnahme

• Datensicherung

• Wiederanlauf

• Risikoanalysen

Maßnahmenziele

• Basis-Schutz für alle IT-Systeme

• Updates

• Anti-Virus

• Beschränkungen

• Zusätzliche Maßnahmen für als kritisch identifizierte Systeme, z.B.

• Risikoanalyse

• Notbetrieb

• Robustheit

• Überwachung

Zertifizierungsmöglichkeiten

22.01.2016 Folie 18

Quick-Check, Quick-Audit und Zertifizierung

Quick-Check

Online-Fragenkatalog

Ergebnis: PDF-Report

Quick-Audit (VdS 3474)

Basiert auf den Ergebnissen des

Quick-Checks

Testierung der Ergebnisse durch neutralen Dritten

Zertifizierung (VdS 3475)

Komplette Zertifizierung des ISMS

Quick-Audit bildet auch hier die Grundlage für Audit-Planungen

22.01.2016 Folie 19

Zertifizierungspyramide

22.01.2016 Folie 20

Quick-Audit nach VdS 3474

Quick-Check

39 Fragen zu sicherheitsrelevanten

Themen in Ihrem Unternehmen*

Online unter https://www.vds-quick-check.de/

Audit-Planung Basierend auf den

Angaben des Quick-Check

Audit-Durchführung

i.d.R. 1-2 Tage vor Ort

Auswertung und Berichtserstellung

Testat

* Der Quick-Check ist auch ohne weitere Schritte möglich

Quick-

Check

Quick-

Audit

22.01.2016 Folie 21

Zertifizierung nach VdS 3475

Audit

Zertifizierungs-Entscheidung

Zertifikat

Check-Up

Ggf. Re-Zertifizierung

22.01.2016 Folie 22

Vergleich Testat & Zertifikat

Quick-Check

Self-Assessment

PDF-Report

Moment-Aufnahme

Keine Überwachung

Werbeverbot

Quick-Audit

Audit vor Ort

Testat / Prüfbericht

Moment-Aufnahme

Keine Überwachung

Werbeverbot

Zertifizierung

Audit vor Ort

Zertifikat

Gültigkeit 3 Jahre

Jährlicher Check-Up

Werbung erlaubt

22.01.2016 Folie 23

Anwendungsbereiche VdS 3473

Wann ist die Implementierung eines ISMS gemäß VdS 3473

interessant:

Voraussetzung für Cyber-Versicherungen

Zertifizierung eines bereits bestehenden, innerhalb des

Unternehmens gewachsenen ISMS

Wann ist die Implementierung eines ISMS gemäß VdS 3473

nicht interessant:

volle Flexibilität oder Anerkennung eines anderen ISMS (z.B. ISO

27001, IT-Grundschutz) gewünscht oder gefordert

22.01.2016 Folie 24

Fragen?

22.01.2016 Folie 25

Vielen Dank für Ihre Aufmerksamkeit

Ihre Ansprechpartner:

Herr Claus Möhler

Sprechen Sie mit uns.

apsec bietet Ihnen umfassenden Service für alle Bereiche der Datensicherheit.

Applied Security GmbH – Einsteinstraße 2a – 63868 Großwallstadt

www.apsec.de – Email: info@apsec.de – Telefon: +49 (0) 6022 / 263 38 - 0