Einfhrung eines ISMS nach ISO 27001
Kai Wittenburg, Geschftsfhrer/CEO, ISO27001-Auditor (BSI)
17.10.11 2
Was ist Informationssicherheit?
Vorhandensein von Integritt Vertraulichkeit und Verfgbarkeit
in einem geplanten Ausma.
17.10.11 3
DIE Bedrohung
Wichtigste langfristige Bedrohungsquelle:
Mitarbeiter (HumanOS)
Schwchstes Glied in der Sicherheitskette Fehlende Sicherheitskenntnisse/ Schulungen Fehlende umfassende personelle Konzepte Leichte Opfer fr Social Engineering Oft zu weit reichende
Berechtigungen
17.10.11 4
Sensibilisierung: Tr
17.10.11 5
Sensibilisierung
17.10.11 6
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
Model for establishing, implementing, operating, monitoring, reviewing,
maintaining and improving an Information Security Management System
BS7799-2
17.10.11 7
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
Set of controls, including policies, processes, procedures, organizational structures,
software/ hardware functions
BS7799-1
17.10.11 8
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
ISO 27003 Implementation Guidance
Instructions how to [technically] implement ISO 27001
17.10.11 9
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
ISO 27003 Implementation Guidance
ISO 27004 Metrics and Measurements
Definition of KPIs, quantitative/ qualitative measurements, metrics etc.
17.10.11 10
ISO 2700x ISMS Standards
ISO 27000 Terms and Definitions
ISO 27005 Risk
Management
ISO 27001 Information Security Management System
ISO 27002 Code of Practice
ISO 27003 Implementation Guidance
ISO 27004 Metrics and Measurements
ISO 27015 Accreditation Guidelines
17.10.11 11
Initiierung des Sicherheitsprozesses: - Erstellen einer ISMS Policy - Einrichten eines IT-Sicherheitsmanagements
IT-Sicherheitskonzept: Identifikation von Controls
Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: -Infrastruktur -Organisation -Personal -Technik -Kommunikation -Notfallvorsorge
Aufrechterhaltung im laufenden Betrieb
Insbesondere Sensibilisierung fr IT-Sicherheit Schulung zur IT-Sicherheit
Der
Sic
herh
eits
proz
ess
Sicherheit als Prozess (PDCA)
17.10.11 12
Sensibilisierung: Schranke Bielefeld
17.10.11 13
5 Schritte zum ISMS
1. Schritt
Managementuntersttzung fr ISMS Einfhrung und Aufbau
2. Schritt
Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt Organisationsanalyse
4. Schritt
Risikoanalyse Identifikation von Kontrollmechanismen und Manahmen
5. Schritt (Aus-)Gestaltung des ISMS
17.10.11 14
Initiierung des IT-Sicherheitsprozesses
Grundregeln Die Initiative fr IT-
Sicherheit geht vom Management aus.
Die Verantwortung fr IT-Sicherheit liegt beim Management.
Nur wenn sich das Management um IT-Sicherheit bemht, wird die Aufgabe "IT-Sicherheit" wahrgenommen.
Vorbildfunktion
Verantwortung des Managements
Einrichten des IT-Sicherheits-managements
17.10.11 15
5 Schritte zum ISMS
1. Schritt
Managementuntersttzung fr ISMS Einfhrung und Aufbau
2. Schritt
Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt Organisationsanalyse
4. Schritt
Risikoanalyse Identifikation von Kontrollmechanismen und Manahmen
5. Schritt (Aus-)Gestaltung des ISMS
17.10.11 16
5 Schritte zum ISMS
1. Schritt
Managementuntersttzung fr ISMS Einfhrung und Aufbau
2. Schritt
Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt Organisationsanalyse
4. Schritt
Risikoanalyse Identifikation von Kontrollmechanismen und Manahmen
5. Schritt (Aus-)Gestaltung des ISMS
17.10.11 17
Netzplan
17.10.11 18
Netzplan - bereinigt
17.10.11 19
Grundschutzkataloge
Bausteinbeschreibung Darstellung der Gefhrdungslage Manahmenempfehlungen
Planung und Konzeption Beschaffung (sofern erforderlich) Umsetzung Betrieb Aussonderung (sofern erforderlich) Notfallvorsorge
17.10.11 20
IT- Grundschutzkataloge
S-1
C-1 C-2
N-1 N-2
WWW
TK-1
7.3 Firewall
8.6 Mobiltelefon
7.11 Router/Switches
5.7 Win2K Client 5.3 Tragbarer PC
6.9 Win2K Server
Grundschutzkataloge
17.10.11 21
Basis-Sicherheitscheck
www2 MBit/s SFV
Router A
Server A Server C
Server B
Firewall
Personal
Drucker
GeschftsleitungNotebooks
VerwaltungIT-Grundschutzmodell
Realisierte Manahmen
Manahmen-empfehlungen
Sicherheitskonzept: defizitre
Manahmen
Soll-Ist-Vergleich
17.10.11 22
5 Schritte zum ISMS
1. Schritt
Managementuntersttzung fr ISMS Einfhrung und Aufbau
2. Schritt
Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt Organisationsanalyse
4. Schritt
Risikoanalyse Identifikation von Kontrollmechanismen und Manahmen
5. Schritt (Aus-)Gestaltung des ISMS
17.10.11 23
Schutzbedarfsfeststellung
Definitionen der Kategorien mssen individuell angepasst werden
Normal Schadensauswirkungen sind begrenzt und
berschaubar.
Hoch Schadensauswirkungen knnen betrchtlich
sein.
Sehr hoch Schadensauswirkungen
knnen ein existentiell bedrohliches, katastrophales Ausma erreichen.
Definition der Schutzbedarfs-
kategorien
Rechtliches, Datenschutz, Marketing, Finanzen, Gesundheit... => Vertraulichkeit, Integritt, Verfgbarkeit
17.10.11 24
Schutzbedarfsfeststellung
Schu
tzbe
darf
/Sic
herh
eits
nive
au
normal
hoch
sehr hoch
Prozess 1 Prozess 2 Prozess 3
IT-Grundschutz
17.10.11 25
Hherer Schutzbedarf: Risikoanalyse
Ausw
irku
ngen
Wahrscheinlichkeit gering
hoch
hoch
Brand GAU Flugzeugabsturz Blitzschlag
Erkltung
Stromschwankungen
Insektenstich
Stau
?gering
17.10.11 26
Schadens-beseitigung planen Hchste Prioritt
Vorbeugen Akzeptieren und Versichern
Hherer Schutzbedarf: Risikoanalyse
Ausw
irku
ngen
gering
gering
hoch
hoch Wahrscheinlichkeit
17.10.11 27
Abgestufte Risikobewltigung
Gesamtrisiko
Restrisiko
17.10.11 28
5 Schritte zum ISMS
1. Schritt
Managementuntersttzung fr ISMS Einfhrung und Aufbau
2. Schritt
Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)
3. Schritt Organisationsanalyse
4. Schritt
Risikoanalyse Identifikation von Kontrollmechanismen und Manahmen
5. Schritt (Aus-)Gestaltung des ISMS
17.10.11 29
Initiierung des Sicherheitsprozesses: -Erstellen einer ISMS Policy -Einrichten eines IT-Sicherheitsmanagements
IT-Sicherheitskonzept: Identifikation von Controls
Umsetzung: Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen: -Infrastruktur -Organisation -Personal -Technik -Kommunikation -Notfallvorsorge
Aufrechterhaltung im laufenden Betrieb
Insbesondere Sensibilisierung fr IT-Sicherheit Schulung zur IT-Sicherheit
Der
Sic
herh
eits
proz
ess
Sicherheit als Prozess (PDCA)
17.10.11 30
Erstellung eines Notfallvorsorgekonzepts
Umsetzung des Notfallvorsorgekonzepts
Tests und bungen, Notfallbewltigung
Aufrechterhaltung und kontinuierliche Verbesserung
Initiierung des Notfallmanagements
Notfallvorsorge
17.10.11 31
Notfallvorsorge
Cold- Stand-By Hardware
Zeit
Scha
dens
hhe
/ Ko
sten
1 Woche 4 Tage 2 Tage 1 Tag 8 Stunden
4 Stunden 1 Minute
1 Monat
Hot
-Sta
nd-B
y RZ
Col
d-St
and-
By R
Z
Handlung nach Notfallplan D
iens
tleis
ter
- Ver
trg
e
Schaden fr KMU
Finanzinstitute
17.10.11 32
Risikobewltigung
Gesamtrisiko
Restrisiko
17.10.11 33
neam IT-Services GmbH Stand C11 Technologiepark 21 D-33100 Paderborn +49 5251 1652-0 +49 5251 1652-444 http://www.neam.de [email protected]
