A.9.2 Equipment security - it-sa
A.9.2 Equipment security - it-sa
A.9.2 Equipment security - it-sa
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Stolpersteine bei der<br />
Einführung von ISO<br />
27001 und BSI IT-<br />
Grundschutz<br />
Wilhelm Dolle<br />
Partner, Consulting<br />
Information Technology
Unternehmensdarstellung KPMG<br />
KPMG ist ein weltwe<strong>it</strong>es Netzwerk rechtlich selbstständiger Firmen m<strong>it</strong><br />
145.000 M<strong>it</strong>arbe<strong>it</strong>ern in 152 Ländern.<br />
■ Auch in Deutschland gehört KPMG zu den führenden Wirtschaftsprüfungs-<br />
und Beratungsunternehmen und ist m<strong>it</strong> 8.400 M<strong>it</strong>arbe<strong>it</strong>ern an 25 Standorten<br />
präsent. Unsere Leistungen sind in die Geschäftsbereiche Aud<strong>it</strong>, Tax und<br />
Advisory gegliedert. Im M<strong>it</strong>telpunkt von Aud<strong>it</strong> steht die Prüfung von Konzern-<br />
und Jahre<strong>sa</strong>bschlüssen. Tax steht für die steuerberatende Tätigke<strong>it</strong> von<br />
KPMG. Der Bereich Advisory bündelt unser hohes fachliches Know-how zu<br />
betriebswirtschaftlichen, regulatorischen und tran<strong>sa</strong>ktionsorientierten<br />
Themen.<br />
■ Für wesentliche Branchen unserer Wirtschaft haben wir eine<br />
geschäftsbereichsübergreifende Spezialisierung vorgenommen. Hier laufen<br />
die Erfahrungen unserer Experten weltwe<strong>it</strong> zu<strong>sa</strong>mmen und tragen zusätzlich<br />
zur Beratungsqual<strong>it</strong>ät bei.<br />
Im Bereich Informationssicherhe<strong>it</strong> verfügt KPMG in Deutschland über<br />
■ Ca. 100 M<strong>it</strong>arbe<strong>it</strong>er im Bereich Secur<strong>it</strong>y Consulting<br />
■ Über 40 zertifizierte ISO/IEC 27001 Lead Aud<strong>it</strong>oren (eigene<br />
Zertifizierungsstelle)<br />
■ Mehrere ISO-27001-Aud<strong>it</strong>oren für Aud<strong>it</strong>s auf der Basis von IT-Grundschutz<br />
■ Über 20 M<strong>it</strong>arbe<strong>it</strong>er m<strong>it</strong> Certified Information Systems Aud<strong>it</strong>or (CISA)<br />
■ 20 spezialisierte Penetrationstester, insb. Webapplikationstests<br />
■ Zugang zum weltwe<strong>it</strong>en KPMG-internen Penetration Tester Netzwerk m<strong>it</strong><br />
mehr als 500 M<strong>it</strong>gliedern<br />
■ We<strong>it</strong>ere zertifizierte M<strong>it</strong>arbe<strong>it</strong>er: CISSP, TISP, CISM, PRINCE2, ITIL, COBIT,<br />
…<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
Essen<br />
Köln<br />
Düsseldorf<br />
Mainz<br />
Frankfurt<br />
Saarbrücken<br />
Dortmund<br />
Freiburg<br />
Bremen Hamburg<br />
Bielefeld<br />
Mannheim<br />
Karlsruhe<br />
Stuttgart<br />
Kiel<br />
Hannover<br />
Jena<br />
Nürnberg<br />
Augsburg<br />
Halle<br />
Leipzig Dresden<br />
Regensburg<br />
München<br />
Berlin
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
BSI IT-Grundschutz<br />
(C) http://www.bsi.bund.de/
IT-Grundschutz(handbuch): Historie<br />
1994<br />
16 Bausteine<br />
160 Maßnahmen<br />
150 Se<strong>it</strong>en<br />
kein integraler Sicherhe<strong>it</strong>sprozess<br />
Zielgruppe: Behörden<br />
18 Jahre IT-<br />
Grundschutz<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
2012<br />
+<br />
77+ Bausteine<br />
420+ Gefährdungen<br />
1140+ Maßnahmen<br />
4000+ Se<strong>it</strong>en (ab 11. Ergänzungslieferung)<br />
Vorgehensweise für Sicherhe<strong>it</strong>skonzepte<br />
etabliertes Standardwerk für Behörden und<br />
Unternehmen im In-und Ausland
IT-Grundschutzgedanke<br />
Idee<br />
● Ge<strong>sa</strong>mtsystem enthält typische Komponenten<br />
(z.B. Server und Clients, Betriebssysteme)<br />
● pauschalisierte Gefährdungen und Eintr<strong>it</strong>tswahrscheinlichke<strong>it</strong>en<br />
● Empfehlung geeigneter Bündel von Standard-Sicherhe<strong>it</strong>smaßnahmen<br />
● konkrete Umsetzungshinweise für Maßnahmen<br />
Ziel<br />
„Durch organi<strong>sa</strong>torische, personelle, infrastrukturelle und technische<br />
Standard-Sicherhe<strong>it</strong>smaßnahmen ein Standard-Sicherhe<strong>it</strong>sniveau für IT-<br />
Systeme aufbauen, das auch für sensiblere Bereiche ausbaufähig ist.“<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
Vorgehensweise IT-Grundschutz<br />
Ablauf Grundschutzvorgehen<br />
Informations-<br />
verbund<br />
- Infrastruktur<br />
- Organi<strong>sa</strong>tion<br />
- Personal<br />
- Technik<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
Strukturanalyse<br />
Analyse des Ist-Zustandes<br />
Welche Systeme und Anwendungen ?<br />
Feststellung des Schutzbedarfs<br />
IT-Grundschutzanalyse:<br />
Modellierung des IT-Verbunds (Auswahl der Maßnahmen)<br />
Basis-Sicherhe<strong>it</strong>scheck (Soll-Ist-Vergleich)<br />
Ca. 80%<br />
Ergänz. Sicherhe<strong>it</strong><strong>sa</strong>nalyse<br />
bei (sehr) hohem Schutzbedarf<br />
Konsolidierung der Maßnahmen<br />
Realisierung der Maßnahmen<br />
Ca. 20%
IT-Grundschutzkataloge<br />
Baustein Allgemeiner Client: Gefährdungen vs. Maßnahmen<br />
><br />
Auszug Gefährdungskatalog Auszug Maßnahmenkatalog<br />
Handlungsempfehlungen in Form von konkreten Maßnahmen, die<br />
typischen Gefährdungen gegenübergestellt werden. Zu<strong>sa</strong>mmenfassung<br />
in standardisierten Bausteinen für typische Komponenten.<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
ISO 27001<br />
(C) http://www.iso.org/
Anforderungen des Standards ISO 27001 (Umsetzungstipps in ISO 27002)<br />
Requirements (27001) und Code of Practice (27002) Organi<strong>sa</strong>torische und technische Aspekte<br />
><br />
ISO 27001: Kap<strong>it</strong>el 4-8 und Anhang A m<strong>it</strong> normativen<br />
Anforderungen ohne konkrete Vorschläge an die Hand zu geben.<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
Der Managementprozess nach ISO 27001<br />
Erstellung<br />
des Scope<br />
Regionale<br />
Ausrichtung?<br />
Organi<strong>sa</strong>torische<br />
Ausrichtung?<br />
Das ganze<br />
Unternehmen?<br />
Inventory of<br />
Information<br />
Assets<br />
Services<br />
Hardware<br />
Software<br />
Schwachstellen-<br />
und<br />
Risikoanalyse<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
Schaden<br />
Act<br />
3 4 5 6<br />
2 3 4 5<br />
1 2 3 4<br />
1 1 2 3<br />
Eintr<strong>it</strong>tswahrscheinlichke<strong>it</strong><br />
Etablierung von<br />
Kontrollen<br />
Plan Do<br />
Anwendung des<br />
Annex A des ISO<br />
27001 bzw.<br />
ISO 27002 oder<br />
eigene Controls<br />
Entwicklung des SoA<br />
Etablierung<br />
Internal Aud<strong>it</strong><br />
gem.<br />
ISO/IEC<br />
27001:2005<br />
Etablierung<br />
eines<br />
Information<br />
Secur<strong>it</strong>y Forums<br />
Check<br />
Behandlung von<br />
Sicherhe<strong>it</strong>svorfällen<br />
Preventives Aud<strong>it</strong><br />
durch internal Aud<strong>it</strong><br />
Verbesserungen des<br />
ISMS
Bespiel ISO 27001: Die Control "<strong>A.9.2</strong> <strong>Equipment</strong> <strong>secur<strong>it</strong>y</strong>"<br />
><br />
Objective: To prevent loss, damage, theft or compromise of assets and interruption to the<br />
organization’s activ<strong>it</strong>ies.<br />
Sehr generische Darstellung der Zielstellung (Objective) und der<br />
erwarteten Maßnahmen (Controls).<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
Beispiel ISO 27002: Erwe<strong>it</strong>erung der Control "<strong>A.9.2</strong> <strong>Equipment</strong> <strong>secur<strong>it</strong>y</strong>"<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
><br />
Höhere Präzisierung der<br />
generischen Anforderungen in<br />
der ISO 27002, dennoch ein<br />
sehr we<strong>it</strong> gefasster<br />
Interpretationsspielraum.
Umsetzung zur elektrotechnischen Verkabelung im IT-Grundschutz Baustein 2.2<br />
><br />
Die Anforderungen der ISO lassen sich m<strong>it</strong> Standardmaßnahmen<br />
aus dem IT-Grundschutzkatalog abbilden.<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
Stolpersteine
Stolpersteine<br />
Ze<strong>it</strong>liche Planung<br />
● Überschätzung des Reifegrades der eigenen Organi<strong>sa</strong>tion und dadurch oft<br />
ze<strong>it</strong>lich zu kurz geplante Einführungsdauer.<br />
● Pauschal keine Aus<strong>sa</strong>ge zum Aufwand möglich (typisch 12-36 Monate für<br />
ISO 27001/GS)<br />
● Starke Abhängigke<strong>it</strong> von Größe und Komplex<strong>it</strong>ät des Scopes / IV<br />
● Wenn möglich GAP-Analyse (10 – 15 PT) zur Aufwand<strong>sa</strong>bschätzung m<strong>it</strong><br />
„echten“ und erfahrenen Aud<strong>it</strong>oren<br />
● Verschiedene Modelle vom Coaching bis zur Komplettunterstützung<br />
● Interne Verfügbarke<strong>it</strong>en (und Know How) sind häufig Flaschenhals<br />
● Aufwand des Aud<strong>it</strong>ors (15 – 40 PT)<br />
● Ze<strong>it</strong>licher Aufwand des Zertifizierungsverfahrens (BSI ca. 6 Monate)<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
Stolpersteine<br />
Komplex<strong>it</strong>ät des Projektes<br />
● Geschäftsprozesse müssen dokumentiert und benötigte Assets (u.a.<br />
Hardware, Software, Personal, Daten oder Services) abgele<strong>it</strong>et werden; Die<br />
Detaillierung ist dabei so zu wählen, dass die Komplex<strong>it</strong>ät unter Kontrolle<br />
bleibt (Risikoanalyse).<br />
● Inhomogene Umgebungen m<strong>it</strong> wenig Standardkomponenten und hohem<br />
Schutzbedarf machen Einführung eines ISMS (insb. GS) sehr aufwändig.<br />
● Bei großen Unternehmen sollte das ISMS evtl. m<strong>it</strong> zunächst gut<br />
handhabbaren Scope/IV eingeführt werden<br />
● International<strong>it</strong>ät / Kulturelle Unterschiede<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.
Zu<strong>sa</strong>mmenfassung<br />
■ Sinnvolle Ze<strong>it</strong>planung<br />
Erfolgsfaktoren Hindernisse<br />
■ Reduktion der Komplex<strong>it</strong>ät (Unterstützung<br />
inbs. Bei der Defin<strong>it</strong>ion des Scopes / IV)<br />
■ Unterstützung durch Vorstand,<br />
Geschäftsführung, Behördenle<strong>it</strong>ung<br />
■ Verständnis, Kooperationsbere<strong>it</strong>schaft<br />
und aktive Unterstützung durch alle<br />
Verantwortlichen (ins. IT-Le<strong>it</strong>ung)<br />
■ Tool-Unterstützung (u.a. GSTool, HiScout,<br />
Verinice)<br />
■ Bestehendes Qual<strong>it</strong>ätsmanagementsystem (zum<br />
Beispiel ISO 9001). Die Dokumentation der<br />
Geschäftsprozesse ist dann bere<strong>it</strong>s<br />
abgeschlossen.<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger<br />
M<strong>it</strong>gliedsfirmen, die KPMG International Cooperative („KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte<br />
vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von KPMG International.<br />
■ Schlechtes internes Marketing<br />
■ Verzicht auf die konsequente Anwendung<br />
von Projektmanagement Methoden<br />
■ Fehlende frühze<strong>it</strong>ige Defin<strong>it</strong>ion der Secur<strong>it</strong>y<br />
Organi<strong>sa</strong>tion, also Transparenz hinsichtlich Rollen<br />
und Verantwortlichke<strong>it</strong>en und den Schn<strong>it</strong>tstellen zu<br />
den Fachbereichen - dam<strong>it</strong> verbunden das<br />
frühze<strong>it</strong>ige "Abholen" der M<strong>it</strong>arbe<strong>it</strong>er. Die<br />
Einführung ist meistens ja auch ein gewisser<br />
Kulturwandel im Unternehmen.<br />
■ Personalwechsel<br />
■ Umbau der Systemlandschaft<br />
■ Änderung der Prüfgrundlagen (insb. IT-<br />
Grundschutz-Kataloge, weniger ISO 27001)<br />
■ Zu starke Fokussierung auf technische Aspekte
Vielen Dank für<br />
Ihre Aufmerk<strong>sa</strong>mke<strong>it</strong><br />
Wilhelm Dolle<br />
Partner, Consulting<br />
Information Technology<br />
Klingelhöferstr. 18 Tel. +49 30 2068-2323<br />
10785 Berlin Mobile +49 174 3049537<br />
wdolle@kpmg.com<br />
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle S<strong>it</strong>uation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen,<br />
zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Ze<strong>it</strong>punkt ihres Eingangs oder dass sie auch in<br />
Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden S<strong>it</strong>uation.<br />
© 2012 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und M<strong>it</strong>glied des KPMG-Netzwerks unabhängiger M<strong>it</strong>gliedsfirmen, die KPMG<br />
International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind<br />
eingetragene Markenzeichen von KPMG International. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complex<strong>it</strong>y" sind eingetragene Markenzeichen von<br />
KPMG International.