Management der Informationssicherheit - Neues vom IT ... - Kego

Management der Informationssicherheit
Neuenhagen am 20.09.2012
Prof. Dr. Rainer Rumpel
Ute Zorn

Angaben zum Referenten
Prof. Dr. Rainer Rumpel
Professor für Wirtschaftsinformatik an der Hochschule
für Wirtschaft und Recht Berlin
Geschäftsführer der RUMPEL Management GmbH
Spezialgebiete: IT-Infrastrukturen und IT-
Sicherheitsmanagement
Delegierter des DIN beim Subkomitee JTC 1 SC 27
Information Technology - Security Techniques bei
ISO/IEC
Akkreditierter Prüfer für
•Informationssicherheitsmanagement
•Datenschutz
2

Angaben zur Referentin
Ute Zorn
Staatlich geprüfte Betriebswirtin (Datenverarbeitung/Organisation)
Seit 1971 in der IT (IT-Organisation, IT-Sicherheitsmanagement,
IT-Projektmanagement, IT-Controlling, IT-Training)
Seit 2009:
IT-Freelancerin am Markt aktiv tätig (IT-Consulting-Zorn.de)
Kompetenzen:
• Projektaufgaben im Bereich der IT-Organisation
• Langjährige Erfahrungen im Bereich der IT-Sicherheit als IT-
Sicherheitsbeauftragte
• Langjährige Erfahrungen im Bereich des IT-Risikomanagements
• Erfolgreiche Zuarbeiten für die IT-Revision (gem. Anforderungen vom
BaFin)
Ansprechpartnerin gem. KWG § 24a
• IT-Trainerin (unternehmensintern und nebenberuflich)
3

Übersicht
1. Informationssicherheitsmanagement
2. IT-Grundschutz
3. Zertifizierung
4

1.
INFORMATIONSSICHERHEITS-
MANAGEMENT
5

Was ist Informationssicherheit?
Vertraulichkeit Integrität Verfügbarkeit Compliance
IT-Sicherheit bezieht sich auf Informationen, die mittels
Informationstechnologie (IT) verarbeitet oder gespeichert
werden.
6

Wozu Informationssicherheit?
Vertraulichkeit Integrität Verfügbarkeit Compliance
• Damit wertvolle Daten nicht unbefugt eingesehen,
manipuliert oder der Nutzung entzogen werden
• Damit der Umgang mit den Daten nicht zu rechtlichen
Problemen führt
7

Rechtliche Vorgaben in Deutschland …
… zur Informationssicherheit sind unter anderem geregelt in:
• Bundesdatenschutzgesetz (BDSG)
• Aktiengesetz
• Bilanzrechtsmodernisierungsgesetz (BilMoG)
• Grundsätze ordnungsmäßiger DV-gestützter
Buchführungssysteme (GoBS)
• GDPdU – Grundsätze zum Datenzugriff und zur
Prüfbarkeit digitaler Unterlagen
8

Informationssicherheitsmanagement
trägt dazu bei, die Informationssicherheit zu gewährleisten.
Planen
Steuern
Management
Verbessern
Überwachen
9

Informationssicherheitsmanagement
Informationssicherheits-Managementsystem (ISMS)
• auf der Basis eines Geschäftsrisikoansatzes die Entwicklung,
Implementierung, Durchführung, Überwachung, Überprüfung,
Instandhaltung und Verbesserung der Informationssicherheit
abgedeckt.
• enthält die Struktur, Grundsätze, Planungsaktivitäten,
Verantwortung, Praktiken, Verfahren, Prozesse und Ressourcen
der Organisation
• ist im internationalen Standard ISO/IEC 27001 geregelt
• ein Implementierungsleitfaden ist zum Beispiel die IT-
Grundschutzmethodik.
10

Informationssicherheitsmanagement
Ob sich Investitionen in IT-Sicherheit lohnen, ist eine
berechtigte und immer wieder gestellte Frage.
Es gibt ein seriöses Berechnungsverfahren für die
Ermittlung des Nutzens.
Sie können dieses finden in der Veröffentlichung
Verfahren zur Wirtschaftlichkeitsanalyse von
ITSicherheitsinvestitionen
http://www.e-journal-ofpbr.info/downloads/wirtschaftlichkeititsecurityrumpelglanze
.pdf
11

2. IT-GRUNDSCHUTZ
12

Sicherheitsmaßnahmen im Unternehmen
13

IT-Sicherheit keine Einzelmaßnahme
Ebene 2 Dokumente
Interne Regelungen
u.a.m.
Ebene 3 Dokumente
Richtlinie Firewallsystem
Richtlinie mobile Geräte
Richtlinie zur Positivliste
u.a.m.
Mobile on Betriebshandbuch
etc.
Dokumente
Ebene 1 Dokument
IT-Sicherheitsleitlinie
Maßnahmen
Beschluss der
Geschäftsführung
ggf. Revisionsvorgaben
Schutzbedarfsanalyse
Einhaltung der Richtlinien
durch alle Mitarbeiter
Regelmäßig:
Risikoanalyse
Kontrollen IT-
Sicherheitsbeauftragte
Revisionsprüfungen
14

Bundesamt für Sicherheit in der
Informationstechnik (BSI)
• IT-Grundschutz
die Basis für Informationssicherheit mit
IT-Grundschutz-Katalogen (aktuell 12-EL)
mit Bausteinen, Gefahren und Maßnahmen
u.a. Hilfsmitteln
• Unterstützung bei der Vorgehensweise mit
Leitfäden
15

IT-Grundschutz-Standards
BSI-Standard 100-1:
Managementsysteme für Informationssicherheit (ISMS)
BSI-Standard 100-2:
IT-Grundschutz-Vorgehensweise
BSI-Standard 100-3:
Risikoanalyse auf der Basis von IT-Grundschutz
� Zusätzlich: Risikoanalysen mittels elementarer
Gefährdungen
BSI-Standard 100-4: Notfallmanagement
16

IT-Grundschutzkataloge
Bausteine
IT-Grundschutz - Basis für Informationssicherheit
Schichtenmodell und Modellierung
Gefährdungskataloge
Maßnahmenkataloge
Überblickspapiere
- Überblickspapier Smartphones
- Überblickspapier Netzzugangskontrolle
IT-Krisenmanagement
Hilfsmittel
BSI-Publikationen:
BSI-Broschüren
BSI-Kurzinformationen im Faltblattformat
Technische Richtlinien
17

BSI Maßnahmenkataloge
M1 Infrastruktur
M2 Organisation
M3 Personal
M4 Hardware und Software
M5 Kommunikation
M6 Notfallvorsorge
20

Warum IT-Grundschutz?
Unerlässlich
• benötigte Informationen müssen korrekt für wesentliche
Geschäftsprozesse (GP) vorliegen
• Diese GP sind vertraulich zu behandeln.
• Einheitliches Vorgehen ermöglicht Vergleichbarkeit
Wichtig ist daher
• unterstützende Informationstechnik muss reibungslos funktionieren
• Wirksame Schutzvorkehrungen gegen vielfältige und neuartigen
Gefährdungen
- Sicherheit von Informationen, Anwendungen, IT-Systemen
und Kommunikationsnetzen
22

Der Sicherheitsprozess aus der
BSI-Leitfaden 100-1 - ISMS
• Informationssicherheitsmanagement, kurz IS-Management :
• Aufgaben und Aktivitäten, mit denen eine Organisation ein
angemessenes Sicherheitsniveau erreichen und erhalten will,
23

Initiierung des Sicherheitsprozesses
� Gemäß BSI-Leitfaden 100-1 - ISMS
24

Aufbau Managementsystem für
Informationssicherheit (ISMS)
Klärung:
• Verantwortlichkeiten und welche
Prozesse die sich bewährt haben
• Wichtige Aufgaben und Ergebnisse für
Informationssicherheitsmanagement?
• Weg zur Erarbeitung eines
praktikablen Konzept?
• Möglichkeit der Weiterentwicklung des
umgesetzten Konzeptes
Grundsätzliche Antworten bietet
� BSI-Standard 100-1
Managementsysteme für
Informationssicherheit (ISMS).
25

ISMS - Pkt.1. Strukturanalyse
1 2 3 4
� wichtigen Informationen, Geschäftsprozesse und Anwendungen,
� ein Netzplan mit den eingesetzten IT-Systemen,
Kommunikationsverbindungen und externen Schnittstellen,
� vorhandenen IT-Systeme (Clients, Server, Netzkopplungselemente usw.)
� räumlichen Gegebenheiten (Liegenschaften, Gebäude, Räume).
� Teilerhebung über Objekte in sinnvolle Gruppen fassen,
� Erhebung des Netzplans als Basis
� BSI-Leitfaden 100-2
26

Schutzbedarfsfeststellung
Einheitlicher Ablauf in 5 Schritten:
• Schritt 1 Vorbereitungen
verschiedene Schadensszenarien betrachten
• Schritt 2 IT-Anwendungen
Schutzbedarf bezüglich Vertraulichkeit, Integrität und Verfügbarkeit
• Schritt 3 IT-Systeme
Ermittlung möglicher Schäden im Falle einer Beeinträchtigung der
Gesamtheit der betreffenden IT-Anwendungen (Maximum-Prinzip,
Beachtung von Abhängigkeiten, Kumulationseffekt und Verteilungseffekt)
• Schritt 4 IT-Räume
Räume, die ausschließlich dem IT-Betrieb dienen (wie Serverräume,
Datenträgerarchive) sowie die Büroräume mit IT-Systemen
• Schritt 5 Kommunikationsverbindungen
Identifikation kritischer Verbindungen
27

ISMS - Pkt. 2. Schutzbedarfsfeststellung
Ziel der Schutzbedarfsfeststellung:
• Ermittlung des benötigten
Schutzbedarfs für den
Informationsverbundes und seiner
zugehörigen Objekte?
• Weg zur begründeten und
nachvollziehbaren Einschätzungen
des Schutzbedarfs?
• Welche Objekte benötigen mehr
Sicherheit, bei welchen genügen
elementare Schutzmaßnahmen?
Auswahl angemessener Sicherheitsmaßnahmen für die einzelnen
Objekte des betrachteten Informationsverbundes sind zu steuern.
28

Ablauf Ermittlung der Schutzbedürftigkeit
29

System - Modellierung
Generelle Vorgehensweise bei der Modellierung:
Modellierung des IT-Verbundes anhand
GSHB-Bausteinen erfolgt stufenweise mit den fünf definierten
Schichten des IT-Grundschutzmodells.
30

Schichtenmodell der IT-Sicherheit
Modellierung nach IT-Grundschutz
31

ISMS - Pkt. 3. Modellierung
1. Strukturanalyse nutzt Übersichten über die einzelnen Komponenten des
betrachteten Informationsverbundes
2. Ergebnisse der Schutzbedarfsfeststellung
Bausteine, deren Anwendung mit höherem Schutzbedarf, die einen
höheren Schutzbedarf in einem der drei Grundwerte haben, werden
genutzt
� z.B. für den Baustein B 1.7 Kryptokonzept, der vor allem für solche
Objekte wichtig ist, deren Bedarf
an Vertraulichkeit hoch oder sehr hoch ist.
3. Modellierung
� Abbilden Informationsverbund, seiner Komponenten gem.
BSI-Bausteine
� Ergebnis ist ein IT-Grundschutz-Modell.
� Einbeziehung auf Ergebnisse der beiden vorangegangenen Schritte
32

Modell als Prüfplan nutzen
Dieses Modell können Sie für die bestehenden Teile Ihrer
Informationstechnik als Prüfplan verwenden und für
geplante Teile als Entwicklungskonzept.
33

ISMS - 4. Basis-Sicherheitscheck
Prüfung ob die Informationen und die Informationstechnik
hinreichend geschützt ist
34

Vorgehen Basis-Sicherheitscheck
• Abgleich mit bereits umgesetzten Empfehlungen
� Identifikation des Sicherheitsniveaus
• Ergebnisse aus Strukturanalyse nutzen
• Schutzbedarf bestimmen
• Modellierung anzuwendender Bausteine
• Erstellung Prüfplan für Zielobjekte
• Prüfung ob Maßnahmen anwendbar sind
• Umsetzbarkeit prüfen
• Fehlende Sicherheitsmaßnahmen zusammenstellen
35

ISMS - 5. Realisierungsplan 1/2
Sicherheitsmaßnahmen in eine Reihenfolge bei der
Umsetzungsplanung bringen:
1. Ergebnisse sichten
Sichten der Ergebnisse des Basis-
Sicherheitschecks; ggf. durchgeführter
Risikoanalysen und tabellarische Zusammenstellung
der noch nicht oder nur teilweise umgesetzten
Sicherheitsmaßnahmen.
2. Maßnahmen konsolidieren
Prüfen und konkretisieren der Maßnahmen im
Zusammenhang.
Dies reduziert gegebenenfalls die Anzahl der
umzusetzenden Maßnahmen.
3. Aufwand schätzen
Schätzen der finanziellen und personellen Aufwand,
der mit der Umsetzung der einzelnen Maßnahmen
verbunden ist. Dabei ist zu unterscheiden zwischen
dem einmaligen Aufwand bei der Einführung einer
Maßnahme und dem wiederkehrenden Aufwand im
laufenden Betrieb.
36

ISMS - 5. Realisierungsplan 2/2
4. Umsetzungsreihenfolge festlegen
Festlegen einer sinnvolle
Umsetzungsreihenfolge.
Berücksichtigung dabei die sachlogischen
Zusammenhänge der einzelnen Maßnahmen
als auch deren Wirkung auf das
Sicherheitsniveau des Informationsverbundes.
5. Verantwortliche bestimmen
Entscheiden, bis zu welchem Termin eine
Maßnahme umzusetzen ist und wer für die
Realisierung und deren Überwachung
zuständig sein soll.
6. Begleitende Maßnahmen festlegen
Die praktische Wirksamkeit der
Sicherheitsmaßnahmen hängt von der
Akzeptanz und dem Verhalten der betroffenen
Mitarbeiter ab.
Planen daher Schritte zu ihrer Sensibilisierung
und Schulung ein.
37

Aufrechterhaltung der Informationssicherheit
Kriterien zur Aufrechterhaltung der Sicherheit sind:
• regelmäßig kontrollieren (Prozess),
• Sicherheitsrevision
• Vollständigkeits- oder Aktualisierungsprüfung
38

Wichtige Regelungen
• Zu festgelegten Zeitpunkten sollte das Sicherheitskonzept (mindestens
alle zwei Jahre) überprüfen, bei Bedarf aber auch vorzeitig
� zum Beispiel nach Sicherheitsvorfällen.
Voraussetzung für die Aufrechterhaltung und Verbesserung der
Informationssicherheit ist, eine Regelung:
• Zuständigkeit für die Überprüfung der Wirksamkeit und Angemessenheit
der Sicherheitsmaßnahmen
• Tätigkeiten des IT-Sicherheitsbeauftragten und des IS-Management-
Teams sind von besonderer Bedeutung
39

Risikoanalyse
IT-Grundschutz – Sicherheitsniveau ist zu prüfen
• normaler Schutzbedarf
ein angemessenes und kostengünstiges Sicherheitsniveau für
typische Infrastrukturen
• hohen oder sehr hohen Bedarf an Vertraulichkeit, Integrität oder
Verfügbarkeit,
• IT-Grundschutz-Kataloge enthalten (noch) keinen passenden Baustein
(Beispiel: Labormessgerät mit direkter Netzanbindung
oder
ein solcher Baustein ist vorhanden,
die Komponente wird in einer für das Anwendungsgebiet
des IT-Grundschutzes untypischen Weise oder Einsatzumgebung
betrieben?
� BSI-Leitfaden 100-3
40

Ablauf Risikoanalyse
41

Vorgehensmodell
Vorgehensmodell für die Erstellung
eines IT-Sicherheitskonzepts
Bedrohungsanalyse
Risikoanalyse
42

Verfahren nach BSI-Standard 100-3
46

Basis-Sicherheitscheck / Ergänzende
Sicherheitsanalyse
Generelle Vorgehensweise beim Basis-Sicherheitscheck
• Schritt 1 Organisatorische Vorbereitungen
• Schritt 2 Durchführung des Soll-Ist-Vergleichs
• Schritt 3 Dokumentation der Ergebnisse
47

Risikoanalyse
Bedrohungs- und Schwachstellenanalyse, Risikoanalyse,
Sicherheitspolitik
• Risiko = Wahrscheinlichkeit des Eintreffens eines gefährdenden
Ereignisses innerhalb eines bestimmten Zeitraumes und der damit
verbundene potentielle Schaden
• Ziel: durch genaue Kenntnis des Risikos adäquate Abwehrmaßnahmen
ergreifen können
Kombinierter Ansatz zur Risikoanalyse
Zuerst: informale Voranalyse
IT System in Teilsysteme kategorisieren
� Teilsysteme mit gängigen Risiken
Grundschutzkonzept: pauschale Maßnahmen gegen gängige
Risiken
� Teilsysteme mit größeren Risiken
Detaillierte Risikoanalyse mit spezifischen Gegenmaßnahmen
48

Verfahren BSI-Standard 100-3
Risikoanalyse auf Basis von IT-Grundschutz (Version 2.5)
1.Erstellen der Gefährdungsübersicht
2.Ermittlung zusätzlicher Gefährdungen
3.Gefährdungsbewertung
4.Behandlung von Risiken
5.Konsolidierung des IT-Sicherheitskonzepts
6.Rückführung in den IT-Sicherheitsprozess
49

Verfahren BSI-Standard 100-3
1. Erstellung der Gefährdungsübersicht
• Selektion betroffener Zielobjekte
• Streichen nicht betroffener Bausteine
• Zuordnung, Konsolidierung und Gruppierung aller BSI-
Gefährdungen
� Ergebnis:
eine Tabelle mit Zielobjekten und deren Schutzbedarf vor sowie eine
Liste mit deren relevanten Gefährdungen
50

Verfahren BSI-Standard 100-3
2. Ermittlung zusätzlicher Gefährdungen
Im Kontext des Zielobjektes und dessen Schutzbedarfs
werden zusätzliche Gefährdungen ermittelt mittels:
• Dokumentation des Herstellers
• Schwachpunktanalyse im Internet und
• eigener Bedrohungsanalysen (z.B. Brainstorming; Interview)
� Ergebnis: eine ergänzte Tabelle zusätzlichen Gefährdungen
51

Verfahren BSI-Standard 100-3
3. Gefährdungsbewertung
Systematische Bewertung der Gefährdungen für jedes Zielobjekt
hinsichtlich
OK = J; ausreichend Schutz vorhanden
OK =N; kein ausreichender Schutz vorhanden
� Ergebnis:
eine ergänzte Tabelle zusätzlichen Gefährdungen und deren Bewertung
52

Verfahren BSI-Standard 100-3
4. Konsolidierung des IT-Sicherheitskonzepts
Beurteilung und ggf. Korrektur der zu ergreifenden Maßnahmen
hinsichtlich
A Eignung
B Zusammenwirken
C Benutzerfreundlichkeit
D Angemessenheit
� Nicht Akzeptales, Ungeeignetes, Widersprüchliches, Unangemessenes
wird verworfen und ggf. Alternatives entschieden und gefunden.
53

Risikobewertung
• sehr hohes Risiko = Sofort-Maßnahmen unverzichtbar
• hohes Risiko
= auf Dauer untragbar, Maßnahmen baldmöglichst realisieren
• mittleres Risiko
= Reduzierung durch Maßnahmen des Grundschutzes
angeraten
• tragbares Risiko
= keine Maßnahmen erforderlich
55

Nutzen der Risikoanalyse
• Identifizierung aller Werte und Schwächen
� Bessere Entscheidungen bezüglich der
Schutzmaßnahmen
• Gesteigertes Sicherheits-Bewusstsein unter Angestellten
• Rechtfertigung für Sicherheitsausgaben
57

Verfahren BSI-Standard 100-3
Rückführung in den
IT-Sicherheitsprozess
Umsetzung
und
Ständige Überwachung,
Verbesserung
Werkzeuge können zur Überwachung Risk Assessment Tools sein.
58

Notfallmanagement
BSI-Standard 100-4 Notfallmanagement trägt zur Beantwortung
derartiger Fragen bei.
• Vorgehensmodell für die Einführung, den Betrieb und die
Weiterentwicklung eines Notfallmanagements in einer Institution.
• Empfehlungen für die anstehenden Aufgaben in den jeweiligen Phasen
werden gegeben..
62

Neues vom IT-Grundschutz
Beispiele neuer Bausteine (12. Ergänzungslieferung)
•Baustein B 3.305 Terminalserver
• Beschreibt, wie ein Konzept zum sicheren Einsatz von
Terminalservern innerhalb einer Institution erstellt werden
kann
• wie Terminalserver-Dienste umgesetzt und eingebettet
werden können.
•Baustein B 3.304 Virtualisierung
� Beschreibt, wie die Virtualisierung von IT-Systemen in einen
Informationsverbund eingeführt werden kann und
� unter welchen Voraussetzungen virtuelle Infrastrukturen in
einem Informationsverbund sicher betrieben werden können.
63

Neues vom IT-Grundschutz
Gefährdungen
• Die fünf Gefährdungskataloge enthalten zusammen eine
Vielzahl von Einzelgefährdungen.
• Das BSI hat aus diesen Gefährdungen die generellen
Aspekte herausgearbeitet und 46 elementare
Gefährdungen erarbeitet.
•Beispiele
• G 0.14: Ausspähen von Informationen / Spionage
• G 0.15: Abhören
• G 0.16: Diebstahl von Geräten, Datenträgern und
Dokumenten
• G 0.17: Verlust von Geräten, Datenträgern und Dokumenten
64

Neues vom IT-Grundschutz
65

3. ZERTIFIZIERUNG
66

3. Zertifizierung
Voraussetzungen
•Angemessene Sicherheitsorganisation
•Geeignete Sicherheitsdokumente
•Realisierung des ISMS gemäß ISO/IEC 27001:2005
• Folgende Phasen durchlaufen: Plan – Do – Check,
insbesondere auch
� Internes Audit
� Management-Report zur Einschätzung der Wirksamkeit des
ISMS
•Korrektur- und Verbesserungsmaßnahmen definiert
67
RUMPEL Management GmbH
24.09
.2012

3. Zertifizierung
Ablauf gemäß ISO/IEC 27006
Zertifizierungsantrag
Audit (Stufe 1)
• Voraudit am
Standort/
Dokumentenprüfung
+ ggf.
Stichproben vor
Ort
Audit (Stufe 2)
• Zertifizierungs
audit –
Prüfung der
Umsetzung der
Anforderungen
aus ISO/IEC
27001
68
Ggf. Nachaudit Auditbericht
RUMPEL Management GmbH
• Entscheidung
über die
Zertifizierung
24.09
.2012

3. Zertifizierung
Zertifizierungsstellen (Beispiele)
• Alle Zertifizierungsstellen orientieren sich an der Norm
ISO/IEC 17021 für Zertifizierungsstellen.
•Es gibt Spielräume für Unterschiede.
•Es gibt verschiedene Zertifizierungsverfahren.
•BSI hat als staatliche Zertifizierungsstelle die meisten
Spezifika und ist in erster Linie für den nationalen Raum
geeignet.
69

ZUSAMMENFASSUNG
70

Zusammenfassung
• IT-Sicherheit dient nicht dem Selbstzweck, sondern ist in der
modernen Zeit unbedingte Notwendigkeit.
• Sie dient der Sicherung der Arbeitsfähigkeit im Unternehmen.
• Regeln zur IT-Sicherheit sind von allen Mitarbeitern zu
beachten.
• Das Management der IT-Sicherheit kann man offiziell
zertifizieren lassen.
„IT-Sicherheit kostet Zeit und Geld – Fehlende IT-Sicherheit die Zukunft“
Stefan Kronschnabel
71

Haben Sie noch Fragen …
72