Management der Informationssicherheit - Neues vom IT ... - Kego
Management der Informationssicherheit - Neues vom IT ... - Kego
Management der Informationssicherheit - Neues vom IT ... - Kego
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Management</strong> <strong>der</strong> <strong>Informationssicherheit</strong><br />
Neuenhagen am 20.09.2012<br />
Prof. Dr. Rainer Rumpel<br />
Ute Zorn
Angaben zum Referenten<br />
Prof. Dr. Rainer Rumpel<br />
Professor für Wirtschaftsinformatik an <strong>der</strong> Hochschule<br />
für Wirtschaft und Recht Berlin<br />
Geschäftsführer <strong>der</strong> RUMPEL <strong>Management</strong> GmbH<br />
Spezialgebiete: <strong>IT</strong>-Infrastrukturen und <strong>IT</strong>-<br />
Sicherheitsmanagement<br />
Delegierter des DIN beim Subkomitee JTC 1 SC 27<br />
Information Technology - Security Techniques bei<br />
ISO/IEC<br />
Akkreditierter Prüfer für<br />
•<strong>Informationssicherheit</strong>smanagement<br />
•Datenschutz<br />
2
Angaben zur Referentin<br />
Ute Zorn<br />
Staatlich geprüfte Betriebswirtin (Datenverarbeitung/Organisation)<br />
Seit 1971 in <strong>der</strong> <strong>IT</strong> (<strong>IT</strong>-Organisation, <strong>IT</strong>-Sicherheitsmanagement,<br />
<strong>IT</strong>-Projektmanagement, <strong>IT</strong>-Controlling, <strong>IT</strong>-Training)<br />
Seit 2009:<br />
<strong>IT</strong>-Freelancerin am Markt aktiv tätig (<strong>IT</strong>-Consulting-Zorn.de)<br />
Kompetenzen:<br />
• Projektaufgaben im Bereich <strong>der</strong> <strong>IT</strong>-Organisation<br />
• Langjährige Erfahrungen im Bereich <strong>der</strong> <strong>IT</strong>-Sicherheit als <strong>IT</strong>-<br />
Sicherheitsbeauftragte<br />
• Langjährige Erfahrungen im Bereich des <strong>IT</strong>-Risikomanagements<br />
• Erfolgreiche Zuarbeiten für die <strong>IT</strong>-Revision (gem. Anfor<strong>der</strong>ungen <strong>vom</strong><br />
BaFin)<br />
Ansprechpartnerin gem. KWG § 24a<br />
• <strong>IT</strong>-Trainerin (unternehmensintern und nebenberuflich)<br />
3
Übersicht<br />
1. <strong>Informationssicherheit</strong>smanagement<br />
2. <strong>IT</strong>-Grundschutz<br />
3. Zertifizierung<br />
4
1.<br />
INFORMATIONSSICHERHE<strong>IT</strong>S-<br />
MANAGEMENT<br />
5
Was ist <strong>Informationssicherheit</strong>?<br />
Vertraulichkeit Integrität Verfügbarkeit Compliance<br />
<strong>IT</strong>-Sicherheit bezieht sich auf Informationen, die mittels<br />
Informationstechnologie (<strong>IT</strong>) verarbeitet o<strong>der</strong> gespeichert<br />
werden.<br />
6
Wozu <strong>Informationssicherheit</strong>?<br />
Vertraulichkeit Integrität Verfügbarkeit Compliance<br />
• Damit wertvolle Daten nicht unbefugt eingesehen,<br />
manipuliert o<strong>der</strong> <strong>der</strong> Nutzung entzogen werden<br />
• Damit <strong>der</strong> Umgang mit den Daten nicht zu rechtlichen<br />
Problemen führt<br />
7
Rechtliche Vorgaben in Deutschland …<br />
… zur <strong>Informationssicherheit</strong> sind unter an<strong>der</strong>em geregelt in:<br />
• Bundesdatenschutzgesetz (BDSG)<br />
• Aktiengesetz<br />
• Bilanzrechtsmo<strong>der</strong>nisierungsgesetz (BilMoG)<br />
• Grundsätze ordnungsmäßiger DV-gestützter<br />
Buchführungssysteme (GoBS)<br />
• GDPdU – Grundsätze zum Datenzugriff und zur<br />
Prüfbarkeit digitaler Unterlagen<br />
8
<strong>Informationssicherheit</strong>smanagement<br />
trägt dazu bei, die <strong>Informationssicherheit</strong> zu gewährleisten.<br />
Planen<br />
Steuern<br />
<strong>Management</strong><br />
Verbessern<br />
Überwachen<br />
9
<strong>Informationssicherheit</strong>smanagement<br />
<strong>Informationssicherheit</strong>s-<strong>Management</strong>system (ISMS)<br />
• auf <strong>der</strong> Basis eines Geschäftsrisikoansatzes die Entwicklung,<br />
Implementierung, Durchführung, Überwachung, Überprüfung,<br />
Instandhaltung und Verbesserung <strong>der</strong> <strong>Informationssicherheit</strong><br />
abgedeckt.<br />
• enthält die Struktur, Grundsätze, Planungsaktivitäten,<br />
Verantwortung, Praktiken, Verfahren, Prozesse und Ressourcen<br />
<strong>der</strong> Organisation<br />
• ist im internationalen Standard ISO/IEC 27001 geregelt<br />
• ein Implementierungsleitfaden ist zum Beispiel die <strong>IT</strong>-<br />
Grundschutzmethodik.<br />
10
<strong>Informationssicherheit</strong>smanagement<br />
Ob sich Investitionen in <strong>IT</strong>-Sicherheit lohnen, ist eine<br />
berechtigte und immer wie<strong>der</strong> gestellte Frage.<br />
Es gibt ein seriöses Berechnungsverfahren für die<br />
Ermittlung des Nutzens.<br />
Sie können dieses finden in <strong>der</strong> Veröffentlichung<br />
Verfahren zur Wirtschaftlichkeitsanalyse von<br />
<strong>IT</strong>Sicherheitsinvestitionen<br />
http://www.e-journal-ofpbr.info/downloads/wirtschaftlichkeititsecurityrumpelglanze<br />
.pdf<br />
11
2. <strong>IT</strong>-GRUNDSCHUTZ<br />
12
Sicherheitsmaßnahmen im Unternehmen<br />
13
<strong>IT</strong>-Sicherheit keine Einzelmaßnahme<br />
Ebene 2 Dokumente<br />
Interne Regelungen<br />
u.a.m.<br />
Ebene 3 Dokumente<br />
Richtlinie Firewallsystem<br />
Richtlinie mobile Geräte<br />
Richtlinie zur Positivliste<br />
u.a.m.<br />
Mobile on Betriebshandbuch<br />
etc.<br />
Dokumente<br />
Ebene 1 Dokument<br />
<strong>IT</strong>-Sicherheitsleitlinie<br />
Maßnahmen<br />
Beschluss <strong>der</strong><br />
Geschäftsführung<br />
ggf. Revisionsvorgaben<br />
Schutzbedarfsanalyse<br />
Einhaltung <strong>der</strong> Richtlinien<br />
durch alle Mitarbeiter<br />
Regelmäßig:<br />
Risikoanalyse<br />
Kontrollen <strong>IT</strong>-<br />
Sicherheitsbeauftragte<br />
Revisionsprüfungen<br />
14
Bundesamt für Sicherheit in <strong>der</strong><br />
Informationstechnik (BSI)<br />
• <strong>IT</strong>-Grundschutz<br />
die Basis für <strong>Informationssicherheit</strong> mit<br />
<strong>IT</strong>-Grundschutz-Katalogen (aktuell 12-EL)<br />
mit Bausteinen, Gefahren und Maßnahmen<br />
u.a. Hilfsmitteln<br />
• Unterstützung bei <strong>der</strong> Vorgehensweise mit<br />
Leitfäden<br />
15
<strong>IT</strong>-Grundschutz-Standards<br />
BSI-Standard 100-1:<br />
<strong>Management</strong>systeme für <strong>Informationssicherheit</strong> (ISMS)<br />
BSI-Standard 100-2:<br />
<strong>IT</strong>-Grundschutz-Vorgehensweise<br />
BSI-Standard 100-3:<br />
Risikoanalyse auf <strong>der</strong> Basis von <strong>IT</strong>-Grundschutz<br />
� Zusätzlich: Risikoanalysen mittels elementarer<br />
Gefährdungen<br />
BSI-Standard 100-4: Notfallmanagement<br />
16
<strong>IT</strong>-Grundschutzkataloge<br />
Bausteine<br />
<strong>IT</strong>-Grundschutz - Basis für <strong>Informationssicherheit</strong><br />
Schichtenmodell und Modellierung<br />
Gefährdungskataloge<br />
Maßnahmenkataloge<br />
Überblickspapiere<br />
- Überblickspapier Smartphones<br />
- Überblickspapier Netzzugangskontrolle<br />
<strong>IT</strong>-Krisenmanagement<br />
Hilfsmittel<br />
BSI-Publikationen:<br />
BSI-Broschüren<br />
BSI-Kurzinformationen im Faltblattformat<br />
Technische Richtlinien<br />
17
BSI Maßnahmenkataloge<br />
M1 Infrastruktur<br />
M2 Organisation<br />
M3 Personal<br />
M4 Hardware und Software<br />
M5 Kommunikation<br />
M6 Notfallvorsorge<br />
20
Warum <strong>IT</strong>-Grundschutz?<br />
Unerlässlich<br />
• benötigte Informationen müssen korrekt für wesentliche<br />
Geschäftsprozesse (GP) vorliegen<br />
• Diese GP sind vertraulich zu behandeln.<br />
• Einheitliches Vorgehen ermöglicht Vergleichbarkeit<br />
Wichtig ist daher<br />
• unterstützende Informationstechnik muss reibungslos funktionieren<br />
• Wirksame Schutzvorkehrungen gegen vielfältige und neuartigen<br />
Gefährdungen<br />
- Sicherheit von Informationen, Anwendungen, <strong>IT</strong>-Systemen<br />
und Kommunikationsnetzen<br />
22
Der Sicherheitsprozess aus <strong>der</strong><br />
BSI-Leitfaden 100-1 - ISMS<br />
• <strong>Informationssicherheit</strong>smanagement, kurz IS-<strong>Management</strong> :<br />
• Aufgaben und Aktivitäten, mit denen eine Organisation ein<br />
angemessenes Sicherheitsniveau erreichen und erhalten will,<br />
23
Initiierung des Sicherheitsprozesses<br />
� Gemäß BSI-Leitfaden 100-1 - ISMS<br />
24
Aufbau <strong>Management</strong>system für<br />
<strong>Informationssicherheit</strong> (ISMS)<br />
Klärung:<br />
• Verantwortlichkeiten und welche<br />
Prozesse die sich bewährt haben<br />
• Wichtige Aufgaben und Ergebnisse für<br />
<strong>Informationssicherheit</strong>smanagement?<br />
• Weg zur Erarbeitung eines<br />
praktikablen Konzept?<br />
• Möglichkeit <strong>der</strong> Weiterentwicklung des<br />
umgesetzten Konzeptes<br />
Grundsätzliche Antworten bietet<br />
� BSI-Standard 100-1<br />
<strong>Management</strong>systeme für<br />
<strong>Informationssicherheit</strong> (ISMS).<br />
25
ISMS - Pkt.1. Strukturanalyse<br />
1 2 3 4<br />
� wichtigen Informationen, Geschäftsprozesse und Anwendungen,<br />
� ein Netzplan mit den eingesetzten <strong>IT</strong>-Systemen,<br />
Kommunikationsverbindungen und externen Schnittstellen,<br />
� vorhandenen <strong>IT</strong>-Systeme (Clients, Server, Netzkopplungselemente usw.)<br />
� räumlichen Gegebenheiten (Liegenschaften, Gebäude, Räume).<br />
� Teilerhebung über Objekte in sinnvolle Gruppen fassen,<br />
� Erhebung des Netzplans als Basis<br />
� BSI-Leitfaden 100-2<br />
26
Schutzbedarfsfeststellung<br />
Einheitlicher Ablauf in 5 Schritten:<br />
• Schritt 1 Vorbereitungen<br />
verschiedene Schadensszenarien betrachten<br />
• Schritt 2 <strong>IT</strong>-Anwendungen<br />
Schutzbedarf bezüglich Vertraulichkeit, Integrität und Verfügbarkeit<br />
• Schritt 3 <strong>IT</strong>-Systeme<br />
Ermittlung möglicher Schäden im Falle einer Beeinträchtigung <strong>der</strong><br />
Gesamtheit <strong>der</strong> betreffenden <strong>IT</strong>-Anwendungen (Maximum-Prinzip,<br />
Beachtung von Abhängigkeiten, Kumulationseffekt und Verteilungseffekt)<br />
• Schritt 4 <strong>IT</strong>-Räume<br />
Räume, die ausschließlich dem <strong>IT</strong>-Betrieb dienen (wie Serverräume,<br />
Datenträgerarchive) sowie die Büroräume mit <strong>IT</strong>-Systemen<br />
• Schritt 5 Kommunikationsverbindungen<br />
Identifikation kritischer Verbindungen<br />
27
ISMS - Pkt. 2. Schutzbedarfsfeststellung<br />
Ziel <strong>der</strong> Schutzbedarfsfeststellung:<br />
• Ermittlung des benötigten<br />
Schutzbedarfs für den<br />
Informationsverbundes und seiner<br />
zugehörigen Objekte?<br />
• Weg zur begründeten und<br />
nachvollziehbaren Einschätzungen<br />
des Schutzbedarfs?<br />
• Welche Objekte benötigen mehr<br />
Sicherheit, bei welchen genügen<br />
elementare Schutzmaßnahmen?<br />
Auswahl angemessener Sicherheitsmaßnahmen für die einzelnen<br />
Objekte des betrachteten Informationsverbundes sind zu steuern.<br />
28
Ablauf Ermittlung <strong>der</strong> Schutzbedürftigkeit<br />
29
System - Modellierung<br />
Generelle Vorgehensweise bei <strong>der</strong> Modellierung:<br />
Modellierung des <strong>IT</strong>-Verbundes anhand<br />
GSHB-Bausteinen erfolgt stufenweise mit den fünf definierten<br />
Schichten des <strong>IT</strong>-Grundschutzmodells.<br />
30
Schichtenmodell <strong>der</strong> <strong>IT</strong>-Sicherheit<br />
Modellierung nach <strong>IT</strong>-Grundschutz<br />
31
ISMS - Pkt. 3. Modellierung<br />
1. Strukturanalyse nutzt Übersichten über die einzelnen Komponenten des<br />
betrachteten Informationsverbundes<br />
2. Ergebnisse <strong>der</strong> Schutzbedarfsfeststellung<br />
Bausteine, <strong>der</strong>en Anwendung mit höherem Schutzbedarf, die einen<br />
höheren Schutzbedarf in einem <strong>der</strong> drei Grundwerte haben, werden<br />
genutzt<br />
� z.B. für den Baustein B 1.7 Kryptokonzept, <strong>der</strong> vor allem für solche<br />
Objekte wichtig ist, <strong>der</strong>en Bedarf<br />
an Vertraulichkeit hoch o<strong>der</strong> sehr hoch ist.<br />
3. Modellierung<br />
� Abbilden Informationsverbund, seiner Komponenten gem.<br />
BSI-Bausteine<br />
� Ergebnis ist ein <strong>IT</strong>-Grundschutz-Modell.<br />
� Einbeziehung auf Ergebnisse <strong>der</strong> beiden vorangegangenen Schritte<br />
32
Modell als Prüfplan nutzen<br />
Dieses Modell können Sie für die bestehenden Teile Ihrer<br />
Informationstechnik als Prüfplan verwenden und für<br />
geplante Teile als Entwicklungskonzept.<br />
33
ISMS - 4. Basis-Sicherheitscheck<br />
Prüfung ob die Informationen und die Informationstechnik<br />
hinreichend geschützt ist<br />
34
Vorgehen Basis-Sicherheitscheck<br />
• Abgleich mit bereits umgesetzten Empfehlungen<br />
� Identifikation des Sicherheitsniveaus<br />
• Ergebnisse aus Strukturanalyse nutzen<br />
• Schutzbedarf bestimmen<br />
• Modellierung anzuwenden<strong>der</strong> Bausteine<br />
• Erstellung Prüfplan für Zielobjekte<br />
• Prüfung ob Maßnahmen anwendbar sind<br />
• Umsetzbarkeit prüfen<br />
• Fehlende Sicherheitsmaßnahmen zusammenstellen<br />
35
ISMS - 5. Realisierungsplan 1/2<br />
Sicherheitsmaßnahmen in eine Reihenfolge bei <strong>der</strong><br />
Umsetzungsplanung bringen:<br />
1. Ergebnisse sichten<br />
Sichten <strong>der</strong> Ergebnisse des Basis-<br />
Sicherheitschecks; ggf. durchgeführter<br />
Risikoanalysen und tabellarische Zusammenstellung<br />
<strong>der</strong> noch nicht o<strong>der</strong> nur teilweise umgesetzten<br />
Sicherheitsmaßnahmen.<br />
2. Maßnahmen konsolidieren<br />
Prüfen und konkretisieren <strong>der</strong> Maßnahmen im<br />
Zusammenhang.<br />
Dies reduziert gegebenenfalls die Anzahl <strong>der</strong><br />
umzusetzenden Maßnahmen.<br />
3. Aufwand schätzen<br />
Schätzen <strong>der</strong> finanziellen und personellen Aufwand,<br />
<strong>der</strong> mit <strong>der</strong> Umsetzung <strong>der</strong> einzelnen Maßnahmen<br />
verbunden ist. Dabei ist zu unterscheiden zwischen<br />
dem einmaligen Aufwand bei <strong>der</strong> Einführung einer<br />
Maßnahme und dem wie<strong>der</strong>kehrenden Aufwand im<br />
laufenden Betrieb.<br />
36
ISMS - 5. Realisierungsplan 2/2<br />
4. Umsetzungsreihenfolge festlegen<br />
Festlegen einer sinnvolle<br />
Umsetzungsreihenfolge.<br />
Berücksichtigung dabei die sachlogischen<br />
Zusammenhänge <strong>der</strong> einzelnen Maßnahmen<br />
als auch <strong>der</strong>en Wirkung auf das<br />
Sicherheitsniveau des Informationsverbundes.<br />
5. Verantwortliche bestimmen<br />
Entscheiden, bis zu welchem Termin eine<br />
Maßnahme umzusetzen ist und wer für die<br />
Realisierung und <strong>der</strong>en Überwachung<br />
zuständig sein soll.<br />
6. Begleitende Maßnahmen festlegen<br />
Die praktische Wirksamkeit <strong>der</strong><br />
Sicherheitsmaßnahmen hängt von <strong>der</strong><br />
Akzeptanz und dem Verhalten <strong>der</strong> betroffenen<br />
Mitarbeiter ab.<br />
Planen daher Schritte zu ihrer Sensibilisierung<br />
und Schulung ein.<br />
37
Aufrechterhaltung <strong>der</strong> <strong>Informationssicherheit</strong><br />
Kriterien zur Aufrechterhaltung <strong>der</strong> Sicherheit sind:<br />
• regelmäßig kontrollieren (Prozess),<br />
• Sicherheitsrevision<br />
• Vollständigkeits- o<strong>der</strong> Aktualisierungsprüfung<br />
38
Wichtige Regelungen<br />
• Zu festgelegten Zeitpunkten sollte das Sicherheitskonzept (mindestens<br />
alle zwei Jahre) überprüfen, bei Bedarf aber auch vorzeitig<br />
� zum Beispiel nach Sicherheitsvorfällen.<br />
Voraussetzung für die Aufrechterhaltung und Verbesserung <strong>der</strong><br />
<strong>Informationssicherheit</strong> ist, eine Regelung:<br />
• Zuständigkeit für die Überprüfung <strong>der</strong> Wirksamkeit und Angemessenheit<br />
<strong>der</strong> Sicherheitsmaßnahmen<br />
• Tätigkeiten des <strong>IT</strong>-Sicherheitsbeauftragten und des IS-<strong>Management</strong>-<br />
Teams sind von beson<strong>der</strong>er Bedeutung<br />
39
Risikoanalyse<br />
<strong>IT</strong>-Grundschutz – Sicherheitsniveau ist zu prüfen<br />
• normaler Schutzbedarf<br />
ein angemessenes und kostengünstiges Sicherheitsniveau für<br />
typische Infrastrukturen<br />
• hohen o<strong>der</strong> sehr hohen Bedarf an Vertraulichkeit, Integrität o<strong>der</strong><br />
Verfügbarkeit,<br />
• <strong>IT</strong>-Grundschutz-Kataloge enthalten (noch) keinen passenden Baustein<br />
(Beispiel: Labormessgerät mit direkter Netzanbindung<br />
o<strong>der</strong><br />
ein solcher Baustein ist vorhanden,<br />
die Komponente wird in einer für das Anwendungsgebiet<br />
des <strong>IT</strong>-Grundschutzes untypischen Weise o<strong>der</strong> Einsatzumgebung<br />
betrieben?<br />
� BSI-Leitfaden 100-3<br />
40
Ablauf Risikoanalyse<br />
41
Vorgehensmodell<br />
Vorgehensmodell für die Erstellung<br />
eines <strong>IT</strong>-Sicherheitskonzepts<br />
Bedrohungsanalyse<br />
Risikoanalyse<br />
42
Verfahren nach BSI-Standard 100-3<br />
46
Basis-Sicherheitscheck / Ergänzende<br />
Sicherheitsanalyse<br />
Generelle Vorgehensweise beim Basis-Sicherheitscheck<br />
• Schritt 1 Organisatorische Vorbereitungen<br />
• Schritt 2 Durchführung des Soll-Ist-Vergleichs<br />
• Schritt 3 Dokumentation <strong>der</strong> Ergebnisse<br />
47
Risikoanalyse<br />
Bedrohungs- und Schwachstellenanalyse, Risikoanalyse,<br />
Sicherheitspolitik<br />
• Risiko = Wahrscheinlichkeit des Eintreffens eines gefährdenden<br />
Ereignisses innerhalb eines bestimmten Zeitraumes und <strong>der</strong> damit<br />
verbundene potentielle Schaden<br />
• Ziel: durch genaue Kenntnis des Risikos adäquate Abwehrmaßnahmen<br />
ergreifen können<br />
Kombinierter Ansatz zur Risikoanalyse<br />
Zuerst: informale Voranalyse<br />
<strong>IT</strong> System in Teilsysteme kategorisieren<br />
� Teilsysteme mit gängigen Risiken<br />
Grundschutzkonzept: pauschale Maßnahmen gegen gängige<br />
Risiken<br />
� Teilsysteme mit größeren Risiken<br />
Detaillierte Risikoanalyse mit spezifischen Gegenmaßnahmen<br />
48
Verfahren BSI-Standard 100-3<br />
Risikoanalyse auf Basis von <strong>IT</strong>-Grundschutz (Version 2.5)<br />
1.Erstellen <strong>der</strong> Gefährdungsübersicht<br />
2.Ermittlung zusätzlicher Gefährdungen<br />
3.Gefährdungsbewertung<br />
4.Behandlung von Risiken<br />
5.Konsolidierung des <strong>IT</strong>-Sicherheitskonzepts<br />
6.Rückführung in den <strong>IT</strong>-Sicherheitsprozess<br />
49
Verfahren BSI-Standard 100-3<br />
1. Erstellung <strong>der</strong> Gefährdungsübersicht<br />
• Selektion betroffener Zielobjekte<br />
• Streichen nicht betroffener Bausteine<br />
• Zuordnung, Konsolidierung und Gruppierung aller BSI-<br />
Gefährdungen<br />
� Ergebnis:<br />
eine Tabelle mit Zielobjekten und <strong>der</strong>en Schutzbedarf vor sowie eine<br />
Liste mit <strong>der</strong>en relevanten Gefährdungen<br />
50
Verfahren BSI-Standard 100-3<br />
2. Ermittlung zusätzlicher Gefährdungen<br />
Im Kontext des Zielobjektes und dessen Schutzbedarfs<br />
werden zusätzliche Gefährdungen ermittelt mittels:<br />
• Dokumentation des Herstellers<br />
• Schwachpunktanalyse im Internet und<br />
• eigener Bedrohungsanalysen (z.B. Brainstorming; Interview)<br />
� Ergebnis: eine ergänzte Tabelle zusätzlichen Gefährdungen<br />
51
Verfahren BSI-Standard 100-3<br />
3. Gefährdungsbewertung<br />
Systematische Bewertung <strong>der</strong> Gefährdungen für jedes Zielobjekt<br />
hinsichtlich<br />
OK = J; ausreichend Schutz vorhanden<br />
OK =N; kein ausreichen<strong>der</strong> Schutz vorhanden<br />
� Ergebnis:<br />
eine ergänzte Tabelle zusätzlichen Gefährdungen und <strong>der</strong>en Bewertung<br />
52
Verfahren BSI-Standard 100-3<br />
4. Konsolidierung des <strong>IT</strong>-Sicherheitskonzepts<br />
Beurteilung und ggf. Korrektur <strong>der</strong> zu ergreifenden Maßnahmen<br />
hinsichtlich<br />
A Eignung<br />
B Zusammenwirken<br />
C Benutzerfreundlichkeit<br />
D Angemessenheit<br />
� Nicht Akzeptales, Ungeeignetes, Wi<strong>der</strong>sprüchliches, Unangemessenes<br />
wird verworfen und ggf. Alternatives entschieden und gefunden.<br />
53
Risikobewertung<br />
• sehr hohes Risiko = Sofort-Maßnahmen unverzichtbar<br />
• hohes Risiko<br />
= auf Dauer untragbar, Maßnahmen baldmöglichst realisieren<br />
• mittleres Risiko<br />
= Reduzierung durch Maßnahmen des Grundschutzes<br />
angeraten<br />
• tragbares Risiko<br />
= keine Maßnahmen erfor<strong>der</strong>lich<br />
55
Nutzen <strong>der</strong> Risikoanalyse<br />
• Identifizierung aller Werte und Schwächen<br />
� Bessere Entscheidungen bezüglich <strong>der</strong><br />
Schutzmaßnahmen<br />
• Gesteigertes Sicherheits-Bewusstsein unter Angestellten<br />
• Rechtfertigung für Sicherheitsausgaben<br />
57
Verfahren BSI-Standard 100-3<br />
Rückführung in den<br />
<strong>IT</strong>-Sicherheitsprozess<br />
Umsetzung<br />
und<br />
Ständige Überwachung,<br />
Verbesserung<br />
Werkzeuge können zur Überwachung Risk Assessment Tools sein.<br />
58
Notfallmanagement<br />
BSI-Standard 100-4 Notfallmanagement trägt zur Beantwortung<br />
<strong>der</strong>artiger Fragen bei.<br />
• Vorgehensmodell für die Einführung, den Betrieb und die<br />
Weiterentwicklung eines Notfallmanagements in einer Institution.<br />
• Empfehlungen für die anstehenden Aufgaben in den jeweiligen Phasen<br />
werden gegeben..<br />
62
<strong>Neues</strong> <strong>vom</strong> <strong>IT</strong>-Grundschutz<br />
Beispiele neuer Bausteine (12. Ergänzungslieferung)<br />
•Baustein B 3.305 Terminalserver<br />
• Beschreibt, wie ein Konzept zum sicheren Einsatz von<br />
Terminalservern innerhalb einer Institution erstellt werden<br />
kann<br />
• wie Terminalserver-Dienste umgesetzt und eingebettet<br />
werden können.<br />
•Baustein B 3.304 Virtualisierung<br />
� Beschreibt, wie die Virtualisierung von <strong>IT</strong>-Systemen in einen<br />
Informationsverbund eingeführt werden kann und<br />
� unter welchen Voraussetzungen virtuelle Infrastrukturen in<br />
einem Informationsverbund sicher betrieben werden können.<br />
63
<strong>Neues</strong> <strong>vom</strong> <strong>IT</strong>-Grundschutz<br />
Gefährdungen<br />
• Die fünf Gefährdungskataloge enthalten zusammen eine<br />
Vielzahl von Einzelgefährdungen.<br />
• Das BSI hat aus diesen Gefährdungen die generellen<br />
Aspekte herausgearbeitet und 46 elementare<br />
Gefährdungen erarbeitet.<br />
•Beispiele<br />
• G 0.14: Ausspähen von Informationen / Spionage<br />
• G 0.15: Abhören<br />
• G 0.16: Diebstahl von Geräten, Datenträgern und<br />
Dokumenten<br />
• G 0.17: Verlust von Geräten, Datenträgern und Dokumenten<br />
64
<strong>Neues</strong> <strong>vom</strong> <strong>IT</strong>-Grundschutz<br />
65
3. ZERTIFIZIERUNG<br />
66
3. Zertifizierung<br />
Voraussetzungen<br />
•Angemessene Sicherheitsorganisation<br />
•Geeignete Sicherheitsdokumente<br />
•Realisierung des ISMS gemäß ISO/IEC 27001:2005<br />
• Folgende Phasen durchlaufen: Plan – Do – Check,<br />
insbeson<strong>der</strong>e auch<br />
� Internes Audit<br />
� <strong>Management</strong>-Report zur Einschätzung <strong>der</strong> Wirksamkeit des<br />
ISMS<br />
•Korrektur- und Verbesserungsmaßnahmen definiert<br />
67<br />
RUMPEL <strong>Management</strong> GmbH<br />
24.09<br />
.2012
3. Zertifizierung<br />
Ablauf gemäß ISO/IEC 27006<br />
Zertifizierungsantrag<br />
Audit (Stufe 1)<br />
• Voraudit am<br />
Standort/<br />
Dokumentenprüfung<br />
+ ggf.<br />
Stichproben vor<br />
Ort<br />
Audit (Stufe 2)<br />
• Zertifizierungs<br />
audit –<br />
Prüfung <strong>der</strong><br />
Umsetzung <strong>der</strong><br />
Anfor<strong>der</strong>ungen<br />
aus ISO/IEC<br />
27001<br />
68<br />
Ggf. Nachaudit Auditbericht<br />
RUMPEL <strong>Management</strong> GmbH<br />
• Entscheidung<br />
über die<br />
Zertifizierung<br />
24.09<br />
.2012
3. Zertifizierung<br />
Zertifizierungsstellen (Beispiele)<br />
• Alle Zertifizierungsstellen orientieren sich an <strong>der</strong> Norm<br />
ISO/IEC 17021 für Zertifizierungsstellen.<br />
•Es gibt Spielräume für Unterschiede.<br />
•Es gibt verschiedene Zertifizierungsverfahren.<br />
•BSI hat als staatliche Zertifizierungsstelle die meisten<br />
Spezifika und ist in erster Linie für den nationalen Raum<br />
geeignet.<br />
69
ZUSAMMENFASSUNG<br />
70
Zusammenfassung<br />
• <strong>IT</strong>-Sicherheit dient nicht dem Selbstzweck, son<strong>der</strong>n ist in <strong>der</strong><br />
mo<strong>der</strong>nen Zeit unbedingte Notwendigkeit.<br />
• Sie dient <strong>der</strong> Sicherung <strong>der</strong> Arbeitsfähigkeit im Unternehmen.<br />
• Regeln zur <strong>IT</strong>-Sicherheit sind von allen Mitarbeitern zu<br />
beachten.<br />
• Das <strong>Management</strong> <strong>der</strong> <strong>IT</strong>-Sicherheit kann man offiziell<br />
zertifizieren lassen.<br />
„<strong>IT</strong>-Sicherheit kostet Zeit und Geld – Fehlende <strong>IT</strong>-Sicherheit die Zukunft“<br />
Stefan Kronschnabel<br />
71
Haben Sie noch Fragen …<br />
72