Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Transkript

1 Dieter Börner Management-Service Am Bahnhof Küps Tel Fax Das Informationssicherheits- Managementsystem nach ISO/IEC Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme Quelle : Bundesamt für Sicherheit in der Informationstechnik

2 2 Noch ein Managementsystem? Stellen Sie sich vor, bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit. Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört. Oder aus Ihrem Haus werden Massen- s mit Computer- Viren verschickt. Welche Konsequenzen drohen dem Unternehmen bzw. der Behörde und den verantwortlichen Personen?

3 3 Warum Informationssicherheits-Management Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann.

4 4 Was ist Informationssicherheit? Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Aber auch Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit.

5 5 Das Sicherheitsniveau anheben Ein angemessenes Sicherheitsniveau ist in erster Linie abhängig vom systematischen Vorgehen und erst in zweiter Linie von einzelnen technischen Maßnahmen. Die folgenden Überlegungen verdeutlichen diese These: Die Leitungsebene trägt die Verantwortung, dass gesetzliche Regelungen und Verträge mit Dritten eingehalten werden und dass wichtige Geschäftsprozesse störungsfrei ablaufen. Informationssicherheit hat Schnittstellen zu vielen Bereichen einer Institution und betrifft wesentliche Geschäftsprozesse und Aufgaben. Nur die Leitungsebene kann daher für eine reibungslose Integration des Informationssicherheitsmanagements in bestehende Organisationsstrukturen und Prozesse sorgen. Die Leitungsebene ist zudem für den wirtschaftlichen Einsatz von Ressourcen verantwortlich.

6 6 Übersicht zur ISO Informationssicherheit ISO Dieser Standard gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) ISO ist der erste internationale Standard zum Management von Informationssicherheit, der auch eine Zertifizierung ermöglicht. ISO befasst sich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten des ISO- Standards ISO/IEC nur kurz beschrieben. ISO enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. ISO spezifiziert Anforderungen an die Akkreditierung von Zertifizierungsstellen für ISMS und behandelt auch Spezifika der ISMS-Zertifizierungsprozesse.

7 7 Inhalte der ISO Informationstechnik - IT-Sicherheitsverfahren Informationssicherheits- Managementsysteme - Anforderungen 4 Informationssicherheits-Managementsystem 4.1 Allgemeine Anforderungen 4.2 Festlegung und Verwaltung des ISMS Festlegen des ISMS Umsetzen und Durchführen des ISMS Überwachen und Überprüfen des ISMS Instandhalten und Verbessern des ISMS 4.3 Dokumentationsanforderungen Allgemeines Lenkung von Dokumenten Lenkung von Aufzeichnungen 5 Verantwortung des Managements 5.1 Verpflichtung des Management 5.2 Management von Ressourcen Bereitstellung von Ressourcen Schulungen, Bewusstsein und Kompetenz 6 Interne ISMS-Audits 7 Managementbewertung des ISMS 7.1 Allgemeines 7.2 Eingaben für die Bewertung 7.3 Ergebnisse der Bewertung 8 Verbesserung des ISMS 8.1 Ständige Verbesserung 8.2 Korrekturmaßnahmen 8.3 Vorbeugungsmaßnahmen

8 8 Praktische Hilfe? ISO gibt auf ca. 10 Seiten allgemeine Empfehlungen. Die Leser erhalten keine Hilfe für die praktische Umsetzung. ISO befasst sich hauptsächlich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten nur kurz beschrieben. Die Empfehlungen sind in erster Linie für die Management-Ebene gedacht und enthalten daher kaum konkrete technische Hinweise.

9 9 Unterstützer? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit vielen Jahren Informationen und Hilfestellungen rund um das Thema Informationssicherheit: Als ganzheitliches Konzept für Informationssicherheit hat sich das Vorgehen nach IT- Grundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert. Diese vom BSI seit 1994 eingeführte und weiterentwickelte Methode bietet sowohl eine Vorgehensweise für den Aufbau einer Sicherheitsorganisation als auch eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit.

10 10 Ausgewählte BSI-Publikationen und Standards zur Informationssicherheit Informationssicherheit und IT-Grundschutz

11 11 BSI-Standard Managementsysteme für Informationssicherheit Der vorliegende Standard beschreibt, wie ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut werden kann. Ein Managementsystem für Informationssicherheit legt fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Dieser BSI-Standard beantwortet unter anderem folgende Fragen: - Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? - Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? - Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? - Wie werden Sicherheitsmaßnahmen ausgewählt und ein Sicherheitskonzept erstellt? - Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? Dieser Management-Standard stellt kurz und übersichtlich die wichtigsten Aufgaben des Sicherheitsmanagements dar. Bei der Umsetzung dieser Empfehlungen hilft das BSI mit der Methodik des IT-Grundschutzes. Der IT-Grundschutz gibt eine Schritt-für-Schritt-Anleitung für die Entwicklung eines Informationssicherheitsmanagements in der Praxis und nennt sehr konkrete Maßnahmen. Die Vorgehensweise nach IT-Grundschutz wird im BSI-Standard beschrieben und ist so gestaltet, dass möglichst kostengünstig ein angemessenes Sicherheitsniveau erreicht werden kann. Ergänzend dazu werden in den IT-Grundschutz- Katalogen Standard-Sicherheitsmaßnahmen für die praktische Implementierung des angemessenen Sicherheitsniveaus empfohlen.

12 12 ISO Zertifizierung auf der Basis von IT-Grundschutz Das Bundesamt für Sicherheit in der Informationstechnik bietet seit Januar 2006 die ISO Zertifizierung auf der Basis von IT-Grundschutz an. Hierüber kann nachgewiesen werden, dass in einem Informationsverbund die wesentlichen Anforderungen nach ISO unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und gegebenenfalls einer ergänzenden Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Das BSI bietet weiterhin zwei Vorstufen vor dem Zertifikat an, diese dienen als Migrationspfad zur eigentlichen Zertifizierung: das Auditor-Testat Einstiegsstufe und das Audior-Testat Aufbaustufe. Hierbei unterscheiden sich die einzelnen Stufen durch die Anzahl der umzusetzenden Maßnahmen. Jeder Maßnahme eines IT-Grundschutz-Bausteines ist eine dieser drei Stufen zugeordnet, so dass transparent ist, welche konkreten Sicherheitsempfehlungen aus den IT-Grundschutz-Katalogen umzusetzen sind.

13 13 ISO Zertifizierung auf der Basis von IT-Grundschutz Einen Antrag auf ein Auditor-Testat kann die Institution nach Umsetzung aller für die jeweilige Stufe relevanten Maßnahmen und einer Überprüfung der Umsetzung von einem beim BSI lizenzierten Auditor stellen. Ein Auditor-Testat hat eine Gültigkeit von zwei Jahren und kann nicht verlängert werden, da es als Vorstufe für die Zertifizierung dient. Nach Umsetzung aller für die Zertifizierung relevanten Maßnahmen kann die Institution einen beim BSI lizenzierten ISO Auditor beauftragen, den Informationsverbund gemäß dem Prüfschema des BSI zu überprüfen. Die Ergebnisse dieser unabhängigen Prüfung werden in einem Auditreport festgehalten. Ein ISO Zertifikat auf der Basis von IT-Grundschutz kann zusammen mit der Einreichung des Auditreports beim BSI beantragt werden. Nach Prüfung des Reportes durch Experten des BSI erteilt die Zertifizierungsstelle das Zertifikat, das ebenso wie die Auditor-Testate vom BSI veröffentlicht wird. Alle zertifizierungsrelevanten Informationen wie das Zertifizierungsschema und die Namen der lizenzierten Auditoren sind öffentlich verfügbar und können unter eingesehen werden.

14 14 Ganzheitlicher Ansatz im Informationsverbund Informationssicherheit ist eine grundlegende und prozessübergreifende Anforderung an Institutionen. Das Ziel von Informationssicherheit ist es, Unternehmen vor Schäden zu schützen, nicht nur einzelne Rechner. Daher ist ein ganzheitlicher Ansatz unabdingbar.

15 15 Organisation von Informationssicherheit Um ein angemessenes Sicherheitsniveau nicht nur zu erreichen, sondern auch kontinuierlich aufrecht zu erhalten, muss Informationssicherheit als ein kontinuierlicher Prozess betrieben und gelebt werden.

16 16 Organisation von Informationssicherheit Beim Aufbau und Betrieb des Managementsystems und der Sicherheitsprozesse müssen einige zentrale Fragen beantwortet werden. Dadurch lassen sich sowohl ein angemessenes Sicherheitsniveau als auch eine grundsätzliche Sicherheitsstrategie ableiten.

17 17 Fragen zur Sicherheitsstrategie 1. Welches sind die zentralen und essentiellen Werte, die für die Institution unabdingbar sind? 2. Welchen realen Risiken ist die Institution ausgesetzt und wie soll darauf reagiert werden? 3. Wie kann strukturiert ein angemessenes und prozessorientiertes Sicherheitsmanagement erreicht werden? 4. Welche technischen und organisatorischen Maßnahmen sind im Hinblick auf den Sicherheitsgewinn notwendig und wirtschaftlich sinnvoll? 5. Welchen sicherheitsrelevanten Veränderungen ist die Institution unterworfen und wie muss darauf reagiert werden?

18 18 Definition der Sicherheitsstrategie

19 19 Das Managementsystem

20 20 Komponenten eines Managementsystems für Informationssicherheit Management-Prinzipien Ressourcen Mitarbeiter Sicherheitsprozess: - Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind - Sicherheitskonzept - Informationssicherheitsorganisation

21 21 Der Lebenszyklus in der Informationssicherheit

22 22 Der Weg zur Informationssicherheit

23 23

24 24 Zum Beispiel 77 Seiten Goldene Regeln

25 25

26 26 Das 5 Schichten Model der Grundschutz-Kataloge

27 27 Das 5 Schichten Model der Grundschutz-Kataloge Schicht 1 umfasst sämtliche übergreifenden Aspekte der Informationssicherheit. Beispiele sind die Bausteine Personal, Datensicherungskonzept und Outsourcing (16 Bausteine). Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten. Beispiele sind die Bausteine Gebäude, Serverraum und häuslicher Arbeitsplatz (12 Bausteine). Schicht 3 betrifft die einzelnen IT-Systeme. Beispiele sind die Bausteine Allgemeiner Client, Allgemeiner Server, TK-Anlage, Laptop und Mobiltelefon (24 Bausteine). Schicht 4 betrachtet die Vernetzungsaspekte der IT-Systeme. Beispiele sind die Bausteine Heterogene Netze, WLAN, VoIP sowie Netz- und Systemmanagement (8 Bausteine). Schicht 5 schließlich beschäftigt sich mit den eigentlichen Anwendungen. Beispiele sind die Bausteine , Webserver und Datenbanken (22 Bausteiene).

28 28 Gefährdungskataloge Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert: G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen

29 29 Beispiel Gefährtungskatalog (46 Seiten)

30 30 Maßnahmenkataloge Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Kataloge gruppiert: M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge

31 31 BSI Download zu den 5 Schichten Bausteine B1 Übergreifende Aspekte B2 Infrastruktur B3 IT-Systeme B4 Netze B5 Anwendungen Gefährdungskataloge G0 Elementare Gefährdungen G1 Höhere Gewalt G2 Organisatorische Mängel G3 Menschliche Fehlhandlungen G4 Technisches Versagen G5 Vorsätzliche Handlungen Maßnahmenkataloge M1 Infrastruktur M2 Organisation M3 Personal M4 Hardware und Software M5 Kommunikation M6 Notfallvorsorge Hilfsmittel Checklisten und Formulare Muster und Beispiele Tools zur Unterstützung des Grundschutzprozesses IT-Grundschutz-Beispielprofile Dokumentationen und Studien Informationen externer Anwender Archiv

32 32 BSI Download weitere Beispiele 2011, 12. EL: HTML-Seiten IT-Grundschutz-Kataloge (ZIP ca. 10 MB) 2011, 12. EL: IT-Grundschutz-Kataloge 12. Ergänzungslieferung (Dokument ist nicht barrierefrei) (PDF, ca. 52,2 MB) 2009, 11. EL: IT-Grundschutz-Kataloge Ergänzungslieferung (PDF ca. 30,0 MB) 2009, 11. EL: Die IT-Grundschutz-Kataloge im Word 2000-Format (gezippte Versionen). Unterteilt in: Bausteine (zip, 9,02 MB) Maßnahmen (zip, 29,78 MB) Gefährdungen (zip, 4,24 MB) IT-Grundschutz-Profil - Anwendungsbeispiel für eine kleine Instution (pdf, 1,11 MB) IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand (pdf, 1,63 MB) IT-Grundschutz-Profil - Anwendungsbeispiel für eine große Instution (pdf, 2,61 MB) IT-Grundschutz-Profil - Anwendungsbeispiel für das produzierende Gewerbe (pdf, 1,98 MB)

33 33 Viel Erfolg auf Ihrem Weg zur Informationssicherheit