Lösungen die standhalten.

Größe: px

Ab Seite anzeigen:

Download "Lösungen die standhalten."

Claudia Zimmermann
vor 8 Jahren
Abrufe

Aufbau eines Information Security Management Systems in der Praxis 14.01.

1 Aufbau eines Information Security Management Systems in der Praxis , München Dipl. Inform. Marc Heinzmann, ISO Auditor Lösungen die standhalten.

2 plan42 GmbH Wir sind ein reines Beratungsunternehmen ohne Produktvertrieb, unsere Beratung erfolgt produktneutral und herstellerunabhängig. Unsere Senior Consultants sind zertifizierte IT Service Manager (ITIL) ISO certified Consultants BSI IT-Grundschutz Auditoren ISO Auditoren Wir verbinden technische Expertise aus den Bereichen Enterprise Computing und IT-Security mit praxisbewährten IT-Management Konzepten.

Unsere Senior Consultants sind zertifizierte IT Service Manager (ITIL) ISO 20000 certified Consultants BSI

3 Agenda Einführung Standards und Rahmenwerke zum Thema IT-Sicherheit ISO / IEC IT-Grundschutz Anwendung der Standards in der Praxis

4 Einführung

5 Was ist IT-Security? Was ist ein ISMS? IT-Security ist der Zustand des Systems, in dem die Risiken, die beim Einsatz des Systems aufgrund von Bedrohungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. Das Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die IT-Security dauerhaft zu definieren, zu steuern, zu kontrollieren und vor allem aufrecht zu erhalten.

durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind. Das Managementsystem für Informationssicherheit (engl.

6 Warum IT-Security? Betriebswirtschaftliche Rahmenbedingungen Abhängigkeit der Geschäftsprozesse von IT Rechtliche Rahmenbedingungen KONTRAG BSDG GmbHG AktG EuroSOX...

7 Wo befinden sich IT-Risiken?

8 Der Sicherheitsmanagement Prozess IT-Sicherheitsleitlinie Unternehmensleitung IT-Sicherheitsmanagement IT-Sicherheitskonzept Revision ITManagement Planung Kontrolle Umsetzung Systemadministration Betrieb Schulung

9 Dokumentenhierachie Sicherheitskonzept & abgeleitete Dokumente Technische Dokumentation & Handlungsanweisungen Detailierungsgrad Sicherheitsleitlinie

10 Standards & Rahmenwerte für IT-Sicherheit ISO / IEC Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS BSI IT-Grundschutz Internationaler Informationssicherheitsstandard mit nationaler Ausprägung Fokus: Etablierung eines ISMS, konkrete Empfehlungen für Basissicherheitsmaßnahmen ITIL / ISO Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen Verweis auf ISO 27001

nationaler Ausprägung Fokus: Etablierung eines ISMS, konkrete Empfehlungen für Basissicherheitsmaßnahmen

11 ISO / IEC 27001

12 ISO / IEC Normen ISO / IEC 27000: Grundlagen und Vokabular geplante Veröffentlichung: 2009 (frei verfügbar) ISO / IEC 27001: ISMS Requirements veröffentlicht seit: 2005 in Revision ISO / IEC 27002: Maßnahmenkatalog ehemals ISO 17799:2005 in Revision ISO / IEC 27003: Leitfaden für die Umsetzung geplante Veröffentlichung 2009 ISO / IEC 27004: Messbarkeit von ISMS geplante Veröffentlichung: 2009

27002: Maßnahmenkatalog ehemals ISO 17799:2005 in Revision ISO / IEC 27003: Leitfaden für die

13 ISO / IEC Normen ISO / IEC 27005: Risikomanagement für ISMS Veröffentlicht seit Juni 2008 ISO / IEC 27006: Anforderungen an Zertifizierungsstellen veröffentlicht seit: 2007 ISO / IEC 27007: ISMS-Auditor-Richtlinien geplante Veröffentlichung??? ISO / IEC 27008: Richtlinien für die Auditierung von ISMS Controls Erster Draft Zertifizierung nach ISO / IEC möglich

IEC 27007: ISMS-Auditor-Richtlinien geplante Veröffentlichung?

14 Der ISMS Prozess nach ISO 27001

15 ISO / IEC Struktur Kapitel 0 bis 3 - Einführung und Definitionen Kapitel 4 - Information Security Management System Establishing the ISMS Implement and operate the ISMS Monitor and Review the ISMS Maintain and Improve the ISMS Documentation Requirements Kapitel 5 - Management Responsibility Management Commitment Provision of Resources Training Awareness and Competence

Monitor and Review the ISMS Maintain and Improve the ISMS Documentation Requirements Kapitel

16 ISO / IEC Struktur Kapitel 6 - Internal ISMS Audits Kapitel 7 - Management Review of the ISMS Review Input Review Output Kapitel 8 - ISMS Improvement Continual Improvement Corrective Action Preventive Action

17 ISO / IEC Struktur Anhang A Controls Security Policy Organization of Information Security Asset Management Human Resource Security Physical and Environmental Security Communications and Operations Management Access Control Information Systems Akquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance

Communications and Operations Management Access Control Information Systems Akquisition,

18 IT-Grundschutz

19 Zusammenhang ISO und IT-Grundschutz Seit stellt das BSI ISO Zertifikate auf der Basis von ITGrundschutz aus. IT-Grundschutz ist eine Methode ISO zu implementieren. ISO Zertifikat auf Basis von IT-Grundschutz

1.2006 stellt das BSI ISO 27001-Zertifikate auf der Basis

20 Gliederung des IT-Grundschutzes

21 Struktur der Grundschutzkataloge Kapitel ("Bausteine") Gefährdungskataloge Maßnahmenkataloge

22 Das Schichtenmodell Schicht 1: Übergreifende Aspekte Schicht 2: Infrastruktur Schicht 3: IT-Systeme Schicht 4: Netze Schicht 5: IT-Anwendungen

23 BSI-Standard 100-1

24 Zusammenführung von ISO und GS

25 Erstellen eines Sicherheitskonzeptes nach BSIStandard IT-Strukturanalyse Erfassung der IT-Umgebung Gruppenbildung Schutzbedarfsfeststellung IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Ergänzende Sicherheits + Risikoanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan Quelle: BSI IT-Grundschutzhandbuch

26 IT-Strukturanalyse nach BSI-Standard Auswertung eines Netzplans IT-Systeme, z. B. Clients, Server, Netzkomponenten Netzverbindungen zwischen diesen Systemen Verbindungen nach außen, z. B. Einwahl oder Internet Aktualisierung des Netzplans Netzplan ist meist nicht auf aktuellem Stand IT-Verantwortliche und Administratoren konsultieren ggf. Netz- und Systemmanagement heranziehen

27 Wenn wir fertig sind, nicht vergessen: IT-Security ist ein Prozess

28 Ansprechpartner IT-Security Management IT-Service Management Marc Heinzmann (Dipl.-Inform. Univ.) Christian Lotz (Dipl.-Inform. Med. Univ.) BSI zertifizierter IT-Grundschutz Auditor ISO Auditor auf Basis von IT-Grundschutz zertifizierter IT-Service Manager ISO certified Consultant / internal Auditor christian.lotz@plan42.com plan42 Gmbh Bauerstr München Tel:

Ähnliche Dokumente

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner