einführung von …...eine durch die geschäftsführung bestätigte liste der offenen punkte mit...
Post on 08-Jul-2020
1 Views
Preview:
TRANSCRIPT
(c) 2015 - SAMA PARTNERS Business Solutions GmbH
Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades
Agenda
Vorstellung SAMA PARTNERS
Vorstellung Teilnehmer
Ablauf vom Scoping bis zur Zertifizierung
Beispiel einer GAP-Analyse mit dem VDA-ISA Fragebogen
Die Normenfamilie um ISO 27000
13.11.2015 SAMA PARTNERS Business Solutions GmbH 2
Vorstellung SAMA PARTNERS
13.11.2015 3SAMA PARTNERS Business Solutions GmbH
SAMA PARTNERS ist ein unabhängiges Management- und IT- Beratungsunternehmen
Wir verstehen uns als Bindeglied zwischen klassischer (Office-) IT und industrieller IT
Seit der Gründung im Jahr 2010 verzeichnen wir ein kontinuierliches Wachstum
Unser Expertenteam verfügt über hohe Qualifikationen und langjährige Praxiserfahrung in verschiedenen Branchen
Unsere Dienstleistungen decken folgende Bereiche ab:
• Professionelle Dienstleistungen, Consulting mit Schwerpunkt I3 (Information-/ IT-/Industry-) Security
• Produkt-Dienstleistungen (Einführung von Standard-Lösungen)
• Operative Dienstleistungen (Überprüfung von Sicherheitsarchitekturen und industrieller Kontrollsysteme, Schwachstellenanalyse und Penetrations-Tests, Schulungen und Coachings)
Vorstellung SAMA PARTNERS
SAMA PARTNERS Business Solutions GmbH 413.11.2015
Unser Leistungsportfolio
Qualitäts-management
IT-ManagementEnterpriseArchitektur
SW-Architektur& -Entwicklung
I3 (Information-/IT-/Industry-) Security• IT-/Informationssicherheit nach ISO/IEC 27001• Sicherheit industrieller Kontrollsysteme – ICS/SCADA-Sicherheit• Sicherheit von Industrie 4.0• Konzeption und Optimierung von Sicherheitsarchitekturen• Schwachstellenanalyse/Penetrations-Tests • Schulungen und Coaching
SAMA PARTNERS
Klassische IT/Industrielle IT
SAMA PARTNERS Business Solutions GmbH 513.11.2015
I-3 Security
Governance & Management
ICS/SCADA Architektur SW-Entwicklung Technische Audits
ISMS & Prozesse
BCM
Compliance (z. B. GMP)
Audits
SCADA Security Assessments
Security Architecture
Security Policy und Audit
Information & Data Sec. Architecture
Security Domains
Transformation & Service Architecture
Architecture Review
Secure SDLC
Secure Service
Code Review
Vulnerability Scans
Penetration Testing
Survivability Testing
TÜV: ISO27001 FoundationISO27001 Officer
Eigene Schulung: SCADA Security Architecture
EC Council SchulungCEH
OpenGroup Schulung (in Kürze): Open CAOpen CITSOpen FAIR
Domains
Services
Trainings
Mitarbeiterschulungen und Personenzertifizierungen
Beratung inklusive Umsetzung
SAMA PARTNERS Business Solutions GmbH 613.11.2015
Vorstellung Teilnehmer
7SAMA PARTNERS Business Solutions GmbH13.11.2015
Arndt Schürg
SAMA PARTNERS Business Solutions GmbH
ICS/SCADA Architektur
SW-Entwicklung Technische Audits
Arndt SchürgSenior Security Consultant
Mail: info@samapartners.com
Schwerpunkte:
• IT-/Informationssicherheit• IT-Audit• Projektmanagement
813.11.2015
…und wer sind Sie?
Vorstellung Teilnehmer
SAMA PARTNERS Business Solutions GmbH 913.11.2015
Die Normenfamilie um ISO 27000
10SAMA PARTNERS Business Solutions GmbH13.11.2015
Die Familie der 27000-Standards
ISO/IEC 27000Überblick und Vokabular
ISO/IEC 27001Requirements
ISO/IEC 27006Anforderung an Zertifizierer
ISO/IEC 27002Code of Practice
ISO/IEC 27007Leitfaden zur Durchführung von ISMS-Audits
ISO/IEC 27003Leitfaden zur Implementierung eines ISMS
ISO/IEC 27005Risikomanagement
ISO/IEC 27004Messungen
ISO/IEC 27011Richtlinien für Informationssicherheit der Telekommunikation
ISO/IEC 27799Gesundheitswesen
Beg
riff
eA
nfo
rde
-ru
nge
nEm
pfe
hlu
nge
nB
ran
chen
-sp
ezif
isch
No
rmativ
No
rmativ
Info
rmativ
Info
rmativ
ISO/IEC 27019Energieversorger
SAMA PARTNERS Business Solutions GmbH 11
weitere ISO/IEC 27xxx
13.11.2015
Informationssicherheit ist…
der Präventivschutz für Persönlichkeits- und Unternehmensinformationen
Ist auf Geschäftsprozesse fokussiert
Ist nicht nur auf die IT bezogen
Grundlagen der Informationssicherheit
SAMA PARTNERS Business Solutions GmbH 1213.11.2015
Bezieht sich gleichermaßen auf:
• Personen,• Unternehmen,• Systeme und• Prozesse.
Wird erzielt durch:
• Vertraulichkeit,• Verfügbarkeit,• Integrität,• Verbindlichkeit,• Nachweisbarkeit und• Authentizität.
Grundlagen der Informationssicherheit
Soll…
• den Verlust, • die Manipulation, • den unberechtigten Zugriff und • die Verfälschung
von Informationswerten verhindern.
SAMA PARTNERS Business Solutions GmbH 13
Wird erreicht durch:
• konzeptionelle,• organisatorische und• operative/technische
Maßnahmen.
13.11.2015
Maßnahmenziele aus Katalog
Die ISO/IEC 27001 Anhang A listet einige Maßnahmenziele und Maßnahmen auf
• Ausschlüsse von Maßnahmen (Controls) (ISO/IEC 27001, Anhang A) grundsätzlich möglich, aber:Jeder Ausschluss einer Maßnahme (Control) muss begründet werden!
• Die ISO 27002 macht Vorschläge zur Umsetzung der Anforderungen aus ISO/IEC 27001 Anhang A nach Best Practice
Weitere Kataloge und Vorgaben• BSI IT-Grundschutz• Cobit• HIPAA• …
Maßnahmen aus Maßnahmenkatalogen
SAMA PARTNERS Business Solutions GmbH 1413.11.2015
Maßnahmenziele und Maßnahmen (Annex A)
A.5 Sicherheitsleitlinie 1 2
A.6 Organisation der Informationssicherheit 2 7
A.7 Sicherheit des Personalwesens 3 6
A.8 Management von Werten (assets) 3 10
A.9 Zugriffskontrolle 4 14
A.10 Kryptographie 1 2
A.11 Schutz vor physischem Zugang und Umwelteinflüssen 2 15
A.12 Betriebssicherheit 7 14
A.13 Sicherheit in der Kommunikation 2 7
A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen 3 13
A.15 Lieferantenbeziehungen 2 5
A.16 Management von Informationssicherheitsvorfällen 1 7
A.17 Business Continuity Management 2 4
A.18 Richtlinienkonformität (Compliance) 2 8
Legende
Maßnahmenkategorien
Anzahl der Maßnahmenziele
Anzahl der Maßnahmen
SAMA PARTNERS Business Solutions GmbH 1513.11.2015
Ablauf vom Scoping bis zur Zertifizierung
16SAMA PARTNERS Business Solutions GmbH13.11.2015
Phasen ISO 27001 Zertifizierung
SAMA PARTNERS Business Solutions GmbH 17
Scope-Festlegung
Gap-AnalyseMaßnahmen-
PlanMaßnahmen-
Umsetzung
Statement ofApplicability
(SOA)Internes Audit Zertifizierung
Phase 1 Phase 2 Phase 3
13.11.2015
Identifizierung der Kern- und Supportprozesse zur Erfüllung der Unternehmensziele
Abgrenzung der mit in die Betrachtung einbezogenen Unternehmensbereiche, wie Abteilungen, Abteilungen usw.
Identifikation der betroffenen Werte, Assets und Informationen
Ergebnis: Einschätzung des vorläufigen Scopes für die GAP-Analyse
Scope festlegen
SAMA PARTNERS Business Solutions GmbH 1813.11.2015
Identifizierung der benötigten Schritte zur Erreichung der Zertifizierungsreife
Maßnahmenkataloge (IT-Grundschutz, ISO27001,ISO27799)
Andere Fragenkataloge (z.B. VDA-ISA)
Überprüfung des zuvor identifizierten Scopes, ggf. Anpassung
Abnahme und Bestätigung durch die Geschäftsführung
Ergebnis:
Eine durch die Geschäftsführung bestätigte Liste der offenen Punkte mit Beauftragung der Umsetzung
Der durch die Geschäftsführung bestätigte Scope für die Zertifizierung
GAP-Analyse
SAMA PARTNERS Business Solutions GmbH 1913.11.2015
Ableitung und Spezifizierung der Maßnahmen aus der GAP-Analyse
Identifikation von Abhängigkeiten zwischen den Maßnahmen untereinander und nach Außen
Erstellung eines Zeitplans
Ergebnis: Projektplan
Maßnahmenplan
SAMA PARTNERS Business Solutions GmbH 2013.11.2015
Umsetzung der Maßnahmen als Teilprojekte in einem Programm
ggf. Anpassung der Maßnahmen durch neue Erkenntnisse (Change-Prozess!)
Umsetzung der Maßnahmen
SAMA PARTNERS Business Solutions GmbH 2113.11.2015
Betrifft vor allem Zertifizierung nach ISO 27001:
Schriftliche Dokumentation, welche Controls aus dem Anhang A der Norm umgesetzt bzw. nicht umgesetzt wurden
Begründung der Nichtumsetzung
Ergebnis: Durch die Geschäftsführung bestätigtes SoA
Statement of Applicability (SoA)
SAMA PARTNERS Business Solutions GmbH 22
SoA
13.11.2015
Überprüfung der Maßnahmen durch interne Fachleute
Durchführung von Nacharbeiten (Dokumentation usw.)
Internes Audit
SAMA PARTNERS Business Solutions GmbH 2313.11.2015
Überprüfung der Maßnahmen durch externe Auditoren
Dokumentenanalyse
Zwischenbericht
Vor-Ort Audit
Abschluss mit Empfehlung
Zertifizierungsaudit
SAMA PARTNERS Business Solutions GmbH 2413.11.2015
Beispiel einer GAP-Analyse mit dem VDA-ISA Fragebogen
25SAMA PARTNERS Business Solutions GmbH13.11.2015
Werkzeug des VDA zur Umsetzung der Anforderungen aus ISO 27001 und ISO 27002
• Identifizierung von Umsetzungslücken
• Anforderungsdefinition zum Schließen der Lücken
• Strukturierung der Anforderungen nach Themengebieten
• Liefert eine Kennzahl zur Identifikation des aktuellen Reifegrades (Steuerung und Reporting)
Frei im Internet erhältlich (Creative Commons)
• Excel:https://www.vda.de/dam/vda/publications/2015/information-security-assessment-isa-de.xlsx
• Verinice:http://verinice.org/
VDA-ISA-Fragebogen
SAMA PARTNERS Business Solutions GmbH 2613.11.2015
Der Fragebogen gliedert sich in einzelne Bereiche mit unterschiedliche Themen z. B.:
• General Aspects
• Human Resource Security
• Operational Security
• Supplier Relationships
Jede Frage kann mit einem Reifegrad von 0-5 oder mit n/a (nicht anwendbar) bewertet werden
Reifegrade:• RG0: Der Prozess existiert nicht. Es werden keine Maßnahmen betreffend der Fragestellung umgesetzt.
• RG1: Der Prozess wird umgesetzt. Eine Prozessdokumentation ist nicht vorhanden oder unvollständig.
• RG2: Der Prozess wird umgesetzt. Eine Prozessdokumentation ist vorhanden. Belegdokumente (Results) werden erstellt.
• RG3: Der Prozess ist unternehmensweit über Schnittstellen integriert. Rollen zur Prozessdurchführung sind definiert und mit ausreichend Ressourcen besetzt.
• RG4: Der Prozess ist durch KPI bewertbar, wird aber noch nicht durchgängig zur Verbesserung angewendet.
• RG5: Der Prozess wird durch Kennzahlen gesteuert und unterliegt einem laufenden Verbesserungsprozess.
Für die Zertifizierungsreife müssen u.a. alle betroffenen Controls mindestens einen RG 3 haben. Ein Durchschnitt des RG>3 über alle Fragen ist nicht ausreichend.
Hinweise zum Umgang mit dem VDA-ISA Fragebogen
SAMA PARTNERS Business Solutions GmbH 2713.11.2015
Der Reifegrad kann als Steuerungs- und Reportinginstrument über alle Managementebenen hinweg angewendet werden
Die Anforderungen für jede Maßnahme (Frage) können durch den Reifegrad identifiziert werden
Der Reifegrad liefert erste Anhaltspunkte für die Aufwandschätzung
• RG 01: organisatorische Anpassungen des Unternehmens notwendig = Hoher Projektaufwand, da Organisationsprojekt
• RG 12: Dokumentationsaufwand notwendig = mittlerer bis geringer Projektaufwand für Dokumentationsprojekte
• RG 23: Übernahme und Betrieb der Controls in der Linie = Linienaufwand
• RG 3: Etablierter Prozess (Zertifizierungsreife?)
• RG 4+5: Optimierte Prozesse = Steuerung durch Prozessmanagement mit Kennzahlen und KVP
Der VDA-ISA Fragebogen hilft dem Projektmanagement
SAMA PARTNERS Business Solutions GmbH 2813.11.2015
VDA ISA Beispiel
SAMA PARTNERS Business Solutions GmbH 2913.11.2015
Fragen?
Vielen Dank
SAMA PARTNERS Business Solutions GmbH 3013.11.2015
top related