Informationssicherheits - IHK für Oberfranken Bayreuth

Report
Dieter Börner
Management-Service
Am Bahnhof 12
96328 Küps
Tel. 09264 91323
Fax 09264 91324
Informationssicherheit und
Informationsschutz im KMU
Informationstechnik
IT-Sicherheitsverfahren
Managementsystem
Anforderungen nach
DIN ISO/IEC 27001
3
Noch ein Managementsystem?
•
•
•
Stellen Sie sich vor, bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit.
Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört.
Oder aus Ihrem Haus werden Massen-E-Mails mit Computer- Viren verschickt.
•
Welche Konsequenzen drohen dem Unternehmen bzw. der Behörde und den
verantwortlichen Personen?
4
Warum Informationssicherheits-Management
•
•
•
•
Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen
daher angemessen geschützt werden.
Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen.
Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird
deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger.
Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor
dar, der für manche Institution existenzbedrohend sein kann.
5
Was ist Informationssicherheit?
Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft.
Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen
der Nutzer gespeichert sein.
IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter
Informationen und deren Verarbeitung.
•
•
Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und
Verfügbarkeit.
Aber auch Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit.
6
Das Sicherheitsniveau anheben
•
•
•
•
Ein angemessenes Sicherheitsniveau ist in erster Linie abhängig vom systematischen
Vorgehen und erst in zweiter Linie von einzelnen technischen Maßnahmen.
Die folgenden Überlegungen verdeutlichen diese These:
Die Leitungsebene trägt die Verantwortung, dass gesetzliche Regelungen und Verträge
mit Dritten eingehalten werden und dass wichtige Geschäftsprozesse störungsfrei
ablaufen.
Informationssicherheit hat Schnittstellen zu vielen Bereichen einer Institution und betrifft
wesentliche Geschäftsprozesse und Aufgaben. Nur die Leitungsebene kann daher für eine
reibungslose Integration des Informationssicherheitsmanagements in bestehende
Organisationsstrukturen und Prozesse sorgen.
Die Leitungsebene ist zudem für den wirtschaftlichen Einsatz von Ressourcen
verantwortlich.
7
Übersicht zur ISO 27000 Informationssicherheit
•
•
•
•
•
ISO 27000 Dieser Standard gibt einen allgemeinen Überblick über Managementsysteme
für Informationssicherheit (ISMS)
ISO 27001 ist der erste internationale Standard zum Management von
Informationssicherheit, der auch eine Zertifizierung ermöglicht.
(Seit Februar 2014 als DIN/IEC 27001 Entwurf)
ISO 27002 befasst sich mit den erforderlichen Schritten, um ein funktionierendes
Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die
erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten des ISOStandards ISO/IEC 27002 nur kurz beschrieben.
ISO 27005 enthält Rahmenempfehlungen zum Risikomanagement für
Informationssicherheit.
ISO 27006 spezifiziert Anforderungen an die Akkreditierung von Zertifizierungsstellen für
ISMS und behandelt auch Spezifika der ISMS-Zertifizierungsprozesse.
8
Inhalte der ISO 27001 Informationstechnik - IT-Sicherheitsverfahren –
Informationssicherheits- Managementsysteme - Anforderungen
4 Informationssicherheits-Managementsystem
4.1 Allgemeine Anforderungen
4.2 Festlegung und Verwaltung des ISMS
4.2.1 Festlegen des ISMS
4.2.2 Umsetzen und Durchführen des ISMS
4.2.3 Überwachen und Überprüfen des ISMS
4.2.4 Instandhalten und Verbessern des ISMS
4.3 Dokumentationsanforderungen
4.3.1 Allgemeines
4.3.2 Lenkung von Dokumenten
4.3.3 Lenkung von Aufzeichnungen
5 Verantwortung des Managements
5.1 Verpflichtung des Management
5.2 Management von Ressourcen
5.2.1 Bereitstellung von Ressourcen
5.2.2 Schulungen, Bewusstsein und Kompetenz
6 Interne ISMS-Audits
7 Managementbewertung des ISMS
7.1 Allgemeines
7.2 Eingaben für die Bewertung
7.3 Ergebnisse der Bewertung
8 Verbesserung des ISMS
8.1 Ständige Verbesserung
8.2 Korrekturmaßnahmen
8.3 Vorbeugungsmaßnahmen
9
Praktische Hilfe?
•
ISO 27001 gibt auf ca. 10 Seiten allgemeine Empfehlungen .
Die Leser erhalten keine Hilfe für die praktische Umsetzung.
•
ISO 27002 befasst sich hauptsächlich mit den erforderlichen Schritten, um ein
funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu
verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten
nur kurz beschrieben. Die Empfehlungen sind in erster Linie für die Management-Ebene
gedacht und enthalten daher kaum konkrete technische Hinweise.
10
Unterstützer?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit vielen Jahren
Informationen und Hilfestellungen rund um das Thema Informationssicherheit:
Als ganzheitliches Konzept für Informationssicherheit hat sich das Vorgehen nach ITGrundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert.
Diese vom BSI seit 1994 eingeführte und weiterentwickelte Methode bietet sowohl eine
Vorgehensweise für den Aufbau einer Sicherheitsorganisation als auch eine umfassende
Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und
die Implementierung der angemessenen Informationssicherheit.
11
Ausgewählte BSI-Publikationen und Standards zur Informationssicherheit
Informationssicherheit und IT-Grundschutz
www.bsi.bund.de
12
BSI-Standard 100-1 Managementsysteme für Informationssicherheit
•
•
•
Der vorliegende Standard beschreibt, wie ein Informationssicherheitsmanagementsystem
(ISMS) aufgebaut werden kann. Ein Managementsystem für Informationssicherheit legt fest,
mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf
Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt.
Dieser BSI-Standard beantwortet unter anderem folgende Fragen:
- Was sind die Erfolgsfaktoren beim Management von Informationssicherheit?
- Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und
überwacht werden?
- Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt?
- Wie werden Sicherheitsmaßnahmen ausgewählt und ein Sicherheitskonzept erstellt?
- Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert
werden?
Dieser Management-Standard stellt kurz und übersichtlich die wichtigsten Aufgaben des
Sicherheitsmanagements dar. Bei der Umsetzung dieser Empfehlungen hilft das BSI mit der
Methodik des IT-Grundschutzes. Der IT-Grundschutz gibt eine Schritt-für-Schritt-Anleitung für
die Entwicklung eines Informationssicherheitsmanagements in der Praxis und nennt sehr
konkrete Maßnahmen. Die Vorgehensweise nach IT-Grundschutz wird im BSI-Standard 100-2
beschrieben und ist so gestaltet, dass möglichst kostengünstig ein angemessenes
Sicherheitsniveau erreicht werden kann. Ergänzend dazu werden in den IT-GrundschutzKatalogen Standard-Sicherheitsmaßnahmen für die praktische Implementierung des
angemessenen Sicherheitsniveaus empfohlen.
13
ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
•
•
Das Bundesamt für Sicherheit in der Informationstechnik bietet seit Januar 2006 die ISO
27001-Zertifizierung auf der Basis von IT-Grundschutz an. Hierüber kann nachgewiesen
werden, dass in einem Informationsverbund die wesentlichen Anforderungen nach ISO
27001 unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und
gegebenenfalls
einer ergänzenden Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Das BSI bietet
weiterhin zwei Vorstufen vor dem Zertifikat an, diese dienen als Migrationspfad zur
eigentlichen Zertifizierung: das „Auditor-Testat Einstiegsstufe“ und das „Audior-Testat
Aufbaustufe“. Hierbei unterscheiden sich die einzelnen Stufen durch die Anzahl der
umzusetzenden Maßnahmen. Jeder Maßnahme eines IT-Grundschutz-Bausteines ist eine
dieser drei Stufen zugeordnet, so dass transparent ist, welche konkreten
Sicherheitsempfehlungen aus den IT-Grundschutz-Katalogen umzusetzen sind.
14
ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
•
•
Einen Antrag auf ein Auditor-Testat kann die Institution nach Umsetzung aller für die
jeweilige Stufe relevanten Maßnahmen und einer Überprüfung der Umsetzung von einem
beim BSI lizenzierten Auditor stellen. Ein Auditor-Testat hat eine Gültigkeit von zwei
Jahren und kann nicht verlängert werden, da es als Vorstufe für die Zertifizierung dient.
Nach Umsetzung aller für die Zertifizierung relevanten Maßnahmen kann die Institution
einen beim BSI lizenzierten ISO 27001-Auditor beauftragen, den Informationsverbund
gemäß dem Prüfschema des BSI zu überprüfen. Die Ergebnisse dieser unabhängigen
Prüfung werden in einem Auditreport festgehalten. Ein ISO 27001-Zertifikat auf der Basis
von IT-Grundschutz kann zusammen mit der Einreichung des Auditreports beim BSI
beantragt werden. Nach Prüfung des Reportes durch Experten des BSI erteilt die
Zertifizierungsstelle das Zertifikat, das ebenso wie die Auditor-Testate vom BSI
veröffentlicht wird. Alle zertifizierungsrelevanten Informationen wie das
Zertifizierungsschema und die Namen der lizenzierten Auditoren sind öffentlich verfügbar
und können unter www.bsi.bund.de/grundschutz/zert eingesehen werden.
15
Ganzheitlicher Ansatz im Informationsverbund
Informationssicherheit ist eine grundlegende und prozessübergreifende Anforderung an
Institutionen. Das Ziel von Informationssicherheit ist es, Unternehmen vor Schäden zu
schützen, nicht nur einzelne Rechner. Daher ist ein ganzheitlicher Ansatz unabdingbar.
16
Organisation von Informationssicherheit
•
Um ein angemessenes Sicherheitsniveau nicht nur zu erreichen, sondern auch
kontinuierlich aufrecht zu erhalten, muss Informationssicherheit als ein kontinuierlicher
Prozess betrieben und gelebt werden.
17
Organisation von Informationssicherheit
•
Beim Aufbau und Betrieb des Managementsystems und der Sicherheitsprozesse müssen
einige zentrale Fragen beantwortet werden. Dadurch lassen sich sowohl ein
angemessenes Sicherheitsniveau als auch eine grundsätzliche Sicherheitsstrategie
ableiten.
18
Fragen zur Sicherheitsstrategie
1. Welches sind die zentralen und essentiellen Werte, die für die Institution
unabdingbar sind?
2. Welchen realen Risiken ist die Institution ausgesetzt und wie soll darauf reagiert werden?
3. Wie kann strukturiert ein angemessenes und prozessorientiertes Sicherheitsmanagement
erreicht werden?
4. Welche technischen und organisatorischen Maßnahmen sind im Hinblick auf den
Sicherheitsgewinn notwendig und wirtschaftlich sinnvoll?
5. Welchen sicherheitsrelevanten Veränderungen ist die Institution unterworfen und
wie muss darauf reagiert werden?
19
Definition der Sicherheitsstrategie
20
Das Managementsystem
21
Komponenten eines Managementsystems für Informationssicherheit
• Management-Prinzipien
• Ressourcen
• Mitarbeiter
• Sicherheitsprozess:
- Leitlinie zur Informationssicherheit,
in der die Sicherheitsziele und die
Strategie zu ihrer Umsetzung
dokumentiert sind
- Sicherheitskonzept
- Informationssicherheitsorganisation
22
Der Lebenszyklus in der Informationssicherheit
23
Der Weg zur Informationssicherheit
24
25
Zum Beispiel 77 Seiten Goldene Regeln
26
27
Das 5 Schichten Model der Grundschutz-Kataloge
28
Das 5 Schichten Model der Grundschutz-Kataloge
•
Schicht 1 umfasst sämtliche übergreifenden Aspekte der Informationssicherheit. Beispiele
sind die Bausteine Personal, Datensicherungskonzept und Outsourcing (16 Bausteine).
•
Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten. Beispiele sind die
Bausteine Gebäude, Serverraum und häuslicher Arbeitsplatz (12 Bausteine).
•
Schicht 3 betrifft die einzelnen IT-Systeme. Beispiele sind die Bausteine Allgemeiner
Client, Allgemeiner Server, TK-Anlage, Laptop und Mobiltelefon (24 Bausteine).
•
Schicht 4 betrachtet die Vernetzungsaspekte der IT-Systeme. Beispiele sind die Bausteine
Heterogene Netze, WLAN, VoIP sowie Netz- und Systemmanagement
(8 Bausteine).
•
Schicht 5 schließlich beschäftigt sich mit den eigentlichen Anwendungen. Beispiele sind
die Bausteine E-Mail, Webserver und Datenbanken (22 Bausteiene).
29
Gefährdungskataloge
•
•
•
•
•
•
Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den
einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in
fünf Kataloge gruppiert:
G 1: Höhere Gewalt
G 2: Organisatorische Mängel
G 3: Menschliche Fehlhandlungen
G 4: Technisches Versagen
G 5: Vorsätzliche Handlungen
30
Beispiel Gefährtungskatalog (46 Seiten)
31
Maßnahmenkataloge
•
•
•
•
•
•
•
Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten
Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Kataloge gruppiert:
M 1: Infrastruktur
M 2: Organisation
M 3: Personal
M 4: Hard- und Software
M 5: Kommunikation
M 6: Notfallvorsorge
32
BSI Download zu den 5 Schichten
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Bausteine
B1 Übergreifende Aspekte
B2 Infrastruktur
B3 IT-Systeme
B4 Netze
B5 Anwendungen
Gefährdungskataloge
G0 Elementare Gefährdungen
G1 Höhere Gewalt
G2 Organisatorische Mängel
G3 Menschliche Fehlhandlungen
G4 Technisches Versagen
G5 Vorsätzliche Handlungen
Maßnahmenkataloge
M1 Infrastruktur
M2 Organisation
M3 Personal
M4 Hardware und Software
M5 Kommunikation
M6 Notfallvorsorge
Hilfsmittel
Checklisten und Formulare
Muster und Beispiele
Tools zur Unterstützung des Grundschutzprozesses
IT-Grundschutz-Beispielprofile
Dokumentationen und Studien
Informationen externer Anwender
Archiv
33
BSI Download weitere Beispiele
•
•
•
•
2011, 12. EL: HTML-Seiten IT-Grundschutz-Kataloge (ZIP ca. 10 MB)
2011, 12. EL: IT-Grundschutz-Kataloge 12. Ergänzungslieferung (Dokument ist nicht
barrierefrei) (PDF, ca. 52,2 MB)
2009, 11. EL: IT-Grundschutz-Kataloge - 11. Ergänzungslieferung (PDF ca. 30,0 MB)
2009, 11. EL: Die IT-Grundschutz-Kataloge im Word 2000-Format (gezippte Versionen).
Unterteilt in:
–
–
–
–
–
–
–
Bausteine (zip, 9,02 MB)
Maßnahmen (zip, 29,78 MB)
Gefährdungen (zip, 4,24 MB)
IT-Grundschutz-Profil - Anwendungsbeispiel für eine kleine Instution (pdf, 1,11 MB)
IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand (pdf, 1,63 MB)
IT-Grundschutz-Profil - Anwendungsbeispiel für eine große Instution (pdf, 2,61 MB)
IT-Grundschutz-Profil - Anwendungsbeispiel für das produzierende Gewerbe (pdf, 1,98 MB)
34
Viel Erfolg auf Ihrem Weg zur Informationssicherheit

similar documents