din€iso/iec€27001:2005 informationssicherheits ... ·...
TRANSCRIPT
www.materna.com 1© MATERNA GmbH 2009
GI Regionalgruppe Dortmund08.06.2009
Helmut ElschnerSenior Consultant Information Security
DIN ISO/IEC 27001:2005InformationssicherheitsManagementsysteme
www.materna.com 2© MATERNA GmbH 2009
Informationssicherheit –Definitionen
Information security means protecting informationand information systems from unauthorized access,
use, disclosure, disruption, modification, or destruction.en.wikipedia.org based on 44 U.S.C § 3542 (b)(1) (2006)
Informationssicherheit ist das Ergebnis eines Systems vonStrategien und Verfahren zur Identifizierung, Kontrolle
und zum Schutz von Informationen und Geräten,die im Zusammenhang mit ihrer Speicherung,Übermittlung und Verarbeitung genutzt werden
Source: ISO/IEC 200002 Clause 6.6.1
www.materna.com 3© MATERNA GmbH 2009
Informationssicherheit –und noch eine Definition
Informationssicherheit nach ISO / IEC 17799
Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen;andere Eigenschaften wie Authentizität, Zurechenbarkeit, NichtAbstreitbarkeit
und Verlässlichkeit können ebenfalls berücksichtigt werden
www.materna.com 4© MATERNA GmbH 2009
„Informationssicherheit“ist mehr als nur „ITSicherheit“
ITSicherheitfokussiert sich traditionell auf den Schutz von
ITSystemen und den dort gespeicherten Daten
Informationssicherheitbetrachtet Information in jeder Form:
auf Datenträgern, auf Papier, gesprochen, …
www.materna.com 5© MATERNA GmbH 2009
Informationen sind Werte
Mehr denn je ist uns bewusst: Informationen sind Werte. Wir besitzensie aus unterschiedlichen Gründen weil wir für ihre Verwahrung oderVerarbeitung Verantwortung tragen, weil wir aus ihnen einen Vorteilziehen, weil ihre Kenntnis uns vor Schaden bewahrt und noch viel
mehr. Gehen sie uns verloren, werden sie gestohlen, sind sie falschoder einfach nicht auffindbar, wenn wir sie benötigen, dann erleiden
wir Schaden die Palette reicht von geringfügig bisexistenzbedrohend.
Österreichisches Informationssicherheitshandbuch (April 2007)
www.materna.com 6© MATERNA GmbH 2009
Informationssicherheit im Detail
Alle Organisationen betreiben Geschäftsprozesse
Geschäftsprozesse nutzen Anlagen und Werte (Assets)(Kundendaten, Patente, ITSysteme / Einrichtungen, … )
Risiken bedrohen die Prozesse, Anlagen, Werte
Geschäftsprozesse werden durch ITServicesunterstützt oder auch erst ermöglicht
Informationssicherheit hat den Schutz der Werte zum Ziel
www.materna.com 7© MATERNA GmbH 2009
Verfügbarkeitvon EDVSystemen, Anwendungen, Daten
Grundwerte der Informationssicherheit
IntegritätNicht autorisierte Änderungen gespeicherter oderübertragener Daten ausschließen bzw. erkennen
VertraulichkeitGeschäftsgeheimnisse, Sensitive Daten
www.materna.com 8© MATERNA GmbH 2009
Höhere GewaltAusfall, Blitz, Feuer, Wasser, Kabelbrand, ...
Bedrohungen
Vorsätzliche HandlungenManipulation, Diebstahl, Vandalismus,Missbrauch, „Trojanische Pferde“, ...
Menschliche FehlhandlungenFehlbedienung, fehlerhafte Administration,
Übertragen falscher Datensätze, ...
Technisches VersagenAusfall der Stromversorgung, Ausfall von
Netzkomponenten, Datenverlust
Organisatorische MängelFehlende oder unzureichende Regelung
Mangelhafte Kontrolle, Unbefugter Zutritt, ...
www.materna.com 9© MATERNA GmbH 2009
Infrastrukturelle MaßnahmenBlitzschutz, Feuerlöscher, Klimatisierung, Räume
Schutzmaßnahmen
Notfall VorsorgemaßnahmenNotfallhandbuch, Alarmierungsplan,
Datensicherungsplan, Ersatzsysteme, ...
Personelle MaßnahmenEinarbeitung, Einweisung, Schulung,Sicherheitsbewusstsein schaffen, ...
Technische MaßnahmenPasswortschutz, Bildschirmsperre, Firewalls,
Virenschutz, Verschlüsselung, ...
Organisatorische MaßnahmenFestlegen von Verantwortlichkeiten, Zugangs und
Zugriffsrechte, Firewallkonzept, Kontrolle, ...
www.materna.com 10© MATERNA GmbH 2009
„InformationsSicherheitsStrategien“
bürokratisch
technisch
optimistisch
„Es ist noch immer gut gegangen!“„Bei uns passiert sowas nicht.“
„Firewalls, Virenscanner, Biometrie, ...
„Alles ist geregelt!“... und theoretisch sicher
www.materna.com 11© MATERNA GmbH 2009
Kosten / Nutzen Relation
Aufwand
100prozentige Sicherheit ist nicht erreichbarAber wie weit müssen wir gehen?
Was ist das „passende“Sicherheitsniveau?
0 %
Sicherheit
100 %
0 €
www.materna.com 12© MATERNA GmbH 2009
Wahl eines realistischen Sicherheitsniveaus
gefordertes Sicherheitsniveau hochniedrig
„geheim“ „geheim01“ „xKi8&dZp“
Beispiel Passwortauswahl
Ohnejegliche
Vorgaben
8 Zeichenmindestens
1 Ziffer
automatischgeneriertesPasswort
geringerSchutz
Nicht wirklichbesser
landet unweigerlichauf gelbem Klebezettel
www.materna.com 13© MATERNA GmbH 2009
Sicherheitsmaßnahmen im praktischen Einsatz
www.materna.com 14© MATERNA GmbH 2009
Komponenten der InformationsSicherheit
TECHNIKFirewalls, Virenscanner, Kryptografie,Intrusion Detection, Smartcards, Token, …
ORGANISATIONSicherheitsleitlinien, Sicherheitsrichtlinien,Sicherheitskonzepte, Regelung von Verantwortlichkeiten, …
MENSCHENMitdenken, Verstehen, Beobachten, Melden, Reagieren, …
!!! Unkoordinierte Einzelmaßnahmen alleinkönnen nicht die benötigte Wirkung erzielen.
Gebraucht wirdein ganzheitlicher Ansatzeine methodische Vorgehensweiseeine sinnvolle Koordinationkontinuierliche Verbesserungein Managementsystem für Informationssicherheit
www.materna.com 15© MATERNA GmbH 2009
InformationssicherheitsManagementsystem
InformationssicherheitsManagementsystem (ISMS)Teil des gesamten Managementsystems, der auf der Basis einesGeschäftsrisikoansatzes die Entwicklung, Implementierung,Durchführung, Überwachung, Überprüfung, Instandhaltung undVerbesserung der Informationssicherheit abdeckt
ANMERKUNG Das Managementsystem enthält die Struktur, Grundsätze,Planungsaktivitäten, Verantwortung,Praktiken, Verfahren, Prozesse und Ressourcen der Organisation.
(ISO 27001, Begriffe 3.7)
www.materna.com 16© MATERNA GmbH 2009
Drei Normen aus der Normenreihe ISO 27000
ISO 27001 InformationssicherheitsManagementsysteme –AnforderungenEnthält die formale Spezifikation und die normativen Anforderungen, wasfür die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung,Instandhaltung und Verbesserung eines InformationssicherheitsManagementsystemsrealisiert werden muss (ca. 45 Seiten)
ISO 27002 Leitfaden für das InformationssicherheitsManagementEnthält Empfehlungen und Anleitungen zur Umsetzung, wie die Maßnahmenzielerealisiert werden können (ca. 138 Seiten)
ISO 27005 InformationssicherheitsRisikomanagementEnthält einen der möglichen und systematischen Ansätze zum Aufbau einesInformationssicherheitsRisikomanagements, wie er zur Realisierung einesInformationssicherheitsManagementsystems gefordert wird
“Die Internationale Norm ISO 27001 ist mit ISO 9001 (Qualitätsmanagementsysteme)und ISO 14001 (Umweltmanagementsysteme) abgestimmt worden, um diekonsistente und integrierte Umsetzung und Durchführung mit verwandtenManagementsystemen zu unterstützen.”
www.materna.com 17© MATERNA GmbH 2009
Historische Entwicklung
1992: Information Security Best PracticesKommission des Department of Trade and Industry (UK)
1993: „Code of Practice“veröffentlicht1995: BS 7799:1995 (British Standard Institute)1999: BS 77991 (Best Practices)1999: BS 77992 (Specifications) Zertifizierungsgrundlage
2000: ISO 17799:2000 (Best Practices BS 77991)2002: BS 77992:2002 (Einführung PDCA)2005: ISO/IEC 17799:2005 (Code of practice)2005: ISO/IEC 27001:2005 (Requirements) Zertifizierungsgrundlage
2007: ISO/IEC 27002 (durch Umbenennung der ISO/IEC 17799 in 27002)
www.materna.com 18© MATERNA GmbH 2009
Risikomanagement
Business Prozesse
Schwachstellen Bedrohungen
Assets (Werte)
nutzen
bedrohenRisiken
+
ergeben
Analysiere
Analysiere
Maßnahmen schützenbekämpfen
www.materna.com 19© MATERNA GmbH 2009
Der prozessorientierte Ansatz und das PDCA Modell
ISMSbasierend auf
ISO 27001
Handeln(Act)
Instandhalten undVerbessern des
ISMS
Prüfen(Check)
Überwachenund Überprüfen
des ISMS
Planen(Plan)
Festlegendes ISMS
Durchführen(Do)
Umsetzen undDurchführen
des ISMS
ISO 27001 verwendet das PDCA Modell zur Strukturierung der ISMS Prozesse.Informationssicherheit ist ein Kontinuierlicher Verbesserungsprozess (KVP).
www.materna.com 20© MATERNA GmbH 2009
Das ManagementRahmenwerk für ein ISMS
Plan –Abschnitt 5Managementverantwortung
5.1 –Verpflichtungdes ManagementsDas Managementmuss seine eigeneVerpflichtung für dengesamten ISMSProzess nachweisen
5.2 –Managementvon RessourcenBereitstellung vonRessourcen für dengesamten IMS Prozessund Schulungen,Bewusstsein undKompetenz für dasPersonal sicherstellen
Do –Abschnitt 4Das Managementsystem
4.1 –Allgemeines… ein dokumentiertesISMS im Kontext ihrerallgemeinen GeschäftsAktivitäten…
4.2 –Festlegungund Verwaltungdes ISMS, Detailssiehe Folgefolie4.3. –DokumentationsAnforderungenz.B. dokumentierteLeitlinie, Maßnahmen,Verfahren, GeltungsBereich, Methode zurRisikoeinschätzung,Risikobericht,RisikobehandlungsPlan, usw.
Check –Abschnitt 6Interne ISMS Audits
Durchführung voninternen Audits ingeplanten AbständenFestlegung vonKriterien, Umfang,Häufigkeit undMethoden der AuditsWahrung vonObjektivität undUnparteilichkeitMaßnahmen zurBeseitigung derNichtkonformitätmüssen unverzüglichergriffen werdenVerfahren müssendokumentiert sein
Check –Abschnitt 7Managementbewertung
7.1 –AllgemeinesManagementbewertungin geplanten Abständen,mindestens 1x jährlich
7.2 –Eingabenz.B. Auditergebnisse,Status von Korrekturund VorbeugungsMaßnahmen, FolgeAktivitäten vorherigerBewertungen, usw.
7.3 –Ergebnissez.B. Entscheidungenzur Verbesserung derWirksamkeit,Aktualisierung vonRisikoeinschätzungsund Risikobehandlungsplan, usw.
Act –Abschnitt 8Verbesserung des ISMS
8.1 –StändigeVerbesserungStändige Verbesserungder Wirksamkeit desISMS
8.2 –KorrekturMaßnahmenUrsachenbeseitigungvon Nichtkonformitätenzur Vermeidung deserneuten Auftretens
8.3 –VorbeugungsUrsachenbeseitigungvon möglichenNichtkonformitäten,zur Vermeidung desAuftretens
Verfahren müssendokumentiert sein
ISO 27001 strukturiert den ISMS Prozess in fünf Phasen:
www.materna.com 21© MATERNA GmbH 2009
Wie die Festlegung und Verwaltung eines ISMS erfolgt
Plan –Abschnitt 4.2.1Festlegen des ISMS
Definition der Grenzen unddes AnwendungsbereichesDefinition der LeitlinieVorgehensweise zurRisikoeinschätzungIdentifizierung der RisikenAnalyse und Bewertungder RisikenBewertung der Optionenfür die RisikobehandlungAuswahl von Maßnahmenund MaßnahmenzielenManagement Zustimmungzu den RestrisikenGenehmigung des ISMSdurch das ManagementErstellung einer Erklärungzur Anwendbarkeit
Do –Abschnitt 4.2.2Umsetzen und Durchführen
Formulierung einesRisikobehandlungsplansUmsetzung desRisikobehandlungsplansUmsetzung ausgewählterMaßnahmen und zieleDefinition eines Maßesder WirksamkeitUmsetzung von Schulungund BewusstseinsbildungVerwaltung des BetriebsRessourcenVerwaltungUmsetzung von Verfahrenfür die sofortige Erkennungvon SicherheitsereignissenUmsetzung von Verfahrenfür die Reaktion aufSicherheitsvorfälle
Check –Abschnitt 4.2.3Überwachen und Überprüfen
Ausführung von Verfahrenzur Überwachung undÜberprüfungRegelmäßige Überprüfungder Wirksamkeit des ISMSMessung der Wirksamkeitvon MaßnahmenRegelmäßige Überprüfungder Risikoeinschätzungen,Restrisiken und desakzeptablen RisikoniveausRegelmäßige Durchführungvon internen AuditsRegelmäßigeManagementbewertungAktualisierung derSicherheitspläneErkennung von Einflüssenauf die Wirksamkeit
Act –Abschnitt 4.2.4Instandhalten und Verbessern
Umsetzung deridentifiziertenVerbesserungenErgreifung von geeignetenKorrektur undVorbeugungsmaßnahmenLehren aus gesammeltenSicherheitserfahrungenziehenMitteilung der Maßnahmenund Verbesserungen analle BeteiligtenSicherstellung, dass diebeabsichtigten Zieleerreicht werden
Die Anforderungen und die vier Phasen aus Abschnitt 4 im Detail:
www.materna.com 22© MATERNA GmbH 2009
Die normativen Maßnahmenziele der ISO 27001
A.5 SicherheitsleitlinieA.5.1 Informationssicherheitsleitlinie
A.6 Organisation der InformationssicherheitA.6.1 Interne OrganisationA.6.2 Externe Beziehungen
A.7 Management von organisationseigenen WertenA.7.1 Verantwortung für organisationseigene WerteA.7.2 Klassifizierung von Informationen
A.8 Personelle SicherheitA.8.1 Vor der AnstellungA.8.2 Während der AnstellungA.8.3 Beendigung oder Änderung der Anstellung
A.9 Physische und umgebungsbezogeneSicherheit
A.9.1 SicherheitsbereicheA.9.2 Sicherheit von Betriebsmitteln
A.10 Betriebs und KommunikationsmanagementA.10.1 Verfahren und VerantwortlichkeitenA.10.2 Management der Dienstleistung von DrittenA.10.3 Systemplanung und AbnahmeA.10.4 Schutz vor Schadsoftware und mobilem CodeA.10.5 BackupA.10.6 Management der NetzwerksicherheitA.10.7 Handhabung von SpeichermedienA.10.8 Austausch von InformationenA.10.9 ECommerceAnwendungenA.10.10 Überwachung
A.11 ZugangskontrolleA.11.1 Geschäftsanforderungen für ZugangskontrolleA.11.2 BenutzerverwaltungA.11.3 BenutzerverantwortungA.11.4 Zugangskontrolle für NetzeA.11.5 Zugriffskontrolle auf BetriebssystemeA.11.6. Zugangskontrolle zu Anwendungen und InformationA.11.7 Mobile Computing und Telearbeit
A.12 Beschaffung, Entwicklung und Wartung vonInformationssystemen
A.12.1 Sicherheitsanforderungen an InformationssystemeA.12.2 Korrekte Verarbeitung in AnwendungenA.12.3 Kryptographische MaßnahmenA.12.4 Sicherheit von SystemdateienA.12.5 Sicherheit bei Entwicklungs und
UnterstützungsprozessenA.12.6 Schwachstellenmanagement
A.13 Umgang mit InformationssicherheitsvorfällenA.13.1 Melden von Ereignissen und SchwachstellenA.13.2 Umgang mit Vorfällen und Verbesserungen
A.14 Sicherstellung des Geschäftsbetriebs (BCM)A.14.1 Informationssicherheitsaspekte bei BCM
A.15 Einhaltung von Vorgaben (Compliance)A.15.1 Einhaltung gesetzlicher VorgabenA.15.2 Einhaltung von Sicherheitsregelungen und standards
sowie technischer VorgabenA.15.3 Überlegungen zu Revisionsprüfungen
www.materna.com 23© MATERNA GmbH 2009
Die fünf möglichen Schritte zur Zertifizierung
Durchführungeiner BasisSicherheitsÜberprüfungBasierend aufMaßnahmenund Richtliniender ISO 27002EntscheidungsGrundlage fürweitereMaßnahmen
Workshop mitallen BeteiligtenVermittlung desMehrwertesder Umsetzungeines ISMSAnforderungenund Erwartungenan ein ISMSerkennen
Identifizierungvon WertenIdentifizierungvon RisikenRisikoEinschätzungund BewertungRisikoBehandlung, inkl.Verminderung,Akzeptanz,Vermeidung undÜberwälzungRisikoplan
ISMS Aktivitätenund die damitverbundenenProzesse prüfenFortschritte inder Umsetzungdes ISMSermittelnFeststellen desReifegrades derausgewähltenMaßnahmenziele
Feststellen, obdas ISMS dieAnforderungenund dieInternationaleNorm erfülltWird von eineminternen ISMSAuditor durchgeführtNächster Schritt:formellerZertifizierungsProzess
Einschätzung
Bewusstsein
Risikoanalyse
Implementierung
Internes Audit
“Die Einführung eines ISMS sollte eine strategische Entscheidung (… ) sein.”Informationssicherheit ist weder ein Produkt noch ein Projekt, sondern ein Prozess.
www.materna.com 24© MATERNA GmbH 2009
Von der TGA akkreditierte Zertifizierungsstellen für ISO 27001
Anforderungen für Zertifizierungsstellen: ISO/IEC 17021:2006 und 27006:2007
www.materna.com 25© MATERNA GmbH 2009
ISO 27001 „live!“–Blick in den Normentext
DIN ISO/IEC 27001 (deutsch)Bezug z.B. hier: http://www.beuth.de/langanzeige/DIN+ISO%2FIEC+27001/103960154.htmlHinweis: Für Zertifizierungen ist der englische Text maßgeblich!
Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.
Wir bitten um Ihr Verständnis!
www.materna.com 26© MATERNA GmbH 2009
ISO 27001 „live!“–Blick in den Normentext
ISO/IEC 27001 (Original, englisch)Bezug z.B. hier: http://www.beuth.de/langanzeige/ISO%2FIEC+27001/de/85689528.htmlHinweis: Für Zertifizierungen ist der englische Text maßgeblich!
Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.
Wir bitten um Ihr Verständnis!
www.materna.com 27© MATERNA GmbH 2009
ISO 27002 „live!“–Blick in den Normentext
DIN ISO/IEC 27001 (deutsch)Bezug z.B. hier: http://www.beuth.de/langanzeige/DIN+ISO%2FIEC+27002/de/110488964.html
Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.
Wir bitten um Ihr Verständnis!
www.materna.com 28© MATERNA GmbH 2009
ISO 27002 „live!“–Blick in den Normentext
ISO/IEC 27002 (Original, englisch)Bezug z.B. hier: http://www.beuth.de/langanzeige/ISO%2FIEC+27002/de/83099069.html
Aus Gründen des Urheberrechtsbzw. Copyrights enthalten dieseFolien lediglich einen Verweis aufeine mögliche Bezugsquelle anstelle derim Vortrag „live“vorgestellten Normen.
Wir bitten um Ihr Verständnis!
www.materna.com 29© MATERNA GmbH 2009
Vielen Dank für Ihre Aufmerksamkeit!
Name
Funktion
EMail
Helmut Elschner
Senior Consultant Information Security