Einführung eines ISMS nach ISO 27001 – Erstellung einer Governance  - MSS    ( ENGLISH Version click here )

Bernhard Bowitz, Dipl. Ing. 2016


Ein InformationsSicherheitsManagementSystem (ISMS) ist ein Satz von Richtlinien, die sich mit dem Informationssicherheitsmanagement oder mit den IT-bezogenen Risiken befassen. Die einzelnen Empfehlungen entstanden vor allem aus BS 7799 und daraus wiederum des ISO 27001 und des BSI Grundschutzes.

Die Regelungen (Governance) hinter einem ISMS bestehen darin, dass eine Organisation eine einheitliche ( auf der Grundlage des BSI) Reihe von Richtlinien, Prozessen und Systemen entwerfen, implementieren und pflegen muss, um Risiken für ihre Informations Struktur zu verwalten, verhindern und so ein akzeptables Maß an InformationsSicherheitsRestRisiko (ISRR) zu gewährleisten.

Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) hat (2016) einen  neuen Zertifizierungsstrang für Informationssicherheitsmanagementsysteme (ISMS)veröffentlicht. Das Konzept beschreibt wie eine Zertifizierung erfolgen kann, wenn das ISMS nach ISO/IEC 27001 aufgebaut ist und eine entsprechende Technische Richtlinie (TR) des BSI berücksichtigt wird. Die Konformität eines Managementsystems zu einer TR (in Verbindung mit der Konformität zur ISO/IEC 27001) kann durch eine von der DakkS ( Deutsche Akkresitierungs Stelle) akkreditierten Zertifizierungsstelle für ISMS mit einem Zertifikat bestätigt werden. Im Zuge dieses Verfahrens wird durch einen Auditor eine Begutachtung auf Grundlage der in der Technischen Richtlinie vorgegebenen Anforderungen durchgeführt.

Das Konzept der Zertifizierung ist in den Hinweisen für Zertifizierungsstellen von sektorspezifischen Managementsystemen basierend auf der ISO/IEC 27001 beschrieben. Ein Beispiel die TR  Zertifizierung nach diesem Konzept ist: TR-03108 Secure E-Mail Transport (BSI)

Was ist Informationssicherheit?

Vorhandensein von

·         Integrität

·         Vertraulichkeit

·         Verfügbarkeit

DIE Bedrohung

Wichtigste langfristige Bedrohungsquelle:

·         Mitarbeiter („HumanOS“) „Schwächstes Glied“ in der Sicherheitskette

·         Fehlende Sicherheitskenntnisse/ Schulungen

·         Fehlende umfassende personelle Konzepte

·         Leichte Opfer für Social Engineering

·         Oft zu weit reichende Berechtigungen

·         Ungepruefte Administratoren

ISO 2700x ISMS Standards

ISO 27000 Terms and Definitions

·         ISO 27005 Risk Management

·         ISO 27001 Information Security Management System

BS7799-2 ( British Code of Practice) Model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System

ISO 27005 Risk Management

·         ISO 27002 Code of Practice

BS7799-1 Set of controls, including policies, processes, procedures, organizational structures, software/ hardware functions

ISO 27003 Implementation

·         Guidance Instructions how to [technically] implement ISO 27001

ISO 27004 Metrics and Measurements

·         Definition of KPIs, quantitative/ qualitative measurements, metrics etc.

ISO 27015 Accreditation Guidelines

Der Sicherheitsprozess

Initiierung des Sicherheitsprozesses:

·         Erstellen einer ISMS Policy

·         Einrichten eines IT-Sicherheitsmanagements

IT-Sicherheitskonzept: Identifikation von Controls

Umsetzung:

·         Realisierung fehlender Controls (Kontrollmechanismen) insbes. in den Bereichen...

·         Infrastruktur

·         Penetrationstest

·         IT Sicherheitsanalyse

·         Organisation

·         Personal

·         Technik

·         Kommunikation (i.e. email, messages, mobil Telephone etc.)

·         Daten Sicherheit ( Rechenzentrum, Server, Clouds, FTP, etc.)

·         Notfallvorsorge

Insbesondere Sensibilisierung für IT-Sicherheit, Schulung zur IT-Sicherheit

Aufrechterhaltung im laufenden Betrieb

Die ersten Schritte zum ISMS

·         Managementunterstützung für ISMS Einführung und Aufbau

·         Festlegung des Geltungsbereichs

·         Festlegung der Sicherheitsleitlinie (ISMS Policy)

·         Organisations Analyse

·         Risikoanalyse

·         Identifikation von Kontrollmechanismen und Maßnahmen

·         (Aus-) Gestaltung des ISMS

Initiierung des ITSicherheitsprozesses

Verantwortung des Managements

Grundregeln

·         Die Initiative für ITSicherheit geht vom Management aus

·         Die Verantwortung für ITSicherheit liegt beim Management

·         Nur wenn sich das Management um IT Sicherheit bemüht, wird die Aufgabe "IT-Sicherheit" wahrgenommen

·         Management Vorbildfunktion

Einrichten des IT-Sicherheitsmanagements

Erstellen der Netzstruktur – Netzplan

Netzplan – bereinigen

BSI Grundschutzkatalog

Bausteinbeschreibung

·         Darstellung der Gefährdungslage (Gefaehrdunngskatalog)

·         Maßnahmenempfehlungen  (Massnahmenkatalog)

·          Planung und Konzeption

·          Beschaffung (sofern erforderlich)

·          Umsetzung

·          Betrieb

·         Aussonderung (sofern erforderlich)

·          Notfallvorsorge

BSI - Grundschutzkatalog

Basis-Sicherheitscheck

Schutzbedarfsfeststellung

Definition der Schutzbedarfskategorien

·         Definitionen der Kategorien müssen individuell angepasst werden

·         Normal – Schadensauswirkungen sind begrenzt und überschaubar

·         Hoch – Schadensauswirkungen können beträchtlich sein

·         Sehr hoch – Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen

Rechtliches

·         Datenschutz, Marketing, Finanzen, Gesundheit...

·         Vertraulichkeit, Integrität, Verfügbarkeit

Schutzbedarfs Prozesse

Höherer Schutzbedarf, Risikoanalyse

Abgestufte Risikobewältigung

Sicherheit als Prozess - Notfallvorsorge

 

Risiko - Restrisiko

 

Zusammenfassung: Zur Umsetzung der Vorgaben des BnetzA / BSI  müssen die Maßnahmen aus dem ISO/IEC 27002 Norm

·         Dokumentiert

·         Umgesetz

·         und geprüft sein

HOME/Zurueck