-
GmbH 2017
ISO 27001 umsetzen und managen
Dr. Keye Moser, SIZ GmbH
CeBIT 2017, 22.03.2017
-
GmbH 2017, S. 2
Unsere 185+ Mitarbeiter setzen seit 1990 Mastbe in
Informationssicherheits- und eBanking-Standards sowie seit 2010
auch im Beauftragtenwesen
-
GmbH 2017, S. 3
Wir haben ein breites Produktportfolio zur
Informationssicherheit und Notfallplanung
Sicherer IT-Betrieb: "Trusted Product ISO 27001 Tool"
Produktfamilie fr den Aufbau und Betrieb von ISO 27001-konformen
Informationssicherheits-
Managementsystemen
Sicherer Datenschutz
Produktfamilie zur Untersttzung des Datenschutzbeauftragten
Geschftsfortfhrungsplanung / BCM und IT-Notfallplanung
Dokumentationswerkzeug mit vorgefllten Templates und
automatisierten Verfahren
S-CERT (Computer Emercency Response Team)
Services zum Management von Schwachstellen und
IT-Sicherheitsvorfllen
Auditmodule fr sicherheitsrelevante Themen enthalten:
Checklisten zur Identifikation von Schwachstellen
Bewertungsschema zur Risikoeinschtzung und
Ergebnisdarstellung
Sicherheitsleitfden fr gngige IT-Systeme
-
GmbH 2017, S. 4
Unser Portfolio an Audit-Modulen deckt die wesentlichen
Umgebungen ab und wird kontinuierlich ausgebaut (Stand 01/2017)
Betriebssystem-Audits
UNIX-Betriebssysteme
- AIX 5.2 / 5.3 / 6.1 / 7.1
- Solaris 8 / 9 / 10 / 11
- Red Hat Enterprise Linux 6 / 7
Microsoft-Betriebssysteme
- Windows Server 2008 / 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Vista / 7 / 7 SP1 / 10
Virtualisierung
- Citrix-Terminalserver
- Citrix XenApp 7
- Citrix XenServer 6 / 7
- VMware vSphere 4 / 5.x / 6
Mobile-Systeme
- PDA
- iPhone/iPad iOS 8 / 9 / 10
- Blackberry 10
Netzwerk
- Cisco IOS
Storage
- Storage universal
SAP
- SAP Basissystem
- SAP HR/HCM
- SAP NetWeaver Portal
- Delta AIX fr SAP
- Delta Oracle fr SAP
Broanwendungen
- Microsoft Office 2010 / 2013
- Adobe Reader X / XI
- Adobe Flash ab 9.x
Anwendungs-Audits
Datenbanken
- IBM DB2 LUW (Linux, Unix, Windows) 10.x
- Microsoft SQL Server 2008 / 2008 R2
- Microsoft SQL Server 2012 / 2014
- Oracle 10g / 11g / 12c
- RDBMS allgemein
Webserver
- Apache Webserver 1.3 / 2.x
- Apache Tomcat 6 / 7
- Microsoft Internet Information
Services (IIS) 7.5
- Microsoft SharePoint 2007
- Microsoft Office SharePoint Server 2010
- Microsoft SharePoint Server 2013
E-Mail / Groupware
- Microsoft Exchange-Server 2010
- Microsoft Exchange-Server 2013 / 2016
- Lotus Notes 8.x / Notes 9.x
Browser
- Microsoft Internet Explorer 8 / 9 / 10 / 11
- Firefox 38 ESR / 45 ESR
- Google Chrome
bergeordnete Audits
- Schutz vor Malware
- Content-Security
- SPAM
- LAN-Sicherheit
- TK-Anlage und VoIP
-
GmbH 2017, S. 5
Mit unserem Beratungsangebot decken wir alle wichtigen Bereiche
der Informationssicherheit und der Notfallplanung ab
Beratung zum Einsatz / Hrtung von Systemen
Beratung zur Dienstleistersteuerung
Aufbau /Optimierung Geschftsfortfhrungsplanung / BCM
und IT-Notfallplanung
Konzeption und Durchfhrung von Notfallbungen
Durchfhrung von Audits, Penetrationstests,
Sicherheitsanalysen
Aufbau / Optimierung von Informationssicherheits- und
IT-Risiko-Management-
systemen
Zertifizierung von
Informationssicherheits-Managementsystemen
Langfristuntersttzung des
Informationssicherheits-Managements
Outsourcing Datenschutzbeauftragter
IT-Sicherheit
IT-Risiko
-
GmbH 2017, S. 6
ISO 27001 - international breit anerkannter Standard fr
Informationssicherheit, deren Umsetzung zunehmend regulatorisch von
Unternehmen gefordert wird
Der Standard ISO/IEC 27001 enthlt im Kern den Managementrahmen
eines
Informationssicherheits-Managementsystems.
Der frher besonders betonte PDCA-Zyklus (Plan/Do/Check/Act)
spielt mittlerweile eine
kleinere Rolle.
Zu den mindestens umzusetzenden Kontrollmechanismen werden die
in der Norm
ISO/IEC 27002 genannten Mechanismen (Controls) gefordert.
Eine Unternehmens-Zertifizierung ist nach dieser Norm
mglich.
Der Standard ISO/IEC 27002 ist ein Leitfaden zum
Informationssicherheits-
Management.
Die Norm beinhaltet ein umfassendes Angebot an
Kontrollmechanismen, die auf Methodik
und Verfahren basieren, die sich in der Informationssicherheit
bewhrt haben (Best
Practice)
Die ISO-Norm wurde aus dem British Standard BS 7799 Teil 1
entwickelt.
Eine Unternehmens-Zertifizierung ist nach dieser Norm nicht
mglich, dies kann nur nach
der Norm ISO/IEC 27001 erfolgen.
-
GmbH 2017, S. 7
Die direkte Umsetzung der Norm ISO 27001 gestaltet sich in der
Realitt leider aufwndig und schwierig
Fakten: ISO/IEC 27001
ist eine nach Themenfeldern sortierte Ansammlung von
Controls/Anforderungen die an ein ISMS gestellt werden
fragt nur ab, ob bestimmte Themen zur Informationssicherheit
umgesetzt wurden
sagt grundstzlich nicht, wie etwas umgesetzt werden sollte
enthlt kein detailliertes Prozess-Modell, das umzusetzen ist,
sondern Prozess-Vorgaben, die einzuhalten sind
bercksichtigt als internationale Norm die Inhalte nationaler
Regulierung nicht
fordert an vielen Stellen umfangreiche und z. T. recht
brokratische Dokumentationen
Bei der Ausgestaltung eines ISMS werden groe Freiheiten
gelassen, sofern die oben genannten Controls beachtet werden, was
in der Realitt oft Orientierungslosigkeit hervorruft.
-
GmbH 2017, S. 8
Das Produkt Sicherer IT-Betrieb ist vollstndig konform zur ISO
27001 dies hat TViT mit einem Zertifikat besttigt.
Das Produkt "Sicherer IT-Betrieb" wurde in der Basisvariante,
Version 8, 10, 12 und 14 von
der TViT GmbH als "Trusted Product ISO 27001 Tool"
zertifiziert.
Das Zertifikat bescheinigt, dass die Anforderungen "Trusted
Product ISO 27001 Tool" in der
Version 1.0 erfllt sind. Dazu gehrt, dass das Produkt
die Norm ISO 27001 vollstndig und funktional richtig
abdeckt,
alle Phasen des PDCA-Zyklus der ISO 27001 untersttzt,
effiziente Untersttzung bei Erstellung und Management der
ISMS-Dokumentation bietet und
in ausgewhlten Aspekten der Informationssicherheit dem aktuellen
Stand der Technik entspricht.
-
GmbH 2017, S. 9
Das Produkt Sicherer IT-Betrieb deckt alle Anforderungen an die
Informationssicherheit vollstndig ab
Ganzheitlicher Ansatz zum Informationssicherheits- und
IT-Risikomanagement
IS-Lifecycle-Prozessuntersttzung
Nachschlagewerk fr Gesetze, Normen,
Compliance-Themen
werkzeuggesttzte Dokumentationsplattform
Risikoorientierter Ansatz
Harmoniert mit gngigen Standards wie
ISO/IEC 27001:2013,
COBIT,
BSI Schichtenmodell,
IDW,
ITIL
Relevante nationale Regulierung
KPMG hat die Konformitt in Bezug
auf COBIT Security Baseline geprft,
Details siehe
http://www.kpmg.de/bescheinigungen/
requestreport.aspx?30969
-
GmbH 2017, S. 10
Sicherer IT-Betrieb zeigt nicht nur Was umgesetzt werden muss,
sondern auch Wie der Prozess optimal realisiert werden kann
-
GmbH 2017, S. 11
Sicherheit
Sicherheits-
investition
Verbleibende
Risiken
Kosten
Optimum
Gesamtkosten
Dabei mssen Kosten, Nutzen, Anwendbarkeit und Risiken
kontinuierlich austariert werden.
Bequemlichkeit
-
GmbH 2017, S. 12
Neben den Anforderungen der Norm sind gesetzliche und
regulatorische Anforderungen zu beachten
Deutsche Gesetze, Anforderungen von Aufsichtsbehrden
Betreiber kritischer Infrastrukturen: ITSiG / BSIG
Telemediengesetz (TMG)
Branchenspezifika, z. B. Banken/Versicherer: KWG, MaRisk, MaSI,
VAG / VVG, MaRisk VA
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG)
Handelsgesetzbuch (HGB)
Grundstze zur ordnungsmigen Fhrung und Aufbewahrung von Bchern,
Aufzeichnungen und Unterlagen in
elektronischer Form sowie zum Datenzugriff (GoBD)
EU-Datenschutzgrundverordnung (EU-DSGVO),
Bundesdatenschutzgesetz (BDSG),
Telekommunikationsgesetz (TKG)
Strafgesetzbuch (StGB)
Stellungnahmen, Prfungsstandards- und -hinweise der
Wirtschaftsprfer
ISO / IEC 27001, 27002, 27005
CobiT
Rechtsprechung
-
GmbH 2017, S. 13
Sicherer IT-Betrieb ist ein erprobtes System fr das
Informationssicherheits-Management
Kontinuierliche Weiterentwicklung des Produkts und
Aktualisierung der Inhalte seit
ber 15 Jahren
Bercksichtigung der nderungen aus Gesetzen, Standards, Technik
und Best Practice
Informationssicherheits-Management auf Basis Sicherer IT-Betrieb
wurde inzwischen
bei ber 450 Unternehmen im In- und Ausland (Sprachen: Deutsch
und Englisch)
etabliert.
Hierzu gehren:
Unternehmen aus unterschiedlichen Branchen
Rechenzentren
Sparkassen, Banken und Landesbanken
(ffentliche) Versicherungen
(Finanz-)Dienstleister: Bausparkassen, Investmentgesellschaften,
Leasinggesellschaften,
-
GmbH 2017, S. 14
Unser erprobten und effizienten Lsungen fhren Sie schnell zu
einer Informationssicherheits-Baseline, die bedarfsgerecht
ausgebaut werden kann
Anforderungen:
Gesetzes-Konformitt
Konformitt zu relevanten Standards
angemessene und erprobte Grundlage zur Zertifizierung
praktikabel fr den IT-Betrieb
ISMS-Baseline: Sicherer IT-Betrieb
Optimierung der Sicherheit (optionale Manahmen)
Zertifizierung
Definition
ISMS-Scope
ISMS-Prozess und
Organisation
Inventar der
IT-Werte
Basis-Analyse
der IT-Risiken
Basis-Reports fr
IT-Risiken
Soll-Ist-Vergleich
& Risiken
Manahmen-
plan
BCM / BCP
(Planung/Test)
IT-Notfall
(Planung/Test)
CERT
Support fr
Interne Revision IT-System- Audits
Penetrations-
tests
-
GmbH 2017
Vielen Dank fr Ihr Interesse!
Dr. Keye Moser Diplom-Physiker, CGEIT, CISM
Leiter Sicherheitstechnologie
SIZ GmbH
Simrockstrae 4
53113 Bonn
Telefon: +49 228 4495-7366
Telefax: +49 228 4495-7555
Mobil: +49 151 16230383
[email protected]
www.siz.de
