If you can't read please download the document
Upload
ngocong
View
224
Download
0
Embed Size (px)
Citation preview
GmbH 2017
ISO 27001 umsetzen und managen
Dr. Keye Moser, SIZ GmbH
CeBIT 2017, 22.03.2017
GmbH 2017, S. 2
Unsere 185+ Mitarbeiter setzen seit 1990 Mastbe in Informationssicherheits- und eBanking-Standards sowie seit 2010 auch im Beauftragtenwesen
GmbH 2017, S. 3
Wir haben ein breites Produktportfolio zur Informationssicherheit und Notfallplanung
Sicherer IT-Betrieb: "Trusted Product ISO 27001 Tool"
Produktfamilie fr den Aufbau und Betrieb von ISO 27001-konformen Informationssicherheits-
Managementsystemen
Sicherer Datenschutz
Produktfamilie zur Untersttzung des Datenschutzbeauftragten
Geschftsfortfhrungsplanung / BCM und IT-Notfallplanung
Dokumentationswerkzeug mit vorgefllten Templates und automatisierten Verfahren
S-CERT (Computer Emercency Response Team)
Services zum Management von Schwachstellen und IT-Sicherheitsvorfllen
Auditmodule fr sicherheitsrelevante Themen enthalten:
Checklisten zur Identifikation von Schwachstellen
Bewertungsschema zur Risikoeinschtzung und Ergebnisdarstellung
Sicherheitsleitfden fr gngige IT-Systeme
GmbH 2017, S. 4
Unser Portfolio an Audit-Modulen deckt die wesentlichen Umgebungen ab und wird kontinuierlich ausgebaut (Stand 01/2017)
Betriebssystem-Audits
UNIX-Betriebssysteme
- AIX 5.2 / 5.3 / 6.1 / 7.1
- Solaris 8 / 9 / 10 / 11
- Red Hat Enterprise Linux 6 / 7
Microsoft-Betriebssysteme
- Windows Server 2008 / 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Vista / 7 / 7 SP1 / 10
Virtualisierung
- Citrix-Terminalserver
- Citrix XenApp 7
- Citrix XenServer 6 / 7
- VMware vSphere 4 / 5.x / 6
Mobile-Systeme
- PDA
- iPhone/iPad iOS 8 / 9 / 10
- Blackberry 10
Netzwerk
- Cisco IOS
Storage
- Storage universal
SAP
- SAP Basissystem
- SAP HR/HCM
- SAP NetWeaver Portal
- Delta AIX fr SAP
- Delta Oracle fr SAP
Broanwendungen
- Microsoft Office 2010 / 2013
- Adobe Reader X / XI
- Adobe Flash ab 9.x
Anwendungs-Audits
Datenbanken
- IBM DB2 LUW (Linux, Unix, Windows) 10.x
- Microsoft SQL Server 2008 / 2008 R2
- Microsoft SQL Server 2012 / 2014
- Oracle 10g / 11g / 12c
- RDBMS allgemein
Webserver
- Apache Webserver 1.3 / 2.x
- Apache Tomcat 6 / 7
- Microsoft Internet Information
Services (IIS) 7.5
- Microsoft SharePoint 2007
- Microsoft Office SharePoint Server 2010
- Microsoft SharePoint Server 2013
E-Mail / Groupware
- Microsoft Exchange-Server 2010
- Microsoft Exchange-Server 2013 / 2016
- Lotus Notes 8.x / Notes 9.x
Browser
- Microsoft Internet Explorer 8 / 9 / 10 / 11
- Firefox 38 ESR / 45 ESR
- Google Chrome
bergeordnete Audits
- Schutz vor Malware
- Content-Security
- SPAM
- LAN-Sicherheit
- TK-Anlage und VoIP
GmbH 2017, S. 5
Mit unserem Beratungsangebot decken wir alle wichtigen Bereiche der Informationssicherheit und der Notfallplanung ab
Beratung zum Einsatz / Hrtung von Systemen
Beratung zur Dienstleistersteuerung
Aufbau /Optimierung Geschftsfortfhrungsplanung / BCM
und IT-Notfallplanung
Konzeption und Durchfhrung von Notfallbungen
Durchfhrung von Audits, Penetrationstests, Sicherheitsanalysen
Aufbau / Optimierung von Informationssicherheits- und IT-Risiko-Management-
systemen
Zertifizierung von Informationssicherheits-Managementsystemen
Langfristuntersttzung des Informationssicherheits-Managements
Outsourcing Datenschutzbeauftragter
IT-Sicherheit
IT-Risiko
GmbH 2017, S. 6
ISO 27001 - international breit anerkannter Standard fr Informationssicherheit, deren Umsetzung zunehmend regulatorisch von Unternehmen gefordert wird
Der Standard ISO/IEC 27001 enthlt im Kern den Managementrahmen eines
Informationssicherheits-Managementsystems.
Der frher besonders betonte PDCA-Zyklus (Plan/Do/Check/Act) spielt mittlerweile eine
kleinere Rolle.
Zu den mindestens umzusetzenden Kontrollmechanismen werden die in der Norm
ISO/IEC 27002 genannten Mechanismen (Controls) gefordert.
Eine Unternehmens-Zertifizierung ist nach dieser Norm mglich.
Der Standard ISO/IEC 27002 ist ein Leitfaden zum Informationssicherheits-
Management.
Die Norm beinhaltet ein umfassendes Angebot an Kontrollmechanismen, die auf Methodik
und Verfahren basieren, die sich in der Informationssicherheit bewhrt haben (Best
Practice)
Die ISO-Norm wurde aus dem British Standard BS 7799 Teil 1 entwickelt.
Eine Unternehmens-Zertifizierung ist nach dieser Norm nicht mglich, dies kann nur nach
der Norm ISO/IEC 27001 erfolgen.
GmbH 2017, S. 7
Die direkte Umsetzung der Norm ISO 27001 gestaltet sich in der Realitt leider aufwndig und schwierig
Fakten: ISO/IEC 27001
ist eine nach Themenfeldern sortierte Ansammlung von Controls/Anforderungen die an ein ISMS gestellt werden
fragt nur ab, ob bestimmte Themen zur Informationssicherheit umgesetzt wurden
sagt grundstzlich nicht, wie etwas umgesetzt werden sollte
enthlt kein detailliertes Prozess-Modell, das umzusetzen ist, sondern Prozess-Vorgaben, die einzuhalten sind
bercksichtigt als internationale Norm die Inhalte nationaler Regulierung nicht
fordert an vielen Stellen umfangreiche und z. T. recht brokratische Dokumentationen
Bei der Ausgestaltung eines ISMS werden groe Freiheiten gelassen, sofern die oben genannten Controls beachtet werden, was in der Realitt oft Orientierungslosigkeit hervorruft.
GmbH 2017, S. 8
Das Produkt Sicherer IT-Betrieb ist vollstndig konform zur ISO 27001 dies hat TViT mit einem Zertifikat besttigt.
Das Produkt "Sicherer IT-Betrieb" wurde in der Basisvariante, Version 8, 10, 12 und 14 von
der TViT GmbH als "Trusted Product ISO 27001 Tool" zertifiziert.
Das Zertifikat bescheinigt, dass die Anforderungen "Trusted Product ISO 27001 Tool" in der
Version 1.0 erfllt sind. Dazu gehrt, dass das Produkt
die Norm ISO 27001 vollstndig und funktional richtig abdeckt,
alle Phasen des PDCA-Zyklus der ISO 27001 untersttzt,
effiziente Untersttzung bei Erstellung und Management der ISMS-Dokumentation bietet und
in ausgewhlten Aspekten der Informationssicherheit dem aktuellen Stand der Technik entspricht.
GmbH 2017, S. 9
Das Produkt Sicherer IT-Betrieb deckt alle Anforderungen an die Informationssicherheit vollstndig ab
Ganzheitlicher Ansatz zum Informationssicherheits- und IT-Risikomanagement
IS-Lifecycle-Prozessuntersttzung
Nachschlagewerk fr Gesetze, Normen,
Compliance-Themen
werkzeuggesttzte Dokumentationsplattform
Risikoorientierter Ansatz
Harmoniert mit gngigen Standards wie
ISO/IEC 27001:2013,
COBIT,
BSI Schichtenmodell,
IDW,
ITIL
Relevante nationale Regulierung
KPMG hat die Konformitt in Bezug
auf COBIT Security Baseline geprft,
Details siehe
http://www.kpmg.de/bescheinigungen/
requestreport.aspx?30969
GmbH 2017, S. 10
Sicherer IT-Betrieb zeigt nicht nur Was umgesetzt werden muss, sondern auch Wie der Prozess optimal realisiert werden kann
GmbH 2017, S. 11
Sicherheit
Sicherheits-
investition
Verbleibende
Risiken
Kosten
Optimum
Gesamtkosten
Dabei mssen Kosten, Nutzen, Anwendbarkeit und Risiken kontinuierlich austariert werden.
Bequemlichkeit
GmbH 2017, S. 12
Neben den Anforderungen der Norm sind gesetzliche und regulatorische Anforderungen zu beachten
Deutsche Gesetze, Anforderungen von Aufsichtsbehrden
Betreiber kritischer Infrastrukturen: ITSiG / BSIG
Telemediengesetz (TMG)
Branchenspezifika, z. B. Banken/Versicherer: KWG, MaRisk, MaSI, VAG / VVG, MaRisk VA
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
Handelsgesetzbuch (HGB)
Grundstze zur ordnungsmigen Fhrung und Aufbewahrung von Bchern, Aufzeichnungen und Unterlagen in
elektronischer Form sowie zum Datenzugriff (GoBD)
EU-Datenschutzgrundverordnung (EU-DSGVO), Bundesdatenschutzgesetz (BDSG),
Telekommunikationsgesetz (TKG)
Strafgesetzbuch (StGB)
Stellungnahmen, Prfungsstandards- und -hinweise der Wirtschaftsprfer
ISO / IEC 27001, 27002, 27005
CobiT
Rechtsprechung
GmbH 2017, S. 13
Sicherer IT-Betrieb ist ein erprobtes System fr das Informationssicherheits-Management
Kontinuierliche Weiterentwicklung des Produkts und Aktualisierung der Inhalte seit
ber 15 Jahren
Bercksichtigung der nderungen aus Gesetzen, Standards, Technik und Best Practice
Informationssicherheits-Management auf Basis Sicherer IT-Betrieb wurde inzwischen
bei ber 450 Unternehmen im In- und Ausland (Sprachen: Deutsch und Englisch)
etabliert.
Hierzu gehren:
Unternehmen aus unterschiedlichen Branchen
Rechenzentren
Sparkassen, Banken und Landesbanken
(ffentliche) Versicherungen
(Finanz-)Dienstleister: Bausparkassen, Investmentgesellschaften, Leasinggesellschaften,
GmbH 2017, S. 14
Unser erprobten und effizienten Lsungen fhren Sie schnell zu einer Informationssicherheits-Baseline, die bedarfsgerecht ausgebaut werden kann
Anforderungen:
Gesetzes-Konformitt
Konformitt zu relevanten Standards
angemessene und erprobte Grundlage zur Zertifizierung
praktikabel fr den IT-Betrieb
ISMS-Baseline: Sicherer IT-Betrieb
Optimierung der Sicherheit (optionale Manahmen)
Zertifizierung
Definition
ISMS-Scope
ISMS-Prozess und
Organisation
Inventar der
IT-Werte
Basis-Analyse
der IT-Risiken
Basis-Reports fr
IT-Risiken
Soll-Ist-Vergleich
& Risiken
Manahmen-
plan
BCM / BCP
(Planung/Test)
IT-Notfall
(Planung/Test)
CERT
Support fr
Interne Revision IT-System- Audits
Penetrations-
tests
GmbH 2017
Vielen Dank fr Ihr Interesse!
Dr. Keye Moser Diplom-Physiker, CGEIT, CISM
Leiter Sicherheitstechnologie
SIZ GmbH
Simrockstrae 4
53113 Bonn
Telefon: +49 228 4495-7366
Telefax: +49 228 4495-7555
Mobil: +49 151 16230383
www.siz.de