ISMS Flashcards
Managementsystem Bestandteile
- Führung durch das Management
- Steuermechanismen: etablierte Prozesse lenken
- Kontrollmechanismen: werden Ziele der Prozesse erreicht?
Motivation für (Informationssicherheit-)Managementsystem
- Selbstauferlegt
- Von Kundenseite gefordert
- Durch Gesetzgeber gefordert
Ziele von Managementsystem
- Verbessertes Risikomanagement
- Wirksames Sicherheitsmanagement
- Geschäftsvorteil
Inhalte der ISO 27001
- Verfügbarkeit
-> Dokumentation
-> Führungsverhalten und Verpflichtung - Integrität
-> Fähigkeiten und Awareness
-> ISMS-Prozesse
-> Lieferantenbeziehungen
-> Interne Audits - Vertraulichkeit
-> Leitlinie und Richtlinien
-> Rollen und Verantwortlichkeiten
-> Risikomanagement
-> Performance Monitoring & KPIs
Annex der ISO 27001 / Inhalte
- Governance
- Schutz von Informationen
- Personalsicherheit
- Verwaltung der Assets
- Identitäts- und Zugriffsmanagement
- Sichere Konfiguration
- Physische Sicherheit
- Management von Bedrohungen und Schwachstellen
- System- und Netzwerksicherheit
- Softwaresicherheit
- Lieferantenbeziehungen
- Handhabung von Informationssicherheitsvorfällen
- BCM
- Recht und Compliance
- Security Assurance
Identifizierung des Geltungsbereiches (Scope)
- Identifizierung der Assets (Relevante Geschäftsbereiche, Prozesse, Werte)
und - Anforderungsanalyse (Identifizierung von Schnittstellen, internen und externen Anforderungen sowie Interessensgruppen)
-> Festlegung des Scopes
Interner und externer Geltungsbereich
- Intern: Geschäftsmodell, Assets, Struktur, Standorte, Interne Vorgaben, Kultur
- Extern: Gesetzliche Anforderungen, Regulatorische Anforderungen (Finanzsektor), Vertragliche Anforderungen, Dienstleister, Kunden
Begrenzung des Geltungsbereiches
- Grenzdefinition über Zutritt (Physikalische und räumliche Grenzen, Standorte ausschließen)
- Grenzdefinition über Zugang und Zugriff (Logische und technische Grenzen, IT-Systeme ausschließen)
- Grenzdefinition über organisatorische Grenzen (Organisationsstrukturen definieren, Abteilungen, die keinen Einfluss auf IS haben ausschließen)
Informationssicherheitsleitlinie Bestandteile
- Schutzziele
- Informationsklassifizierung
- Ziele/Schlüsselkennzahlen
- Verantwortung
- Sicherheitsprozess
- Richtliniensystem/Dokumentenlenkung
Aufbau ISMS-Dokumentation
- unten: Detaillierte Regelungen (konkrete Arbeitsanweisungen mit technischen Details)
- mitte: Allgemeine Sicherheitskonzeption (Anwendungsorientierte Richtlinien mit Anforderungen und zugehörigen Maßnahmen)
- oben: Leitlinie (allgemeine Sicherheitsziele)
-> Von oben nach unten wachsende Dokumentenmenge + steigende Detailtiefe und Informationsdichte
Übliche Dokumenteninformationen
- Autor
- Verantwortlicher
- Freigegeben durch
- Gültigkeit
- Status
- Ablageort
- Revisionshistorie
- Ziel und Zweck
- Geltungsbereich
Führung eines ISMS
- Top Management: Behält die Verantwortung, Delegation der Umsetzung an den ISO
- ISO: Zentraler Ansprechpartner für Informationssicherheit, Kontrolle, Überwachung und Koordination der Umsetzung von Aufgaben
- Fachbereich: Übernahme der Umsetzung von bereichsspezifischen Aufgaben und Meldung der Umsetzung an den ISO
Weitere Rollen in ISMS
- CIO: Leiter der IT
- Asset Owner: Verantwortlich für ein Asset
- Risk Owner: Verantwortlich für ein Risiko
- Development Manager: Entwickler/Technischer Verantwortliche für ein Asset
- Provider Manager: Verantwortlicher für Dienstleister
- Datenschutzbeauftragter: Verantwortlicher für Datenschutz
Mögliche Ausschüsse
- Steering Committee (Entscheidungsgremium für Projektmanagement)
-> Projektteam, ISO, Vertreter der Geschäftsleitung/Top Management
-> monatlich - Ausschuss für Informationssicherheit (Sicherstellung eines reibungslosen Betriebsablauf des ISMS)
-> ISO + Top Management/CIO/…
-> 2-4 x im Monat - Management-Ausschuss (Festlegung der Jahresziele, Bereitstellung der Ressourcen)
Grundsätze einer Kommunikationsstrategie
- Transparenz
- Angemessenheit
- Glaubwürdigkeit
- Klarheit
- Reaktionsfähigkeit
Schritte Awareness
- Festlegung der geeigneten Methodik zur Wissensvermittlung
- Bildung von Zielgruppen bzw. Wissensgruppen
- Festlegung der Themengebiete
Schulungsmethoden
- Training (intellektuell, Erwerb von Fähigkeiten)
- Sensibilisierung (Änderung von Gewohnheiten, Emotionen & Verhalten)
- Kommunikation (Informierung, an den Intellekt gerichtet)
Typische Schulungsinhalte für Endnutzer
- Sicherheitsrichtlinien
- Nutzung privater Dateien/Systeme
- Verwaltung von Sicherheitsvorfällen
- Sicherheit von Laptops & Handys
- Schutz vor Viren
- Verwendung von Passwörtern
- Richtige Nutzung des Internets
- Datensicherung und -speicherung
- Individuelle Rolle & Verantwortung
Erklärung der Anwendbarkeit (Statement of Applicability)
- Zentrales Dokument des ISMS, ist bei der Zertifizierung Pflicht
-> Ggf. Ausschluss von Maßnahmen
-> Prüfung aller 114 Sicherheitsmaßnahmen im Annex auf Anwendbarkeit
-> Rechtfertigung und Einbeziehung aller aus- und abgewählten Controls notwendig
-> Verweis auf Risikobehandlungsmethoden
Werkzeuge zur Überwachung des ISMS
- Kennzahlensystem
- Interne Audits (Überprüfung der Konformität des ISMS durch unabhängige Partei)
- Management Review (Überprüfung der Wirksamkeit des ISMS durch die oberste Leitung)
Arten von Audits
- Zweitpartei Audit (Kunden auditieren Organisation)
- Zweitpartei Audit (Organisation auditiert Lieferanten)
- Drittpartei Audit (Organisation wird von einer unabhängigen Stelle auditiert)
- Erstpartei Audit (Organisation auditiert eigene Systeme)
Management Review
- Involvierung des Managements in den Prozess der Informationssicherheit
-> Treffen von Entscheidungen über essenzielle Grundlagen für das nächste Jahr
-> Sensibilisierung des Managements für Themen der Informationssicherheit
-> Feedback vom Management
-> muss mind. 1 mal im Jahr stattfinden
Zertifizierung
- Verfahren, bei dem ein Dritter schriftlich bescheinigt, dass ein Produkt, Prozess oder eine Dienstleistung bestimmten Kriterien entspricht
-> Zertifizierung wird durch eine akkreditierte Zertifizierungsstelle durchgeführt
-> ISMS muss mind. 3 Monate im Betrieb sein
-> Internes Audit und Managementbewertung müssen mindestens einmal stattgefunden haben
Ablauf der Erst-Zertifizierung
- Auswahl einer Zertifizierungsstelle
- Vorbereitung auf das Audit
- Stage 1 Audit
-> Dokumentation wird überprüft + Interviews mit ISO & Top Management - Stage 2 Audit
-> Umsetzung wird geprüft + Nachweise gefordert - Follow-Up Audit
-> GGf. festgestellt Mängel müssen beseitigt werden - Zertifizierungsentscheidung
Überwachungs- und Rezertifizierungsaudits
- Überwachungsaudit: Prüfung 1/3 der Maßnahmen sowie aller Hauptkapitel
- nochmal
- Rezertifizierungsaudit: Prüfung aller Maßnahmen sowie aller Hauptkapitel
- dauert 3 Jahre
Standards des BSI IT-Grundschutzes
BSI Standards:
- 200-1: Managementsysteme für Informationssicherheit
- 200-2: IT Grundschutz Methodik
- 200-3: Risikomanagement
- 200-4: Business Continuity Management
ISMS Standards
- BSI IT-Grundschutz
- NIST Cybersecurity Framework
- Compliance-Informationssicherheits-Managementsystem in 12 Schritten
Identifizierung von Kernprozessen und -aktivitäten (zur Grenzbestimmung)
- Informationsgüter: Was sind die wichtigsten Informationsgüter der Organisation?
- Produkt & Dienstleistungsangebote: Welche Güter und Dienstleistungen stellt die Organisation her?
- Geschäftsvorgänge: Was sind Schlüsselprozesse, die es der Organisation erlauben, die Firmenziele zu erreichen?
Identifizierung der Infrastruktur (zur Grenzbestimmung)
- Hardware
- Software
- Netzwerke
- Standorte
Identifizierung und Analyse der Interessenten (zur Grenzbestimmung)
- Finanzinstitute
- Anbieter
- Kunden
- Interessensgruppen
- Shareholders
- Öffentlichkeit
- Medien
- Gesetzgerber
- Angestellte
- Aufsichtsrate
- Managementteam
- Gewerkschaften
Dokumentenregelung Definition
Dient der Regelung von Vorgehensweisen für die:
- Identifizierung
- Erstellung
- Pflege
- Überprüfung
- Freigabe
der Dokumente des Unternehmens
Dokumentenverwaltungsprozess
- Identifizierung
- Erstellung/Update
- Klassifizierung und Sicherheit
- Überprüfung
- Genehmigung
- Veröffentlichung
- Angemessene Verwendung
- Archivierung
- Entsorgung
Kontinuierlicher Verbesserungsprozess ISMS
- Input: KPIs, Ergebnisse aus Audits/Risk Assessments/Management Reviews
- Output: Abweichungen, Grad der Abweichung, Ursache, Notwendige Korrekturmaßnahme
Definition Informationssicherheitsleitlinie
Gefordertes Dokument nach ISO 27001: Beschreibung der Ziele, die das Unternehmen mithilfe des ISMS erreichen möchte
Unterschied ISO 27001 / BSI IT-Grundschutz
- Gemeinsamkeit: Aufbau eines ISMS zur Reduzierung von Risiken im Bereich der IS durch geeignete Maßnahmen auf ein akzeptables Maß. Projektphasen nach PCDA Zyklus
-> international / deutschlandweit
-> abstrakte Top-Down Methode (Risikoanalyse auf Basis der Prozesse)/Bottom-Up mit klarer Maßnahmenbehandlung (Absicherung der IT-Systeme)
Vorgehensweise BSI IT-Grundschutz
- Festlegung des Geltungsbereiches
- Strukturanalyse (IST)
- Schutzbedarfsfeststellung (Zusammenspiel Geschäftsprozesse/Anwendungen und IT)
- Modellierung der Sicherheitsanforderungen
- IT-Grundschutz-Check 1 (Gap Analyse)
- Risikoanalyse
- Konsolidierung (Festlegung/Konkretisierung von Maßnahmen)
- IT-Grundschutz-Check Teil 2 (Prüfung, ob Maßnahmen schon teilweise umgesetzt)
- Realisierung (Umsetzung + kontinuierliche Verbesserung)
Detailgrade des BSI IT-Grundschutzes
- Basis: Relevante Geschäftsprozesse
- Kern: Besonders krit. Gp.
- Standard: alle Prozesse und Bereiche
KPI Merkmale
- Spezifisch
- Messbar
- Wiederspiegelung des Reifegrads
- Angemessener Aufwand zur Erhebung
- Erreichbar
- Ergebnisorientiert
- Zeitlich gebunden
- Technisch / organisatorisch ?
- Aussagekräftige Datenbasis
- Ableitung von konkreten Maßnahmen