2019 Einführung ISMS nach ISO27001 - veritas-group.de · Vorgehensweise Einführung ISMS nach ISO27001 Sicherheit ist kein Produkt Sicherheit kann nicht erkauft, Sicherheit muss

Einführung ISMS nach ISO27001Vorgehensweise, Kompetenzen, Maßnahmen

Veritas Management Group GmbH & Co.KG

2019

Vorgehensweise Einführung ISMS nach ISO27001

▪Sicherheit ist kein Produkt

▪Sicherheit kann nicht erkauft, Sicherheit muss erschaffen werden. Natürlich wird zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgegriffen.

▪Sicherheit ist kein Projekt

▪Es genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheit muss aufrecht erhalten werden. Aufbau und Aufrechterhaltung von Sicherheit wird auch teilweise in Projekten abgewickelt.

Sicherheit ist ein Prozess!

Täti

gkeit

en

Erg

ebnis

se

◼ Sicherheitsleitlinie erstellen

◼ Verantwortlichkeiten

◼ Richtlinien

◼ Risikosituation

◼ Ressourcen, Kompetenzen

◼ Erfassung physischer und technischer Maßnahmen

◼ Bestandsaufnahme Netzinfrastruktur

◼ Prozesse zur Messung und Überwachung

◼ Ist-Zustand ist

dokumentiert

Ist-Aufnahme

Definition

Anwendungs-

bereich

Definition der

Sicherheitsziele

und Politik

Risiko-

identifizierung

Festlegung

Maßnahmen

Umsetzung der

IS-Maßnahmen

Überwachung &

Verbesserung

◼ Identifikation der primären und sekundären/unter-stützenden Assets

◼ Identifikation der relevanten internen und externen Aspekte

◼ Identifikation der Anforderungen und Erwartungen Dritter

◼ Identifikation der Schnittstellen zwischen intern und extern ausgeführten Aufgaben

◼ Identifikation von Sicherheitszielen aus den Prozessen

◼ Festlegung der Organisationsstruktur des Sicherheitsmanagements

◼ Ermittlung der benötigten Ressourcen

◼ Definition von Verantwortlichkeiten

◼ Definition von Messmethoden

◼ Definition von Kommunikations-strukturen

◼ Festlegung eines Risikomanagement-prozesses

◼ Festlegung von Risikokategorien und -kriterien

◼ Definition des Risiko-Eigners

◼ Durchführung von Risikoanalysen

◼ Festlegung angemessener Maßnahmen zur Risikobehandlung

◼ GAP-Analyse be-stehendes ISMS

◼ Erstellung der SoA

◼ Festlegung der notwendigen Ressourcen

◼ Personalanforderung und erforder-liche Kompetenzen festlegen

◼ Konzeption der Prozesse (Behand-lung von Incidents, Dokumentation, Interne Audits,...)

◼ In Risikoanalyse identifizierte Maßnahmen priorisieren, planen und konzeptionieren

◼ Umsetzung der in den Risikoanalysen identifizierten Maßnahmen sowie der geplanten Prozesse

◼ Erkennung und Analyse von Sicherheitsvorfällen

◼ Durchführung von Sensibilisierungs- und Schulungs-maßnahmen

◼ Regelmäßige Durchführung von Risikoanalysen und Anpassung der Risikobehandlungspläne

◼ Wirksamkeit der Maßnahmen und Prozesse messen

◼ Durchführung von internen Sicherheits-und Lieferantenaudits

◼ Durchführung von Managementbewer-tungen

◼ Abweichungen korrigieren

◼ Verbesserungs-möglichkeiten umsetzen

◼Geltungsbereich ist

definiert und klar

abgegrenzt

◼Sicherheitsrichtlinie

und Politik sind

erstellt, und

veröffentlicht

Bedarfsanalyse SicherheitskonzeptionOperatives

Sicherheitsmanagement

Kommunikation und

Changemanagement

◼Risikoanalyse ist

erstellt und der

Risikobehandlungs-

plan ist definiert

◼Die Maßnahmen sind

geplant und

konzeptioniert

◼Die unternehmens-

eigene Sicherheits-

konzeption ist

umgesetzt

◼Gemäß P-D-C-A-Zyklus

wird der ISMS

kontrolliert und

überwacht


Bedarfsanalyse

◼ Sicherheitsleitlinie erstellen

▪ Der Geltungsbereich zur Einführung des ISMS muss definiert werden.

▪ Allgemein gilt: „Scope“, der Anwendungen und Systeme, die betrachtet werden sollen.

▪ Weitere Bereiche können bei Bedarf hinzu genommen werden.

▪ Dies ist ein zentrales Dokument und bildet die Grundlage für ein ISMS, da hier die Ziele des Unternehmens definiert und von der Geschäftsführung veröffentlicht werden.

IST-Aufnahme



Phasen im Projekt Initialisierung IST-Aufnahme Implementierung Vor-Audit Audit Re-Audit

Geschäftsführer ◼

IT-Sicherheitsbeauftragter ◼ ◼ ◼ ◼ ◼ ◼

Berater ◼ ◼ ◼ ◼ ◼ ◼

Auditor ◼ ◼ ◼

Revision ◼ ◼ ◼

IT-Leiter ◼ ◼ ◼ ◼ ◼ ◼

Leiter Netzsteuerung ◼ ◼ ◼ ◼ ◼

Arbeitssicherheitsingenieur ◼ ◼

Verantwortlicher QM ◼ ◼

Verantwortlicher Umwelt ◼ ◼

Facility-Verantwortlicher ◼ ◼

Personal-Verantwortlicher ◼ ◼

Risiko-Manager ◼ ◼ ◼ ◼ ◼ ◼

Datenschutzbeauftragter ◼ ◼

Lieferanten ◼ ◼

Externe Dienstleister ◼ ◼ ◼ ◼ ◼

◼ beteiligt; ◼ ggf. beteiligt, wenn nötig

◼ Verantwortlichkeiten

Bedarfsanalyse

IST-Aufnahme


Bedarfsanalyse

▪ Um mögliche Schäden quantifizieren zu können, ist es notwendig, alle materiellen und immaterielle Werte zu erfassen. Hierzu zählen: Mitarbeiter, Patente, Anwendungen, ...

▪ Hier sind u.a. relevant:

▪ Systeme und Systembetrieb (z.B. Zentrale Messwerterfassungssysteme, Datenarchivierungssysteme, …)

▪ Übertragungstechnik und Kommunikation (z.B. Router, Switches, Firewalls, Übertragungstechnische Netzelemente, Funksysteme, Kommunikationsendgeräte, …)

▪ Sekundär-, Automatisierungs- und Fernwirktechnik (z.B. Steuerungs- und Automatisierungs-komponenten, Leit- und Feldgeräte, Fernwirkgeräte, Mess- und Zählvorrichtungen, …)

▪ Die Bestandsaufnahme listet alle Assets auf, die sich innerhalb des Geltungsbereiches befinden und grenzt diesen somit klar ab.

◼ Bestandsaufnahme NetzinfrastrukturIST-Aufnahme

Der Übergabepunkt grenzt den Bereich der Bestandsauf-nahme Netzinfrastruktur ab.

Die Bestandsaufnahme erfolgt erst nach diesem Punkt.


▪ Auflistung aller zum Geltungsbereich gehörenden Assets

–Standorte

–Netztechnik

–IT-Infrastruktur

–Personal

–Dienstleister

–Systeme

–Anwendungen

–...

Gruppierung zu logischen EinheitenFührt zur Vereinfachung der Risikoanalyse

Evtl. UmstrukturierungUmstrukturierung von Assets für eine bessere Übersicht (inhaltlich bzw. auch physisch)

◼ Identifikation der primären und sekundären/unterstützenden AssetsDefinition Anwendungsbereich

Sicherheitskonzeption

▪ Im Rahmen der Risikoanalyse stehen standardisierte Verfahren zur Verfügung, welche quantitative und/oder qualitative Ergebnisse liefern.

▪ Für den Bereich der Einführung eines ISMS hat sich der Standard ISO 27005 etabliert.

▪ Andere Verfahren sind auch anwendbar, sollten jedoch die spezifischen Merkmale der Informationssicherheit beinhalten.

▪ Aus dem Ergebnis der Risikoanalyse werden die Maßnahmen der IT-Sicherheit erarbeitet und abgeleitet.


Risikoidentifizierung ◼ Durchführung von Risikoanalysen


(Kriterien: Auswirkung, Eintrittswahrscheinlichkeit und Erkennbarkeit)

Ausführliche Risikoanalyse auf alle erfassten Assets• Erfassen der momentanen IST-Situation

• Erfassen der momentanen Maßnahmen

• Abbilden möglicher Risiko-Szenarien

• Betrachtung des Business Impacts

• Betrachtung der Außenwirkung

• Betrachtung der Kostenaspekte


◼ Durchführung von RisikoanalysenRisikoidentifizierung


▪ Mit dem Umgang der Risiken und den Anforderungen aus der ISO 27001 wird ein wichtiges Dokument des ISMS befüllt: die SoA

▪ Eine Feststellung/Erklärung zur Anwendbarkeit beinhaltet folgenden Merkmale:

▪ IT-Sicherheitszielsetzungen und die eingesetzten Maßnahmen sowie die Gründe für ihre Auswahl

▪ IT-Sicherheitszielsetzungen und die umgesetzten Maßnahmen

▪ Ausschluss von IT-Sicherheitszielsetzungen und eingesetzten Maßnahmen gem. Anhang A ISO 27001 und die Begründung für ihren Ausschluss

▪ Die SoA listet alle geforderten Maßnahmen auf und ist ein zentrales Dokument für den aktuellen Stand der Umsetzung der Maßnahmen. Der Reifegrad der Umsetzung einer ISO lässt sich hier ablesen.

◼ Erstellung der SoARisiko-identifizierung



▪ Erarbeitung der Einzelmaßnahmen anhand der Risikoanalyse

▪ Überprüfen der vorhandenen technischen und organisatorischen Maßnahmen

▪ Im Rahmen eines Best-Practices-Ansatzes werden bestehende Strukturen genutzt und angepasst

▪ Neue technische und organisatorische Maßnahmen können u.a. sein:

▪ Dienstanweisungen

▪ Richtlinien (Clear-Desk-Policy, Datenträgervernichtung, ...)

▪ Vorschriften zur Systemhärtung, Antivirensoftware, ...

▪ Klassifizierung von Assets


◼ In Risikoanalyse identifizierte Maßnahmen priorisieren, planen und konzeptionierenFestlegung Maßnahmen


Regelmäßige Überprüfung der Maßnahmen

▪ Im Rahmen von regelmäßigen Audits werden die umgesetzten Maßnahmen überprüft und bei Bedarf

entsprechend angepasst.

▪ Dies kann einen erheblichen Aufwand darstellen und umfangreiche organisatorische Aktivitäten

erfordern, wie z.B.:

▪Änderung von Arbeitsplänen

▪Neuausrichten von Leittechnik

▪Überprüfen von Stammdaten

▪Durchführung von Schulungen

▪Anpassung von Aufbau- und Ablauforganisation)

▪Zusätzliche Investitionen (an allen vergleichbaren Arbeitsplätzen, in allen Werken)

Ursachen dieser Änderungen können z.B. neue gesetzliche und regulatorische Anforderungen sein.


◼ Wirksamkeit der Maßnahmen und Prozesse messenÜberwachung & Verbesserung


13

Testweise Umsetzung an vereinzelten Stellen

Überprüfung der Tests auf Funktionalität und Sinnhaftigkeit

Technische und organisatorische Maßnahmen sind umgesetzt

Unternehmensweites Ausrollen der Maßnahmen


Eine durchdachte Struktur ist für den Aufbau eines ISMS wichtig, da es die Orientierung erheblich erleichtert.

Hierzu können schon vorhandene Systeme genutzt werden, indem dort die entsprechenden Strukturen erstellt werden.

Hilfsprogramme zur Etablierung eines ISMS geben indes meist noch Hilfestellungen, sodass fehlende Merkmale des ISMS eingepflegt werden können.


▪ Definition der IT-Sicherheit: Darunter fallen allgemeine und besondere Sicherheitsziele, welche die Bedeutung

von IT-Sicherheit untermauern.

▪ Intentionen der Geschäftsleitung, damit alle Beteiligten von dem Sinn und Zweck der IT-Sicherheit oder einem

speziellen Sicherheitsgrad überzeugt werden können.

▪ Ein Rahmenwerk für den Einsatz der Ziele und Kontrollen, was auch die Struktur der Risikoabschätzung und des

Risikomanagements betrifft.

▪ Eine knappe Erklärung der Sicherheitsrichtlinien, Prinzipien, Standards und betrieblichen oder dienstlichen

Vereinbarungen, die Folgendes beinhalten:

▪ Vereinbarungen, die den gesetzlichen Bestimmungen des jeweiligen Landes oder der Branche entsprechen

▪ Sicherheitsschulungen, die nicht nur Fakten vermitteln, sondern auch das Sicherheitsbewusstsein aufbauen

und stärken

▪ das Fortführen der Geschäftsabläufe bei Auftreten von Sicherheitsvorfällen

▪ Konsequenzen, die eine Verletzung der IT-Sicherheitsrichtlinie mit sich ziehen

▪ Eine Definition des Tätigkeitsfeldes des IT-Sicherheitsmanagements. Im Tätigkeitsfeld sollten die allgemeinen

und speziellen Verantwortlichkeiten der Personen beschrieben sein. Mitglied des IT-Sicherheitsmanagements ist

für Energieversorger der Ansprechpartner IT-Sicherheit.

▪ Verweise zu weiteren externen Quellen, die die Dokumentation unterstützen, wie beispielsweise zu einer

besonders detaillierten Sicherheitsrichtlinie.


▪ Anforderung nach ISO 27001 Kapitel 7.5:

▪ „Das Informationssicherheitsmanagementsystem der Organisation muss Folgendes umfassen:

a) nach dieser internationalen Norm erforderliche dokumentierte Informationen und b) von

der Organisation als für die Wirksamkeit des Informationssicherheitsmanagementsystems

erforderlich befundene dokumentierte Informationen.“

▪ Für die Maßnahmen gilt hierbei:

▪ Beschreibungen der operativen Verfahren, Konzepte, Arbeits- und Dienstanweisungen.

▪ Die Dokumente müssen derart abgelegt sein, dass die betroffenen Parteien diese problemlos

einsehen können.

6-9

Monate

2-3

Monate

3-6

Monate

Tätigkeiten

Aufnahme der vorhandenen Netzinfrastruktur (Systeme, Komponenten,

Anwendungen, Personen etc. im Geltungsbereich)

Risikoeinschätzung: nach Kapitel 6.1.2 ISO 27001:2013: kritisch, hoch, mäßigRisikobehandlung: Erarbeitung der unternehmensspezifischen Maßnahmen nach Kapitel 6.1.3 ISO 27001

Sicherheitskategorien und Maßnahmen: erarbeitet basierend auf ISO 27001 Teil A, ergänzt um die ISO 27019

Festlegung des Geltungsbereiches (für Energieversorger ist die Basis schon

definiert)

Ressourcen bereit stellen

Zuständigkeiten

Asset-Owner

Ansprechpartner IT-

Sicherheit

Management

Ansprechpartner IT-

Sicherheit

Management

Management

Ansprechpartner IT-

Sicherheit

Umsetzung und Etablierung der Maßnahmen aus der Risikobehandlung:Kapitel 6.1.3 ISO 27001

Management

Ansprechpartner IT-

Sicherheit

Bedarf

sanaly

seSic

herh

eit

s-

konzepti

on

Opera

tives

Sic

herh

eit

smanage-

ment

Aufgaben

Bestandsaufnahme

Risikoanalyse

Erklärung zur

Anwendbarkeit

Leitlinie

Umsetzung &

Etablierung

Zertifizierung



(ungefährer Aufwand nach Unternehmensgröße)

▪ Zeitaufwand für die Einführung eines ISMS

▪ < 10 Mitarbeiter: bis zu 4 Monate

▪ 10 - 50 Mitarbeiter: bis zu 8 Monate

▪ 50 - 500 Mitarbeiter: bis zu 12 Monate

▪ > 500 Mitarbeiter: über 18 Monate

▪ Zeitaufwand Zertifizierung

▪ ca. 2-3 Monate (inkl. Audits und Erstellung des Zertifikats)

4 Monate

IST-Aufnahme

• Beginn 07/2016

9 Monate

Etablierung und Umsetzung

2 Monate

Zertifizierung

• Ende: 10/2017Geschätzter Zeitstrahl für ein mittleres Unternehmen mit 200 Mitarbeitern

Dokument erstellt durch

Information Security Management Center Team

Veritas Management Group

Bereichsleiter ISMC

Email: [email protected]

Telefon: +49 8104 / 64832-0

Mobil: +49 151 – 72 64 44 51

www.veritas-group.de

mailto:[email protected]

http://www.veritas-group.de/

Documents

2019 Einführung ISMS nach ISO27001 - veritas-group.de · Vorgehensweise Einführung ISMS nach ISO27001 Sicherheit ist kein Produkt Sicherheit kann nicht erkauft, Sicherheit muss