© Computacenter 2014

Wilhelm Suffel

Senior Consultant

Computacenter AG & Co oHG

Hörselbergstraße 7, 81677 München, Germany

Tel.: +49 89 45712 446

Mobile: +49 172 8218825

E-Mail: wilhelm.suffel@computacenter.com

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

1

© Computacenter 2014

Agenda

ISMS nach ISO 27001

Herausforderungen komplexer Umgebungen

Umsetzung mit RSA Archer

Kurzdemonstration

2

© Computacenter 2014

ISMS nach ISO 27001

3

© Computacenter 2014

ISO 27001 ist ein ganzheitlicher Ansatz, der aus zwei

Teilen besteht

4

Information

Security

Management

System

Management

System

Schutz-

maßnahmen

© Computacenter 2014

Das Management System versorgt die „Governance“

mit Informationen

5

Risiken

Audits,

Verbesser-

ungen

Sicherheits-vorfälle,

Metriken

Governance

… Schutz-

maßnahme

Schutz-

maßnahme Schutz-

maßnahme

Risikoanalyse

Einführen von

Schutzmaßnahmen

Mitarbeiter

sensibilisieren

Interne Audits

etc.

© Computacenter 2014

Schutzmaßnahmen erzeugen Informationssicherheit

6

Sicherheitspolitik

Organisation der Informationssicherheit

Personalsicherheit

Management von Werten

Zugangskontrolle

Verschlüsselung

Physikalische Sicherheit

Einhaltung der Verpflichtungen

Geschäftskontinuität

Behandlung von

Sicherheitsvorfällen

Beschaffung, Entwicklung und Wartung von

Informationssystemen

Kommunikationssicherheit

Sicherheit im Betrieb

Lieferantenbeziehungen

© Computacenter 2014

Das „Statement of Applicability“ (SoA) beschreibt das

Sicherheitsprofil einer Organisation

7

Beinhaltet die Beschreibung der

Implementierung und die Begründung

zur Umsetzung von Schutzmaßnahmen

Dokumentiert den Status der

Umsetzung von Schutzmaßnahmen

Dient als Hauptdokument im

Rahmen einer Zertifizierung

Beinhaltet zusätzliche Maßnahmen

(z.B. Regulative Anforderungen)

Statement of

Applicability

Zertifizierung

Zusätzliche

Maßnahmen Status

Schutz-

maßnahmen

© Computacenter 2014

ISO 27001 hat unterschiedlichen Nutzen

8

Erfüllung regulativer Anforderungen

Verbesserung des

Unternehmens

Marketing Perspektiven

© Computacenter 2014

Herausforderungen komplexer Umgebungen

9

© Computacenter 2014

Die Komplexität muss verwaltet werden

10

© Computacenter 2014

Datensilos erschweren die Verwaltung der ISMS

Komponenten

11

Audits,

Incidents

Prozesse

Schutz-

maßnahmen

Information

Assets

Risiken

…

Scope

SoA

Inven-

tar

Tickets

Register

© Computacenter 2014

Einfaches Reporting erfordert die flexible

Verknüpfung von Komponenten des ISMS

12

Risiken pro

Prozess

ISO 27001

Compliance ...

?

?

?

?

?

?

ProzesseInformation

Assets Risiken

Schutz-

maßnahmen Incidents Audits …

© Computacenter 2014 13

Einsatz einer Datenbank zur Reduktion der

Komplexität

Umsetzung mit RSA Archer

© Computacenter 2014

RSA Archer ist ein Datenbank basiertes GRC-Tool

14

RSA Archer

GRC Solutions

RSA Archer Platform

…

Integration

Qualys Mcafee MVM Rapid7

(Nexpose)

…

Focused

Solutions Spezifische Usecases

ISO27001

…

Business

Usecases

Application

Application

…

…

Application

…

© Computacenter 2014

15

Die „ISMS Foundation“ nutzt bestehende Solutions

Anwendungsbereich

ISMS Policy

Risikoanalyse

Schutzmaßnahmen

Risikobehandlung

Überwachung

Verbesserung

ISMS Foundation

Enterprise Mgmt

Policy Mgmt

Risk Mgmt

Compliance Mgmt

Audit Mgmt

Incident Mgmt Archer Focused Solution

ISMS

St. of. App.

© Computacenter 2014

Es kommt darauf an, beliebige Datencontainer

abzubilden und einfach Reports zu erzeugen!

16

© Computacenter 2014

Kurzdemonstration

17

© Computacenter 2014

Vorteile der Automatisierung eines ISMS nach ISO

27001 mit RSA Archer

18

Einfache Dashboard Funktionen zur Konfiguration individueller Übersichten.

Mit einem Reporting Wizard erübrigt sich die Verwendung weiterer Reporting-Systeme (z.B. Crystal Reports usw.)

Verwaltung aller Aktivitäten im ISMS Prozess.

Ein flexibles Datenbank Modell schafft Investitionssicherheit.

Zentrale Datenablage für alle Aufzeichnungen und Dokumente des ISMS Prozesses

Einfache Dashboard Funktionen

Flexibles Datenbankmodell

Zentrale Datenablage

Reporting Wizard

Verwaltung aller Aktivitäten

© Computacenter 2014

Offene Fragen / Diskussion

19