Dr. Marlen Hofmann Referentin Informationssicherheit
Informationssicherheit-Managementsystems (ISMS) – mehr als IT-Sicherheit
ONTRAS Netzforum 25.10.2016
Informationssicherheit und ISMS
Rechtliche Grundlagen
Implementierung und Betrieb eines ISMS
Fazit
Agenda
3 © ONTRAS 2015
Informationssicherheit und ISMS
Wissen der Mitarbeiter
Informationen auf Papier
Informationen in IT-Anwendungen
Netzwerkdaten
Lokale Daten auf Endgeräten
Serverdaten
Vertraulichkeit Verfügbarkeit Integrität
Informationen in Standorten
Informationen sind vor unbefugter Veränderung geschützt und liegen stets korrekt und vollständig vor.
Informationen sind vor Verlust geschützt und stehen stets wie vorgesehen zur Verfügung.
Informationen sind stets vor unbefugter Kenntnisnahme durch Dritte geschützt.
Schutz von geschäftskritischen
Informationen & Daten
Schutzziele der Informationssicherheit
Ein ISMS dient der Herstellung von Informationssicherheit.
Informationssicherheit und ISMS
4 © ONTRAS 2015
ISMS – Ein dezentrales Risikomanagementsystem (1)
Informationssicherheit und ISMS
Integrität Verfügbarkeit Vertraulichkeit
Es gibt nicht nur „den einen ISMS-Beauftragten“ - jeder einzelne Mitarbeiter im Unternehmen trägt zum erfolgreichen Betrieb eines ISMS bei.
5 © ONTRAS 2015
ISMS – Ein dezentrales Risikomanagementsystem (2)
Informationssicherheit und ISMS
ISMS IS-Experten
IS-Koordinatoren IS-Managementforum
Jeder einzelne Mitarbeiter!
Top-Management
ISMS-Kernteam ISMS-Beauftragter
IT-Sicherheitsbeauftragter Chief Information Security Officer
Informationssicherheit und ISMS
Rechtliche Grundlagen
Implementierung und Betrieb eines ISMS
Fazit
Agenda
• IT-Sicherheitsgesetz (Juni 2015) = Artikelgesetz mit Relevanz für 8 Sektoren
7 © ONTRAS 2015
Rechtliche Grundlagen Rechtliche Grundlagen
Ernährung IKT Gesundheit
Transport & Verkehr
Medien & Kultur
Wasser
Finanzen & Versicherung
Energie
Gesetze Anwendungsbereich
BSI Gesetz Betreiber der 8 KRITIS-Sektoren in Abhängigkeit von ihrer Größe gemäß BSI-KritisV
EnWG Alle Betreiber von Energieversorgungsnetzen (und Energieanlagen in 2017)
Zur Gewährleistung der Kontinuität von kritischen Versorgungsdienstleistungen durch Betrieb eines sicheren & zuverlässigen Energieversorgungsnetzes.
Konkretes für Netzbetreiber • Meldung von erheblichen IT-Sicherheitsvorfällen an das BSI
• IT-Sicherheit nach dem „Stand der Technik“ umsetzen • Technisch-Organisatorische Schutzmaßnahmen ergreifen • Benennung einer Kontaktstelle
• Umsetzung des IT-Sicherheitskataloges der BNetzA • Benennung eines Ansprechpartners für IT-Sicherheit • Erstellung eines Netzstrukturplanes • Einführung und Zertifizierung eins ISMS (ISO 27001+)
Informationssicherheit und ISMS
Rechtliche Grundlagen
Implementierung und Betrieb eines ISMS
Fazit
Agenda
9 © ONTRAS 2015
Vom Projekt zum Prozess Implementierung und Betrieb eines ISMS
Risiko- methodik
ISMS Leitlinie
Mgt.- Review
Ist- Analyse
1
2
3 4
5
… …
…
n
ISMS-Einführungsprojekt ISMS-Betrieb
Schon bei der Einführung des ISMS gibt der PDCA-Zyklus den groben Rahmen vor.
Optimierung / Verbesserung • Identifikation von Optimierungsbedarf • Beseitigung von Fehlern • Verbesserung von Maßnahmen • Abholen der Mitarbeiter
Kontrolle • Erkennung und Behandlung von Informationssicherheitsvorfällen • Durchführen von Audits • Wirksamkeitsmessung • Managementreview
10 © ONTRAS 2016
Der PDCA-Zyklus gibt den groben Rahmen vor
Implementierung und Betrieb eines ISMS
PDCA-Modell
Plan
Do Check
Act
Planung und Konzeption • Bewertung der Ist-Situation • Festlegung des Anwendungsbereichs • Planung ISMS • Durchführung Informationssicherheits- Risikobeurteilung
Umsetzung • Implementierung ISMS • Umsetzung Maßnahmen • Schulungen • Sensibilisierung durch lfd. Information/
interne Kommunikation • Menschlicher Faktor ist kritischer
Erfolgsfaktor
1. HJ 2015 2. HJ 2015 1. HJ 2016 2. HJ 2016
Startphase
Etablierung ISMS-Prozess
Anpassung Dokumentation
• Geltungsbereich festlegen • ISMS-Assets ermitteln • Risikobeurteilung durchführen • Maßnahmen festlegen
• Erarbeitung der Methodik • Ist-Analyse
• Erarbeitung Systematik • Erarbeitung und Anpassung von
Richtlinien, Betriebskonzepten etc.
11 © ONTRAS 2015
Die ISMS-Implementierung ist ein aufwändiger Prozess
Implementierung und Betrieb eines ISMS
Auditierung • Vor-Audits • Audit
Maßnahmen-Umsetzung
• Verfolgung der Umsetzung von Maßnahmen
1. HJ 2017
Kommunikation und Einbeziehung Top-Management bis Mitarbeiter
• Aus Definition Geltungsbereich wurde
• Projektorganisation abgeleitet und Ressourcenbedarf
• bestimmt.
© ONTRAS 2016
Projektorganisation ONTRAS Implementierung und Betrieb eines ISMS
ISM
S-Fo
rum
/ K
ernt
eam
Lenkungskreis Geschäftsführung und 3 Bereichsleiter
Projektleitung Informationssicherheits-Beauftragter
Prozess- und Dokumenten- management
Technologie
Netz- steuerung/ -überwach-
ung
Interne Kommu- nikation
Prozess-IT
Netz-/ Anlagen-
Technologie
Querschnitts- themen
(z.B. Personal, Büro-IT, phys.
Sicherheit)
Recht/ Compliance
Externer PL
Externer Projekt-
Mit- arbeiter
Externes LK-
Mitglied
Messtechnik
Büro-IT
Informationssicherheit und ISMS
Rechtliche Grundlagen
Implementierung und Betrieb eines ISMS
Fazit
Agenda
Die Akzeptanz der großen Bedeutung des Themas beim Management und den Mitarbeitern ist unabdingbar für den Erfolg des ISMS.
14 © ONTRAS 2016
• Es gibt nicht nur „den einen ISMS-Beauftragten“ - jeder einzelne Mitarbeiter im Unternehmen trägt zum erfolgreichen Betrieb eines ISMS bei.
• Informationssicherheit ist weit mehr als IT-Sicherheit und die Einführung eines ISMS verursacht erhebliche Aufwände, die aber auch einen weitergehenden Nutzen für das Unternehmen haben können.
• Die Definition des ISMS-Anwendungsbereichs ist die wichtigste Voraussetzung für den weiteren Aufbau des ISMS und bestimmt maßgeblich die Projektorganisation.
• Bei der Strukturierung des ISMS-Einführungsprojekts sollte der PDCA-Zyklus berücksichtigt werden, um eine Zertifizierung bei Projektabschluss zu erreichen.
• Die Erarbeitung einer effizienten Methodik und die Anpassung der Dokumentationen sind sehr aufwändig und sollten mit ausreichend Zeit bei der Projektplanung berücksichtigt werden.
• Die Methodik der ONTRAS geht auf Besonderheiten von Netzbetreibern und speziellen Anforderungen des IT-Sicherheitskatalogs der BNetzA ein und dürfte damit in weiten Teilen auf andere Netzbetreiber übertragbar sein.
Fazit
15 © ONTRAS 2016
Kontakt
Marlen Hofmann Referentin Informationssicherheit ONTRAS Gastransport GmbH Büroanschrift: Maximilianallee 4, 04129 Leipzig Postanschrift: Postfach 21 11 48, 04112 Leipzig +49 341 27111-2760 (Tel.) E-Mail: [email protected] Internet: www.ontras.com
Vielen Dank für Ihre Aufmerksamkeit!
© ONTRAS 2015
17 © ONTRAS 2015
Backup
Die Ist-Analyse schafft einen groben Überblick über die Abweichungen von den Anforderungen der Normen
18 © ONTRAS 2016
• Implementierung ISMS
Ist-Analyse Implementierung ISMS - Startphase
19 © ONTRAS 2016
Der Geltungsbereich hat großen Einfluss auf den Aufwand
• Alle zentralen und dezentralen Anwendungen, Systeme und
Komponenten, die für einen sicheren Netzbetrieb notwendig sind
• TK- und EDV-Systeme, die steuerbar sind und somit die Fahrweise des Netzes unmittelbar beeinflussen
• TK- und EDV-Systeme, die selbst zwar nicht steuerbar sind, aber mittelbar die Netzfahrweise beeinflussen (z.B. durch Bereitstellung von Daten) und auf diese Weise auch der Netzsteuerung dienen
• Bei Outsourcing von Anwendungen, Systemen und Komponenten, die im Geltungsbereich liegen, ist durch Vereinbarungen die Umsetzung der Anforderungen sicher zu stellen. Verantwortung dafür trägt der Netzbetreiber
Vorgaben Beschreibung Maßnahme ONTRAS
Geschäftsprozess „Netzsteuerung und
-überwachung“ aufnehmen
Erstellung ISMS- Assetliste inkl. Schutzbedarfs-
ermittlung
+
IT-Sicherheits-katalog gem. § 11 Abs. 1a
EnWG (BNetzA)
Abschnitt D Schnittstellen zu Dienstleitern und
Kunden aufzeigen
Erstellung Dokument zum ISMS-
Anwendungsbereich
+
+
Implementierung ISMS - Etablierung ISMS-Prozess
Komplexitätsreduktion durch Bündelung in ISMS-Assets mit gleichem Schutzbedarf, gleicher „Ebene“ und/oder gleichem Asset-Eigentümer
20 © ONTRAS 2016
ISMS-Assets können in Gruppen gefasst werden
Implementierung ISMS - Etablierung ISMS-Prozess
Prozesse
Informa-tionen /
Dokumente
Personal
Technologie (IT/TK/
Services)
Standorte
Erfassung ISMS-Assets und Schutzbedarfsermittlung Assetliste
Bündelung
Zurück
ONTRAS hat an weiteren Stellen Komplexität reduziert
2. Gruppierung 3. Risiko- identifikation
1. Erfassung ISMS-Assets und Schutzbedarfs- ermittlung
Prozesse Bedrohungs-analyse
nur kritische ISMS-Assets
Die Norm verlangt den Nachweis einer vollständigen Betrachtung der Risiken!
21 © ONTRAS 2016
Implementierung ISMS - Etablierung ISMS-Prozess
5. Risiko- behandlung
4. Risikoanalyse und -bewertung
Informa-tionen /
Dokumente
Personal
Technologie (IT/TK/
Services)
Standorte
Maßnahmen-analyse
Restrisiko- identifik-
ation
Schadens-höhe
Bewertung
Maßnahmen
Was? Wer?
Wann?
Eintritts- wahrschein-
lichkeit
nur für ISMS-Assetskat. relevante Controls
Standardisierung von Eintritts-WS
und Schaden
Entfall relativ unkritischer Restrisiken
Bedrohungs-analyse
Standardisierung Bedrohungen
Zurück
22 © ONTRAS 2015
Das ISMS wirkt auf viele neue und bestehende Dokumente
Implementierung ISMS - Dokumentation
RL Dokumenten-
ordnung
Leitlinie IS
RL Informations-
sicherheit (ISMS)
AA ISMS-Prozess
AA ISMS-Kommu-
nikation
Strategisch
Taktisch
Operativ
Betriebs-konzepte
Prozess IT-Betriebs-verfahren
Prozess Änderungs-
management
Störungs-bearbeitungs-
prozess
Anforderungen ISMS an
Lieferanten/ Dienstleister
u.a.
u.a.
u.a.
Zurück
23 © ONTRAS 2016
Die ISMS-Leitlinie ist in die Unternehmens-Grundsätze integriert
Implementierung ISMS - Dokumentation
Kritischer Erfolgsfaktor des ISMS sind alle Mitarbeiter. Deshalb muss allen Mitarbeitern die Sinnhaftigkeit und Notwendigkeit der Informationssicherheit nahe gebracht werden. Alle Prozesse und Maßnahmen, die einer gesteigerten Informationssicherheit dienen, sind ohne unterstützendes und ggf. verändertes Verhalten der Mitarbeiter nicht zielführend!
24 © ONTRAS 2016
Die Kommunikation ist ein sehr wichtiger Teil des ISMS
Implementierung ISMS – Kommunikation
Verstehen
Akzeptieren
Adaptieren
Sensibilität für Informationssicherheit erzeugen
Erreichung einer dauerhaften Verhaltensänderung in Bezug auf Informationssicherheit
Aktives Annehmen des Themas Informationssicherheit
Privat ausgeprägtes Gefühl für „Werte“, „Schutzgüter“ und „Sicherheit“ lassen sich auf den Arbeitsalltag übertragen
25 © ONTRAS 2016
Internes Kommunikationskonzept Implementierung ISMS – Kommunikation
Top Related