Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe.

Ähnliche Präsentationen


Präsentation zum Thema: "1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe."—  Präsentation transkript:

1 1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe EP2000 Workshop am / Prozessleitsystem SIGNACONTROL EP2000 IT Workshop das IT-Sicherheitsgesetz / §11 EnWG Pflichten für Betreiber von Versorgungssystemen IT Sicherheitskatalog der Bundesnetzagentur Zertifizierung nach IEC 27001:2013 Ausblick und Empfehlungen Workshop-Ergebnisse (Sie sollten verstanden haben!): –Welche Regelungen gelten? –Was muss/kann ich tun? –Was kostet das Ganze?

2 2 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Gesprächspartner: Ulrich Düster Geschäftsführer QMBC UG (www.qmbc.de)/ ISRZ UG (www.isrz.de) Auditor ISO ISO 9001 RZ-Infrastrukturen (TÜV Hessen) Energieeffizienz (TÜV Hessen) Blauer Engel für Rechenzentren (Gutachter für den TÜV Hessen) Cloud-Systeme

3 3 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer ist betroffen?): § 1 Bundesamt für Sicherheit in der Informationstechnik Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde. Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern.“ Dem § 2 wird folgender Absatz 10 angefügt: „(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.“

4 4 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer erstellt die zu erfüllenden Vorgaben?): § 10 wird wie folgt geändert: a) Dem Absatz 1 wird folgender Absatz 1 vorangestellt: „(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.“ b) Der bisherige Absatz 1 wird Absatz 2 und die Wörter „Wirtschaft und Technologie durch Rechtsverordnung“ werden durch die Wörter „Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,“ ersetzt. c) Der bisherige Absatz 2 wird Absatz 3 und in Satz 3 werden nach dem Wort „Rechtsverordnung“ ein Komma und die Wörter „die nicht der Zustimmung des Bundesrates bedarf,“ eingefügt. „Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Innern vorbereitet wird. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.“ https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/IT-SiGesetz/faq_node.html

5 5 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Welches sind die Anforderungen? Wie sind diese nachzuweisen?): „§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (…) (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

6 6 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Was ist zusätzlich zu tun (Meldewesen, Meldepflicht)?): § 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1)Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. (…) (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

7 7 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom Anwendungsbereich IT-Sicherheitsgesetz (Wer ist ausgeschlossen?): § 8c Anwendungsbereich (1)Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom , S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden. (2) § 8a ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung, 3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie 4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

8 8 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Definition KMU EMPFEHLUNG 2003/361/EG DER KOMMISSION VOM 6. MAI 2003 BETREFFEND DIE DEFINITION DER KLEINSTUNTERNEHMEN SOWIE DER KLEINEN UND MITTLEREN UNTERNEHMEN Kriterien: Mitarbeiterzahl und (Jahresumsatz oder jahresbilanzsumme) Größenklasse Mitarbeiterzahl (Jahresarbeitseinheit JAE) Jahresumsatz oderJahresbilanzsumme Mittleres Unternehmen < 250  50 Mio. EUR  43 Mio. EUR Kleines Unternehmen< 50  10 Mio. EUR  10 Mio. EUR Kleinstunternehmen< 10  2 Mio. EUR  2 Mio. EUR Achtung: Was ist ein Unternehmen? „jede Einheit, unabhängig von ihrer Rechtsform, die eine wirtschaftliche Tätigkeit ausübt“. Was ist mit Unternehmensverbünden? In der Regel sind die meisten KMU eigenständig, d. h., sie sind entweder völlig unabhängig, oder es bestehen Partnerschaften mit anderen Unternehmen mit einer oder mehreren Minderheitsbeteiligungen (von jeweils unter 25 %). Wenn der gehaltene Anteil höher ist, aber 50 % nicht überschreitet, handelt es sich um eine Beziehung zwischen Partnerunternehmen. Liegt er über diesem Schwellenwert, sind die Unternehmen miteinander verbunden und es gelten andere Regeln.

9 9 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Informationssicherheit Datenschutz/Compliance QMBC UG Management systeme für : Informationssicherheit (IS) Risiko (RK) Notfall (NF) Kontinuität (BCM) IT-Sicherheit Systema Konzepte Umsetzung Betrieb Audits Für Kommunikationssysteme Daten Systeme Physische Sicherheit Planung Bau Betrieb Audits Rechenzentren RZ-Infrastrukturen Netzleitstellen ISMS Leistungen - unser Verständnis: Das ganze ist das Wahre! ISRZ Informations- sicherheit UG Zertifizierungen TÜV Hessen RAL Netzleitstellen Rechenzentren Datenschutz Cloud Energieeffizienz Blauer Engel Managementsysteme

10 10 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Energiewirtschaftsgesetz - EnWG Gesetz über die Elektrizitäts- und Gasversorgung In § 11 EnWG - Betrieb von Energieversorgungsnetzen - wurde mit der Novelle 2011 nach Absatz 1 folgender Abschnitt eingefügt: (la) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Bundesnetzagentur erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden.

11 11 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Sicherheitskatalog Hintergrund und Ziele Sicherheitskatalog gem. §11 Abs. 1a EnWG Kernforderung des Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC sowie dessen Zertifizierung. Benennung eines IT-Sicherheitsbeauftragter, durch den Netzbetreiber, als Ansprechpartner für die Bundesnetzagentur bis zum Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Zertifizierung bis

12 12 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Sicherheitskatalog Sicherheitsanforderungen Informationssicherheits-Managementsystem Netzbetreiber sollen ein ISMS, das den Anforderungen der DIN ISO/IEC genügt, implementieren, das mindestens die Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst. Bei der Implementierung sind unbedingt die Informationen und Verweise auf die Normen DIN ISO/IEC und DIN SPEC zu berücksichtigen. Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme Im Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden.

13 13 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Sicherheitskatalog Sicherheitsanforderungen Netzstrukturplan Das EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden. Die Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen.

14 14 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe ISMS Normen und gesetzliche Grundlagen § 11 EnWG (Sicherheitskatalog veröffentlicht) IT-Sicherheitsgesetz (verabschiedet) ISO2700x Normenfamilie für Informationssicherheits-Managementsystem Begriffe ISMS mit normativem Anhang (Prüfkatalog) Maßnahmeempfehlungen zur Umsetzung Leitfaden zur Einführung Leitfaden zur Messung Leitfaden zum Risikomanagement Akkreditierung von Zertifizierungsstellen Auditierung Leitfaden für Auditoren Leitfaden für Energieversorger

15 15 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe ISMS Grundlegendes Der arme Poet, Carl Spitzweg Asset mit Bedrohung + Schwachstelle = Gefährdung (des Wertes der Organisation) Eintrittswahrscheinlichkeit x Schadenshöhe = Risiko (in €) bezogen auf: Vertraulichkeit Verfügbarkeit Integrität

16 16 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Verbesserung (Kapitel 10) NichtkonformitätLaufende Verbesserung Bewertung der Leistung (Kapitel 9) Überwachen, MessenAuditierenManagementbewertung Betrieb (Kapitel 8) Betriebliche PlanungRisikoeinschätzungRisikobehandlung Unterstützung (Kapitel 7) RessourcenKompetenz, BewußtseinDokumentation Planung (Kapitel 6) Risiken & ChancenZiele Führung (Kapitel 5) PolitikOrg. AufgabenZuständigkeiten Kontext der Organisation (Kapitel 4) Interessierte ParteienAnwendungsbereichISMS Jahreszyklus ISO 27001:2015

17 17 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Menschen InfrastrukturProzesseOrganisation Werte der Organisation Perspektiven Verträge Kunden Verfahren Patente Marken …

18 18 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Die zwei häufigsten Gründe für das Scheitern von Zertifizierungen: Die Anforderungen sind zu hoch (immer selbst verschuldet) Der Verbesserungszyklus ist nicht vollumfänglich implementiert Eine Implementierungsstrategie muss dies berücksichtigen Die Anforderungen sind minimal zu halten Der Zyklus muss immer mit implementiert werden 

19 19 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Zu erfüllen:Kapitel 4,…, K10 der ISO27001 (  ISO  ISO 9001  ISO  ISO 50001,…) Anhang ISO27001  ISO  ISO (  ISO  ISO 9001  ISO  ISO 50001,…) K4K5K6K7K8K9K10 A 5. 1 A A … A A A Alle Werte {W 1, … W n }Nicht erfüllt Risikowert maximal Nicht erfüllt Risikowert maximal Risikowerte {W i1,…W ij }Maßnahmen (offen) Maßnahme, Verlagern, Versichern, Übernehmen (offen) Restrisikowerte {W 1, … W n } / {W i1,…W ij } Übernehmen (offen) Risikostatus Offene Punkte: Bestimmung Risikowerte, Risikoschwellen, Risikomethode Erste Leistungskennzahl bestimmt!

20 20 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Managementbewertung Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Managementbewertung muss folgende Aspekte behandeln:Status a) den Status von Maßnahmen vorheriger Managementbewertungen;{}; Maßnahmen wurden nicht ergriffen b) Veränderungen bei externen und internen Themen, die das Informationssicherheitsmanagementsystem betreffen; {}; Veränderungen wurden nicht erfasst c) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei:{}, Rückmeldungen liegen nicht vor 1) Nichtkonformitäten und Korrekturmaßnahmen;{}; Vollständige Nichtkonformität 2) Ergebnissen von Überwachungen und Messungen;{}; Überwachungen und Messungen wurden nicht durchgeführt 3) Auditergebnissen; und{}; Audits wurden nicht durchgeführt 4) Erreichung von Informationssicherheitszielen;{}; Ziele liegen nicht vor d) Rückmeldung von interessierten Parteien;{}, Rückmeldungen liegen nicht vor e) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung; undRisiko ist maximal f) Möglichkeiten zur fortlaufenden Verbesserung.{}; fortlaufende Verbesserunen wurden nicht ergriffen Die Ergebnisse der Managementbewertung müssen Entscheidungen zu Möglichkeiten der fortlaufenden Verbesserung sowie zu jeglichem Änderungsbedarf am Informationssicherheitsmanagementsystem enthalten. Die Organisation muss dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren.

21 21 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Maßnahmen aus der Managementbewertung BeschlüsseStatus Einführung eines ISMS, Zertifizierung in 2 JahrenPlan Beschluss über AnwendungsbereichPlan Beschluss über MaßnahmekatalogPlan Beschluss über Werte der OrganisationPlan Bereitstellung Budget (ext. Beratertage: 12 ISMS, 3 Tage ext. Audit, 12 Netzleitstellensicherheit; 12 IT-Sicherheit; 100 PT Eigenleistung) Plan Zyklische Managementbewertung zur Steuerung der Implementierung (3 Mon.)

22 22 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Maßnahmen aus der Managementbewertung PhaseMaßnahmeZeitraumVerantwortlichBudget (Einf., Wiederh.) Ressourcen Planen Kontext der O. Ext. Und int. Themen; Ext. Und int. Parteien/Beteiligte; Kommunikationsmatrix 1. Quartal ISBA 3 PT (0 PT) Implementieren Dokument freigeben und veröffentlichen 2. QuartalISBA 0,5 PT (0,5 PT)Mgmt. Betreiben Beteiligte informieren und ggf. Schulen QuartalISBA 5 PT ( 2 PT)MA im AWB Prüfen jährliche Überprüfung und Ereignisbezogen 6. QuartalISBA 1 PT Verbessern Dokumentationsrichtlinie anwenden. Selbstbewertung durchführen; Beteiligte prüfen 6. QuartalISBA 1 PTMA im AWB Kontinuität Selbstbewertung durchführen; Verfügbarkeit sicherstellen 6. QuartalISBA 2 PTMA im AWB Notfall Notfallverzeichnis ext. Und int. Parteien 1. QuartalISBA 0,25 PT Informationssicherheits- ereignisse Umfeldveränderungen nicht bemerkt, rechtliche Anforderungen nicht umgesetzt, Strategieveränderungen nicht umgesetzt,… 1. QuartalISBA 0,25 PT Audits Prüfung gemäß ISO 31000, Ziele, Strategien, Geltungsbereich, Einflußfaktoren,… 6. QuartalISBA 1 PTMA im AWB, Auditor Summe14 PT ( 8,5 PT)

23 23 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Zu erfüllen:Kapitel 4,…, K10 der ISO27001 Anhang ISO27001  ISO  ISO (  ISO  ISO 9001  ISO 14001,…) Alle WerteRisikowert = 0Vorgaben erstellt Risikowerte (1,…j)Maßnahmen umgesetztRisikowert <= Risikoschwellwert oder Maßnahme ergriffen oder Risiko verlagert oder Risiko versichert oder Risiko übernommen RestrisikowerteÜbernommen Zertifikat

24 24 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe ISMS Anforderungen Rechtliche Anforderungen ISO 27001; DIN SPEC 27009; Sicherheitskatalog Organisatorische Anforderungen Personelle Anforderungen Infrastrukturelle Anforderungen Technische Anforderungen

25 25 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe ISMS Dokumenten Pyramide

26 26 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe ISMS Umwelt und Vorgehen

27 27 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe 1. Mgmt.-bew. Zertifizierung Evaluations- workshop Startphase Netzstrukturplan Risk Management Maßnahmeplan Betrieb 1. Vollständiger Zyklus …Mgmt.-bew. (Zert.) Umsetzungsphase 2. Mgmt.-bew. … Compliance/Datenschutz Kontinuität Notfall Management Evaluations-Workshop Organisation Inf.-Sicherheit Kommunikations Matrix Schulung / Bewußtsein Interne Audits ISMS Bausteine und Projekt (Managementbewertung, Risikobewertung Zeit Aufwand

28 28 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Auditfragelisten Musterdokumente Projektverzeichnis ISMS-Verzeichnis

29 29 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, Hannover, Stand: Ein Unternehmen der IDS-Gruppe Kunden QMBC UG (2014/2015) 50hertz Transmission GmbH adidas Group Bundesnetzagentur CompuGroup Medical Edeka compugroup Festo AG GLS Bank Helios Klinikum Leipzig Hörmann KG Inexio Intersport AG IT2Media msg services Skyway Data Center Stadtwerke Speyer Stadtwerke Ludwigshafen Technische Werke Ludwigshafen Telemark TK GmbH (SW Lüdenscheid) Vallourec (& Mannesmann) systema CDU/CSU Bundestagsfraktion Charité Polizei Berlin Deutscher Bundestag FH Wildau Daimler Benz Rieck Logistik Viadrina Immobilienscout Salzlandkreis Kassenärztliche Vereinigung Brandenburg Heinrich-Böll-Stiftung INP Greifswald Dykerhoff Energie und Wasser Potsdam Krankenhaus Elisabeth-Herzberge Stadtwerke Dessau Alfred-Rexroth GmbH BLS Energieplan Wir danken für ihre Aufmerksamkeit


Herunterladen ppt "1 Heinz Ulrich Düster,QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe."

Ähnliche Präsentationen


Google-Anzeigen