Ein Unternehmen der IDS-Gruppe EP2000 Workshop am 15.09./16.09.2015 Prozessleitsystem SIGNACONTROL EP2000 IT Workshop • das IT-Sicherheitsgesetz / §11 EnWG • Pflichten für Betreiber von Versorgungssystemen • IT Sicherheitskatalog der Bundesnetzagentur • Zertifizierung nach IEC 27001:2013 • Ausblick und Empfehlungen Workshop-Ergebnisse (Sie sollten verstanden haben!): – Welche Regelungen gelten? – Was muss/kann ich tun? – Was kostet das Ganze? 1 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Gesprächspartner: Ulrich Düster ([email protected]) Geschäftsführer QMBC UG (www.qmbc.de)/ ISRZ UG (www.isrz.de) Auditor • ISO 27001 • ISO 9001 • RZ-Infrastrukturen (TÜV Hessen) • Energieeffizienz (TÜV Hessen) • Blauer Engel für Rechenzentren (Gutachter für den TÜV Hessen) • Cloud-Systeme 2 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer ist betroffen?): § 1 Bundesamt für Sicherheit in der Informationstechnik Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde. Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern.“ Dem § 2 wird folgender Absatz 10 angefügt: „(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.“ 3 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer erstellt die zu erfüllenden Vorgaben?): § 10 wird wie folgt geändert: a) Dem Absatz 1 wird folgender Absatz 1 vorangestellt: „(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.“ b) Der bisherige Absatz 1 wird Absatz 2 und die Wörter „Wirtschaft und Technologie durch Rechtsverordnung“ werden durch die Wörter „Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,“ ersetzt. c) Der bisherige Absatz 2 wird Absatz 3 und in Satz 3 werden nach dem Wort „Rechtsverordnung“ ein Komma und die Wörter „die nicht der Zustimmung des Bundesrates bedarf,“ eingefügt. „Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Innern vorbereitet wird. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.“ https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/IT-SiGesetz/faq_node.html 4 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Welches sind die Anforderungen? Wie sind diese nachzuweisen?): „§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (…) (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen. 5 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Was ist zusätzlich zu tun (Meldewesen, Meldepflicht)?): § 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. (…) (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. 6 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 Anwendungsbereich IT-Sicherheitsgesetz (Wer ist ausgeschlossen?): § 8c Anwendungsbereich (1) Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden. (2) § 8a ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung, 3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie 4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind. 7 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Definition KMU EMPFEHLUNG 2003/361/EG DER KOMMISSION VOM 6. MAI 2003 BETREFFEND DIE DEFINITION DER KLEINSTUNTERNEHMEN SOWIE DER KLEINEN UND MITTLEREN UNTERNEHMEN Kriterien: Mitarbeiterzahl und (Jahresumsatz oder jahresbilanzsumme) Größenklasse Mitarbeiterzahl (Jahresarbeitseinheit JAE) Jahresumsatz oder Mittleres Unternehmen Kleines Unternehmen Kleinstunternehmen < 250 < 50 < 10 50 Mio. EUR 10 Mio. EUR 2 Mio. EUR Jahresbilanzsumme 43 Mio. EUR 10 Mio. EUR 2 Mio. EUR Achtung: Was ist ein Unternehmen? „jede Einheit, unabhängig von ihrer Rechtsform, die eine wirtschaftliche Tätigkeit ausübt“. Was ist mit Unternehmensverbünden? In der Regel sind die meisten KMU eigenständig, d. h., sie sind entweder völlig unabhängig, oder es bestehen Partnerschaften mit anderen Unternehmen mit einer oder mehreren Minderheitsbeteiligungen (von jeweils unter 25 %). Wenn der gehaltene Anteil höher ist, aber 50 % nicht überschreitet, handelt es sich um eine Beziehung zwischen Partnerunternehmen. Liegt er über diesem Schwellenwert, sind die Unternehmen miteinander verbunden und es gelten andere Regeln. 8 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe ISMS Leistungen - unser Verständnis: Das ganze ist das Wahre! Informationssicherheit Datenschutz/Compliance ISRZ Informationssicherheit UG IT-Sicherheit Zertifizierungen TÜV Hessen RAL QMBC UG Management systeme für : Systema Konzepte Umsetzung Betrieb Audits Informationssicherheit (IS) Risiko (RK) Notfall (NF) Für Physische Sicherheit Planung Bau Rechenzentren Betrieb RZ-Infrastrukturen Audits Netzleitstellen Kontinuität (BCM) Netzleitstellen Rechenzentren Datenschutz Cloud Energieeffizienz Kommunikationssysteme Daten Systeme Blauer Engel Managementsysteme 9 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Energiewirtschaftsgesetz - EnWG Gesetz über die Elektrizitäts- und Gasversorgung In § 11 EnWG - Betrieb von Energieversorgungsnetzen - wurde mit der Novelle 2011 nach Absatz 1 folgender Abschnitt eingefügt: (la) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Bundesnetzagentur erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden. 10 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Sicherheitskatalog Hintergrund und Ziele Sicherheitskatalog gem. §11 Abs. 1a EnWG Kernforderung des Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung. Benennung eines IT-Sicherheitsbeauftragter, durch den Netzbetreiber, als Ansprechpartner für die Bundesnetzagentur bis zum 30.11.2015. Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Zertifizierung bis 31.01.2018 11 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Sicherheitskatalog Sicherheitsanforderungen Informationssicherheits-Managementsystem Netzbetreiber sollen ein ISMS, das den Anforderungen der DIN ISO/IEC 27001 genügt, implementieren, das mindestens die Telekommunikationsund EDV-Systeme, die der Netzsteuerung dienen, umfasst. Bei der Implementierung sind unbedingt die Informationen und Verweise auf die Normen DIN ISO/IEC 27002 und DIN SPEC 27009 zu berücksichtigen. Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme Im Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden. 12 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Sicherheitskatalog Sicherheitsanforderungen Netzstrukturplan Das EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden. Die Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen. 13 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe • ISMS Normen und gesetzliche Grundlagen • • • • • • • • • • • • • § 11 EnWG (Sicherheitskatalog veröffentlicht) IT-Sicherheitsgesetz (verabschiedet) ISO2700x Normenfamilie für Informationssicherheits-Managementsystem 27000 Begriffe 27001 ISMS mit normativem Anhang (Prüfkatalog) 27002 Maßnahmeempfehlungen zur Umsetzung 27003 Leitfaden zur Einführung 27004 Leitfaden zur Messung 27005 Leitfaden zum Risikomanagement 27006 Akkreditierung von Zertifizierungsstellen 27007 Auditierung 27008 Leitfaden für Auditoren 27019 Leitfaden für Energieversorger 14 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe ISMS Grundlegendes Asset mit Bedrohung + Schwachstelle = Gefährdung (des Wertes der Organisation) Eintrittswahrscheinlichkeit x Schadenshöhe = Risiko (in €) bezogen auf: • Vertraulichkeit • Verfügbarkeit • Integrität Der arme Poet, Carl Spitzweg 15 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe ISO 27001:2015 Kontext der Organisation (Kapitel 4) Interessierte Parteien Anwendungsbereich ISMS Schulungsprogramm Führung (Kapitel 5) Politik Org. Aufgaben Zuständigkeiten …. Managementbewertung Planung (Kapitel 6) Risiken & Chancen Ziele Jahreszyklus Unterstützung (Kapitel 7) Ressourcen Kompetenz, Bewußtsein Dokumentation Betrieb (Kapitel 8) Betriebliche Planung Risikoeinschätzung AuditRisikobehandlung Programm Bewertung der Leistung (Kapitel 9) Überwachen, Messen Auditieren … Risikomanagement Managementbewertung Verbesserung (Kapitel 10) Nichtkonformität Laufende Verbesserung 16 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Perspektiven • Verträge • Kunden • Verfahren • Patente • Marken • … Werte der Organisation Prozesse Infrastruktur Organisation Menschen 17 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Die zwei häufigsten Gründe für das Scheitern von Zertifizierungen: • Die Anforderungen sind zu hoch (immer selbst verschuldet) • Der Verbesserungszyklus ist nicht vollumfänglich implementiert Eine Implementierungsstrategie muss dies berücksichtigen • Die Anforderungen sind minimal zu halten • Der Zyklus muss immer mit implementiert werden 18 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Risikostatus Zu erfüllen: Anhang ISO27001 ISO 27002 ISO 27019 ( ISO 31000 ISO 9001 ISO 14001 ISO 50001,…) Kapitel 4,…, K10 der ISO27001 K4 K5 K6 K7 K8 K9 K10 A 5. 1 A 5.1 .1 A 5.1 .2 … A 18. 2.1 A 18. 2.2 Alle Werte {W1, … Wn} Nicht erfüllt Risikowert maximal Nicht erfüllt Risikowert maximal Risikowerte {Wi1,…Wij} Maßnahmen (offen) Maßnahme, Verlagern, Versichern, Übernehmen (offen) Restrisikowerte {W1, … Wn} / {Wi1,…Wij} A 18. 2.3 Übernehmen (offen) Offene Punkte: Bestimmung Risikowerte, Risikoschwellen, Risikomethode Erste Leistungskennzahl bestimmt! 19 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Managementbewertung Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Managementbewertung muss folgende Aspekte behandeln: Status a) den Status von Maßnahmen vorheriger Managementbewertungen; {}; Maßnahmen wurden nicht ergriffen b) Veränderungen bei externen und internen Themen, die das Informationssicherheitsmanagementsystem betreffen; {}; Veränderungen wurden nicht erfasst c) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei: {}, Rückmeldungen liegen nicht vor 1) Nichtkonformitäten und Korrekturmaßnahmen; {}; Vollständige Nichtkonformität 2) Ergebnissen von Überwachungen und Messungen; {}; Überwachungen und Messungen wurden nicht durchgeführt 3) Auditergebnissen; und {}; Audits wurden nicht durchgeführt 4) Erreichung von Informationssicherheitszielen; {}; Ziele liegen nicht vor d) Rückmeldung von interessierten Parteien; {}, Rückmeldungen liegen nicht vor e) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung; und Risiko ist maximal f) Möglichkeiten zur fortlaufenden Verbesserung. {}; fortlaufende Verbesserunen wurden nicht ergriffen Die Ergebnisse der Managementbewertung müssen Entscheidungen zu Möglichkeiten der fortlaufenden Verbesserung sowie zu jeglichem Änderungsbedarf am Informationssicherheitsmanagementsystem enthalten. Die Organisation muss dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren. 20 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Maßnahmen aus der Managementbewertung Beschlüsse Status Einführung eines ISMS, Zertifizierung in 2 Jahren Plan Beschluss über Anwendungsbereich Plan Beschluss über Maßnahmekatalog Plan Beschluss über Werte der Organisation Plan Bereitstellung Budget (ext. Beratertage: 12 ISMS, 3 Tage ext. Audit, 12 Netzleitstellensicherheit; 12 IT-Sicherheit; 100 PT Eigenleistung) Plan Zyklische Managementbewertung zur Steuerung der Implementierung (3 Mon.) 21 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Maßnahmen aus der Managementbewertung Phase Maßnahme Zeitraum Verantwortlich Ressourcen ISBA Budget (Einf., Wiederh.) 3 PT (0 PT) Planen Kontext der O . Ext. Und int. Themen; Ext. Und int. Parteien/Beteiligte; Kommunikationsmatrix 1. Quartal Implementieren Dokument freigeben und veröffentlichen 2. Quartal ISBA 0,5 PT (0,5 PT) Mgmt. Betreiben Beteiligte informieren und ggf. Schulen 3.-5. Quartal ISBA 5 PT ( 2 PT) MA im AWB Prüfen jährliche Überprüfung und Ereignisbezogen 6. Quartal ISBA 1 PT Verbessern Dokumentationsrichtlinie anwenden. Selbstbewertung durchführen; Beteiligte prüfen 6. Quartal ISBA 1 PT MA im AWB Kontinuität Selbstbewertung durchführen; Verfügbarkeit sicherstellen 6. Quartal ISBA 2 PT MA im AWB Notfall Notfallverzeichnis ext. Und int. Parteien 1. Quartal ISBA 0,25 PT Informationssicherheitsereignisse Umfeldveränderungen nicht bemerkt, rechtliche Anforderungen nicht umgesetzt, Strategieveränderungen nicht umgesetzt,… 1. Quartal ISBA 0,25 PT Audits Prüfung gemäß ISO 31000, Ziele, Strategien, Geltungsbereich, Einflußfaktoren,… 6. Quartal ISBA 1 PT Summe 14 PT ( 8,5 PT) MA im AWB, Auditor 22 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe Zertifikat Zu erfüllen: Kapitel 4,…, K10 der ISO27001 Anhang ISO27001 ISO 27002 ISO 27019 ( ISO 30000 ISO 9001 ISO 14001,…) Alle Werte Risikowert = 0 Vorgaben erstellt Risikowerte (1,…j) Maßnahmen umgesetzt Risikowert <= Risikoschwellwert oder Maßnahme ergriffen oder Risiko verlagert oder Risiko versichert oder Risiko übernommen Restrisikowerte Übernommen 23 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015 Ein Unternehmen der IDS-Gruppe QMBC UG (2014/2015) • • • • • • • • • • • • • • • • • • • systema 50hertz Transmission GmbH adidas Group Bundesnetzagentur CompuGroup Medical Edeka compugroup Festo AG GLS Bank Helios Klinikum Leipzig Hörmann KG Inexio Intersport AG IT2Media msg services Skyway Data Center Stadtwerke Speyer Stadtwerke Ludwigshafen Technische Werke Ludwigshafen Telemark TK GmbH (SW Lüdenscheid) Vallourec (& Mannesmann) • • • • • • • • • • • • • • • • • • • CDU/CSU Bundestagsfraktion Charité Polizei Berlin Deutscher Bundestag FH Wildau Daimler Benz Rieck Logistik Viadrina Immobilienscout Salzlandkreis Kassenärztliche Vereinigung Brandenburg Heinrich-Böll-Stiftung INP Greifswald Dykerhoff Energie und Wasser Potsdam Krankenhaus Elisabeth-Herzberge Stadtwerke Dessau Alfred-Rexroth GmbH BLS Energieplan Wir danken für ihre Aufmerksamkeit 29 Heinz Ulrich Düster , QMBC ©copyright QMBC UG (haftungsbeschränkt), Brabeckstrasse 54, 30559 Hannover, Stand: 13.09.2015
© Copyright 2024 ExpyDoc
