information security management (isms) with qsec

„Best in Class ist nie ein Zufall !“

QSEC Suite

Best Practice im

Informationssicherheitsmanagement nach

ISO 27001

„Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis.

Präsentation WMC GmbH

„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“

Agenda

Begrüßung und Abstimmung der Agenda

Vorstellung ganzheitliches ISMS

QSEC-Suite Präsentation

Fragen und Diskussion

2


• ausschließlich

Consultants mit

Managementerfahrung

• Konzeption und gemeinsame

Umsetzung messbarer,

akzeptierter Ergebnisse

WMC – seit 11 Jahren optimale Leistungen im Projekt- und Lösungsgeschäft

Consulting (IT-Solutions) Consulting (IT-Security)

Datenbankbasierte Produkte für Aufbau und Betrieb von Information Security Management Systemen

Kernkompetenzen

• Information - / IT-Security

• IT-Risk Management

Kernkompetenzen

• IT-LifeCycle Management

• Asset- und Contract Management

• Licence Management

© 2011 WMC GmbH

Produktfamilie - QSEC-Suite

• ausschließlich

Consultants mit

Managementerfahrung

• Konzeption und gemeinsame

Umsetzung messbarer,

akzeptierter Ergebnisse

Kunde

3


arvato systems GmbH

(Bertelsmann Gruppe)

Axel Springer AG

Huf Hülsbeck & Fürst GmbH

Marquardt GmbH

Reich GmbH

Wilhelm Karmann GmbH

Volkswagen Osnabrück GmbH

Paul Albrechts Verlag GmbH

PAV CARD GmbH

Veolia Umweltservice GmbH

Germanischer Lloyd AG

Sana IT Services GmbH

ITERGO (ERGO Konzern)

DVAG (Deutsche Vermögensberatung AG)

WMC Referenzen / Projekte (Auszug)

Medien

Automotive

Dienstleistung

Gesundheitswesen

Versicherungen

4

http://www2.veolia-umweltservice.de/

http://www.sana.de/

http://www.itergo.com/

http://www.dvag.com/


Agenda

Vorstellung ganzheitliches ISMS

• ISMS führt zu Geschäftserfolg, Profit und Image

• ISMS nach ISO/IEC 27001/ Vorgehensmodell

• IT-Risikomanagement

• QSEC Produktfamilie und Leistungen

5


WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM)

CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen.

„Supply“ orientierte IT (2000-2010)

» IT-Kostenmanagement

» IT-Industrialisierung

» Full Scope Outsourcing

» Abwicklung IT-Projekte

» IT-Service Qualität

Business im Wandel 1. Information

2. Global

3. Werte

Informationstechnologie Schnelle und wirksame Umsetzung von

Geschäftsstrategien

Strategisch wirksame und sichere IT (2010 – 2020)

» Intelligente Nutzung von Informationssicherheit

» Risiko-Wertorientierte Steuerung von IT Investitionen

» Wirkungsvolle Unterstützung der Geschäftsbereiche

» Übergreifende Prozesse

» Anwendungskritikalität

» Konsequente Ausrichtung der IT Organisation am Geschäft

CRM

Trans-

formation

Wettbewerbsvorteil

Kostenvorteil

Innovationsvorteil

6


Sicherung des Unternehmenserfolges durch ein ISMS

Unternehmen

Wertschöpfungs-

management

Werte

schaffen

Qualitäts-

management

Werte

stärken

Informations-

sicherheits-

management

Werte

sichern

Risiko- und Chancenmanagement

Geschäftserfolg, Profit, Image

Informationssicherheitsmanagement – notwendiges Übel oder

wesentlicher Beitrag zum Geschäftserfolg?

© 2011 WMC GmbH 7


ISMS - Wie diese Themen erfolgreich gemanagt werden können

Qualitätsmanagement

Business Continuity

Management

Risikomanagment

SOX

IT-Servicemanagement

Business Impact Analyse

Datensicherung

Notfallplanung

IT-Risikomanagement

ISO/IEC 27001

Informations-

sicherheit

© 2011 WMC GmbH 8


Keine Prozesssicherheit ohne Informationssicherheit

Technische Systemebene / IT-Infrastruktur

Arbeitsergebnis

IT- Applikationen

Applikationsebene / IT-Anwendungen

Geschäftsprozessebene

Unternehmensstrategie / - Kultur

IT -

Org

an

isa

tio

n

Info

rmatio

nssic

herh

eit

Geschäftsprozesse die

Ausgangsbasis

IT-Strategie folgt der

Unternehmensstrategie

IT-Anwendungen

unterstützen

Geschäftsprozesse

9


Effe

ktiv

e, w

ied

erh

ole

nde

Se

nsib

ilisie

rung

de

r Mita

rbe

iter

QSEC-Suite - Methode zur Einführung und Betrieb eines ISMS

Risktreatment

Risikobegegnung durchführen

Risikomanagement durchführen

Selfassesment durchführen

Grundsätze und Leitlinien

erstellen (Security Policy)

Maßnahmenmgmt.. durchführen

2

Permanentes Assessment

Permanentes Risikomanagement

Permanente Risikobegegnung

Permanentes Maßnahmenmgmt.

überprüfen

© 2011 WMC GmbH

Plan

Do Check

Act

Stra

tegis

che

Au

sric

htu

ng

be

stim

men

3

4

1

0

Methode zum Betrieb eines ISMS

10

• Terminierung und Initiierung notwendiger Projekte

• Überprüfung der Umsetzung eingeleiteter Maßnahmen

• Absicherung durch Etablierung des Notfallmanagements

• Entscheidung zur Akzeptanz oder des Transfer von Risiken

• Durchführung von Sicherheitssofortmaßnahmen

• Anpassung des BCM zur Abdeckung operativer Risiken

• Beurteilung der Prozesse nach „Business-Kritikalität“

• Erstellung eines Business-Blueprints der Systemlandschaft

• Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems

• Bedrohungs- und Schwachstellenanalyse der Systemlandschaft

• Bewertung der möglichen Risiken

• Erstellung eines Risikobegegnungsplans

• Implementierung der ISMS-Organisation

• Technik überprüfen und bewerten (Vulnerability Assessment)

• Ressourcen und Prozesse zugeordnen und bewerten

• Ggf. weitere branchenspezifische Assessments (z.B. ISO / TS 16949)

• Geschäftsführungsentscheidung zur konsequenten

Sicherheitspolitik

• Ernennung eines Sicherheitsbeauftragten auf Managementebene

• Einführung von Grundsätzen und Leitlinien


Schematischer Ablauf des IT Risikomanagement

11

Angebotsphase Montage

Versand

…

Applikation 1

Datenbank a

Datenbank b

Server x

Applikation 2

Datenbank c

Server y

Appl. 4

DB c

Server v

Bedrohungen

analysieren und

bewerten

Schwachstellen

analysieren und

bewerten.

(existierende Sicherheits-

maßnahmen berücksichtigen)

Kritikalität: niedrig Kritikalität: hoch Kritikalität: mittel

Detaillierte Analyse Basisbewertung

Übergeordnete

Risikobewertung

(Kritikalität der GP festlegen)

Applikation 3

Datenbank e

Datenbank f

Server z

Applikation 4

Datenbank g

Server v

Applikation 5

Datenbank h

Datenbank i

Server w

Applikation 6

Datenbank k

Server z

Prozessmodell erstellen

Alle Assets

• identifizieren,

• gruppieren und

• den Prozessen zuordnen

Detaillierte Analyse

• Asset Bewertung

• Bedrohungsanalyse

• Schwachstellenanalyse

• Risikobewertung

oder

Basisbewertung

Basisbewertung Vertraulichkeit, Integrität, Verfügbarkeit,

Authentizität, Finanzieller Wert

Maßnahmen Management


Compliance Management: Systematisches, methodenbasiertes Vorgehen

DIN EN ISO 9001

Messung,

Analyse,

Verbes-

serung

Management

der

Ressourcen

Verantwortung

der Leitung

Qualitätsmanagementsystem

Kontinuierliche Verbesserung

Zu

fried

en

heit

Ku

nd

e

An

ford

eru

ng

en

Produkt/

Dienst-

leistung

Ku

nd

e

Produkt u./o.

Dienstleistungs-

realisierung

Umweltmanagement

ISO 14001 Servicemanagement

ISO 20000

Sicherheitsmanagement

ISO 27001

inkl. IT-Risko 27005

Qualitätsmanagement

ISO 9001

Act Plan

Check Do

Sicherheit

ist ein

Prozess

Managementprozess Abgebildet in QSEC

BDSG

SOX

12


Die QSEC-Suiten / QSEC Easy Express

• Vollständige ISMS Abbildung nach ISO/IEC 27001

• Plan-Do-Check-Act (PDCA)

• Nachhaltigkeit

• Vollständiges IT-Risikomanagement ISO/IEC 27005

• Bedrohungen/Schwachstellen

• Ganzheitlichkeit

• Vollständiges Maßnahmenmanagement

• Liefert jederzeit den aktuellen Status

• Übersichtlichkeit

• Schnittstellenmanagement

• Integration in die Infrastruktur

• Eindeutigkeit

• BIA / BCM*)

• Geschäftskontinuität

• Planbarkeit

*) BIA=Business Impact Analyse, BCM=Business Continuity Management

13


QSEC Easy Express

• Compliance

• Maßnahmen

• IT-Risiko

• Dokumenten

• Reporting

• Limitiert auf 3 User und

1 Untersuchungsbereich

14


QSEC Family

• QSEC Easy Express

• QSEC-Suite Enterprise Edition

• QSEC-Suite GRC Edition

15

• Content • Methode

• Intuitive Benutzerführung

Nachhaltigkeit


QSEC-Suite Enterprise Edition

16

• Compliance

• Maßnahmen

• IT-Risiko

• Dokumenten

• Security-Incident

• Reporting


QSEC-Suite GRC Edition

17

• Compliance

• Maßnahmen

• IT-Risiko

• Dokumenten

• Security-Incident

• BIA/BCM

• Reporting

„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“ 18

QSEC-Family - Produktvergleich


QSEC-Suite

Maßnahmen

Maßnahmen-

management

QSEC-Suite

IT-Risiko

IT-

Risikomanagement

Schnittstellen

Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine)

QSEC-Suite

Compliance

Compliance-

management

Awareness

Awarenessmanagement

QSEC-Suite

Core Server, Gemeinsame Plattform, Berechtigungen

QSEC-Suite

Dokument

Dokumenten-

management

QSEC-Suite

Dashboard Reporting Management

Module in Planung

Enterprise Suite GRC Suite

QSEC-Suite Module im Überblick

QSEC-Suite

Incident

Security-Incident-

management

QSEC-Suite

BCM

Business Continuity

Management

QSEC-Suite

BIA

Business Impact

Analyse

QSEC-Suite

Reporting

Reporting

Berichte

Erweiterungen

Schnittstellen

Risikomanagement

Montoring Tools

Vulnerability-Scan

vorhanden in Realisation

19


Active Directory (AD)

QSEC-Suite

ISMS / BDSG

Integriertes

Management System

QSEC-Suite integriert in der IT-Infrastruktur

Asset

Management Spider / Service Center

Mailsystem

Incident

Management Perigrine / helpLine

Vulnerability

Management Qualys

Prozess

Management Aris / Adonis

Assetgruppe

Kritikalität

Geschäftsprozesse

Vertraulichkeit

Verfügbarkeit

Integrität

Assetgruppe

Schwachstellen

Maßnahmen

Benachrichtigungen

Mitarbeiter-

berechtigungen

Geschäftsprozesse

Security-Incidents

20


QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2)

In der QSEC-Suite Enterprise Edition ist folgender Content enthalten

Modul Beschreibung Bemerkung

Stammdaten Rollenbeschreibungen z.B. Sicherheitsbeauftragter,

Datenschutzbeauftragter,

Qualitätsbeauftragter etc.

Compliance ISO/IEC 27001 Chapter 0-8

Fragenkatalog mit 48 Fragen

ISO/IEC 27001 Annex A


ISO/IEC 9001


ISO/IEC 14001


ISO/IEC 20000


PCI/DSS


VDA PTS


Bundesdatenschutzgesetz (BDSG)


Sarbanes-Oxley-Act (SOX)


• Ständige Überarbeitung und

Update

• Selbstverständlich kann auch Ihr

bestehender Fragenkatalog

eingebunden werden

21


QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2)

In der QSEC-Suite Enterprise Edition ist folgender Content enthalten

Modul Beschreibung Bemerkung

IT-Risiko-

management

Bedrohungskatalog (50)

Schwachstellenkatalog (120)

Ständige Überarbeitung und

Update

Dokumenten-

management

Musterdokumente

z.B. Sicherheitsmanagement (25)

Security Policy

Sicherheitsleitlinien

Klassifizierungsrichtlinie

IT-Risikomanagementrichtlinie

etc.


Update

Maßnahmen-

management

Maßnahmenvorschlagslisten

z.B. Sicherheitsmanagement (1.200)

Control- und Risikobezogen


Update

22


QSEC-Suite Beispiel: Maßnahmenmanagement

z.B. ISO 27001

• A5

• A6

z.B.

• Patch

• Klassifizierung

• Protokollierung

z.B.

• Richtlinie

• Arbeitsanweisung

• Formular

• Handbuch

• Checkliste

Name des verantwort-

lichen Mitarbeiters Dokument

Maßnahmen

Struktur im

Maßnahmenmanagement

• Bezeichnung

• Beschreibung

• Zieldatum

• Priorität

• Verantwortlich

• Umsetzungsgrad

• Status

• Projektname

• Projektverantwortlicher

• Verknüpfung

• Compliance

• Dokument

• mit anderen

Maßnahmen

• individuelle

Maßnahmen

• Risikomanagement

Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt.

Untersuchungs-

bereich

Auswertung:

- Wer muss welche Maßnahmen bearbeiten?

- Welche Maßnahmen werden von wem bearbeitet?

- Welche Dokumente gehören zu welchen Maßnahmen

- Zu welchen Controls gehören welche Maßnahmen

- Welche Maßnahmen gibt es ?

- …

- nach Untersuchungsbereich, nach Fortschritt etc. …

23


QSEC-Suite Beispiel: Reporting

Mitgelieferte

Reports

• Standardberichte

• Management-

berichte

• Arbeitsberichte

• SOA

• Maßnahmen

• Risiko

• Reifegrad

• Individuelle Berichte

nach Vorgabe

0

1

2

3

4

5

A5 Sicherheitspoli

tikA6

Organisation der …

A7 Management von Werten

A8 Personalsicher

heit

A9 Physische Sicherheit

A10 Betriebs-und

Kommunikat…

A11 Zugangskontro

lle

A12 Beschaffung, Entwicklung …

A13 Management

von …

A14 Business Continuity

Management

A15Einhaltung

der …

IST

SOLL

0

1

2

3

4

5

6

7

8

9

10

Detaillierte BewertungBasisbewertung

Erfasste Assetgruppen

6

4

10

An

zah

l A

sse

tgru

pp

en

Assetgruppenstatus

AssetgruppenbewertungUntersuchungsbereich: ITRZ + Recht

60%

20%

20%

RisikostatusUntersuchungsbereich: ITRZ + Recht

Risikowert >= 7

Risikowert 5 - 7

Risikowert <=4

0

0,5

1

1,5

2

2,5

3

3,5

4

SAP MMSAP HR

SAP PPSAP WM

4

4

3

3

1

2

3

2

Sch

utz

niv

eau

Assetgruppe

SAP MM SAP HR SAP PP SAP WM

Soll-Wert 4 4 3 3

Ist-Wert 1 2 3 2

Gap-Analyse des Schutzzniveaus je AssetgruppeUntersuchungsbereich: ITRZ + Recht

Reifegrad

IST- / SOLL Darstellung mit Maßnahmenauflistung

24


Die QSEC-Suite ist eine webbasierte Anwendung:

QSEC-Suite - der sichere, softwaregestützte Weg

zum ganzheitlichen Information Security Management System (ISMS)

nach ISO/IEC 2700x

Client Webserver Datenbank

• Web-Browser

• SSL

• Keine Installation

• Keine Wartung

• Microsoft

Windows Server

2003 - 2008 R2

• Microsoft

IIS

• ASP.NET 4.0

• Microsoft

SQL

Server 2008 / R2

• Schnittstellen zu

anderen

Systemen

Programmierung mit Microsoft Visual Studio 2010

Aktuelle Version: 3.0

Risiko

Maßnahmen

Incident

neu

Dokumente

Compliance

Reporting

25

QSEC-Suite Technik


QSEC - Versionsentwicklung 2008 - 2012

QSEC 1.0.0 bis 1.5.0

Module:

• Admin

• Stammdaten

• Compliance

• Maßnahmen

• Risiko (IT)

• Dokumenten

• Reporting

• (Reifegrad)

Normen:

• ISO 27001

• ISO 27002

• ISO 27005

• ISO 9001 (QM)

• ISO 14001

(Umwelt)

• ISO 20000 (ITIL)

• VDA PTS

• PCI / DSS

15.10.2008 31.12.2009

QSEC 1.6.0 bis 3.0

Module:

• strategisches

Management von

Unternehmenszielen

• BIA

(Business Impact

Analyse)

• BCM

• Security Incident

Management

• Dokumentenportal

• Schnittstellen

• Berechtigungskonzept

nach Legal Entities

Normen:

• BS 25999 (BCM)

• SOX

• Sonder-

lösungen

• CoBIT

• Fragenkatalog

• Englische

Sprachvariante

QSEC 4.0 bis 5.0

30.12.2011 31.12.2012

QSEC Leistungen

Module:

• Event-

console

• Dashboard

• Integration

• (Qualys/ISS/

Checkpoint

etc.)

• SharePoint

• QSEC-

Online

(SaaS)

26


ISMS Einführung - Nutzen

• Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit

signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im

Unternehmen

• Nachweis des Sicherheitsmanagements und dessen Überprüfung durch

externe Auditoren zur Erfüllung von Kundenanforderungen

• Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit

• Möglichkeit der gezielten IT-Investition durch Kenntnis der

geschäftskritischen Erfordernisse (IT-Risikomanagement)

• Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen

der IT Strategie

• Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte

bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte

• Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in

Konzernstrukturen

• Erfüllung von Anforderungen aus dem Datenschutzgesetz


Vorteile von und Anforderungen an eine Toolunterstützung

• Integrierte zentrale Datenbank

• Konzernstrukturen weltweit darstellbar

• Vorgehen nach einheitlicher Methode in großen und komplexen

Unternehmensstrukturen

• je Norm / Gesetz komplett hinterlegter Content

• vollintegriertes IT-Risikomanagement

• Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) –

keine Doppelerfassung von Daten

• Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS)

• Historie aller relevanten Veränderungsdaten

• Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen

• automatische Wiedervorlage über Mailsystem

• Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je

Untersuchungsbereich

• Maßnahmenvorschläge

28


QSEC-Suite Vorteile im Ergebnis

• hohe Transparenz über alle Aktivitäten und Status im Bereich des

Compliance- und IT-Risikomanagements

• permanente Information über und nachhalten von Veränderungen und

Verbesserungen über den PDCA Kreislauf

• daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen

auf die wesentlichen, geschäftskritischen Prozesse

• Einsparung von ca. 30-50% der internen und externen Kosten einer

ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.)

sind möglich

• Positive Auswirkungen auf das Image des Unternehmens bei Kunden,

Lieferanten, Banken, Versicherungen und Investoren durch lückenlose

Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem

Status

29

„Best in Class ist nie ein Zufall !“

Version 2.1