Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Information Security Management (ISMS) with QSEC
1. „Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis.
QSEC Suite
Präsentation WMC GmbH Best Practice im
Informationssicherheitsmanagement nach
ISO 27001
„Best in Class ist nie ein Zufall !“
2. Agenda
Begrüßung und Abstimmung der Agenda
Vorstellung ganzheitliches ISMS
QSEC-Suite Präsentation
Fragen und Diskussion
2
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
4. WMC Referenzen / Projekte (Auszug)
arvato systems GmbH
(Bertelsmann Gruppe) Medien
Axel Springer AG
Huf Hülsbeck & Fürst GmbH
Marquardt GmbH
Reich GmbH Automotive
Wilhelm Karmann GmbH
Volkswagen Osnabrück GmbH
Paul Albrechts Verlag GmbH
PAV CARD GmbH
Veolia Umweltservice GmbH Dienstleistung
Germanischer Lloyd AG
Sana IT Services GmbH Gesundheitswesen
ITERGO (ERGO Konzern)
DVAG (Deutsche Vermögensberatung AG) Versicherungen
4
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
5. Agenda
Vorstellung ganzheitliches ISMS
• ISMS führt zu Geschäftserfolg, Profit und Image
• ISMS nach ISO/IEC 27001/ Vorgehensmodell
• IT-Risikomanagement
• QSEC Produktfamilie und Leistungen
5
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
6. WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM)
CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen.
Business im Wandel Informationstechnologie
1. Information Schnelle und wirksame Umsetzung von
2. Global Geschäftsstrategien
3. Werte
Wettbewerbsvorteil
Kostenvorteil
Innovationsvorteil
„Supply“ orientierte IT (2000-2010) Strategisch wirksame und sichere IT (2010 – 2020)
» Intelligente Nutzung von Informationssicherheit
» IT-Kostenmanagement » Risiko-Wertorientierte Steuerung von IT Investitionen
» IT-Industrialisierung CRM » Wirkungsvolle Unterstützung der Geschäftsbereiche
» Full Scope Outsourcing Trans- » Übergreifende Prozesse
» Abwicklung IT-Projekte formation » Anwendungskritikalität
» IT-Service Qualität » Konsequente Ausrichtung der IT Organisation am Geschäft
6
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
9. Keine Prozesssicherheit ohne Informationssicherheit
Informationssicherheit
IT-Strategie folgt der
Unternehmensstrategie
IT - Organisation
Unternehmensstrategie / - Kultur
Geschäftsprozesse die
Ausgangsbasis
Geschäftsprozessebene Arbeitsergebnis
IT-Anwendungen
unterstützen IT- Applikationen
Geschäftsprozesse
Applikationsebene / IT-Anwendungen
Technische Systemebene / IT-Infrastruktur
9
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
11. Schematischer Ablauf des IT Risikomanagement
Prozessmodell erstellen Angebotsphase Montage … Versand
Übergeordnete
Risikobewertung Kritikalität: niedrig Kritikalität: hoch Kritikalität: mittel
(Kritikalität der GP festlegen)
Applikation 1 Applikation 3 Applikation 5
Datenbank a Datenbank e Datenbank h
Alle Assets Datenbank b Datenbank f Datenbank i
• identifizieren, Server x Server z Server w
• gruppieren und
• den Prozessen zuordnen Applikation 2 Applikation 4 Applikation 6
Datenbank c Datenbank g Datenbank k
Server y Server v Server z
Detaillierte Analyse Detaillierte Analyse
• Asset Bewertung Basisbewertung Basisbewertung
Vertraulichkeit, Integrität, Verfügbarkeit,
• Bedrohungsanalyse
Authentizität, Finanzieller Wert
• Schwachstellenanalyse
• Risikobewertung
Bedrohungen Schwachstellen
Appl. 4 analysieren und
oder analysieren und DB c bewerten.
bewerten
Basisbewertung Server v (existierende Sicherheits-
maßnahmen berücksichtigen)
Maßnahmen Management
11
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
12. Compliance Management: Systematisches, methodenbasiertes Vorgehen
BDSG
Sicherheitsmanagement Qualitätsmanagement
ISO 27001 ISO 9001
inkl. IT-Risko 27005 Qualitätsmanagementsystem
Kontinuierliche Verbesserung
Anforderungen
Verantwortung
der Leitung
Kunde
Zufriedenheit
Messung,
Kunde
Management
Analyse,
DIN EN ISO 9001Verbes-
Managementprozess
der
Ressourcen
serung
Abgebildet in QSEC Produkt u./o.
Dienstleistungs-
realisierung Produkt/
Dienst-
Act Plan leistung
Sicherheit
ist ein
Umweltmanagement Prozess
Servicemanagement
ISO 14001 Check Do ISO 20000
SOX
12
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
13. Die QSEC-Suiten / QSEC Easy Express
• Vollständige ISMS Abbildung nach ISO/IEC 27001
• Plan-Do-Check-Act (PDCA)
• Nachhaltigkeit
• Vollständiges IT-Risikomanagement ISO/IEC 27005
• Bedrohungen/Schwachstellen
• Ganzheitlichkeit
• Vollständiges Maßnahmenmanagement
• Liefert jederzeit den aktuellen Status
• Übersichtlichkeit
• Schnittstellenmanagement • BIA / BCM*)
• Integration in die Infrastruktur • Geschäftskontinuität
• Eindeutigkeit • Planbarkeit
*) BIA=Business Impact Analyse, BCM=Business Continuity Management
13
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
14. QSEC Easy Express
• Compliance
• Maßnahmen
• IT-Risiko
• Dokumenten
• Reporting
• Limitiert auf 3 User und
1 Untersuchungsbereich
14
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
15. QSEC Family
• QSEC Easy Express
• QSEC-Suite Enterprise Edition
• QSEC-Suite GRC Edition
Nachhaltigkeit
• Intuitive Benutzerführung
• Methode
• Content
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“ 15
16. QSEC-Suite Enterprise Edition
• Compliance
• Maßnahmen
• IT-Risiko
• Dokumenten
• Security-Incident
• Reporting
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“ 16
17. QSEC-Suite GRC Edition
• Compliance
• Maßnahmen
• IT-Risiko
• Dokumenten
• Security-Incident
• BIA/BCM
• Reporting
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“ 17
19. QSEC-Suite Module im Überblick
Module in Planung Enterprise Suite GRC Suite
QSEC-Suite
Dashboard QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite
Reporting Management Compliance IT-Risiko Reporting BCM
Compliance- IT- Reporting Business Continuity
management Risikomanagement Berichte Management
QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite
Erweiterungen Maßnahmen Dokument BIA
Incident
Maßnahmen- Dokumenten- Security-Incident- Business Impact
Awareness management management management Analyse
Awarenessmanagement
Schnittstellen
Schnittstellen Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine)
Risikomanagement
Montoring Tools QSEC-Suite
Vulnerability-Scan Core Server, Gemeinsame Plattform, Berechtigungen
vorhanden in Realisation
19
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
20. QSEC-Suite integriert in der IT-Infrastruktur
Assetgruppe
Kritikalität
Geschäftsprozesse
Vertraulichkeit
Verfügbarkeit Mitarbeiter-
Asset berechtigungen
Management
Integrität Active Directory
(AD)
Spider / Service Center
Assetgruppe
Schwachstellen
QSEC-Suite
Vulnerability Prozess
Maßnahmen ISMS / BDSG Geschäftsprozesse
Management Management
Qualys Integriertes
Aris / Adonis
Management System
Benachrichtigungen Security-Incidents
Incident
Mailsystem Management
Perigrine / helpLine
20
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
21. QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2)
In der QSEC-Suite Enterprise Edition ist folgender Content enthalten
Modul Beschreibung Bemerkung
Stammdaten Rollenbeschreibungen z.B. Sicherheitsbeauftragter,
Datenschutzbeauftragter,
Qualitätsbeauftragter etc.
Compliance ISO/IEC 27001 Chapter 0-8 • Ständige Überarbeitung und
Fragenkatalog mit 48 Fragen Update
ISO/IEC 27001 Annex A • Selbstverständlich kann auch Ihr
Fragenkatalog mit 502 Fragen bestehender Fragenkatalog
ISO/IEC 9001 eingebunden werden
Fragenkatalog mit 126 Fragen
ISO/IEC 14001
Fragenkatalog mit 148 Fragen
ISO/IEC 20000
Fragenkatalog mit 400 Fragen
PCI/DSS
Fragenkatalog mit 98 Fragen
VDA PTS
Fragenkatalog mit 102 Fragen
Bundesdatenschutzgesetz (BDSG)
Fragenkatalog mit 402 Fragen
Sarbanes-Oxley-Act (SOX)
Fragenkatalog mit 229 Fragen
21
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
22. QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2)
In der QSEC-Suite Enterprise Edition ist folgender Content enthalten
Modul Beschreibung Bemerkung
IT-Risiko- Bedrohungskatalog (50) Ständige Überarbeitung und
management Schwachstellenkatalog (120) Update
Dokumenten- Musterdokumente Ständige Überarbeitung und
management z.B. Sicherheitsmanagement (25) Update
Security Policy
Sicherheitsleitlinien
Klassifizierungsrichtlinie
IT-Risikomanagementrichtlinie
etc.
Maßnahmen- Maßnahmenvorschlagslisten Ständige Überarbeitung und
management z.B. Sicherheitsmanagement (1.200) Update
Control- und Risikobezogen
22
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
23. QSEC-Suite Beispiel: Maßnahmenmanagement
Struktur im
Maßnahmenmanagement
z.B. ISO 27001
Untersuchungs- • A5 • Bezeichnung
bereich • A6
• Beschreibung
• Zieldatum
• Priorität
• Verantwortlich
• Umsetzungsgrad
• Status
Maßnahmen • Projektname
• Projektverantwortlicher
• Verknüpfung
• Compliance
• Dokument
z.B. Name des verantwort- • mit anderen
• Patch Dokument lichen Mitarbeiters Maßnahmen
• Klassifizierung
• Protokollierung • individuelle
Maßnahmen
z.B. • Risikomanagement
• Richtlinie
• Arbeitsanweisung
• Formular
• Handbuch
• Checkliste
Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt.
23
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
24. QSEC-Suite Beispiel: Reporting
Reifegrad
IST- / SOLL Darstellung mit Maßnahmenauflistung Assetgruppenbewertung Mitgelieferte
A5 Untersuchungsbereich: ITRZ + Recht
Sicherheitspoli
tik Reports
A15 5 A6 10
Einhaltung Organisation 9
der … 4 der …
A14 Business 3 A7
8
10
• Standardberichte
Anzahl Assetgruppen
• Management-
Continuity Management 7
2
Management von Werten 6
1 IST
0 SOLL
5 berichte
A13 A8
Management
von…
Personalsicher
heit
4
3
6
• Arbeitsberichte
2 4 • SOA
A12 A9
• Maßnahmen
1
Beschaffung, Physische
Entwicklung … Sicherheit 0
A11
Zugangskontro
A10 Betriebs-
und Detaillierte Bewertung • Risiko
Basisbewertung
• Reifegrad
lle Kommunikat…
Erfasste Assetgruppen
Assetgruppenstatus
Risikostatus Gap-Analyse des Schutzzniveaus je Assetgruppe
Untersuchungsbereich: ITRZ + Recht
Untersuchungsbereich: ITRZ + Recht • Individuelle Berichte
4 nach Vorgabe
3,5
3 3 3
4
Schutzniveau
2,5 4
20%
2 2
2
20% 1,5
1 3
60% 1
0,5
0
SAP MM
SAP HR
SAP PP
SAP WM
Risikowert >= 7
SAP MM SAP HR SAP PP SAP WM
Risikowert 5 - 7
Soll-Wert 4 4 3 3
Risikowert <=4 Ist-Wert 1 2 3 2
Assetgruppe
24
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
25. QSEC-Suite Technik
Die QSEC-Suite ist eine webbasierte Anwendung:
Client Webserver Datenbank
Incident
neu
Compliance
• Web-Browser • Microsoft • Microsoft Dokumente
Reporting
• SSL Windows Server SQL
• Keine Installation 2003 - 2008 R2 Server 2008 / R2 Maßnahmen
• Keine Wartung • Microsoft Risiko
IIS • Schnittstellen zu
• ASP.NET 4.0 anderen
Systemen
Programmierung mit Microsoft Visual Studio 2010
Aktuelle Version: 3.0
QSEC-Suite - der sichere, softwaregestützte Weg
zum ganzheitlichen Information Security Management System (ISMS)
nach ISO/IEC 2700x
25
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
26. QSEC - Versionsentwicklung 2008 - 2012
QSEC Leistungen
QSEC 4.0 bis 5.0
QSEC 1.6.0 bis 3.0 Module:
• Event-
console
Module: Normen: • Dashboard
QSEC 1.0.0 bis 1.5.0 • Integration
• strategisches • BS 25999 (BCM) • (Qualys/ISS/
Management von • SOX Checkpoint
Module: Normen: etc.)
Unternehmenszielen • Sonder-
• BIA lösungen • SharePoint
• Admin • ISO 27001 • CoBIT • QSEC-
(Business Impact
• Stammdaten • ISO 27002 • Fragenkatalog Online
Analyse)
• Compliance • ISO 27005 • Englische (SaaS)
• BCM
• Maßnahmen • ISO 9001 (QM) Sprachvariante
• Security Incident
• Risiko (IT) • ISO 14001
Management
• Dokumenten (Umwelt)
• Dokumentenportal
• Reporting • ISO 20000 (ITIL)
• Schnittstellen
• (Reifegrad) • VDA PTS
• Berechtigungskonzept
• PCI / DSS
nach Legal Entities
15.10.2008 31.12.2009 30.12.2011 31.12.2012
26
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
27. ISMS Einführung - Nutzen
• Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit
signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im
Unternehmen
• Nachweis des Sicherheitsmanagements und dessen Überprüfung durch
externe Auditoren zur Erfüllung von Kundenanforderungen
• Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit
• Möglichkeit der gezielten IT-Investition durch Kenntnis der
geschäftskritischen Erfordernisse (IT-Risikomanagement)
• Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen
der IT Strategie
• Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte
bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte
• Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in
Konzernstrukturen
• Erfüllung von Anforderungen aus dem Datenschutzgesetz
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
28. Vorteile von und Anforderungen an eine Toolunterstützung
• Integrierte zentrale Datenbank
• Konzernstrukturen weltweit darstellbar
• Vorgehen nach einheitlicher Methode in großen und komplexen
Unternehmensstrukturen
• je Norm / Gesetz komplett hinterlegter Content
• vollintegriertes IT-Risikomanagement
• Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) –
keine Doppelerfassung von Daten
• Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS)
• Historie aller relevanten Veränderungsdaten
• Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen
• automatische Wiedervorlage über Mailsystem
• Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je
Untersuchungsbereich
• Maßnahmenvorschläge
28
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
29. QSEC-Suite Vorteile im Ergebnis
• hohe Transparenz über alle Aktivitäten und Status im Bereich des
Compliance- und IT-Risikomanagements
• permanente Information über und nachhalten von Veränderungen und
Verbesserungen über den PDCA Kreislauf
• daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen
auf die wesentlichen, geschäftskritischen Prozesse
• Einsparung von ca. 30-50% der internen und externen Kosten einer
ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.)
sind möglich
• Positive Auswirkungen auf das Image des Unternehmens bei Kunden,
Lieferanten, Banken, Versicherungen und Investoren durch lückenlose
Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem
Status
29
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“