VdS Cyber-Security – der Brandschutz
des 21. Jahrhunderts Cyber-Security für kleine und mittlere Unternehmen (KMU)
22.01.2016 Folie 2
Zum Referenten
Claus Möhler
Jahrgang 1975
Berater für Informationssicherheit
Seit 2000 bei Applied Security GmbH
ISO 27001 Lead Auditor
Anerkannter Berater für Cyber-Security gemäß VdS 3477
Zulassung als Fachexperte und Auditor für das Quick-Check-
Verfahren nach VdS 3474 und für das Zertifizierungsverfahren nach
VdS 3475
22.01.2016 Folie 3
Agenda
Begrüßung und Agenda
Kurzprofil Applied Security GmbH
Definition „ISMS“
Aktuelle Management-Systeme
Vorstellung VdS 3473
Fragen und Antworten
22.01.2016 Folie 4
Kurzprofil Applied Security GmbH
Gegründet 1998 in Großwallstadt
Niederlassungen in Berlin, Hamburg und Essen
Top 15 Unternehmen der deutschen IT-Sicherheits-Unternehmen
(Quelle: BMWi)
Produkt- und Beratungsbereich
fideAS-Produktlinie: Verschlüsselung, digitale Signatur, sichere Datenübertragung
Security-Consulting, Fokus ISMS (VdS 3473, ISO 27001, BSI, ISIS12)
Zertifizierter ISIS12-Dienstleister seit Oktober 2014
Zugelassene Berater und Auditoren gemäß VdS 3474, 3475 und
3477
22.01.2016 Folie 5
Warum ein neues ISMS vom VdS?
VdS unabhängige Institution, erstellt u.a. Vorgaben und
Konzepte für Brandschutz und Security
Vorgaben dienen als Grundlage bzw. Voraussetzungen für
Versicherungen (z.B. „Leitfaden für den Brandschutz im
Betrieb“, VdS 2000)
Cyber-Versicherungen verlangen ebenfalls nach normierten
Grundlagen
„Norm“ für Informationssicherheit (ISMS)
„Cyber-Security für kleine und mittlere Unternehmen (KMU)“
Kurzübersicht „ISMS“
22.01.2016 Folie 7
ISMS - Definition
„Das Information Security Management System (ISMS, engl. für
„Managementsystem für Informationssicherheit“) ist eine Aufstel-
lung von Verfahren und Regeln innerhalb eines Unternehmens,
welche dazu dienen, die Informationssicherheit dauerhaft zu
definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und
fortlaufend zu verbessern.“
Quelle: http://de.wikipedia.org/wiki/ISMS
22.01.2016 Folie 8
ISMS Inhalte
„… eine Aufstellung von Verfahren und Regeln …“
Dokumentierte Regelwerke, Vorgaben, Strukturen und Prozesse
„… innerhalb eines Unternehmens …“
klare Abgrenzung, klarer Gültigkeitsbereich
von der Geschäftsleitung initiiert und getragen
Unternehmensweit gültige Grundlagen und Definitionen
„… die Informationssicherheit dauerhaft zu definieren, zu
steuern, … und fortlaufend zu verbessern“
kontinuierlicher Prozess, keine Einmal-Aktionen
Aktuell verfügbare Management-Systeme
22.01.2016 Folie 10
Aktuelle Managementsysteme
ISO/IEC 2700x
• Internationale Normenreihe
• Weltweit anerkannt
• Flexible Auslegung
• Zertifizierbar
BSI IT-Grundschutz
• Umsetzungsmöglichkeit der ISO 27001
• Definierte Methodik
• Deutschlandweite Anerkennung
• Standards BSI 100-1 bis 100-4
• Zertifizierbar
ISIS 12
• „IT-Grundschutz light“
• Reduzierter Maßnahmensatz und Vereinfachungen gegenüber BSI 100-2
• Geeignetes ISMS gemäß IT-Planungsrat
• Zertifizierbar durch die DQS
22.01.2016 Folie 11
Aktuelle Managementsysteme im Vergleich
Maßnahmen-Ziele Maßnahmenorientierung
BSI IT-
Grundschutz
ISIS 12
ISO 27001
VdS 3473
Unte
rne
hm
ensgrö
ße
VdS 3473
22.01.2016 Folie 13
VdS 3473 – Motivation und Geltungsbereich
• Schutz-Standards zur Abwehr „klassischer“ Gefahren verfügbar
• Richtlinien der VdS Schadenverhütung GmbH
• VdS 3473 begegnet den „neuen“ Cyber-Bedrohungen
• IT-Risiken für Versicherer bewertbar machen
Motivation
• VdS 3473 etabliert „Mindestanforderungen“ an die Informationssicherheit
• Anwendbar für KMU, gehobener Mittelstand, Verwaltungen, Verbände und sonst. Organisationen
Geltungsbereich
22.01.2016 Folie 14
VdS 3473 – Grundsätze (1)
So wenig wie möglich, so viel wie nötig
Allgemeingültig für alle Branchen und Organisationen
Das Thema ISMS wird nicht neu erfunden
Inhaltlich große Überschneidung mit bereits etablierten Standards
Keine Vorgabe von Maßnahmen
eher Themenbereiche und Strukturen zur Umsetzung
dadurch methodisch näher an ISO27001 als an IT-Grundschutz
22.01.2016 Folie 15
VdS 3473 – Grundsätze (2)
Risikobasierter Ansatz
Basis-Schutz für alle Systeme
Stärkere Fokussierung auf als kritisch identifizierte
Prozesse
Informationen
IT-Systeme, mobile Datenträger und Verbindungen
Individualsoftware
Methodik zur Identifikation kritischer Systeme nicht vorgegeben
Über die Kritikalität entscheidet das Unternehmen selbst
22.01.2016 Folie 16
VdS 3473 - Kernthemen
Dokumentations-Anforderungen
• Rollen und Verantwortlichkeiten
• Leitlinie zur Informationssicherheit (IS-Leitlinie)
• Richtlinien zur Informationssicherheit (IS-Richtlinie)
• Mobile IT-Systeme / Datenträger
• Datensicherung und Archivierung
• Inventarisierung der IT
Prozesse
• ISMS:
• Identifikation kritischer IT-Ressourcen
• IS-Leitlinie
• IS-Richtlinien
• Thematisch:
• Störungen und Ausfälle
• Sicherheitsvorfälle
• Inbetriebnahme, Änderung und Außerbetriebnahme
• Datensicherung
• Wiederanlauf
• Risikoanalysen
Maßnahmenziele
• Basis-Schutz für alle IT-Systeme
• Updates
• Anti-Virus
• Beschränkungen
• Zusätzliche Maßnahmen für als kritisch identifizierte Systeme, z.B.
• Risikoanalyse
• Notbetrieb
• Robustheit
• Überwachung
Zertifizierungsmöglichkeiten
22.01.2016 Folie 18
Quick-Check, Quick-Audit und Zertifizierung
Quick-Check
Online-Fragenkatalog
Ergebnis: PDF-Report
Quick-Audit (VdS 3474)
Basiert auf den Ergebnissen des
Quick-Checks
Testierung der Ergebnisse durch neutralen Dritten
Zertifizierung (VdS 3475)
Komplette Zertifizierung des ISMS
Quick-Audit bildet auch hier die Grundlage für Audit-Planungen
22.01.2016 Folie 19
Zertifizierungspyramide
22.01.2016 Folie 20
Quick-Audit nach VdS 3474
Quick-Check
39 Fragen zu sicherheitsrelevanten
Themen in Ihrem Unternehmen*
Online unter https://www.vds-quick-check.de/
Audit-Planung Basierend auf den
Angaben des Quick-Check
Audit-Durchführung
i.d.R. 1-2 Tage vor Ort
Auswertung und Berichtserstellung
Testat
* Der Quick-Check ist auch ohne weitere Schritte möglich
Quick-
Check
Quick-
Audit
22.01.2016 Folie 21
Zertifizierung nach VdS 3475
Audit
Zertifizierungs-Entscheidung
Zertifikat
Check-Up
Ggf. Re-Zertifizierung
22.01.2016 Folie 22
Vergleich Testat & Zertifikat
Quick-Check
Self-Assessment
PDF-Report
Moment-Aufnahme
Keine Überwachung
Werbeverbot
Quick-Audit
Audit vor Ort
Testat / Prüfbericht
Moment-Aufnahme
Keine Überwachung
Werbeverbot
Zertifizierung
Audit vor Ort
Zertifikat
Gültigkeit 3 Jahre
Jährlicher Check-Up
Werbung erlaubt
22.01.2016 Folie 23
Anwendungsbereiche VdS 3473
Wann ist die Implementierung eines ISMS gemäß VdS 3473
interessant:
Voraussetzung für Cyber-Versicherungen
Zertifizierung eines bereits bestehenden, innerhalb des
Unternehmens gewachsenen ISMS
Wann ist die Implementierung eines ISMS gemäß VdS 3473
nicht interessant:
volle Flexibilität oder Anerkennung eines anderen ISMS (z.B. ISO
27001, IT-Grundschutz) gewünscht oder gefordert
22.01.2016 Folie 24
Fragen?
22.01.2016 Folie 25
Vielen Dank für Ihre Aufmerksamkeit
Ihre Ansprechpartner:
Herr Claus Möhler
Sprechen Sie mit uns.
apsec bietet Ihnen umfassenden Service für alle Bereiche der Datensicherheit.
Applied Security GmbH – Einsteinstraße 2a – 63868 Großwallstadt
www.apsec.de – Email: [email protected] – Telefon: +49 (0) 6022 / 263 38 - 0