„Best in Class ist nie ein Zufall !“
QSEC Suite
Best Practice im
Informationssicherheitsmanagement nach
ISO 27001
„Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis.
Präsentation WMC GmbH
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Agenda
Begrüßung und Abstimmung der Agenda
Vorstellung ganzheitliches ISMS
QSEC-Suite Präsentation
Fragen und Diskussion
2
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
• ausschließlich
Consultants mit
Managementerfahrung
• Konzeption und gemeinsame
Umsetzung messbarer,
akzeptierter Ergebnisse
WMC – seit 11 Jahren optimale Leistungen im Projekt- und Lösungsgeschäft
Consulting (IT-Solutions) Consulting (IT-Security)
Datenbankbasierte Produkte für Aufbau und Betrieb von Information Security Management Systemen
Kernkompetenzen
• Information - / IT-Security
• IT-Risk Management
Kernkompetenzen
• IT-LifeCycle Management
• Asset- und Contract Management
• Licence Management
© 2011 WMC GmbH
Produktfamilie - QSEC-Suite
• ausschließlich
Consultants mit
Managementerfahrung
• Konzeption und gemeinsame
Umsetzung messbarer,
akzeptierter Ergebnisse
Kunde
3
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
arvato systems GmbH
(Bertelsmann Gruppe)
Axel Springer AG
Huf Hülsbeck & Fürst GmbH
Marquardt GmbH
Reich GmbH
Wilhelm Karmann GmbH
Volkswagen Osnabrück GmbH
Paul Albrechts Verlag GmbH
PAV CARD GmbH
Veolia Umweltservice GmbH
Germanischer Lloyd AG
Sana IT Services GmbH
ITERGO (ERGO Konzern)
DVAG (Deutsche Vermögensberatung AG)
WMC Referenzen / Projekte (Auszug)
Medien
Automotive
Dienstleistung
Gesundheitswesen
Versicherungen
4
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Agenda
Vorstellung ganzheitliches ISMS
• ISMS führt zu Geschäftserfolg, Profit und Image
• ISMS nach ISO/IEC 27001/ Vorgehensmodell
• IT-Risikomanagement
• QSEC Produktfamilie und Leistungen
5
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM)
CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen.
„Supply“ orientierte IT (2000-2010)
» IT-Kostenmanagement
» IT-Industrialisierung
» Full Scope Outsourcing
» Abwicklung IT-Projekte
» IT-Service Qualität
Business im Wandel 1. Information
2. Global
3. Werte
Informationstechnologie Schnelle und wirksame Umsetzung von
Geschäftsstrategien
Strategisch wirksame und sichere IT (2010 – 2020)
» Intelligente Nutzung von Informationssicherheit
» Risiko-Wertorientierte Steuerung von IT Investitionen
» Wirkungsvolle Unterstützung der Geschäftsbereiche
» Übergreifende Prozesse
» Anwendungskritikalität
» Konsequente Ausrichtung der IT Organisation am Geschäft
CRM
Trans-
formation
Wettbewerbsvorteil
Kostenvorteil
Innovationsvorteil
6
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Sicherung des Unternehmenserfolges durch ein ISMS
Unternehmen
Wertschöpfungs-
management
Werte
schaffen
Qualitäts-
management
Werte
stärken
Informations-
sicherheits-
management
Werte
sichern
Risiko- und Chancenmanagement
Geschäftserfolg, Profit, Image
Informationssicherheitsmanagement – notwendiges Übel oder
wesentlicher Beitrag zum Geschäftserfolg?
© 2011 WMC GmbH 7
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
ISMS - Wie diese Themen erfolgreich gemanagt werden können
Qualitätsmanagement
Business Continuity
Management
Risikomanagment
SOX
IT-Servicemanagement
Business Impact Analyse
Datensicherung
Notfallplanung
IT-Risikomanagement
ISO/IEC 27001
Informations-
sicherheit
© 2011 WMC GmbH 8
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Keine Prozesssicherheit ohne Informationssicherheit
Technische Systemebene / IT-Infrastruktur
Arbeitsergebnis
IT- Applikationen
Applikationsebene / IT-Anwendungen
Geschäftsprozessebene
Unternehmensstrategie / - Kultur
IT -
Org
an
isa
tio
n
Info
rmatio
nssic
herh
eit
Geschäftsprozesse die
Ausgangsbasis
IT-Strategie folgt der
Unternehmensstrategie
IT-Anwendungen
unterstützen
Geschäftsprozesse
9
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Effe
ktiv
e, w
ied
erh
ole
nde
Se
nsib
ilisie
rung
de
r Mita
rbe
iter
QSEC-Suite - Methode zur Einführung und Betrieb eines ISMS
Risktreatment
Risikobegegnung durchführen
Risikomanagement durchführen
Selfassesment durchführen
Grundsätze und Leitlinien
erstellen (Security Policy)
Maßnahmenmgmt.. durchführen
2
Permanentes Assessment
Permanentes Risikomanagement
Permanente Risikobegegnung
Permanentes Maßnahmenmgmt.
überprüfen
© 2011 WMC GmbH
Plan
Do Check
Act
Stra
tegis
che
Au
sric
htu
ng
be
stim
men
3
4
1
0
Methode zum Betrieb eines ISMS
10
• Terminierung und Initiierung notwendiger Projekte
• Überprüfung der Umsetzung eingeleiteter Maßnahmen
• Absicherung durch Etablierung des Notfallmanagements
• Entscheidung zur Akzeptanz oder des Transfer von Risiken
• Durchführung von Sicherheitssofortmaßnahmen
• Anpassung des BCM zur Abdeckung operativer Risiken
• Beurteilung der Prozesse nach „Business-Kritikalität“
• Erstellung eines Business-Blueprints der Systemlandschaft
• Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems
• Bedrohungs- und Schwachstellenanalyse der Systemlandschaft
• Bewertung der möglichen Risiken
• Erstellung eines Risikobegegnungsplans
• Implementierung der ISMS-Organisation
• Technik überprüfen und bewerten (Vulnerability Assessment)
• Ressourcen und Prozesse zugeordnen und bewerten
• Ggf. weitere branchenspezifische Assessments (z.B. ISO / TS 16949)
• Geschäftsführungsentscheidung zur konsequenten
Sicherheitspolitik
• Ernennung eines Sicherheitsbeauftragten auf Managementebene
• Einführung von Grundsätzen und Leitlinien
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Schematischer Ablauf des IT Risikomanagement
11
Angebotsphase Montage
Versand
…
Applikation 1
Datenbank a
Datenbank b
Server x
Applikation 2
Datenbank c
Server y
Appl. 4
DB c
Server v
Bedrohungen
analysieren und
bewerten
Schwachstellen
analysieren und
bewerten.
(existierende Sicherheits-
maßnahmen berücksichtigen)
Kritikalität: niedrig Kritikalität: hoch Kritikalität: mittel
Detaillierte Analyse Basisbewertung
Übergeordnete
Risikobewertung
(Kritikalität der GP festlegen)
Applikation 3
Datenbank e
Datenbank f
Server z
Applikation 4
Datenbank g
Server v
Applikation 5
Datenbank h
Datenbank i
Server w
Applikation 6
Datenbank k
Server z
Prozessmodell erstellen
Alle Assets
• identifizieren,
• gruppieren und
• den Prozessen zuordnen
Detaillierte Analyse
• Asset Bewertung
• Bedrohungsanalyse
• Schwachstellenanalyse
• Risikobewertung
oder
Basisbewertung
Basisbewertung Vertraulichkeit, Integrität, Verfügbarkeit,
Authentizität, Finanzieller Wert
Maßnahmen Management
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Compliance Management: Systematisches, methodenbasiertes Vorgehen
DIN EN ISO 9001
Messung,
Analyse,
Verbes-
serung
Management
der
Ressourcen
Verantwortung
der Leitung
Qualitätsmanagementsystem
Kontinuierliche Verbesserung
Zu
fried
en
heit
Ku
nd
e
An
ford
eru
ng
en
Produkt/
Dienst-
leistung
Ku
nd
e
Produkt u./o.
Dienstleistungs-
realisierung
Umweltmanagement
ISO 14001 Servicemanagement
ISO 20000
Sicherheitsmanagement
ISO 27001
inkl. IT-Risko 27005
Qualitätsmanagement
ISO 9001
Act Plan
Check Do
Sicherheit
ist ein
Prozess
Managementprozess Abgebildet in QSEC
BDSG
SOX
12
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Die QSEC-Suiten / QSEC Easy Express
• Vollständige ISMS Abbildung nach ISO/IEC 27001
• Plan-Do-Check-Act (PDCA)
• Nachhaltigkeit
• Vollständiges IT-Risikomanagement ISO/IEC 27005
• Bedrohungen/Schwachstellen
• Ganzheitlichkeit
• Vollständiges Maßnahmenmanagement
• Liefert jederzeit den aktuellen Status
• Übersichtlichkeit
• Schnittstellenmanagement
• Integration in die Infrastruktur
• Eindeutigkeit
• BIA / BCM*)
• Geschäftskontinuität
• Planbarkeit
*) BIA=Business Impact Analyse, BCM=Business Continuity Management
13
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC Easy Express
• Compliance
• Maßnahmen
• IT-Risiko
• Dokumenten
• Reporting
• Limitiert auf 3 User und
1 Untersuchungsbereich
14
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC Family
• QSEC Easy Express
• QSEC-Suite Enterprise Edition
• QSEC-Suite GRC Edition
15
• Content • Methode
• Intuitive Benutzerführung
Nachhaltigkeit
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC-Suite Enterprise Edition
16
• Compliance
• Maßnahmen
• IT-Risiko
• Dokumenten
• Security-Incident
• Reporting
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC-Suite GRC Edition
17
• Compliance
• Maßnahmen
• IT-Risiko
• Dokumenten
• Security-Incident
• BIA/BCM
• Reporting
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“ 18
QSEC-Family - Produktvergleich
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC-Suite
Maßnahmen
Maßnahmen-
management
QSEC-Suite
IT-Risiko
IT-
Risikomanagement
Schnittstellen
Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine)
QSEC-Suite
Compliance
Compliance-
management
Awareness
Awarenessmanagement
QSEC-Suite
Core Server, Gemeinsame Plattform, Berechtigungen
QSEC-Suite
Dokument
Dokumenten-
management
QSEC-Suite
Dashboard Reporting Management
Module in Planung
Enterprise Suite GRC Suite
QSEC-Suite Module im Überblick
QSEC-Suite
Incident
Security-Incident-
management
QSEC-Suite
BCM
Business Continuity
Management
QSEC-Suite
BIA
Business Impact
Analyse
QSEC-Suite
Reporting
Reporting
Berichte
Erweiterungen
Schnittstellen
Risikomanagement
Montoring Tools
Vulnerability-Scan
vorhanden in Realisation
19
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Active Directory (AD)
QSEC-Suite
ISMS / BDSG
Integriertes
Management System
QSEC-Suite integriert in der IT-Infrastruktur
Asset
Management Spider / Service Center
Mailsystem
Incident
Management Perigrine / helpLine
Vulnerability
Management Qualys
Prozess
Management Aris / Adonis
Assetgruppe
Kritikalität
Geschäftsprozesse
Vertraulichkeit
Verfügbarkeit
Integrität
Assetgruppe
Schwachstellen
Maßnahmen
Benachrichtigungen
Mitarbeiter-
berechtigungen
Geschäftsprozesse
Security-Incidents
20
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2)
In der QSEC-Suite Enterprise Edition ist folgender Content enthalten
Modul Beschreibung Bemerkung
Stammdaten Rollenbeschreibungen z.B. Sicherheitsbeauftragter,
Datenschutzbeauftragter,
Qualitätsbeauftragter etc.
Compliance ISO/IEC 27001 Chapter 0-8
Fragenkatalog mit 48 Fragen
ISO/IEC 27001 Annex A
Fragenkatalog mit 502 Fragen
ISO/IEC 9001
Fragenkatalog mit 126 Fragen
ISO/IEC 14001
Fragenkatalog mit 148 Fragen
ISO/IEC 20000
Fragenkatalog mit 400 Fragen
PCI/DSS
Fragenkatalog mit 98 Fragen
VDA PTS
Fragenkatalog mit 102 Fragen
Bundesdatenschutzgesetz (BDSG)
Fragenkatalog mit 402 Fragen
Sarbanes-Oxley-Act (SOX)
Fragenkatalog mit 229 Fragen
• Ständige Überarbeitung und
Update
• Selbstverständlich kann auch Ihr
bestehender Fragenkatalog
eingebunden werden
21
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2)
In der QSEC-Suite Enterprise Edition ist folgender Content enthalten
Modul Beschreibung Bemerkung
IT-Risiko-
management
Bedrohungskatalog (50)
Schwachstellenkatalog (120)
Ständige Überarbeitung und
Update
Dokumenten-
management
Musterdokumente
z.B. Sicherheitsmanagement (25)
Security Policy
Sicherheitsleitlinien
Klassifizierungsrichtlinie
IT-Risikomanagementrichtlinie
etc.
Ständige Überarbeitung und
Update
Maßnahmen-
management
Maßnahmenvorschlagslisten
z.B. Sicherheitsmanagement (1.200)
Control- und Risikobezogen
Ständige Überarbeitung und
Update
22
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC-Suite Beispiel: Maßnahmenmanagement
z.B. ISO 27001
• A5
• A6
z.B.
• Patch
• Klassifizierung
• Protokollierung
z.B.
• Richtlinie
• Arbeitsanweisung
• Formular
• Handbuch
• Checkliste
Name des verantwort-
lichen Mitarbeiters Dokument
Maßnahmen
Struktur im
Maßnahmenmanagement
• Bezeichnung
• Beschreibung
• Zieldatum
• Priorität
• Verantwortlich
• Umsetzungsgrad
• Status
• Projektname
• Projektverantwortlicher
• Verknüpfung
• Compliance
• Dokument
• mit anderen
Maßnahmen
• individuelle
Maßnahmen
• Risikomanagement
Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt.
Untersuchungs-
bereich
Auswertung:
- Wer muss welche Maßnahmen bearbeiten?
- Welche Maßnahmen werden von wem bearbeitet?
- Welche Dokumente gehören zu welchen Maßnahmen
- Zu welchen Controls gehören welche Maßnahmen
- Welche Maßnahmen gibt es ?
- …
- nach Untersuchungsbereich, nach Fortschritt etc. …
23
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC-Suite Beispiel: Reporting
Mitgelieferte
Reports
• Standardberichte
• Management-
berichte
• Arbeitsberichte
• SOA
• Maßnahmen
• Risiko
• Reifegrad
• Individuelle Berichte
nach Vorgabe
0
1
2
3
4
5
A5 Sicherheitspoli
tikA6
Organisation der …
A7 Management von Werten
A8 Personalsicher
heit
A9 Physische Sicherheit
A10 Betriebs-und
Kommunikat…
A11 Zugangskontro
lle
A12 Beschaffung, Entwicklung …
A13 Management
von …
A14 Business Continuity
Management
A15Einhaltung
der …
IST
SOLL
0
1
2
3
4
5
6
7
8
9
10
Detaillierte BewertungBasisbewertung
Erfasste Assetgruppen
6
4
10
An
zah
l A
sse
tgru
pp
en
Assetgruppenstatus
AssetgruppenbewertungUntersuchungsbereich: ITRZ + Recht
60%
20%
20%
RisikostatusUntersuchungsbereich: ITRZ + Recht
Risikowert >= 7
Risikowert 5 - 7
Risikowert <=4
0
0,5
1
1,5
2
2,5
3
3,5
4
SAP MMSAP HR
SAP PPSAP WM
4
4
3
3
1
2
3
2
Sch
utz
niv
eau
Assetgruppe
SAP MM SAP HR SAP PP SAP WM
Soll-Wert 4 4 3 3
Ist-Wert 1 2 3 2
Gap-Analyse des Schutzzniveaus je AssetgruppeUntersuchungsbereich: ITRZ + Recht
Reifegrad
IST- / SOLL Darstellung mit Maßnahmenauflistung
24
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Die QSEC-Suite ist eine webbasierte Anwendung:
QSEC-Suite - der sichere, softwaregestützte Weg
zum ganzheitlichen Information Security Management System (ISMS)
nach ISO/IEC 2700x
Client Webserver Datenbank
• Web-Browser
• SSL
• Keine Installation
• Keine Wartung
• Microsoft
Windows Server
2003 - 2008 R2
• Microsoft
IIS
• ASP.NET 4.0
• Microsoft
SQL
Server 2008 / R2
• Schnittstellen zu
anderen
Systemen
Programmierung mit Microsoft Visual Studio 2010
Aktuelle Version: 3.0
Risiko
Maßnahmen
Incident
neu
Dokumente
Compliance
Reporting
25
QSEC-Suite Technik
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC - Versionsentwicklung 2008 - 2012
QSEC 1.0.0 bis 1.5.0
Module:
• Admin
• Stammdaten
• Compliance
• Maßnahmen
• Risiko (IT)
• Dokumenten
• Reporting
• (Reifegrad)
Normen:
• ISO 27001
• ISO 27002
• ISO 27005
• ISO 9001 (QM)
• ISO 14001
(Umwelt)
• ISO 20000 (ITIL)
• VDA PTS
• PCI / DSS
15.10.2008 31.12.2009
QSEC 1.6.0 bis 3.0
Module:
• strategisches
Management von
Unternehmenszielen
• BIA
(Business Impact
Analyse)
• BCM
• Security Incident
Management
• Dokumentenportal
• Schnittstellen
• Berechtigungskonzept
nach Legal Entities
Normen:
• BS 25999 (BCM)
• SOX
• Sonder-
lösungen
• CoBIT
• Fragenkatalog
• Englische
Sprachvariante
QSEC 4.0 bis 5.0
30.12.2011 31.12.2012
QSEC Leistungen
Module:
• Event-
console
• Dashboard
• Integration
• (Qualys/ISS/
Checkpoint
etc.)
• SharePoint
• QSEC-
Online
(SaaS)
26
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
ISMS Einführung - Nutzen
• Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit
signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im
Unternehmen
• Nachweis des Sicherheitsmanagements und dessen Überprüfung durch
externe Auditoren zur Erfüllung von Kundenanforderungen
• Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit
• Möglichkeit der gezielten IT-Investition durch Kenntnis der
geschäftskritischen Erfordernisse (IT-Risikomanagement)
• Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen
der IT Strategie
• Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte
bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte
• Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in
Konzernstrukturen
• Erfüllung von Anforderungen aus dem Datenschutzgesetz
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
Vorteile von und Anforderungen an eine Toolunterstützung
• Integrierte zentrale Datenbank
• Konzernstrukturen weltweit darstellbar
• Vorgehen nach einheitlicher Methode in großen und komplexen
Unternehmensstrukturen
• je Norm / Gesetz komplett hinterlegter Content
• vollintegriertes IT-Risikomanagement
• Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) –
keine Doppelerfassung von Daten
• Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS)
• Historie aller relevanten Veränderungsdaten
• Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen
• automatische Wiedervorlage über Mailsystem
• Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je
Untersuchungsbereich
• Maßnahmenvorschläge
28
„Best in Class ist nie ein Zufall !“ „Best in Class ist nie ein Zufall !“
QSEC-Suite Vorteile im Ergebnis
• hohe Transparenz über alle Aktivitäten und Status im Bereich des
Compliance- und IT-Risikomanagements
• permanente Information über und nachhalten von Veränderungen und
Verbesserungen über den PDCA Kreislauf
• daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen
auf die wesentlichen, geschäftskritischen Prozesse
• Einsparung von ca. 30-50% der internen und externen Kosten einer
ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.)
sind möglich
• Positive Auswirkungen auf das Image des Unternehmens bei Kunden,
Lieferanten, Banken, Versicherungen und Investoren durch lückenlose
Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem
Status
29
„Best in Class ist nie ein Zufall !“
Version 2.1