automatisierung eines isms nach iso 27001 mit rsa archer · assets risiken … scope soa inven- ......
TRANSCRIPT
© Computacenter 2014
Wilhelm Suffel
Senior Consultant
Computacenter AG & Co oHG
Hörselbergstraße 7, 81677 München, Germany
Tel.: +49 89 45712 446
Mobile: +49 172 8218825
E-Mail: [email protected]
Automatisierung eines ISMS nach ISO 27001 mit RSA Archer
1
© Computacenter 2014
Agenda
ISMS nach ISO 27001
Herausforderungen komplexer Umgebungen
Umsetzung mit RSA Archer
Kurzdemonstration
2
© Computacenter 2014
ISMS nach ISO 27001
3
© Computacenter 2014
ISO 27001 ist ein ganzheitlicher Ansatz, der aus zwei
Teilen besteht
4
Information
Security
Management
System
Management
System
Schutz-
maßnahmen
© Computacenter 2014
Das Management System versorgt die „Governance“
mit Informationen
5
Risiken
Audits,
Verbesser-
ungen
Sicherheits-vorfälle,
Metriken
Governance
… Schutz-
maßnahme
Schutz-
maßnahme Schutz-
maßnahme
Risikoanalyse
Einführen von
Schutzmaßnahmen
Mitarbeiter
sensibilisieren
Interne Audits
etc.
© Computacenter 2014
Schutzmaßnahmen erzeugen Informationssicherheit
6
Sicherheitspolitik
Organisation der Informationssicherheit
Personalsicherheit
Management von Werten
Zugangskontrolle
Verschlüsselung
Physikalische Sicherheit
Einhaltung der Verpflichtungen
Geschäftskontinuität
Behandlung von
Sicherheitsvorfällen
Beschaffung, Entwicklung und Wartung von
Informationssystemen
Kommunikationssicherheit
Sicherheit im Betrieb
Lieferantenbeziehungen
© Computacenter 2014
Das „Statement of Applicability“ (SoA) beschreibt das
Sicherheitsprofil einer Organisation
7
Beinhaltet die Beschreibung der
Implementierung und die Begründung
zur Umsetzung von Schutzmaßnahmen
Dokumentiert den Status der
Umsetzung von Schutzmaßnahmen
Dient als Hauptdokument im
Rahmen einer Zertifizierung
Beinhaltet zusätzliche Maßnahmen
(z.B. Regulative Anforderungen)
Statement of
Applicability
Zertifizierung
Zusätzliche
Maßnahmen Status
Schutz-
maßnahmen
© Computacenter 2014
ISO 27001 hat unterschiedlichen Nutzen
8
Erfüllung regulativer Anforderungen
Verbesserung des
Unternehmens
Marketing Perspektiven
© Computacenter 2014
Herausforderungen komplexer Umgebungen
9
© Computacenter 2014
Die Komplexität muss verwaltet werden
10
© Computacenter 2014
Datensilos erschweren die Verwaltung der ISMS
Komponenten
11
Audits,
Incidents
Prozesse
Schutz-
maßnahmen
Information
Assets
Risiken
…
Scope
SoA
Inven-
tar
Tickets
Register
© Computacenter 2014
Einfaches Reporting erfordert die flexible
Verknüpfung von Komponenten des ISMS
12
Risiken pro
Prozess
ISO 27001
Compliance ...
?
?
?
?
?
?
ProzesseInformation
Assets Risiken
Schutz-
maßnahmen Incidents Audits …
© Computacenter 2014 13
Einsatz einer Datenbank zur Reduktion der
Komplexität
Umsetzung mit RSA Archer
© Computacenter 2014
RSA Archer ist ein Datenbank basiertes GRC-Tool
14
RSA Archer
GRC Solutions
RSA Archer Platform
…
Integration
Qualys Mcafee MVM Rapid7
(Nexpose)
…
Focused
Solutions Spezifische Usecases
ISO27001
…
Business
Usecases
Application
Application
…
…
Application
…
© Computacenter 2014
15
Die „ISMS Foundation“ nutzt bestehende Solutions
Anwendungsbereich
ISMS Policy
Risikoanalyse
Schutzmaßnahmen
Risikobehandlung
Überwachung
Verbesserung
ISMS Foundation
Enterprise Mgmt
Policy Mgmt
Risk Mgmt
Compliance Mgmt
Audit Mgmt
Incident Mgmt Archer Focused Solution
ISMS
St. of. App.
© Computacenter 2014
Es kommt darauf an, beliebige Datencontainer
abzubilden und einfach Reports zu erzeugen!
16
© Computacenter 2014
Kurzdemonstration
17
© Computacenter 2014
Vorteile der Automatisierung eines ISMS nach ISO
27001 mit RSA Archer
18
Einfache Dashboard Funktionen zur Konfiguration individueller Übersichten.
Mit einem Reporting Wizard erübrigt sich die Verwendung weiterer Reporting-Systeme (z.B. Crystal Reports usw.)
Verwaltung aller Aktivitäten im ISMS Prozess.
Ein flexibles Datenbank Modell schafft Investitionssicherheit.
Zentrale Datenablage für alle Aufzeichnungen und Dokumente des ISMS Prozesses
Einfache Dashboard Funktionen
Flexibles Datenbankmodell
Zentrale Datenablage
Reporting Wizard
Verwaltung aller Aktivitäten
© Computacenter 2014
Offene Fragen / Diskussion
19