Post on 02-May-2022
Mai 2009
BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006
Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF
> Vorstellung des BMF / IT-Sektion
Gründe für die Einführung des StandardsProjektumfang und -aufwand Vorteile & Nutzen
.
Bundesministerium für FinanzenOrganigramm
.
IT-Sektion
• Transformationsaufgabe der IT-Sektion- Dienstleister für die Anforderungen der Fachbereiche
- IT-Verfahrensorganisation
- Einheitliche Geschäftsprozesse
- Softwareentwicklung durch BRZG
• Aufgaben- Finanzanwendungen
- Querschnittsanwendungen
- IT-Unterstützung anderer Ressorts
- IT-Management
.
IT-Sektion
• Vision- Durch organisationsübergreifende E-Government Anwendungen die
Verwaltungsmodernisierung forcieren
• IT-Sektion ist Garant für- Umsetzung komplexer Projekte in Zeit- und Kostenrahmen
- Bündelung des Bedarfes der Sektionen und Dienststellen Richtung BRZG
- Bundesweit einheitliche Verfahren und finanzweit einheitliche Ausstattungen
- Synergien in organisationsübergreifenden Verwaltungsprozessen
- Innovative Projekte wie z.B. help.gv.at, FINANZOnline, Elektronischer Dienstausweis (eDA), HV-/PM-SAP, E-Bilanz, E-Finanz, E-Rechnung
- Erfolgreiche Weiterentwicklung des E-Government in Österreich
Vorstellung des BMF / IT-Sektion
> Gründe für die Einführung des
StandardsProjektumfang und -aufwand Vorteile & Nutzen
.
gesetzlich geregelter Wirkungsbereich
formale Behandlung der Geschäfte
B-V
G, B
MG
, GPE
Datensicherheitsmaßnahmen
DSG
200
0, e
tc.
Ausgangssituation
Verpflichtung zur Gesetzmäßigkeit, Zweckmäßigkeit, Wirtschaftlichkeit und Sparsamkeit
Verpflichtung zum Schutz der Daten
Ausgangssituationund Motivation
Verpflichtung zum Treffen von angemessenen Maßnahmen
für Auftraggeber und Dienstleister
Veränderung von Einmal-Aktionen hin zu einem fortwährenden Prozess
zunehmende Bedeutung der Informationssicherheit
Nachweis
standardisierte
Steuerung u. Kontrolle
ISO
270
01
Motivation
Vorteile der Sicherheitsnorm ISO 27001
Informationssicherheit
A.5.Sicherheitspolitik
A.6.Organisation der Sicherheit
A.7.Verwaltung der Vermögenswerte
A.8.PersonelleSicherheit
A.9.Physische und
umgebungsbezogeneSicherheit
A.10.Management derKommunikationund des Betriebs
A.11Zugriffskontrollen
A.12.Systemanschaffung,
-entwicklungund -wartung
A.13.Verwaltung vonInformations-
sicherheitsvorfällen
A.14.BetrieblichesKontinuitäts-management
A.15.Einhaltung derVerpflichtungen
133 ControlsISO 27001, Annex A
SYSTEMATIK
UMFANG
PLAN
CHECK
DOACTISO 27001, Kap. 4 - 8
Informationssicherheit dauerhaft - definieren- steuern- kontrollieren- aufrecht erhalten- fortlaufend verbessern
Vorgehensweise
Vorteile der NormenreiheISO 27000
ISO 27001
Information Security Management Systems Requirements
ISO 27002
Code of Practice for Information Security Management
ISO 27003 (DRAFT)
Information Security Management System Implementation Guidance
ISO 27004 (DRAFT)
Information Security Management Measurement
ISO 27005
Information Security Risk Management
ISO 27006
Requirements for Bodies providing Audit and Certification of ISMS
Vorteile der NormenreiheISO 27004 (DRAFT)
• Sicherheitskennzahlen-Management- Kennzahlenkategorien – Festlegung der zu messenden Ziele und
Kategorisierung der Messergebnisse
- Kennzahlenmessmethodik – Festlegung der Vorgehensweise und Zuständigkeiten
- Kennzahlenberichte – Festlegung der Darstellung und Kommunikation der Messergebnisse
Kennzahlenkategorien Kennzahlenmessmethodik Kennzahlenberichte
ISO 27004 Measurement Process Model
ISO 27004 Measurement Information Model
CobiT Maturity
Model
ISO 27001ISO 27002
Konformität und Wirksamkeit des ISMS
Definition von Messobjekten und Messkriterien, Bereitstellung von objektiven Messdaten
objektive Messergebnisse für das Management Review
Unterstützung der kontinuierlichen Verbesserung
Vorteile der NormenreiheISO 27005
• Information Risk Management- Analysemethodik – Festlegung der Vorgehensweise und Zuständigkeiten
- Analysekategorien – Festlegung von einheitlichen Kategorien für Schutzbedarf, Eintrittswahrscheinlichkeit, Schadenshöhe und Risikozonen
Rahmen-bedingungen
definieren
Kategorien für Eintrittswahr-scheinlichkeit, Schadenshöhe und Risikozonen
Risiko-analyse
Risiko-bewertung
Risiko-behandlung
Risiko-akzeptanz
Risiko-reporting
Risiko-überwachung
Bedrohungs-katalog, Schwachstellen-katalog
ISO 27005 (Process, Assessment, Treatment, Acceptance, Communication, Monitoring)
Annex C
Annex D
Annex E Annex F
Vorstellung des BMF / IT-Sektion
Gründe für die Einführung des Standards
> Projektumfang und -aufwand
Vorteile & Nutzen
Fachaufgaben und IT-Verfahren
gemäß Geschäfts- u. Personaleinteilung
Personen
Clients
Netzwerk
Infrastruktur
erforderliche Ressourcen
Interne Regelungen
Verträge
Betrieb der IT-Verfahren
Fachsektionen
ISMS-ZertifizierungBesonderheiten beim Scoping
IT-Sektion
Dienstleister
BMF und andere Ressorts
insbes. Infrastruktur und Personalwesen
Entwicklung und Betrieb der IT-Verfahren
ISMS-ProjektAblauforganisation
PLAN DO CHECK ACT
ISM
S P
olicy
Managem
ent
IS C
ompliance
Managem
ent
Sicherheitsrichtlinien
Managem
ent
Sicherheitsarchitektur
Managem
ent
Sicherheitsm
aßnahmen-
programm
Sicherheitsm
aßnahmen
implem
entieren
Information R
isk
Managem
ent
Auditprogram
m
Sicherheitskennzahlen
Managem
ent
Kontinuierliches
Verbesserungs-
programm
Supportprozesse
Managementprozesse
STEUERN KONTROLLIEREN
Vorstellung des BMF / IT-Sektion
Gründe für Einführung des StandardsProjektumfang und -aufwand
> Vorteile & Nutzen
VorteileZusammenfassung
• Das ISMS legt klar definierte Sicherheitsvorgaben für alle organisatorischen und technischen Bereiche fest und regelt die erforderlichen operativen Abläufe.
• Weiters stellt es sicher, dass potenzielle Risiken für die Informationssicherheit regelmäßig und systematisch identifiziert, bewertet und durch die Anwendung geeigneter Sicherheitsmaßnahmen auf ein akzeptables und tragbares Maß reduziert werden.
VorteileZusammenfassung
• Das ISMS gewährleistet eine laufende Bewertung auf Basis von durchgeführten Audits und Kennzahlen sowie die kontinuierliche Anpassung und Weiterentwicklung entsprechend der sich ändernden Aufgabenstellungen.
• Der Sicherheitsstandard ISO/IEC 27001 ermöglicht dabei eine strukturierte Vorgehensweise und die notwendige Transparenz in diesem komplexen Umfeld.
• Die Zertifizierung „zwingt“ zur laufenden Aktualisierung
Nutzen – Instrumente für den operativen Betrieb
Sicherheitsrichtlinien für alle Zielgruppen
dokumentierteVorgehensweise und
Verantwortliche
Sicherheitspolitik für alle Mitarbeiter
dokumentierteFachaufgaben und
IT-Verfahren
dokumentierteProzesse, Organisation
und Methodik
relevante rechtl. und regulative
Vorgaben
dokumentierteSicherheitsmaßnahmen(inkl. Umsetzungsgrad)
SicherheitsmaßnahmenGrundschutz-Vorgaben(nach Schutzbedarf)
Information RiskManagement
Sicherheitskennzahlen-berichte
Auditberichte
Auditprogrammund Checklisten
Umsetzung vonVerbesserungs-
maßnahmen
Identifizierung vonVerbesserungs-
potential
PLAN DO CHECK ACT
stra
tegis
ch /
taktisc
hopera
tiv
Leitfaden
Risikoanalysebericht
umzusetzendeSicherheitsmaßnahmen
technischeSicherheitsvorgabenfür die Umsetzung
Auditpläne
Messpläne
Sicherheitskennzahlen Managementbericht
0 – nicht existent 2 – wiederholbar aber intuitiv 4 – managed und messbar
1 – initial 3 – definiert 5 – optimiert
Danke für Ihre Aufmerksamkeit
Allfälliges, Fragen