IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

Transkript

1 IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag Björn Schulz

2 Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit 2

3 Einleitung und Ausgangslage Eckdaten zur dieser Präsentation Es handelt sich um ein Unternehmen aus dem Finanzdienstleistungssektor mit einer Jahresbilanz von ca. 1,4 Milliarden Das Unternehmen ist spezialisiert, um die Anforderungenseines Kundenklientel zu entsprechen Es bietet seinen Kunden selbst entwickelte Software in Form von ASP Dienstleistungen an Es betreibt neben dem outgesourcten Rechenzentrum auch ein eigenes Rechenzentrum für die Softwareentwicklung und den ASP-Dienstleistungen Es hat ca. 220 Mitarbeiter / davon ca. 12 IT ler und ca. 6 Softwareentwickler 3

4 Anforderungen Gesetze und Verordnungen verpflichten Beispiele Das KonTraGverlangt Überwachungssystem, sowie die persönliche Haftung von Vorständen Die MaRisk der BaFin verlangt Notfallplanungen, Ersatzlösungen, Vorsorge, regelmäßiges Überprüfungen etc. Das BSDG verlangt Schutz personenbezogener Daten u.s.w. Quelle: unbekannt 4

5 Einleitung und Ausgangslage Die gesetzlichen Anforderungen in Verbindung mit der Abhängigkeit des Geschäftsmodells des Unternehmens, führen zur folgender Aussage in der MaRisk (Mindestanforderung an das Risikomanagement) Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT- Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen,. Erläuterung der BaFin : Zu solchen Standards zählen z. B. der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700x der International Standards Organization. Das Abstellen auf gängige Standards zielt nicht auf die Verwendung von Standardhardware beziehungsweise - software ab. Eigenentwicklungen sind grundsätzlich ebenso möglich. 5

6 Anforderungen Gesetze und Verordnungen verpflichten Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie gem. des Prüfungsstandards IDW RS FAIT 1 6 Auszug: Die gesetzlichen Vertreter haben die Verantwortung dafür, dass die Unternehmensziele in Übereinstimmung mit der von ihnen festgelegten Geschäftspolitik des Unternehmens im Rahmen der gesetzlichen Vorschriften erreicht werden. Soweit hierfür IT eingesetzt wird, haben sie geeignete Regelungen einzuführen, um die Risiken aus dem Einsatz von IT zu bewältigen. und Die Elemente des IT-Systems sind rechnungslegungsrelevant, wenn sie dazu dienen, Daten über Geschäftsvorfälle oder betriebliche Aktivitäten zu verarbeiten, die entweder direkt in die IT-gestützte Rechnungslegung einfließen oder als Grundlage für Buchungen dem Rechnungslegungssystem in elektronischer Form zur Verfügung gestellt werden (rechnungslegungsrelevante Daten).

7 Anforderungen Auf Grund der gesetzlichen Anforderungen und Verordnungen sowie dem Geschäftsmodell des Unternehmens, hat sich das Unternehmen zur Einführung eines ISMS entschieden. 7

8 IT-Strukturanalyse Erstellung einer Sicherheitskonzeption Quelle: BSI Standard

9 IT-Strukturanalyse Warum benötigen wir eine IT-Strukturanalyse? Die Strukturanalyse umfasst Bestandteile, die zur Erfüllung der im Geltungsbereich festgelegten Geschäftsprozesse oder Fachaufgaben benötigt werden. Wir sprechen hier von: Informationen Anwendungen IT-Systeme Räumlichkeiten Kommunikationsnetze Geschäftsprozesse 9

10 IT-Strukturanalyse Legende zur Vorgehensweise Welche Rolle spielt der jeweilige Geschäftsprozess im Unternehmen? Welche Anforderungen stellt die Anwendung an die IT-Grundwerte? (Ausgehend vom unterstützten Geschäftsprozess) Gibt es gesetzliche oder aufsichtsrechtliche Anforderungen an die Datenverarbeitung? 10

11 IT-Strukturanalyse IT-Abhängigkeit der Geschäftsprozesse 11

12 IT-Strukturanalyse Aufnahme der bekannten Anwendungen 12

13 IT-Strukturanalyse Abhängigkeit der Prozesse zur IT 13

14 IT-Strukturanalyse Feststellung nach Aufnahme des IST-Zustand Innerhalb der uns genannten Geschäftsprozesse, existierten über 120 verschiedene IT- Anwendungen Diese IT-Anwendungen basierten auf ca. 140 Servern Es waren ca. 230 Client-Systeme (PC, Notebooks) im Einsatz Insgesamt waren ca. 450 IT-Systeme vorhanden (IT-Anwendunge, Server, Netzwerkkomponenten, Clients) Erfahrungsgemäß wurde in diesem Unternehmen eine überdurchschnittliche hohe Anzahl an IT-Anwendungen betrieben. 14

15 IT-Strukturanalyse Übernahme der Informationen in ein ISMS-Tool 15

16 IT-Strukturanalyse Arbeiten mit dem ISMS Tool verinice 16

17 IT-Strukturanalyse Arbeiten mit dem ISMS Tool verinice 17

18 Fazit Ohne eine grundlegende IT-Strukturanalyse fehlt der Geschäftsführung sowie den jeweils Verantwortlichen der einzelnen Geschäftsbereiche eines Unternehmens eine vollständige und ordnungsgemäßen Dokumentation. Dies bedeutet, es existiert keine gesicherte Übersicht über die IT-Infrastruktur Geschäfts- und IT Strategien können nicht nachhaltig geplant und umgesetzt werden Notfallpläne, BCM-Pläne etc. basieren nicht auf verlässlichen Informationen die Unternehmensrisiken sind nicht seriös abschätzbar bzw. effizient zu minimieren 18

19 Fazit Folge: Für die Geschäftsführung besteht die Gefahr, außer gegen die Anforderungen aus HGB, AO, MaRisk und KonTraG, zu verstoßen, auch möglicherweise gem. 130 OWiG belangt zu werden! 19

20 Fragen & Antworten 20

21 Karwendelstraße Ebersberg Danke Telefon: Domain: