Zentrum für Informationssicherheit

Transkript

1 SEMINARE 2015 Zentrum für Informationssicherheit IT-Risiko- und IT-Notfallmanagement IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Notfallplanung Vorausschauende Vorbereitung auf den IT-Notfall IT-Notfallübungen In der Krise sicher handeln Cyber Akademie (CAk) ist eine eingetragene Marke

2 IT-Risiko- und IT-Notfallmanagement Ein Großteil der Prozesse in Behörden, Unternehmen und allen anderen Institutionen ist von einer funktionierenden IT und der Verfügbarkeit von Informationen abhängig. Die Bandbreite möglicher Risiken wächst jedoch infolge der Dynamik der technischen Weiterentwicklungen ständig. Aufgabe eines IT-Risikomanagements ist es deshalb, potenzielle Gefahren umfassend zu identifizieren, ihre möglichen Konsequenzen zu bewerten und Schritte zur Risikominimierung einzuleiten. Dabei werden aber Restrisiken bestehen bleiben. Nur darauf zu hoffen, dass diese nie eintreten, wäre zumindest fahrlässig: Kommt es zum IT-Notfall, dann sind in kürzester Zeit Maßnahmen zu treffen, um Schäden zu begrenzen und zum Normalbetrieb zurückzukehren. Die IT-Notfallplanung beschreibt dazu entsprechende Prozesse, Maßnahmen und Verantwortlichkeiten bei Risikoeintritt. Notfallpläne, welche in der Schublade liegen und nie getestet wurden, zeigen ihre Wirksamkeit aber erst im Ereignisfall. IT-Notfallübungen bewirken hier über das Testen hinaus, dass alle Beteiligten mit den jeweiligen Abläufen vertraut gemacht werden und das Zusammenspiel trainiert wird. Die Cyber Akademie bietet zu jedem dieser Themen ein eigenes Seminar an. Die Seminare finden im Rahmen der IT-Risiko- und IT-Notfallmanagement-Wochen der Cyber Akademie statt. Termine der Seminare und IT-Risiko- und IT-Notfallmanagement-Wochen 2015: Woche 1 Woche 2 Woche 3 Woche 4 (Düsseldorf) (Hannover) (Nürnberg) (Berlin) IT-Risikomanagement März Juni September November IT-Notfallplanung 11. März 17. Juni 23. September 25. November IT-Notfallübungen 12. März 18. Juni 24. September 26. November Falls Sie einen vollständigen Überblick erhalten wollen, ist die Teilnahme an allen drei Seminaren innerhalb einer Woche zu einem Sonderpreis möglich (s. letzte Seite). Ausführliche Informationen zu allen Seminaren erhalten Sie auf den folgenden Seiten. 2

3 IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Angesichts der zunehmenden Bandbreite von Gefahren für die IT-Sicherheit ist es von elementarer Bedeutung, die für eine Organisation maßgeblichen Risiken zu identifizieren, mögliche Konsequenzen zu bewerten und Maßnahmen zur Risikominderung zu beschreiben und umzusetzen. Das Seminar gibt eine praktische Anleitung zur Durchführung von IT-Risikoanalysen, Definitionen von risikomindernden Maßnahmen und IT-Risikostrategien Zielsetzung Die Seminarteilnehmer erhalten einen umfassenden Überblick über die Anforderungen eines IT-Risikomanagements sowie die unterschiedlichen Ansätze und Methoden. Sie werden in die Lage versetzt: Gefährdungen im Rahmen einer Business Impact Analyse zu ermitteln, Kosten-Nutzen-Analysen durchzuführen, geeignete Maßnahmen im Rahmen einer IT-Risikostrategie zu planen und umzusetzen, die Wirksamkeit der Maßnahmen zu prüfen. Die Teilnehmer lernen, Risikostrategien zu entwickeln und dabei die Balance zwischen Aufwendungen für risikomindernde Maßnahmen und Rest-Risiken zu finden. Referent Björn Schmelter ist Managing Consultant und Product Manager bei der HiSolutions AG mit langjähriger Erfahrung im Bereich Risikomanagement. Als Schwerpunkt seiner Tätigkeit begleitet er Unternehmen und Behörden bei der Einführung von Informationssicherheits-, Business Continuity- sowie Compliance Managementsystemen. Björn Schmelter ist u. a. Certified Lead Auditor für Managementsysteme nach ISO27001 und BS 25999, CISA, Enterprise Risk Manager (Univ.) und Mitautor des BSI-Standards Notfallmanagement. Zielgruppe IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Business-Continuity-Manager, Risikomanager, Notfallmanager, Mitarbeiter aus Compliance und Controlling sowie Revision und Prüfungsämtern. termine und orte März 2015, Düsseldorf Juni 2015, Hannover September 2015, Nürnberg November 2015, Berlin Preis 950, Euro Endpreis Das Seminar ist als Schulund Bildungsleistung nach 4, Nr. 21, Buchstabe a, Doppelbuchstabe bb des Umsatzsteuergesetzes von der Umsatzsteuer befreit. 3

4 IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken THEMENÜBERBLICK: 1. Tag, 13:00 17:30 Uhr 1. Anforderungen an ein IT-Risikomanagement Begrifflichkeiten im IT-Risikomanagement Zielsetzung und Abgrenzung eines IT-Risikomanagements Gesetze, Standards und Normen zum IT-Risiko Management Unterschiedliche IT-Risikomanagement-Ansätze (u.a. BSI 100-3, ISO 27005, CoBIT) Prozessuales Vorgehen im IT-Risikomanagement Einordnung des IT-Risikomanagements in das Notfallmanagement 2. Erhebung der relevanten IT-Werte, Definition des erforderlichen IT-Sicherheitsniveaus Grundlagen der Ermittlung von IT-Werten (Asset Management) Angemessene Identifikation und Bewertung von IT-Werten im ISMS Workshop Durchführung einer Asset-Identifikation und -Bewertung THEMENÜBERBLICK: 2. Tag, 8:00 15:30 Uhr 1. Identifikation und Bewertung von IT-Risiken Vom Allgemeinen zum Speziellen Lösungsansätze zur Identifikation von IT-Risiken Kriterien zur Bewertung und Analyse von IT-Risiken (Vor- und Nachteile) Risikoeinschätzung und -klassifizierung Nutzung von Quellen zur Identifikation von IT-Risiken Workshop Durchführung einer IT-Risiko- Identifikation & -Bewertung 2. Behandlung und Steuerung von IT-Risiken Zielgerichtete Maßnahmenidentifikation und Einbindung in das ISMS Maßnahmenermittlung im Rahmen der IT-Risikostrategie Kosten-Nutzen-Analyse Planung und Umsetzungskoordination Planung und Durchführung von IT-Risikoaudits Pflege von Schadensdatenbanken Arbeit mit Risikoindikatoren Workshop Beschreibung von IT-Risikobehandelnden Maßnahmen 3. IT-Risikomanagement im Rahmen des Sicherheitsrisikomanagements und Schnittstellen zum organisationsweiten Risikomanagement Risikodisziplinen und Möglichkeiten der Integration 4

5 IT-Notfallplanung Vorausschauende Vorbereitung auf den IT-Notfall Trotz bestmöglicher IT-Schutzmaßnahmen besteht immer ein Restrisiko. Für eine vorausschauende IT-Notfallplanung sollten deshalb die Maßnahmen beschrieben werden, die bei Eintreten eines IT-Notfalls einzuleiten sind, um den Schaden zu begrenzen und schnellstmöglich wieder zum Normalbetrieb zurückzukehren. Die Best Practices aus dem Seminar zur Erstellung von IT-Notfallvorsorgekonzepten und -plänen befähigen dazu, im Notfall schnell und gezielt zu reagieren. Zielgruppe IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Business-Continuity-Manager, Notfallmanager Zielsetzung Die Seminarteilnehmer erhalten einen vertiefenden Einblick in Struktur und Wirkungsweise von Notfallvorsorgekonzepten und die Funktion der IT-spezifischen Anteile. Die Erstellung, Beurteilung und Umsetzung von IT-Notfallplänen wird in allen Schritten praxisorientiert vermittelt. Dabei wird die Koordination der IT-Notfallplanerstellung mit den Fachbereichen außerhalb der IT und deren unterschiedlichen Anforderungen erläutert. In praktischen Übungen erörtern die Teilnehmer Notfallvorsorgekonzepte und erlernen die Erstellung von IT-Notfallplänen. Termine und Orte 11. März 2015, Düsseldorf 17. Juni 2015, Hannover 23. September 2015, Nürnberg 25. November 2015, Berlin Referent Stephan Kurth ist Consultant bei der HiSolutions AG. Der Schwerpunkt seiner Tätigkeit liegt in den Bereichen Business Continuity Management, Krisenmanagement, IT-Notfallmanagement und IT-Risikomanagement. Er hat zahlreiche Unternehmen und Behörden bei der Einführung, Überprüfung und Optimierung von Business Continuity Management-Systemen betreut. Herr Kurth ist Certified ISO Lead Auditor und ITIL-zertifiziert sowie Mitautor des Umsetzungsrahmenwerks zum Standard BSI Notfallmanagement (UMRA BSI 100-4). Preis 530, Euro Endpreis Das Seminar ist als Schul- und Bildungsleistung nach 4, Nr. 21, Buchstabe a, Doppelbuchstabe bb des Umsatzsteuergesetzes von der Umsatzsteuer befreit. 5

6 IT-Notfallplanung Vorausschauende Vorbereitung auf den IT-Notfall THEMENÜBERBLICK: 8:00 17:00 Uhr Teil 1 Grundlagen Der IT-Notfallplan im System des Business-Continuity- / Notfallmanagements: Leitlinien, Business Impact Analysen, Risikoanalysen, Kontinuitätsstrategien, Notfallvorsorgekonzepte als wesentliche Bausteine, IT-Notfallpläne als Ausgangsbasis für IT-Notfallübungen Relevante Standards und Normen (BSI Standard 100-4, ISO 22301:2012, etc.) Das Notfallvorsorgekonzept als Rahmenwerk zur Erstellung von IT-Notfallplänen: Inhalte des Notfallvorsorgekonzepts, das Informationssicherheitskonzept als ein Bestandteil des Notfallvorsorgekonzepts Koordination und Abstimmung von IT-Notfallplänen mit den Fachbereichen Der IT-Notfallplan als Teil des Notfallplansystems Zeitliche und sachliche Strukturelemente von Notfallplänen Teil 2 Praxisteil Inhalte und Vorlagen zur Erstellung von Notfallvorsorgekonzepten und Notfallpläne Gruppenarbeiten zur Erstellung bzw. Analyse von Aspekten von Notfallplänen und Notfallvorsorgekonzepten 6

7 IT-Notfallübungen In der Krise sicher handeln IT-Notfallplanung wirkt nur dann, wenn im Krisenfall alle Beteiligten mit den vorgesehenen Maßnahmen und ihren jeweiligen Aufgaben vertraut sind und das Zusammenspiel vorher trainiert wurde. IT-Notfallübungen sollten deshalb in regelmäßigen Abständen und auf allen Ebenen durchgeführt werden. In einer solchen Übung kann zudem überprüft werden, wie wirkungsvoll die Pläne zur Notfallbzw. Krisenbewältigung sind. Zielsetzung In diesem Seminar werden die Teilnehmer mit den unterschiedlichen Übungsarten und deren Einsatzbereichen vertraut gemacht: technische Tests, Plan-Review, Planbesprechung, Stabsübungen, Stabsrahmenübungen, Kommunikations- und Alarmierungsübung, Simulation von Szenarien, Ernstfall- oder Vollübung In Workshops wenden die Teilnehmer die Methoden und Werkzeuge selbst an und werden befähigt, IT-Notfallübungen in ihrer Institution selbst anzulegen, durchzuführen und auszuwerten. Referenten Stefan Riegel und Kai Mettke-Pick sind Managing Consultants bei der HiSolutions AG. Beide weisen langjährige Erfahrungen in der Beratung zu Krisen,- Notfall- und IT-Notfallmanagement, IT-Risikomanagement sowie Informationssicherheit auf. Ihre Tätigkeitsschwerpunkte liegen zudem im Aufbau von Übungs- und Testprogrammen für Notfall- und Krisenmanagement. Stefan Riegel ist Mitautor des Umsetzungsrahmenwerkes zum BSI-Standard Kai Mettke-Pick war viele Jahre als Konzernkoordinator für Business Continuity Management bei einer großen deutschen Bank tätig. Zielgruppe IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Notfall- und Krisenmanager, Business-Continuity-Manager Termine und Orte 12. März 2015, Düsseldorf 18. Juni 2015, Hannover 24. September 2015, Nürnberg 26. November 2015, Berlin Preis 530, Euro Das Seminar ist als Schulund Bildungsleistung nach 4, Nr. 21, Buchstabe a, Doppelbuchstabe bb des Umsatzsteuergesetzes von der Umsatzsteuer befreit. 7

8 IT-Notfallübungen In der Krise sicher handeln THEMENÜBERBLICK: 8:00 17:00 Uhr Teil 1 Grundlagen Bedeutung von Übungen und Tests Begriffe und Definitionen Einbindung in das bestehende (IT-)Notfallmanagement Rechtliche Aspekte Wesentliche Standards (BSI Standard 100-4, ISO 22301, ) Best Practice aus den Fehlern anderer bei Planung und Durchführung lernen Teil 2 Vorbereitung von Übungen und Tests a) Entwicklung einer Übungsstrategie für die Institution Definition von Zweck, Ziel und Zielgruppe Überblick und Vergleich der verschiedenen Übungs- und Testarten - Anwendungsbereiche, Vor- und Nachteile, Aufwendungen Festlegung der Auswahlkriterien für angemessene Szenarien Überprüfung der technischen Voraussetzungen Organisatorische Elemente - Rollen und Aufgaben Optimale Übungsteams erstellen - Definition der Abbruchkriterien - Auswahl der Lokation - Planung der Zeiteinteilung b) Das perfekte Drehbuch Notwendige Vorlagen für die Durchführung von Übungen und Tests Dokumentation der Planung Auswertungskriterien Was soll wie bewertet werden? Erstellung des Übungskonzepts Unterstützung der Realitätsnähe durch mediale Einspieler Teil 3 Durchführung von Übungen und Tests Wie kann man IT-Notfallübungen und Tests sicher und effizient durchführen und revisionssicher dokumentieren? Definition der Rahmenbedingungen - Thema, Übungsart, Zweck - Teilnehmer - Terminierung und Dauer - Bereitstellung der Ressourcen (Räume, Ausstattung, Übungsmaterialien, etc.) Vorkehrungen zum effektiven Ausschluss möglicher Gefahren und Schäden Fachgemäße Dokumentationsweisen Definition von Abbruchkriterien Externe Organisationen (z. B. Polizei, andere Behörden) rechtzeitig informieren Teil 4 Auswertung von Übungen und Tests Gegenüberstellung von Ziel und Ergebnis Fachgerechte Auswertung, Analyse und Präsentation von Ergebnissen Überarbeitung des Notfallplans mit Hilfe eines Action Plans - Aufbau des Plans - Festlegung der Verantwortlichen - Dokumentation zur Fortschrittsbeobachtung Überwachung der Umsetzung von Folgemaßnahmen Erstellung eines Implementierungsplans Notfallübungen als Teil der Organisationskultur 8

9 Anmeldung Fax-Anmeldung an: +49(0) Online-Anmeldung unter: Ich nehme an folgendem(n) Seminar(en) teil: IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken März 2015, Düsseldorf Juni 2015, Hannover September 2015, Nürnberg November 2015, Berlin Preis jeweils 950, Euro (**) IT-Notfallplanung Vorausschauende Vorbereitung auf den IT-Notfall 11. März 2015, Düsseldorf 17. Juni 2015, Hannover 23. September 2015, Nürnberg 25. November 2015, Berlin Preis jeweils 530, Euro (**) IT-Notfallübungen In der Krise sicher handeln 12. März 2015, Düsseldorf 18. Juni 2015, Hannover 24. September 2015, Nürnberg 26. November 2015, Berlin Preis jeweils 530, Euro (**) Bei Anmeldung zu allen Seminaren innerhalb einer IT-Risiko- und IT- Notfallmanagementwoche gilt ein Sonderpreis von 1.800, Euro für alle drei Seminare. (**) Das Seminar ist als Schul- und Bildungsleistung nach 4, Nr. 21, Buchstabe a, Doppelbuchstabe bb des Umsatzsteuergesetzes von der Umsatzsteuer befreit. Firma/Behörde*: Abteilung*: Funktion*: Vorname*: Name*: Straße*: PLZ*: Ort*: Personalisierte *: Ort/Datum/Unterschrift: Freiwillige Angaben Telefon: Fax: Die mit* gekennzeichneten Felder sind für eine Anmeldung unbedingt erforderlich. Ansprechpartnerin für organisatorische Fragen: Julia Kravcov, Veranstaltungsmanagement Tel.: +49(0) , Fax: +49(0) , Eine Anmeldung mit diesem Formular oder unter ist Voraussetzung für die Teilnahme. Der Seminarpreis beinhaltet Mittagessen, Erfrischungs- und Pausengetränke und die Dokumentation/Tagungsunterlagen. Die Teilnehmerzahl ist begrenzt. Zusagen erfolgen deswegen in der Reihenfolge der Anmeldungen. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung per und eine Rechnung per Post. Bei Stornierung der Anmeldung bis zwei Wochen vor Veranstaltungsbeginn wird eine Bearbeitungsgebühr in Höhe von 100, Euro zzgl. MwSt. erhoben. Danach oder bei Nicht erscheinen des Teilnehmers wird die gesamte Tagungsgebühr berechnet. Selbstverständlich ist eine Vertretung des angemeldeten Teilnehmers möglich. Mit dieser Anmeldung erkläre ich mich mit den Allgemeinen Geschäftsbedingungen des Veranstalter einverstanden: siehe unter: 9