IT-Compliance I 2. Compliance?

Größe: px

Ab Seite anzeigen:

Download "IT-Compliance I 2. Compliance?"

Helene Kaufman
vor 5 Jahren
Abrufe

1 IT-Compliance

2 IT-Compliance I 2 Compliance?

3 IT-Compliance I 3 Compliance Definition Compliance ist die in der Verantwortung des Vorstands liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien DCGK Deutscher Corporate Governance Kodex 4.1.2

4 IT-Compliance I 4 IT-Compliance Definition Teilbereich der Compliance, der sämtliche gesetzliche und andere regulatorische Vorgaben hinsichtlich des betrieblichen Einsatzes von IT adressiert

5 IT-Compliance I 5 IT-Compliance Anforderungen Informationssicherheit Verfügbarkeit Datenaufbewahrung Datenschutz

6 IT-Compliance I 6

7 IT-Compliance I 7 Compliance Übersicht über die wesentlichen Anforderungen Rechtliche Vorgaben Externe Regelwerke Interne Regelwerke Verträge Bundesdatenschutzgesetz (BDSG) IDW PS 330 und RS FAIT 1 Grundsätze ordnungsmäßiger DVgestützter Buchführungssysteme (GoBS) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Mindestanforderungen an das Risikomanagement (MaRisk) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Basel II Sarbanes Oxley Act (SOX) 8. EU Richtlinie (Euro SOX) Deutscher Corporate Governance Kodex (DCGK) IT Infrastructure Library (ITIL) ISO ISO Richtlinie zum Umgang mit Passwörtern Verfahrensanweisung zur Durchführung von IT Audits Service Level Agreement (SLA) IT spezifische Verträge Allgemeine Verträge

8 IT-Compliance I 8 IT-Compliance Warum?

9 IT-Compliance I 9

10 IT-Compliance I 10 Compliance Ausprägung? SIEM

11 IT-Compliance I 11 Compliance Praxisfall Energieversorger Änderung, Kündigung, Anbieterwechsel bei Verträgen Vorgabe: Bearbeitung bis zum nächsten Arbeitstag um 12:00 Uhr Grundlage: Edi@Energy s pro Tag Problem: Bearbeitungsstatus der Anträge

12 IT-Compliance I 12 Compliance Praxisfall Energieversorger Prüfung durch Wirtschaftsprüfer nach IDW 951 Frage: Wann haben externe Dienstleister auf Systeme zugegriffen? Erweiterte Fragestellungen: Wer hat auf welchen Systemen Änderungen vorgenommen? Berechtigte Personen? Wurde vorher ein Change angelegt?

13 IT-Compliance I 13 Einstieg in Compliance mit Splunk Wie macht Splunk das? Splunk ist ein Log-, Monitoring und Reporting-Tool für Systemadministratoren. Splunk sammelt alle digitalen Daten des Unternehmens zentral und kann diese auf Abruf darstellen, auswerten und live auf Probleme hinweisen.

ETL Splunk Schema at Read Search Universal Indexing

14 IT-Compliance I 14 splunk Methode zur Verarbeitung der Maschinendaten Traditional Schema at Write SQL ETL Splunk Schema at Read Search Universal Indexing Structured RDBMS Unstructured Volume Velocity Variety

15 IT-Compliance I 15 GPS, RFID, Hypervisor, Web Servers, , Messaging, Clickstreams, Mobile, Telephony, IVR Ad hoc search Monitor and alert Custom dashboards Report and analyze Real time Machine Data Sensors, Telematics, Storage, Servers, Security devices, Desktops, CDRs Asset Info Employee Info Thre at feeds External Lookups Network Segments / Honeypots Data store s

IT-Compliance I 16 Sources Email Server Web Proxy Endpoint Logs User Name 2013 08 09T12:40:25.475Z,,exch hub den 01,,exch mbx cup 00,,,STOREDRIVER,DELIVER,79426,<20130809050115.18154.

975Z Rarely seen email domain 2013 08 09 Rarely visited 16:21:38 web 10.11.36.29 site 98483 148 TCP_HIT 200 200 0 622 OBSERVED GET www.neverbeenseenbefore.com HTTP/1.1 0 "Mozilla/4.

$0128event_status="(0)The User Name operation completed successfully. "pid=1300 process_image="\john Doe\Device\HarddiskVolume1\Windows\System32\neverseenbefore.$

16 IT-Compliance I 16 Sources Server Web Proxy Endpoint Logs User Name T12:40:25.475Z,,exch hub den 01,,exch mbx cup 00,,,STOREDRIVER,DELIVER,79426,< @acme.com>,johndoe@acme.com,,685191,1,,, hacker@neverseenbefore.com, Please open this attachment with payroll information,,, T22:40:24.975Z Rarely seen domain Rarely visited 16:21:38 web site TCP_HIT OBSERVED GET HTTP/1.1 0 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR ; InfoPath.1; MS RTC LM 8;.NET CLR ;.NET CLR ; ) User John Doe," User Name 08/09/ :23: event_status="(0)The User Name operation completed successfully. "pid=1300 process_image="\john Doe\Device\HarddiskVolume1\Windows\System32\neverseenbefore.exe registry_type ="CreateKey"key_path="\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Printers Print\Providers\ John Doe PC\Printers\{}\ NeverSeenbefore" data_type"" Rarely seen service All three occurring within a 24 hour period Time Range

17 IT-Compliance I 17 Splunk Apps for VMware and Exchange 300+ IT Ops and App Delivery Apps Cloud Service for Mobile Developers *ni x 17

18 IT-Compliance I 18 Compliance Praxisfall Unternehmen aus dem Bereich Lotterie Kontrolle eines bestimmten Bereichs der Serverlandschaft Keine Zugriffe durch INTERNE Mitarbeiter

19 IT-Compliance I 19 Compliance Praxisfall Energieversorger Prüfung durch Wirtschaftsprüfer nach IDW 951 Frage: Wie wird Weiterarbeit bei Ausfall einer Niederlassung gewährleistet?

20 IT-Compliance I 20 PCI Compliance Payment Card Industry Data Security Standard Handelsunternehmen weltweit, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Es werden zwölf Anforderungen an die Rechnernetze gestellt: 1. Installation und Pflege einer Firewall 2. Änderung von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung 3. Schutz der gespeicherten Kreditkartendaten usw.

21 IT-Compliance I 21 PCI Compliance Übersicht

22 IT-Compliance I 22 PCI Compliance Reports

23 IT-Compliance I 23

Ähnliche Dokumente

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,