Webkurs IT-Grundschutz IT-Grundschutz im Selbststudium. Ausgabe Juni 2006 Druckversion zum Webkurs
|
|
- Liese Buchholz
- vor 8 Jahren
- Abrufe
Transkript
1 IT-Grundschutz im Selbststudium Ausgabe Juni 2006 Druckversion zum Webkurs
2 Der IT-Grundschutz bietet eine bewährte Methode für die Planung und Überprüfung von IT- Sicherheit. Als Einstieg bietet das BSI den Webkurs IT-Grundschutz an. Ein etwa vierstündiges Selbststudium ermöglicht Ihnen, eigene IT-Sicherheitskonzepte gemäß IT-Grundschutz anzufertigen. Dieses Dokument enthält eine Druckversion zum Webkurs. Grundlage: IT-Grundschutz-Kataloge vom Dezember Der Webkurs IT-Grundschutz wurde im Auftrag des BSI vom Fraunhofer-Institut für Sichere Informationstechnologie SIT, Bereich Sichere Prozesse und Infrastrukturen SPI, Sankt Augustin erstellt. Internet: Bundesamt für Sicherheit in der Informationstechnik Referat 114 Postfach Bonn Telefon: Internet: Bundesamt für Sicherheit in der Informationstechnik 2006
3 Inhaltsverzeichnis Kapitel 1: Warum IT-Grundschutz? Überblick Warum IT-Sicherheit? Gefahrenpotenziale Erkennen von Sicherheitslücken Übungsfragen Sicherheitslücken Lösungen Überprüfte Passwörter, Regelungen, Infrastruktur? Übungsfragen Sicherheitsangebote Hilfen aus dem IT-Grundschutz Einstieg: Auf dem Weg zum IT-Grundschutz Inhalt der BSI-Standards Inhalt der IT-Grundschutz-Kataloge Aufbau des Kurses...15 Kapitel 2: IT-Sicherheitsmanagement Überblick IT-Sicherheitsstrategie Managementmängel und Maßnahmen Rollen und Zuständigkeiten IT-Sicherheitsbeauftragte IT-Sicherheitsmanagement-Team Beispiel: IT-Sicherheitsorganisation im Unternehmen IT-Sicherheitsleitlinie Vorgehen Aussagen in einer IT-Sicherheitsleitlinie IT-Sicherheitskonzept Vorgehen Fragen zum IT-Sicherheitskonzept Umsetzung des Sicherheitskonzepts Test zum IT-Sicherheitsmanagement Fragen Lösungen Kapitel 3: IT-Strukturanalyse Überblick Seite 1
4 3.2 Erhebung des Netzplans Ausgangsplan Beispiel für einen Netzplan Bereinigung des Netzplans Bereinigtes Beispiel Erhebung der IT-Systeme Erhebung der IT-Anwendungen Vorgehen Erhebung der IT-Anwendungen Beispiel Test zur IT-Strukturanalyse Fragen Lösungen Kapitel 4: Schutzbedarfsfeststellung Überblick Schutzbedarfskategorien Definition Abgrenzung der Schutzbedarfskategorien Schutzbedarf und Schutzziele Schutzbedarfsfeststellung für die IT-Anwendungen Schutzbedarfsfeststellung für die IT-Systeme Schutzbedarfsfeststellung für die Kommunikationsverbindungen Kritische Verbindungen Beispiel für kritische Verbindungen Schutzbedarfsfeststellung für die Räume Abstimmung mit der Geschäftsleitung Test zur Schutzbedarfsfeststellung Fragen Lösungen Kapitel 5: Modellierung nach IT-Grundschutz Überblick Bausteine Schichtenmodell Vorgehen bei der Modellierung Schichten 1 und Seite 2
5 5.4.2 Vorgehen bei der Modellierung Schichten 3 bis Prüfung auf Vollständigkeit Test zur Modellierung Fragen Lösungen Kapitel 6: Basis-Sicherheitscheck Überblick Hinweise zu den Maßnahmen Zertifikatsrelevanz der Maßnahmen Bestandteile einer Maßnahme Konkrete und generische Maßnahmen Maßnahmen für Planungsphasen Zusammenfassung der Hinweise zu den Maßnahmen Vorgehen beim Basis-Sicherheitscheck Empfehlungen Dokumentation Beispiel Test zum Basis-Sicherheitscheck Fragen Lösungen zu den Fragen zum Basis-Sicherheitscheck Kapitel 7: Risikoanalyse Überblick Ergänzende Sicherheitsanalyse Risikoanalyse traditionelles Vorgehen und Ansatz des BSI Erstellung der Gefährdungsübersicht Ermittlung zusätzlicher Gefährdungen Bewertung der Gefährdungen Behandlung der Risiken Risikostrategien Alternativen Dokumentation der gewählten Risikostrategie Abschließende Arbeiten Test zur ergänzenden Risikoanalyse Fragen Lösungen Seite 3
6 Kapitel 8: Realisierungsplanung Überblick Schritte 1 und Schritte 3 bis Schritt 6: Schulung und Sensibilisierung Beispiel für einen Realisierungsplan Aufrechterhaltung der IT-Sicherheit Test zur Realisierungsplanung Fragen Lösungen Kapitel 9: Zertifizierung des II-Sicherheitsmanagements Warum Zertifizierung? Zertifizierungsprozess Zusammenfassung Seite 4
7 Kapitel 1: Warum IT-Grundschutz? 1.1 Überblick Wüssten Sie gern, ob die in Ihrer Institution angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Haben Sie in Ihrem Zuständigkeitsbereich wirklich alle Vorkehrungen getroffen, damit keine schweren Schadensfälle passieren können und auf Sicherheitsvorfälle richtig reagiert werden kann? Benötigen Sie Hilfe für die Erstellung eines IT-Sicherheitskonzepts? Hätten Sie gern eine systematische Unterstützung für eine Überprüfung vorhandener oder geplanter Sicherheitsmaßnahmen? Suchen Sie für bestimmte IT-Systeme aufeinander abgestimmte personelle, organisatorische, infrastrukturelle und technische Sicherheitsmaßnahmen? Wenn Sie sicher sein wollen, dass Sie nichts übersehen haben und dass die in Ihrer Organisation umgesetzten Sicherheitsmaßnahmen zusammenpassen, dann sollten Sie sich mit dem IT- Grundschutz beschäftigen. Hier empfehlen erfahrene Sicherheitsexperten eine Vorgehensweise für die Erstellung oder Überprüfung eines Sicherheitskonzepts, die für kleine und große Unternehmen sowie Behörden gleichermaßen geeignet ist. Dieser Kurs hilft Ihnen dabei, diese Vorgehensweise zu verstehen und anzuwenden. Noch eine Anmerkungen vorweg: Im Bild sehen Sie einen Mann und eine Frau beim Zusammenbau eines IT-Sicherheitskonzepts: eine Geschäftsführerin und einen IT-Sicherheitsbeauftragten. Das Bild soll auch verdeutlichen, dass sich dieser Kurs in gleicher Weise an Männer wie Frauen richtet. Die ausschließliche Verwendung der maskulinen Form an vielen Stellen des Kurses erfolgte nur wegen der besseren Lesbarkeit des Textes. Seite 5
8 Zu den verwendeten Piktogrammen In diesem Dokument werden die folgenden Piktogramme zur Hervorhebung bestimmter Textpassagen verwendet: Besonders wichtige Textteile, z. B. Merksätze und Empfehlungen, sind durch dieses Zeichen hervorgehoben. Dieses Symbol kennzeichnet Abschnitte, in denen auf das in diesem Kurs durchgängig verwendete (fiktive) Beispielunternehmen, die RECPLAST GmbH, eingegangen wird. Dieses Symbol kennzeichnet Fragen und Übungen, mit denen Sie Ihr neu erworbenes Wissen überprüfen können. Mit diesem Zeichen eingeleitete Texte empfehlen Ihnen Hilfsmittel z. B. Formulare oder Programme, mit denen Sie Ihre eigenen Ausarbeitungen unterstützen können. Seite 6
9 1.2 Warum IT-Sicherheit? Gefahrenpotenziale Sicherheit gibt es nicht zum Nulltarif. Sie kostet Zeit und Geld. Doch viel mehr Aufwand, vielleicht sogar Einnahmeausfall und Imageschaden, kostet es Unternehmen, aufgetretene Schäden in IT-Geräten und Datenbeständen zu beseitigen, nachdem mangelhaft gesicherte Informationstechnik (IT) attackiert oder missbraucht wurde. Insgesamt passieren immer mehr Störfälle der IT. Obwohl es zunehmend schwerer wird, die Verursacher dafür herauszufinden, werden immer mehr Sicherheitsverstöße festgestellt, die von unautorisierten Benutzern verursacht wurden zunehmend auch von eigenen Mitarbeitern. Die gefährlichsten Angriffe gehen von Schadprogrammen mit Computer-Viren, Würmern und aus. Der allein durch Computer-Viren verursachte wirtschaftliche Schaden ergibt für Deutschland jährlich einen dreistelligen Millionen-Betrag mit steigender Tendenz. Bedrohlich sind für die Unternehmen die massenweise eingehenden s, Spam, die zusätzlich auch über mobile Geräte und über Instant Messaging in die Unternehmen eindringen. Zudem gefährden Web- Attacken von Hackern die Unternehmensrechner und auf ihnen gespeicherten Informationen. Die Angriffe auf die IT von Unternehmen verursachen zunehmend Datenverluste und durchschnittlich in jedem zwölften Störfall einen Totalausfall des Netzes und aller Dienste. Zunehmende Angriffe zielen mit neuen Phishing-Techniken und ferngesteuerten Computernetzen, Botnets, auf den Diebstahl von Daten und Passwörtern in Unternehmen. Meist folgt dem Diebstahl vertraulicher Informationen ein finanzieller Verlust für das Unternehmen. Wenn es sich dabei um Wirtschaftsspionage handelt, liegen die Schäden in Deutschland in einer Größenordnung von mehreren Milliarden Euro pro Jahr. Es sind die Gefahrenpotenziale technisches Versagen, menschliche Fehlhandlungen, vorsätzliche Handlungen, organisatorische Mängel und höhere Gewalt, die Vorkehrungen für die IT-Sicherheit erfordern. Weitere Informationen finden Sie in jährlich veröffentlichten Studien und Befragungsergebnissen z. B. des BSI zur Lage der IT-Sicherheit in Deutschland, von InfomationWeek und Steria Mummert Consulting, MessageLabs sowie von Datenschutzbeauftragten des Bundes und der Länder. Seite 7
10 1.2.2 Erkennen von Sicherheitslücken Übungsfragen IT-Sicherheitsvorfälle können vielfältige Ursachen haben. Oft sind die Betroffenen zu wenig dafür sensibilisiert, Gefahren für die Sicherheit der IT zu erkennen. Es fehlen technische und organisatorische Vorkehrungen zur Vorbeugung und Vermeidung von Schäden. Nicht selten sind gesetzlichen Auflagen (z. B. Datenschutzanforderungen), betriebsinterne Richtlinien oder vertragliche Verpflichtungen unbekannt und werden vorsätzlich oder fahrlässig missachtet. Erkennen Sie mögliche Sicherheitslücken in allen mit Informationstechnik ausgestatteten Bereichen? Finden Sie diese auch in den Regelungen bzw. der Organisation der IT-Sicherheit und auch im IT-Sicherheitskonzept? Versuchen Sie im folgenden Bild Gefährdungen für die IT in Büros und Serverraum herauszufinden. Ein Tipp: Insgesamt sind neun Sicherheitslücken oder mögliche Gefahren durch Vernachlässigung üblicher Sicherheitsvorschriften dargestellt. Seite 8
11 1.2.3 Sicherheitslücken Lösungen An welche Risiken denken Sie im Hinblick auf die rot markierten Situationen? 1. Türen und Fenster stehen offen: Rechner und Zubehör könnten aus den Räumen gestohlen werden. 2. Der Bildschirm und damit möglicherweise auch vertrauliche Informationen können von Unbefugten eingesehen werden. 3. Ein Zettel mit Passwörtern ist sichtbar und könnte von Unbefugten missbraucht werden. 4. Eine mit Sicherung beschriftete CD-ROM liegt zugänglich herum. 5. Ausdrucke und Kopien mit vertraulichen Daten liegen an Druckern und Kopierern. 6. Rechner mit direkter Verbindung an das Internet können den zentralen Firewallschutz des Netzes aushebeln. 7. Durch private Datenträger (im Bild eine CD-ROM) kann Schadsoftware in das Unternehmensnetz gelangen. 8. Austretende Flüssigkeiten gefährden die Hardware. 9. Rauchen bedeutet Brandgefahr Überprüfte Passwörter, Regelungen, Infrastruktur? Übungsfragen IT-Sicherheit betrifft nicht nur die IT-Komponenten, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die Betriebsabläufe. Seite 9
12 Natürlich haben die erfahrenen Zuständigen für IT-Sicherheit die in dem Suchbild gezeigten Sicherheitsprobleme rasch herausgefunden. Vornamen, Automarken, Geburtstage, der Lieblingsfußballverein haben Sie schon einmal überprüft, wie viele Benutzer derart unsichere Passwörter wählen, da sie sich diese leichter merken können? Und falls Sie Administrator sind was ist mit Ihrem eigenen Passwort? Haben Sie es sicher beim Vorgesetzten oder Sicherheitsbeauftragten hinterlegt, damit Fehler im Netz auch behoben werden können, wenn Sie krank, auf Dienstreise oder im Urlaub sind? Gibt es Regelungen für die Einrichtung von Benutzern und Benutzergruppen sowie für eine angemessene Vergabe von Zugriffsrechten? Ist sichergestellt, dass alle Benutzer regelmäßig die Virendatenbanken der Virenschutzsoftware aktualisieren? Haben Sie Festplatten immer sicher gelöscht, ehe Sie diese zum Verschrotten gegeben haben? Sind wichtige Server in Ihrem Unternehmen vor Wasserschäden sicher? Was geschieht eigentlich mit eingehenden s an die Marketing- oder Verkaufs-Abteilung, wenn der zuständige Sachbearbeiter im Urlaub ist? Haben Sie Kollegen auch über mögliche Schäden für das Unternehmen durch undichte Stellen und über Möglichkeiten ihrer Vermeidung informiert? Zahlreiche Statistiken belegen, dass etwa die Hälfte der sicherheitsrelevanten Vorfälle durch Mitarbeiter im Unternehmen ausgelöst wird. In den wenigsten Fällen geschieht dies absichtlich, meistens ist es Unachtsamkeit, mangelnde Ausbildung oder Leichtfertigkeit. Die Sicherheit der Informationstechnik zu gewährleisten, ist eine Aufgabe, die professionell geplant und angemessen umgesetzt werden muss. Seite 10
13 1.2.5 Sicherheitsangebote Es gibt unzählige Angebote für IT-Sicherheit. Geeignete IT-Sicherheitsprodukte für ein angemessenes IT-Sicherheitsniveau herauszufinden, kann für die Geschäftsleitung und die Sicherheitsverantwortlichen sehr schwer werden. Sie haben die Wahl zwischen einerseits zahlreichen Hardware- und Softwareprodukten für jeweils einen Einsatzzweck und andererseits Produktfamilien, die scheinbar alle Sicherheitsanforderungen erfüllen. Eine gründliche Entscheidungsvorbereitung im Unternehmen erleichtert die Auswahl von Sicherheitsangeboten. Dafür werden Kriterien und Einschätzungen benötigt. Der IT-Grundschutz hilft, dieses IT- Sicherheitswissen im Unternehmen aufzubauen das spart Kosten für externe Berater. Ziel des IT-Grundschutzes ist es, durch geeignete Anwendung von Standard-Sicherheitsmaßnahmen für die eingesetzten IT-Systeme ein Sicherheitsniveau zu erreichen, das für normalen Schutzbedarf angemessen ist. Darüber hinaus ist dieser Grundschutz auch eine Basis für weitere Sicherheitsmaßnahmen bei hochschutzbedürftigen IT-Anwendungen. 1.3 Hilfen aus dem IT-Grundschutz Einstieg: Auf dem Weg zum IT-Grundschutz Das Angebot des BSI zum IT-Grundschutz trägt dazu bei, im Unternehmen systematisch nach Sicherheitslücken zu suchen, vorhandene IT-Sicherheitsmaßnahmen zu überprüfen und neue in ein IT- Sicherheitskonzept einzuplanen, das die Informationstechnik in den Zusammenhang mit den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen des Unternehmens stellt. Seite 11
14 Wenn ein Unternehmen Sicherheitsvorkehrungen von externen Firmen ausführen lässt, können die Aufträge mit Analysen und Konzepten definiert werden, die aus dem IT-Grundschutz abgeleitet sind. Und es ist eine systematische Kontrolle möglich, ob alle Sicherheitsanforderungen erfüllt und die Maßnahmen angemessen ausgeführt sind. So dienen die IT-Grundschutz-Kataloge auch dazu, Fehlinvestitionen zu vermeiden. Der Sicherheitsverantwortliche soll für die Informationstechnik des Unternehmens Schwachstellen aufspüren und ein IT-Sicherheitskonzept ausarbeiten. Seine Vorgaben sind die BSI-Standards und die IT-Grundschutz-Kataloge. Auf den ersten Blick erscheinen ihm diese Veröffentlichungen verwirrend umfangreich. Er muss diese aber nicht von Anfang bis Ende durchlesen. Relevant sind für ihn die BSI- Standards zum IT-Sicherheitsmanagement (100-1) und zur IT-Grundschutz-Vorgehensweise (100-2) sowie passende Ausschnitte aus den IT-Grundschutz-Katalogen. Die IT-Grundschutz-Vorgehensweise unterstützt alle Arbeiten am IT-Sicherheitskonzept. In den IT- Grundschutz-Katalogen findet er mögliche Gefährdungen und Standard-Sicherheitsmaßnahmen für typische und weit verbreitete IT-Systeme, Netze und Anwendungen. Das erspart für IT-Bereiche mit normalem Schutzbedarf aufwändige Risikoanalysen. In den folgenden Kapiteln wird der Kurs Ihnen helfen, die Methodik und das Wissen über IT-Sicherheit des IT-Grundschutzes effektiv für Ihre Zwecke zu nutzen. Im Internetangebot des BSI finden Sie die BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement und IT-Grundschutz. Unter finden Sie die aktuelle Version der IT-Grundschutz- Kataloge. Gedruckte Ausgaben der BSI-Standards zur IT-Sicherheit und der IT-Grundschutz-Kataloge werden vom Bundesanzeiger-Verlag herausgegeben. Weitere Informationen dazu finden Sie unter Die CD-ROM Sicherheit in der Informationstechnik mit dem vollständigen Informationsangebot rund um den IT-Grundschutz und vielen weiteren Hilfen zur IT-Sicherheit wird kostenfrei vom BSI verteilt. Seite 12
15 1.3.2 Inhalt der BSI-Standards Die BSI-Standards zur IT-Sicherheit: IT-Sicherheitsmanagement und IT-Grundschutz enthalten Empfehlungen für den organisatorischen Rahmen sowie das methodische Vorgehen zur Gewährleistung von Informationssicherheit. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Dieser Standard enthält Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) ausgerichtet auf den ISO-Standard und unter Berücksichtigung der Standards ISO und ISO BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise In diesem Standard ist die Vorgehensweise gemäß IT-Grundschutz als bewährte Methodik beschrieben. Sie bietet einen effizienten Weg, die allgemeinen Anforderungen des ISO-Standards zu konkretisieren und umzusetzen. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz In diesem Standard ist ein gegenüber anderen Methoden vereinfachtes Verfahren zur Risikoanalyse beschrieben. Diese Methode ist immer dann wichtig und hilfreich, wenn Sie IT-Komponenten absichern wollen, für die unter Umständen die IT-Grundschutz-Maßnahmen alleine keine ausreichende Sicherheit bieten. Seite 13
16 BSI-Standards und IT-Grundschutz-Kataloge Die Kombination von Vorgaben aus den BSI-Standards mit dem Sicherheitswissen aus den IT-Grundschutz-Katalogen bietet Ihnen folgende Hilfen: ein Gesamtsystem aus typischen Komponenten des IT-Einsatzes wie Server und Clients, Verkabelung, Serverraum, , Datenbank, die nach dem Baukastenprinzip strukturiert sind und je nach Stand der Technik aktualisiert und erweitert werden, pauschalierte Gefährdungen und Eintrittswahrscheinlichkeiten (zu jedem Baustein), Empfehlungen geeigneter Bündel von Standard-Sicherheitsmaßnahmen (zu jedem Baustein als Hilfen zur Umsetzung), konkrete Beschreibungen der einzelnen IT-Sicherheitsmaßnahmen, die eine hohe Wirksamkeit haben, praxiserprobt und meistens kostengünstig anwendbar sind, Hinweise für die Umsetzung des IT-Grundschutzes in einer Organisation und eine einfache, arbeitsökonomische Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus mittels eines Soll-Ist-Vergleichs Inhalt der IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge enthalten Bausteine, Gefährdungen und Maßnahmen. Sie umfassen vom BSI kontinuierlich aktualisiertes Wissen zur Sicherheit von IT-Systemen, Organisation und Personal, mit dem die in den BSI-Standards enthaltenen allgemeinen Empfehlungen zum Management von Informationssicherheit in Ihrem Unternehmen oder Ihrer Behörde umgesetzt werden können. Bausteine im Schichtenmodell Die vielfältige Informationstechnik, ihre Einsatzumgebung und dazu gegebene Empfehlungen sind nach dem Baukastenprinzip in Bausteine und Schichten strukturiert, damit Analysen zu IT-Sicherheitskonzepten und das Auffinden vordefinierter Maßnahmen erleichtert werden. Seite 14
17 Das Schichtenmodell setzt sich zusammen aus den fünf Schichten Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. Die Themen einer Schicht können organisatorische und technische Aspekte, also auch Zuständigkeiten und systemtypische Eigenschaften umfassen. Diesen Schichten sind typische IT-Komponenten, die so genannten IT-Grundschutz-Bausteine wie Datensicherungskonzept, Serverraum, Allgemeiner Server, Heterogene Netze oder zugeordnet. In jedem Baustein wird das betrachtete Thema (z. B. ein IT-System, ein Netz) teils organisatorisch, teils technisch auf verbreitete Einsatzformen bezogen behandelt. Die zu erwartende Gefährdungslage wird mit typischen Gefährdungen und pauschalierten Eintrittswahrscheinlichkeiten beschrieben. Angemessen für diese Gefährdungslage werden im Baustein zueinander passende organisatorische und technische Maßnahmen entlang eines Lebenszyklus empfohlen, so dass ersichtlich wird, welche Maßnahmen in den Phasen Planung und Konzeption, Beschaffung (wo sinnvoll), Umsetzung, Betrieb, Aussonderung bzw. Außerbetriebnahme (soweit erforderlich) und Notfallvorsorge umgesetzt werden sollten. Eine Zusammenstellung aller empfohlenen Maßnahmen finden Sie am Ende jedes Bausteins in einer Liste, die zudem eine Kategorisierung der Maßnahmen im Hinblick auf eine Grundschutz-Zertifizierung enthält. In den Gefährdungskatalogen sind mögliche Schadenszenarien für die Informationstechnik dargestellt, und zwar gegliedert in die Rubriken Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen. In den Maßnahmenkatalogen sind die Empfehlungen für technische und organisatorische Sicherheitsmaßnahmen in die Bereiche Infrastruktur, Organisation, Personal, Hardware / Software, Kommunikation und Notfallvorsorge gegliedert. Außerdem finden Sie in den Anhängen der IT-Grundschutz-Kataloge ergänzende Informationen, Checklisten und weitere Hilfsmittel. Es ist eine erhebliche Arbeitserleichterung für Sie, wenn Sie bei der Entwicklung eines IT- Sicherheitskonzepts für normalen IT-Grundschutz die Gefahrenanalysen und Maßnahmenbündel aus den IT-Grundschutz-Katalogen einfach übernehmen können! Ihre Leistung ist dabei, die auf den zu untersuchenden IT-Verbund zutreffenden Bausteine auszuwählen (siehe Kapitel 5 Modellierung) sowie die darin enthaltenen Maßnahmen einzuplanen und konsequent umzusetzen. Später können Sie auch Ihr IT-Sicherheitskonzept in einzelnen Schichten aktualisieren oder erweitern, ohne in anderen Schichten Änderungen vornehmen zu müssen. 1.4 Aufbau des Kurses Gliederung und Inhalte Dieser Kurs wird Sie in den folgenden Kapiteln mit der IT-Grundschutz-Vorgehensweise vertraut machen: Im Kapitel IT-Sicherheitsmanagement wird erklärt, mit welchen organisatorischen Strukturen und Maßnahmen ein effektives IT-Sicherheitsmanagement aufgebaut und aufrechterhalten werden kann. Die darauf folgenden Kapitel entsprechen der IT-Grundschutz-Vorgehensweise und konzentrieren sich der Reihe nach auf folgende Fragen: Seite 15
18 Im Kapitel IT-Strukturanalyse geht es darum, wie die Struktur der Informationstechnik erfasst werden kann. Dazu gehört, zuerst festzulegen, welcher Bereich der Informationstechnik einer Organisation betrachtet werden soll. Dieser Bereich wird als IT-Verbund bezeichnet. Für diesen Bereich sind die zugehörigen Komponenten (wie Netze, IT-Systeme und Anwendungen) zu erfassen. Das Kapitel Schutzbedarfsfeststellung beschreibt das Verfahren, den Wert und damit den Schutzbedarf der Informationstechnik zu bestimmen. Im Kapitel Modellierung wird gezeigt, wie mit Hilfe der IT-Grundschutz-Kataloge ein realer IT-Verbund nachgebildet (modelliert) werden kann. Im Kapitel Basis-Sicherheitscheck wird dargestellt, wie überprüft wird, ob die zu untersuchende Informationstechnik hinreichend gesichert ist oder ob grundlegende Standard-Sicherheitsmaßnahmen fehlen (Soll-Ist-Vergleich). Im Kapitel Risikoanalyse wird beschrieben, wie Sie den möglichen Handlungsbedarf prüfen bei hohem oder sehr hohem Schutzbedarf, bei Zielobjekten, die mit IT-Grundschutz-Bausteinen nicht hinreichend abgebildet werden können oder die untypisch eingesetzt werden. Das Kapitel Realisierungsplanung beschreibt Aspekte, die bei Umsetzung fehlender Maßnahmen zu beachten sind. Im Kapitel Zertifizierung wird darüber informiert, wie das erreichte IT-Sicherheitsniveau gegenüber Dritten mit einem IT-Grundschutz-Zertifikat nachgewiesen werden kann. Seite 16
19 Das Beispielunternehmen RECPLAST und weitere Beispiele zum IT-Grundschutz Die einzelnen Schritte der IT-Grundschutz-Vorgehensweise werden mit Hilfe eines durchgängig verwendeten Beispiels, der RECPLAST GmbH, veranschaulicht. Dieses fiktive Unternehmen stellt aus Recyclingmaterialien etwa 400 Kunststoffprodukte her und vermarktet diese. Eine zusammenhängende Darstellung des Beispiels finden Sie in einem eigenen PDF-Dokument. Der Anhang der IT-Grundschutz-Kataloge enthält weitere Beispiele für unterschiedliche Zielgruppen: Ein IT-Grundschutzprofil für eine kleine Institution ist speziell für die Anwendergruppe mit wenig IT-Systemen und geringen IT-Sicherheitskenntnissen entwickelt worden. IT-Grundschutz für den Mittelstand richtet sich an IT-Sicherheitsbeauftragte von mittelgroßen Institutionen, die sich ausführlich mit der IT-Grundschutz-Vorgehensweise beschäftigen wollen, und gibt ein vollständiges Beispiel für den Einsatz des GSTOOLs. Ein IT-Grundschutzprofil für eine große Institution stellt Lösungsvorschläge für häufig auftretende Probleme bei der IT-Grundschutz-Vorgehensweise dar, hier am Beispiel eines Rechenzentrums. Als Beispiel für die Anwendung der IT-Grundschutz-Vorgehensweise auf eine Behörde dient das fiktive Bundesamt für Organisation und Verwaltung (BOV). Seite 17
20 Kapitel 2: IT-Sicherheitsmanagement 2.1 Überblick Aufgaben und Aktivitäten, mit denen für eine Organisation ein angemessenes IT-Sicherheitsniveau erreicht und erhalten werden soll, gehören zum Management der Informations- und IT-Sicherheit. Zuständig sind dafür Verantwortliche für die IT-Sicherheit und für den IT-Betrieb sowie von diesen intern und extern Beauftragte. Sie tragen zum IT-Sicherheitsmanagement bei, indem sie IT-Sicherheit organisieren sowie IT-Sicherheitsmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren. Welche Verantwortlichkeiten und welche Prozesse haben sich dafür bewährt? Welche Aufgaben und Ergebnisse sind für IT-Sicherheitsmanagement wichtig? Wie kommen die Verantwortlichen zu einer Strategie, zu Zielen, einem Konzept, das umgesetzt und aktualisiert werden kann? Ausführliche Antworten und Empfehlungen finden Sie im BSI-Standard Managementsysteme für Informationssicherheit (ISMS) und im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Grundschutz-Kataloge. Gemäß BSI-Standard wird durch ein Managementsystem für Informationssicherheit festgelegt, wie die Leitung einer Institution ihre Aufgaben zur IT-Sicherheit wahrnimmt. Zu einem ISMS gehören Management-Prinzipien, Ressourcen, die Bedeutung der Mitarbeiter, IT- Sicherheitsprozess inklusive IT-Sicherheitsleitlinie, IT-Sicherheitskonzept und IT-Sicherheitsorganisation. Wie die Aufgaben in der Praxis zu erfüllen sind, wird mit der IT-Grundschutz-Vorgehensweise angeleitet, die im BSI-Standard beschrieben ist. Dieser Standard beschreibt die folgenden Managementaufgaben: Initiierung eines IT-Sicherheitsprozesses mit Übernahme von Verantwortung durch die Leitungsebene, Konzeption und Planung des IT-Sicherheitsprozesses mit Rahmenbedingungen, übergeordneten Zielen und IT-Strategie in einer IT-Sicherheitsleitlinie, Aufbau einer IT-Sicherheitsorganisation mit Bereitstellung von Ressourcen für die IT- Sicherheit, Erstellung einer IT-Sicherheitskonzeption inklusive Abwägen von Kosten und Nutzen, Umsetzung der IT-Sicherheitskonzeption durch Realisierung der IT-Sicherheitsmaßnahmen, Einbindung aller Mitarbeiter und Integration der erforderlichen Ressourcen in den IT- Sicherheitsprozess und seine Steuerung und Seite 18
21 Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung. In diesem Kapitel werden Ihnen die folgenden wichtigen Maßnahmen zur Steuerung eines systematischen IT-Sicherheitsprozesses erläutert: der Aufbau einer angemessenen Organisationsstruktur für IT-Sicherheit, die Formulierung der grundsätzlichen Vorgaben in einer IT-Sicherheitsleitlinie sowie die Entwicklung von dazu passenden IT-Sicherheitskonzepten. 2.2 IT-Sicherheitsstrategie Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements, welche die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen umfasst. Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an geänderte Bedingungen angepasst werden, wenn ein bestimmtes IT-Sicherheitsniveau gehalten werden soll. Veränderungen der inneren Strukturen einer Institution (Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) sind ebenso zu berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen, Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der Sicherheitstechnik. Der Lebenszyklus von IT-Komponenten kann mit den Phasen Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge beschrieben werden. Entsprechend sind die Maßnahmen in den IT- Grundschutz-Bausteinen gruppiert. In vergleichbarer Weise gibt es auch einen Lebenszyklus im gesamten IT-Sicherheitsprozess: 1. Planung, 2. Umsetzung der Planung (bzw. Durchführung des Vorhabens), 3. Erfolgskontrolle (bzw. Überwachung der Zielerreichung) und 4. Beseitigung von erkannten Mängeln und Schwächen (bzw. Optimierung und Verbesserung). Seite 19
22 Diese Vorstellung eines Lebenszyklus basiert auf dem Modell nach Deming (PDCA-Modell nach den englisch bezeichneten Phasen PLAN, DO, CHECK und ACT) im ISO-Standard Mit dieser Modellvorstellung kann sowohl der gesamte IT-Sicherheitsprozess als auch der Lebenszyklus eines IT-Sicherheitskonzepts oder einer IT-Sicherheitsorganisation beschrieben werden. Die Initiative zum IT-Sicherheitsmanagement muss von der Leitung (des Unternehmens bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden. Beispielsweise sind die Vorstände größerer Kapitalgesellschaften durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu einem angemessenen Risikomanagement verpflichtet. Die Leitung wird dementsprechend ein Interesse daran haben, dass auch die Gewährleistung der IT- Sicherheit zur Unternehmenskultur gehört. Und es sollte ihr bewusst sein, dass eigenes vorbildliches Sicherheitsverhalten ein motivierendes Vorbild für die Mitarbeiter ist. Eine wichtige Maßnahme ist die zentrale Organisation eines für das Unternehmen angemessenen und von einem gemeinsamen Verständnis für die Bedeutung der Aufgabe getragenen IT-Sicherheitsmanagements. 2.3 Managementmängel und Maßnahmen Vermeidung von Mängeln im Management Vor allem in kleinen Unternehmen fragen Leiter, ob es nicht ausreicht, die wichtigsten Sicherheitsprodukte von externen Firmen installieren zu lassen und von diesen mitgelieferte Anweisungen an die Beschäftigten zu verteilen. Sie fühlen sich selbst für eine Rolle im IT-Sicherheitsmanagement überfordert. Dies ist nur eine Erscheinungsform von unzureichendem IT-Sicherheitsmanagement. Weitere Gefährdungen wie fehlende persönliche Verantwortung, mangelnde Unterstützung durch die Leitungsebene, unzureichende strategische und konzeptionelle Vorgaben, unzureichende und fehlgeleitete Investitionen, unzureichende Durchsetzbarkeit von Maßnahmenkonzepten und fehlende Aktualisierung im IT-Sicherheitsprozess und ihre möglichen Folgen finden Sie im Baustein B 1.0 IT-Sicherheitsmanagement in den Gefährdungen G 2.66 Unzureichendes IT-Sicherheitsmanagement und G Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes IT-Sicherheitsmanagement erläutert. Solche organisatorische Mängel können vermieden werden, wenn das Management folgende Aufgaben und Pflichten erfüllt und in der Praxis bewährte Maßnahmen umsetzt: Die Leitung des Unternehmens bzw. der Behörde ist sich ihrer Gesamtverantwortung und Vorbildfunktion für die IT-Sicherheit bewusst, vertritt die Sicherheitsziele entschieden und beispielhaft, initiiert, steuert und kontrolliert einen kontinuierlichen Sicherheitsprozess und unterstützt alle delegierten Arbeiten für IT-Sicherheit. Seite 20
23 Im Unternehmen ist eine eigene Kompetenz für IT-Sicherheit aufzubauen und die Hauptverantwortung für IT-Sicherheitsfragen an eine Person zu delegieren, die auch für eine geeignete Organisationsstruktur für IT-Sicherheit und deren Aufrechterhaltung sorgt. Zum Unternehmen passende IT-Sicherheitsziele und -strategie sind in einer IT-Sicherheitsleitlinie festzuschreiben. Zur Umsetzung und Integration der angestrebten IT-Sicherheit sind die erforderlichen organisatorischen Strukturen aufzubauen, ein IT-Sicherheitskonzept zu erstellen, die Mitarbeiter einzubeziehen und die Ressourcen für IT-Sicherheit wirtschaftlich einzusetzen. Zur Aufrechterhaltung der IT-Sicherheit tragen zielgruppengerechte IT-Sicherheitsrichtlinien ebenso bei wie eine umfassende Dokumentation des IT-Sicherheitsprozesses sowie regelmäßige Statusberichte. Bereits zu Beginn eines IT-Sicherheitsprozesses tragen ein gemeinsames Verständnis der wichtigen Rollen und eine zweckmäßige Organisation von Zuständigkeiten im Unternehmen oder in der Behörde dazu bei, ein effektives IT-Sicherheitsmanagement aufzubauen. Wie sieht es bei Ihnen aus? Sind in Ihrem Unternehmen (oder Ihrer Behörde) alle oben genannten Anforderungen an IT-Sicherheitsmanagement erfüllt? Wenn nicht, ist es Zeit zu handeln. Halten Sie die erkannten Lücken oder Gefährdungen fest und formulieren Sie konstruktive Argumente für ein verbessertes IT-Sicherheitsmanagement. Versuchen Sie, der Leitung diese Vorschläge zu vermitteln. 2.4 Rollen und Zuständigkeiten Die IT-Sicherheitsorganisation hängt von der Größe, Beschaffenheit und Struktur einer Institution ab. Für eine wirksame IT-Sicherheitsorganisation empfiehlt der IT-Grundschutz IT-Sicherheitsbeauftragte und ein IT-Sicherheitsmanagement-Team einzusetzen und mit ausreichenden Ressourcen auszustatten. Die Ausgestaltung der IT-Sicherheitsorganisation hängt dabei von den konkreten Bedingungen der jeweiligen Institution ab, also von ihrer Größe, Beschaffenheit und Struktur IT-Sicherheitsbeauftragte Ein IT-Sicherheitsbeauftragter ist für alle IT-Sicherheitsfragen in der Organisation zuständig. Er sollte organisatorisch unabhängig sein und ein unmittelbares Vortragsrecht bei der Unternehmens- oder Behördenleitung haben. Es empfiehlt sich daher, diese Funktion als Stabsstelle der Organisationsleitung zuzuordnen. Zu den Aufgaben von IT-Sicherheitsbeauftragten gehört es, den IT-Sicherheitsprozess zu steuern und zu koordinieren, die Leitung bei der Erstellung der IT-Sicherheitsleitlinie zu unterstützen, die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur IT-Sicherheit zu erlassen, Seite 21
24 den Realisierungsplan für IT-Sicherheitsmaßnahmen zu erstellen und ihre Umsetzung zu initiieren und zu überprüfen, dem IT-Sicherheitsmanagement-Team und der Leitungsebene über den Status der IT-Sicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen und Sensibilisierungs- und Schulungsmaßnahmen zur IT-Sicherheit zu initiieren und zu koordinieren IT-Sicherheitsmanagement-Team In größeren Organisationen wird ein solches Team aus mehreren Zuständigen für IT-Sicherheit gebildet, um den IT-Sicherheitsbeauftragten zu unterstützen. Zuständig ist es für die Regelung sämtlicher übergreifenden Belange der IT-Sicherheit. Es koordiniert, berät und kontrolliert die zugehörigen Analysen, Pläne und Konzepte, Richtlinien, Vorgaben und Kontrollregelungen. Im Team sollten der IT-Sicherheitsbeauftragte und sofern benannt die IT-Sicherheitsbeauftragen für einzelne Bereiche, IT-Projekte oder IT-Systeme sowie weitere Verantwortliche aus dem IT-Service, außerdem Datenschutzbeauftragte und Vertreter der IT-Anwender zusammenwirken. Für größere Koordinierungsaufgaben kann bei Bedarf zusätzlich ein IT-Koordinierungsausschuss die Zusammenarbeit zwischen dem IT-Sicherheitsmanagement-Team, der Leitung und der Vertretung der IT-Anwender zeitlich befristet koordinieren. Die Aufgaben des IT-Sicherheitsmanagement-Teams sind es, die IT-Sicherheitsziele und -strategien zu bestimmen sowie die IT-Sicherheitsleitlinie zu entwickeln, Seite 22
25 die Umsetzung der IT-Sicherheitsleitlinie zu überprüfen, den IT-Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren, bei der Erstellung des IT-Sicherheitskonzepts mitzuwirken, zu überprüfen, ob die im IT-Sicherheitskonzept geplanten IT-Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind, Schulungs- und Sensibilisierungsprogramme für IT-Sicherheit zu konzipieren sowie den IT-Koordinierungsausschuss und die Leitung(sebene) in IT-Sicherheitsfragen zu beraten. Diese Aufgaben können in kleineren Organisationen auch nur von wenigen Zuständigen oder einer Person, dem (oder der) IT-Sicherheitsbeauftragten, wahrgenommen werden. Modelle zum Aufbau der IT-Sicherheitsorganisation in großen, mittelgroßen und kleinen Institutionen sowie Erläuterungen zu den Aufgaben von IT-Sicherheitsbeauftragtem und IT- Sicherheitsmanagement-Team finden Sie in Kapitel 3.2 des BSI-Standards 100-2, ferner in Maßnahme M Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit der IT- Grundschutz-Kataloge Beispiel: IT-Sicherheitsorganisation im Unternehmen Im Beispielunternehmen RECPLAST beabsichtigt die Geschäftsführung ein IT-Sicherheitskonzept für das Unternehmen ausarbeiten zu lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die Unternehmenspolitik zur IT-Sicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. Zuerst wird für die Analysen, Konzepte und die Folgearbeiten des IT-Sicherheitsprozesses kurzfristig ein IT-Sicherheitsbeauftragter ernannt. Wegen der für diese Aufgabe notwendigen IT-Kenntnisse, wird hierfür ein Mitarbeiter der Abteilung Informationstechnik bestimmt. Danach wird ein zeitlich befristetes Projekt IT-Sicherheitskonzept eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte sowie Zuständige für IT-Anwendungen und IT-Systeme folgende Punkte erarbeiten sollen: 1. Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie, 2. Erstellung einer Übersicht der vorhandenen IT-Systeme, 3. Ausarbeitung der Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation, 4. Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit, 5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des IT-Sicherheitsprozesses. Mehrere Bereichsleiter wollen, dass auch ein Mitarbeiter aus ihrem Bereich in dem Projektteam vertreten sein soll. Aus drei Bereichen können wegen dringender Terminarbeiten keine Mitarbeiter am Projekt teilnehmen. Seite 23
26 Die Geschäftsführung schließt diese Diskussion damit ab, dass maximal drei Mitarbeiter im Projekt arbeiten sollen: der IT-Sicherheitsbeauftragte, dazu ein Mitarbeiter, der im Vertrieb für die IT-Anwendungen zuständig ist und gleichzeitig Datenschutzbeauftragter ist, und die kaufmännische Geschäftsleitung. Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT- Sicherheit angesichts der gegenwärtigen und geplanten Informationstechnik geben. Zwischen- und Endergebnisse sollen in Managementsitzungen sowie mit dem Betriebsrat beraten und dann von der Geschäftsführung entschieden werden. Die Ergebnisse will die Geschäftsführung selbst den Beschäftigten mitteilen. Übung zur Anwendung In welchen Gesichtspunkten ist der IT-Sicherheitsprozess in Ihrem Unternehmen (oder Ihrer Behörde) anders initiiert und organisiert? Welche Vorteile und welche Nachteile sehen Sie? 2.5 IT-Sicherheitsleitlinie Für ein zentral organisiertes und unternehmensweit gesteuertes IT-Sicherheitsmanagement ist eine IT-Sicherheitsleitlinie die wichtigste Positionierung der Unternehmensleitung zum Stellenwert der IT-Sicherheit, zum anzustrebenden Sicherheitsniveau und zu den verbindlichen Prinzipien der IT-Sicherheit. Deshalb muss die Entwicklung einer Leitlinie von der Geschäftsführung angestoßen und bis zum Ergebnis aktiv unterstützt werden. Möglichst viele Bereiche der Organisation sollten während der Erstellung einbezogen werden, damit die Mitarbeiter später die Vorgaben Seite 24
27 mittragen. Die IT-Sicherheitsleitlinie soll für alle Mitarbeiter die IT-Sicherheitsziele, die Strategie, die Organisation und die Mittel, mit denen die Ziele verwirklicht werden sollen, verständlich beschreiben Vorgehen Ausgearbeitet wird eine IT-Sicherheitsleitlinie vom IT-Sicherheitsmanagement-Team bzw. in kleinen Organisationen vom IT-Sicherheitsbeauftragten in folgenden Schritten: 1. Verantwortung der Behörden- bzw. Unternehmensleitung Es wird schriftlich festgehalten, dass die Organisationsleitung die Gesamtverantwortung für die IT- Sicherheit hat und in vollem Umfang hinter den in der Sicherheitsleitlinie formulierten Zielen und den daraus abgeleiteten und abzuleitenden Konzepten und Maßnahmen steht. Diese Gesamtverantwortung gilt auch dann, wenn einzelne Aufgaben an bestimmte Mitarbeiter oder Abteilungen delegiert sind. 2. Festlegung des Geltungsbereichs In der IT-Sicherheitsleitlinie wird beschrieben, für welche Bereiche einer Institution sie gelten soll (inklusive der zugehörigen Geschäftsaufgaben und -prozesse). Der Geltungsbereich kann auch das gesamte Unternehmen oder die gesamte Behörde umfassen. 3. Inhalte Folgende Inhalte sollten in der IT-Sicherheitsleitlinie kurz und verständlich beschrieben sein: Stellenwert der IT-Sicherheit und Bedeutung der IT für die Aufgabenerfüllung, Bezug der IT-Sicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution, Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die eingesetzte IT, Seite 25
28 Zusicherung, dass die IT-Sicherheitsleitlinie von der Leitung durchgesetzt wird, und zusätzliche Leitaussagen zur Erfolgskontrolle und Beschreibung der für die Umsetzung des IT-Sicherheitsprozesses etablierten Organisationsstruktur. Ergänzt werden kann die Leitlinie durch die Aufzählung relevanter Gefährdungen, die Nennung einzuhaltender gesetzlicher oder vertraglicher Vorgaben, die Beschreibung der Aufgaben der am IT-Sicherheitsprozess beteiligten Personen, die Benennung von Ansprechpartnern sowie Hinweisen auf Schulungs- und Sensibilisierungsmaßnahmen. Die IT-Sicherheitsleitlinie legt fest, welche Wertigkeit IT-Sicherheit in einer Organisation hat. Sie sollte so formuliert sein, dass deutlich wird, warum ein bestimmtes IT-Sicherheitsniveau angestrebt wird (z. B. ein normales, hohes oder sehr hohes). 4. Einberufung einer Entwicklungsgruppe Gibt es im Unternehmen noch kein funktionierendes IT-Sicherheitsmanagement-Team, ist für die Erstellung der IT-Sicherheitsleitlinie eine Entwicklungsgruppe einzuberufen, die später die Funktionen eines solchen Teams weiter ausfüllen kann. In dieser Gruppe sollten neben dem IT-Sicherheitsbeauftragten weitere Mitarbeiter mit Kenntnissen über IT-Sicherheit, Vertreter des IT-Betriebs und der IT- Anwender und zeitweise auch je eine Person aus der Leitung und aus dem Datenschutz einbezogen werden. 5. Bekanntgabe der IT-Sicherheitsleitlinie Es ist Aufgabe der Unternehmensleitung, sich voll hinter die Anforderungen der Leitlinie zu stellen, ihr formell zuzustimmen, sie in Kraft zu setzen und den Mitarbeitern bekannt zu geben. Dazu gehört nicht nur, sie anzukündigen, sondern auch die Mitarbeiter zu ihrer Einhaltung anzuhalten. Alle Mitarbeiter sollten die Aussagen der IT-Sicherheitsleitlinie kennen, Zugang zu der schriftlich fixierten Fassung haben und auf ihren Anteil an Beiträgen zur IT-Sicherheit verpflichtet werden. 6. Aktualisierung der IT-Sicherheitsleitlinie Da sich Geschäftsprozesse und dafür eingesetzte IT ändern, ist regelmäßig (z. B. alle zwei Jahre) sowie bei Bedarf zu prüfen, ob die Aussagen der IT-Sicherheitsleitlinie noch aktuell sind oder an neue Anforderungen angepasst werden müssen. Bei dieser Aktualisierung werden alle zuvor erläuterten fünf Schritte erneut durchlaufen Aussagen in einer IT-Sicherheitsleitlinie Welche Sicherheitsziele sind für das Unternehmen wichtig? Es geht darum, Antworten auf folgende Fragen zu formulieren: Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT nicht oder nur mit großem Aufwand anders bearbeitet werden? Seite 26
29 Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig? Welche Informationen, die mittels IT bearbeitet werden, haben korrekt und aktuell zu sein und müssen deshalb besonders geschützt werden? Welche Bedeutung und Folgen könnten von innen oder außen verursachte Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen? Beispiel Für das Beispielunternehmen sind diese Fragen zur schutzwürdigen IT in einem gesonderten Dokument beantwortet und dazu Sicherheitsziele bestimmt worden, z. B.: Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar. Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen und Image-Schäden müssen verhindert werden. Derartige Aussagen zur Bedeutung der IT und IT-Sicherheitsziele dokumentiert die Entwicklungsgruppe des Beispielunternehmens in ihrer IT-Sicherheitsleitlinie. Zusätzlich hält sie Aussagen zur IT- Sicherheitsstrategie fest, beschreibt also, was unternommen wird, um die Ziele zu erreichen, z. B.: Aus der Entwicklungsgruppe für die IT-Sicherheitsleitlinie soll ein IT-Sicherheitsmanagement- Team aufgebaut werden. Die bisher gesetzten IT-Sicherheitsziele sollen noch verfeinert werden und die einzuhaltenden rechtlichen Anforderungen zusammengetragen werden. Es soll ein IT-Sicherheitskonzept (z. B. gemäß IT-Grundschutz) für das gesamte Unternehmen erstellt werden. Das IT-Sicherheitskonzept soll unter Einbeziehung aller Unternehmensbereiche in einem Jahr umgesetzt werden. Regelmäßige Kontrollen und Aktualisierungen des Konzepts sollen zur Aufrechterhaltung der IT- Sicherheit beitragen. Außerdem werden organisatorische Definitionen und Regelungen in der IT-Sicherheitsleitlinie festgehalten, z. B. welche Verantwortlichkeiten für bestimmte Informationen und Systeme verteilt werden und welche Verpflichtungen damit verknüpft sind, Seite 27
30 wie die Verwaltung, Nutzung und Kontrolle von Informationen von Unabhängigen überprüft wird und welche Verstöße gegen die IT-Sicherheitsleitlinie sanktioniert werden. Weitere Informationen zur Entwicklung einer IT-Sicherheitsleitlinie finden Sie in der Maßnahme M Erstellung einer Sicherheitsleitlinie. Ein Beispiel für eine IT-Sicherheitsleitlinie finden Sie auch in den Musterrichtlinien und Beispielkonzepten unter den Hilfsmitteln zu den IT-Grundschutz-Katalogen. 2.6 IT-Sicherheitskonzept Ein IT-Sicherheitskonzept ist erforderlich, damit die in der IT-Sicherheitsleitlinie vorgegebenen IT-Sicherheitsziele und die IT-Sicherheitsstrategie verfolgt und dazu passende Maßnahmen geplant, umgesetzt und aktualisiert werden können. Das Konzept wird unter den organisatorischen Bedingungen, die in der IT-Sicherheitsleitlinie beschrieben sind, für das anzustrebende IT-Sicherheitsniveau erarbeitet Vorgehen Im IT-Sicherheitskonzept werden zunächst die Risiken für die Geschäftsprozesse, IT-Anwendungen und IT-Systeme bewertet und dann konzipiert, welche Sicherheitsmaßnahmen einen angemessenen Schutz bieten. Im BSI-Standard werden dazu folgende Teilschritte unterschieden: Auswahl einer Methode zur Risikobewertung Klassifikation von Risiken beziehungsweise Schäden Risikobewertung Entwicklung einer Strategie zur Behandlung von Risiken Auswahl von IT-Sicherheitsmaßnahmen IT-Sicherheitskonzept gemäß IT-Grundschutz-Vorgehensweise Die Initiative, ein IT-Sicherheitskonzept zu erstellen, muss von der Leitung ausgehen. Sie hat dem IT- Sicherheitsmanagement-Team den Auftrag zu erteilen, für einen definierten IT-Verbund die Analysen, Bewertungen und Planungen in folgenden Schritten auszuführen und die Ergebnisse zusammenhängend zu dokumentieren. Seite 28
31 Wie die dargestellten Schritte mit Hilfe der IT-Grundschutz-Kataloge durchgeführt werden, ist Inhalt der folgenden Kapitel. Weitere Ausführungen zur Erstellung einer IT-Sicherheitskonzeption nach IT-Grundschutz finden Sie im Kapitel 8 des BSI-Standards Managementsysteme für Informationssicherheit (ISMS) und im Kapitel 4 des BSI-Standards IT-Grundschutz-Vorgehensweise. Die systematische Vorgehensweise nach IT-Grundschutz, für einen IT-Verbund auf effiziente Weise Sicherheitskonzepte zu erstellen und vorhandene Konzepte zu überprüfen, wird Ihnen in den IT-Grundschutz-Katalogen in der Maßnahme M Erstellung eines IT-Sicherheitskonzepts erläutert. Seite 29
I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrIT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrIT-Grundschutz - der direkte Weg zur Informationssicherheit
IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik
MehrIT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007
IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrKooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung
Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss
MehrZertifizierung IT-Sicherheitsbeauftragter
Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrIT-Sicherheit im Rathaus Alles nach Plan?
IT-Sicherheit im Rathaus Alles nach Plan? Neues IT-Rahmensicherheitskonzept seit 2009: Muster-IT-Rahmensicherheitskonzept steht allen Verbandsmitgliedern des ZV ego-mv kostenfrei zur Verfügung wurde bisher
MehrBusiness Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess
Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz
MehrBSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrFührungsgrundsätze im Haus Graz
;) :) Führungsgrundsätze im Haus Graz 1.0 Präambel 2.0 Zweck und Verwendung Führungskräfte des Hauses Graz haben eine spezielle Verantwortung, weil ihre Arbeit und Entscheidungen wesentliche Rahmenbedingungen
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrRichtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche
Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche vom 1. April 2007 Gestützt auf Art. 2 der Verordnung über Kinder- und Jugendheime vom 21. September 1999
MehrInitiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements
Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrWas sind Jahres- und Zielvereinbarungsgespräche?
6 Was sind Jahres- und Zielvereinbarungsgespräche? Mit dem Jahresgespräch und der Zielvereinbarung stehen Ihnen zwei sehr wirkungsvolle Instrumente zur Verfügung, um Ihre Mitarbeiter zu führen und zu motivieren
MehrIT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen
IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag
MehrNeues vom IT-Grundschutz: Ausblick und Diskussion
Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014
MehrDatenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund
Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrMaschinenrichtlinie 2006/42/EG 150 Fragen und Antworten zum Selbststudium
QUALITY-APPS Applikationen für das Qualitätsmanagement Maschinenrichtlinie 2006/42/EG 150 Fragen und Antworten zum Selbststudium Autor: Prof. Dr. Jürgen P. Bläsing Die Maschinenrichtlinie 2006/42/EG ist
MehrSicherheitshinweise für Administratoren. - Beispiel -
Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...
MehrInformationen zur Erstellung des Projektantrags in den IT-Berufen und zum AbschlussPrüfungOnlineSystem (CIC-APrOS)
Informationen zur Erstellung des Projektantrags in den IT-Berufen und zum AbschlussPrüfungOnlineSystem (CIC-APrOS) Allgemeine Hinweise zum Projektantrag Den Prüferinnen und Prüfern der Industrie- und Handelskammer
MehrInternet- und E-Mail-Überwachung in Unternehmen und Organisationen
Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet
MehrBSI Technische Richtlinie
Seite 1 von 9 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Postfach- und Versanddienst IT-Sicherheit Anwendungsbereich: Kürzel: BSI De-Mail
MehrLeitfaden. zur Einführung neuer Studiengänge
Leitfaden zur Einführung neuer Studiengänge Entstehung des Leitfadens Einführung neuer Studiengänge Die Grundlagen des Leitfadens wurden auf der Basis des bisherigen Verfahrens in einer Workshopreihe des
MehrBericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012
Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012 TIWAG-Netz AG Bert-Köllensperger-Straße 7 6065 Thaur FN 216507v Seite 1 Inhaltsverzeichnis
MehrIT-Grundschutz praktisch im Projekt Nationales Waffenregister
IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum
MehrScannen Sie schon oder blättern Sie noch?
Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon
MehrALFA Alle Fristen im Arbeitnehmerschutz
ALFA Alle Fristen im Arbeitnehmerschutz ALFA 2.0 - DEMO Informationen und erste Schritte zu ALFA 2.0 - DEMO Ein Produkt der WKO Oberösterreich Sonderversion des Produkts KEC-LexTool Version 3.1 & 3.2 1999-2012
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
MehrNeu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter
und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt
MehrÜBUNG. Einführung in das IT- Projektmanagement WS 2012/13. Dr. The Anh Vuong
Einleitung Beschluss der UNI- AG vom 10.10.2012: Bis Ende März 2013 soll ein Portal für Studierende der UNI- AG entwickelt werden. Das Portal bietet aus Anlass der Weltwirtschschaft diverse Informationen
MehrFachnachmittag Sexuelle Grenzüberschreitung Impulse zum professionellen Umgang in der Kita Bürgerhaus Zähringen 16. Mai 2013
Fachnachmittag Sexuelle Grenzüberschreitung Impulse zum professionellen Umgang in der Kita Bürgerhaus Zähringen 16. Mai 2013 Kirstin Lietz, Dipl. Sozialpädagogin (BA) Die Aufgaben der insoweit erfahrenen
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrOrdnung zur IT-Sicherheit in der Universität Hannover
Ordnung zur IT-Sicherheit in der Universität Hannover (vom Senat beschlossen am 10.7.2002) Präambel Ein leistungsfähiger Universitätsbetrieb erfordert in zunehmendem Maß die Integration von Verfahren und
MehrBeispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)
Allgemeine Hinweise: Es wird von den Teilnehmern erwartet, dass ausreichende Kenntnisse vorhanden sind, um die Fragen 1.1 bis 1.10 unter Verwendung der EN 9100 und ISO 19011 innerhalb von 20 Minuten zu
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrZwischenbericht der UAG NEGS- Fortschreibung
Zwischenbericht der UAG NEGS- Fortschreibung Vorlage zur 16. Sitzung des IT-Planungsrats am 18. März 2015 Entwurf vom 29. Januar 2015 Inhaltsverzeichnis 1 Anlass für die Fortschreibung der NEGS... 3 2
MehrArbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse
Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20
MehrSecurity. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.
Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/1319 14.11.2013 Mitteilung zur Kenntnisnahme Leitlinien für einen standardisierten IT-Arbeitsplatz offen und Zukunftsorientiert Drucksachen 17/1077 Neu und 17/0996 und Zwischenbericht
MehrIT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage
IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz
MehrGrundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.
Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche
MehrIT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung
IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für ihre Entscheidung Entdecken Sie was IT Sicherheit im Unternehmen bedeutet IT Sicherheit
MehrDas IT-Verfahren TOOTSI
Das IT-Verfahren TOOTSI Toolunterstützung für IT- Sicherheit (TOOTSI) Motivation und Ziele der Nationale Plan (UP Bund) Herausforderungen Umsetzung in der Bundesfinanzverwaltung in der Bundesverwaltung
Mehr3 Juristische Grundlagen
beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
MehrFORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept
MehrInformation zur Revision der ISO 9001. Sehr geehrte Damen und Herren,
Sehr geehrte Damen und Herren, mit diesem Dokument möchten wir Sie über die anstehende Revision der ISO 9001 und die sich auf die Zertifizierung ergebenden Auswirkungen informieren. Die folgenden Informationen
MehrKirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )
IT-Gesetz EKvW ITG 858 Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG ) Vom 17. November 2006 (KABl. 2006 S. 292) Inhaltsübersicht 1 1
MehrIT-Sicherheit in der Energiewirtschaft
IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens
Mehrstatuscheck im Unternehmen
Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen
MehrNewsletter: Februar 2016
1 ASR GmbH www.asr-security.de Newsletter: Februar 2016 Neue behördliche Vorgaben für Onlineschulungen Seit dem 01. Februar 2016 gelten neue behördliche Anforderungen an Online- Luftsicherheitsschulungen.
MehrInformationssicherheitsleitlinie
Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.
MehrVersion smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):
Supportanfrage ESN Bitte füllen Sie zu jeder Supportanfrage diese Vorlage aus. Sie helfen uns damit, Ihre Anfrage kompetent und schnell beantworten zu können. Verwenden Sie für jedes einzelne Thema jeweils
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrMitteilung zur Kenntnisnahme
17. Wahlperiode Drucksache 17/1970 14.11.2014 Mitteilung zur Kenntnisnahme Lizenzmanagement Drucksache 17/0400 ( II.A.14.6) Schlussbericht Abgeordnetenhaus von Berlin 17. Wahlperiode Seite 2 Drucksache
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
Mehr10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.
M erkblatt Vorabkontrolle 1 Einleitung Öffentliche Organe des Kantons Zürich müssen Projekte und Vorhaben dem Datenschutzbeauftragten zur Prüfung unterbreiten, wenn diese Datenbearbeitungen beinhalten,
MehrSchriftwechsel mit Behörden Ratgeber zum Datenschutz 1
Datenschutz und Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1 Datenschutz und Herausgeber: Berliner Beauftragter für Datenschutz und Verantwortlich: Volker Brozio Redaktion: Laima Nicolaus An
Mehr«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»
«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» www.pse-solutions.ch ANTOINE DE SAINT-EXUPÉRY 1 PROJECT SYSTEM ENGINEERING
MehrInformationssicherheit in handlichen Päckchen ISIS12
Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
Mehr104 WebUntis -Dokumentation
104 WebUntis -Dokumentation 4.1.9.2 Das elektronische Klassenbuch im Betrieb Lehrer Aufruf Melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort am System an. Unter den aktuellen Tagesmeldungen erscheint
MehrDie 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung
DR. BETTINA DILCHER Management Consultants Network Die 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung Leonhardtstr. 7, 14057 Berlin, USt.-ID: DE 225920389
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
MehrErste Schritte mit Microsoft Office 365 von Swisscom
Inhaltsverzeichnis 1 Wichtigstes in Kürze... 2 2 Erstanmeldung bei Microsoft Office 365... 2 2.1 Basiskonfiguration... 4 2.2 Navigation in Office 365... 5 3 Nutzung von Microsoft Office 365... 6 3.1 Schreiben
MehrManagementsysteme und Arbeitssicherheit
Managementsysteme und Arbeitssicherheit 1. Managementsysteme: Welche gibt es? 2. Managementsysteme aus Sicht des Mitarbeiters 3. Schlussfolgerungen für integrierte Managementsysteme 4. 3 Arbeitsschutzgesetz
MehrNeues aus dem IT-Grundschutz Ausblick und Diskussion
Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte
MehrAusschuss für technische und operative Unterstützung (zur Unterrichtung) ZUSAMMENFASSUNG
CA/T 18/14 Orig.: en München, den 24.10.2014 BETRIFFT: VORGELEGT VON: EMPFÄNGER: Sachstandsbericht zur Qualitäts-Roadmap Präsident des Europäischen Patentamts Ausschuss für technische und operative Unterstützung
MehrAufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul 32701 - Business/IT-Alignment. 26.09.2014, 09:00 11:00 Uhr. Univ.-Prof. Dr. U.
Fakultät für Wirtschaftswissenschaft Aufgabenheft : Termin: Prüfer: Modul 32701 - Business/IT-Alignment 26.09.2014, 09:00 11:00 Uhr Univ.-Prof. Dr. U. Baumöl Aufbau und Bewertung der Aufgabe 1 2 3 4 Summe
MehrMitarbeitergespräche erfolgreich führen
Mitarbeitergespräche erfolgreich führen zur Einführung und Handhabung für Mitarbeiter und Vorgesetzte TRAINPLAN seminar maker Mitarbeitergespräche erfolgreich führen Seite 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis
MehrErstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen
Seite 1 von 9 PB 4.2-1: Erstellung von Prozessbeschreibungen 1 Ziel und Zweck Durch Prozessbeschreibungen werden die einzelnen Prozesse des Qualitätshandbuchs detaillierter beschrieben. Sie werden für
MehrRichtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP
Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK Bundesamt für Kommunikation BAKOM Abteilung Telecomdienste Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit
MehrWindows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.
Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates
Mehrzum Entwurf eines Gesetzes zur Änderung des Berufskraftfahrer-Qualifikations-Gesetzes
Breitenbachstraße 1, 60487 Frankfurt am Main Telefon: (069) 7919-0 Telefax: (069) 7919-227 bgl@bgl-ev.de www.bgl-ev.de Stellungnahme zum Entwurf eines Gesetzes zur Änderung des Berufskraftfahrer-Qualifikations-Gesetzes
MehrRisikomanagement bei PPP Projekten: Erfahrungen aus Deutschland
Verein PPP Schweiz Risikomanagement bei PPP Projekten: Erfahrungen aus Deutschland Veranstaltung des Verein PPP Schweiz am14.05.2014 in Bern Vortrag von Peter Walter Landrat a.d., Vorsitzender Verein PPP
MehrKurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich
Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich Mitgliederbereich (Version 1.0) Bitte loggen Sie sich in den Mitgliederbereich mit den Ihnen bekannten Zugangsdaten
Mehr