Modul. Management der Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "Modul. Management der Informationssicherheit"

Transkript

1 Modul Management der Informationssicherheit Studienbrief 1: Einleitung und Motivation Studienbrief 2: Governance im Bereich der IS Studienbrief 3: Risikomanagement im Bereich IS Studienbrief 4: Umsetzung im IS-Programm Studienbrief 5: Vorfallsmanagement im Bereich der IS Studienbrief 6: Vorgehensweise nach BSI IT-Grundschutz Studienbrief 7: Zusammenfassung und Fazit Autor: Dr. Christoph Wegener, CCSK, CISA, CISM, CRISC, GDDcert 1. Auflage Ruhr-Universität Bochum

2 2014 Dr. Christoph Wegener Ruhr-Universität Bochum Fakultät für Elektrotechnik und Informationstechnik Gebäude ID 1/ Bochum 1. Auflage (1. Oktober 2014) Didaktische und redaktionelle Bearbeitung: Der Autor bedankt sich bei zahlreichen Personen, die ihn durch konstruktive Kritik bei der Erarbeitung des vorliegenden Moduls unterstützt haben. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der Verfasser unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierung der weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen deshalb darauf hin, dass die Verwendung der männlichen Form explizit als geschlechtsunabhängig verstanden werden soll.

3 Inhaltsverzeichnis Seite 3 Inhaltsverzeichnis Einleitung zu den Studienbriefen 5 I. Abkürzungen der Randsymbole und Farbkodierungen II. Zu den Autoren III. Modullehrziele Studienbrief 1 Einleitung und Motivation Informationssicherheit vs. IT-Sicherheit Standards zur Informationssicherheit BSI-Standards zur Informationssicherheit Wichtige Prinzipien Ausblick auf die folgenden Kapitel Studienbegleitende Literatur Studienbrief 2 Governance im Bereich der IS Aufbau und Aufrechterhaltung einer IS-Strategie Aufbau und Aufrechterhaltung eines IS-Governance Frameworks Integration der IS-Governance in die Corporate Governance Aufbau und Fortschreibung eines IS-Policy Frameworks Business Cases - Entwicklung von praxisnahen Beispielen Berücksichtigung von internen und externen Faktoren Einholen der Unterstützung des Managements Festlegen von Rollen und Verantwortlichkeiten Grundlagen für die Kommunikation mit dem Management Studienbrief 3 Risikomanagement im Bereich IS Prozess zur Klassifizierung der Informationswerte Rechtliche und regulatorische Randbedingungen Regelmäßiges Risikoassessment Möglichkeiten der Risikominimierung Kontrollen im Bereich Informationssicherheit Der Prozess des Risikomanagements Einbindung in die normalen Prozesse der Organisation Monitoring von Risiken Bericht von Compliance-Verletzungen Studienbrief 4 Umsetzung im IS-Programm Ausrichtung des IS-Programms an den übrigen Prozessen der Organisation Bestimmung von internen und externen Ressourcen Architektur der Informationssicherheit Standards, Arbeitsanweisungen und Handlungsempfehlungen Security Awareness und Security Training Integration in die Geschäftsprozesse Berücksichtigung von Verträgen Aufbau eines Monitoring- und Reportingsystems unter Nutzung von Metriken Studienbrief 5 Vorfallsmanagement im Bereich der IS Festlegung Was ist ein Sicherheitsvorfall? Entwicklung und Aufrechterhaltung eines Incident Response-Plans Aufbau eines Prozesses, der die Erkennung von Vorfällen sicher stellt Aufbau eines Prozesses zur Untersuchung von Sicherheitsvorfällen Aufbau eines Prozesses zur Eskalation und Kommunikation von Vorfällen Aufbau und Training der Incident Response-Teams Regelmäßige Übungen Aufbau von Kommunikationsprozessen

4 Seite 4 Inhaltsverzeichnis 5.9 Durchführen von Nachvorfallsbehandlungen Integration in Desaster Recovery- und Business Continuity-Prozesse Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz Initiierung des Informationssicherheitsprozesses Erstellung einer Sicherheitskonzeption Schutzbedarfsfeststellung Umsetzung der Sicherheitskonzeption Aufrechterhaltung und Verbesserung Zertifizierung Studienbrief 7 Zusammenfassung und Fazit 105 Verzeichnisse Abbildungen Literatur

5 Einleitung zu den Studienbriefen Seite 5 Einleitung zu den Studienbriefen I. Abkürzungen der Randsymbole und Farbkodierungen Axiom Beispiel Definition Exkurs Kontrollaufgabe Merksatz Quelle Satz Übung A B D E K M Q S Ü

6 Seite 6 Einleitung zu den Studienbriefen II. Zu den Autoren Dr. Christoph Wegener (CCSK, CISA, CISM, CRISC, GDDcert) ist seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Zudem ist er nach mehr als achtjähriger Tätigkeit am Horst Görtz Institut für IT-Sicherheit (HGI) an der Ruhr-Universität Bochum nun der IT-Leiter der dortigen Fakultät für Elektrotechnik und Informationstechnik. In dieser Position verantwortet er insbesondere die Themen Informationssicherheit und Datenschutz. Herr Dr. Wegener ist Autor zahlreicher Fachbeiträge und Sprecher auf nationalen und internationalen Konferenzen und engagiert sich in der Ausbildung im Bereich der Informationssicherheit. Darüber hinaus ist er Mitglied des Beirats der Zeitschrift "Datenschutz und Datensicherheit DuD", Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des German Chapters der Cloud Security Alliance (CSA) und dort, sowie von 2007 bis 2014 in der German Unix User Group (GUUG), Mitglied des Vorstands.

7 Modullehrziele Seite 7 III. Modullehrziele Informationssicherheit ist mehr als (die Umsetzung der technischen Aspekte im Rahmen der) IT-Sicherheit. Neben den technischen Fragen müssen auch die Aspekte Personen und Prozesse mit berücksichtigt werden. Darüber hinaus stehen jeder Organisation nur begrenzte Ressourcen zur Verfügung, allein dies schließt das Erreichen von 100 %iger Sicherheit aus und macht deutlich, dass Informationssicherheit wie IT-Sicherheit als Dienstleistungsfunktionen verstanden werden müssen, die sich dem eigentlichen Geschäftsprozess einer Organisation unterordnen. Im Rahmen dieses Moduls sollen nun -auf Basis der Vorgehensweisen der amerikanischen Information Systems Audit and Control Association (kurz: ISACA) [7] bzw. der des deutschen Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI ) [2]- die Grundlagen des Managements der Informationssicherheit vermittelt werden. Dazu gehört zunächst ein Verständnis für die Fragen der Governance, damit die Informationssicherheit von vorneherein an den Prozessen der Organisation ausgerichtet wird. Daneben spielt auch das Risikomanagement eine wichtige Rolle, das die Grundlagen für die zahlreichen Entscheidungen im Kontext Wann sollen welche Maßnahmen wie umgesetzt werden? und damit im Bereich des Managements der Informationssicherheit liefert. Auf dieser Basis wird dann vermittelt, wie die Informationssicherheit in der Organisation verankert werden kann, es wird ein Programm zur Informationssicherheit etabliert. Da es aber -allen Vorbereitungen zum Trotz- dennoch zu Sicherheitsvorfällen kommen kann, muss die Organisation auch darauf entsprechend vorbereitet sein. Hierzu wird auf Grundlage der Frage rund um den Aspekt Was ist ein Sicherheitsvorfall? vermittelt, was zu einer angemessenen Vorbereitung auf diese Problemfälle zu zählen ist. Schließlich gibt es mit dem BSI-Standard eine -insbesondere in Deutschland- etablierte Vorgehensweise für die Umsetzung der Informationssicherheit, dessen Grudnzüge ebefalls vermittelt werden.

8

9 Studienbrief 1 Einleitung und Motivation Seite 9 Studienbrief 1 Einleitung und Motivation Obwohl schwer greifbar, stellen Informationen die eigentlichen Werte für Unternehmen und Behörden dar. Gehen Informationen verloren, drohen Unternehmen und Behörden nicht nur entsprechende rechtliche Konsequenzen oder ein schwer messbarer Imageschaden, auch der Betrieb an sich wird negativ beeinträchtigt und das, obwohl die die Informationen verarbeitenden Systeme vielleicht sogar noch völlig intakt sind. Interessanterweise bestreitet heute niemand mehr, dass die Systeme, die die Informationen verarbeiten, also die Informationstechnologie (IT) im Unternehmen entsprechend zu schützen sind. Informationen liegen aber eben gerade nicht nur als Bits und Bytes auf den Speichermedien der IT vor, sondern tauchen in Unternehmen und Behörden an vielfältigen Stellen auf. Beispielhaft seien hier die immer noch existierenden Papierakten und sonstige Informationen auf Papier oder auch die Informationen in den Köpfen der Mitarbeiter genannt. Da mit den oben genannten Auswirkungen des Verlustes von Informationen regelmäßig auch hohe Kosten verbunden sein werden, sind Informationen daher in allen Phasen der Prozesse einer Organisation und an allen Stellen der Organisation zu schützen. Die Vergangenheit hat allerdings gezeigt, dass ein adäquates Sicherheitsniveau für Informationswerte oft nicht vorhanden ist. Dies hat vorrangig damit zu tun, dass Informationen - im Gegensatz zur eigentlichen IT - nur schwer greifbar sind. Daher findet man häufig gute technische Schutzvorkehrungen für die technischen Systeme (und ggf. damit auch für die auf den Systemen befindlichen Informationswerte), für Informationen in anderen Phasen der betrieblichen Prozesse liegt aber meist kein oder zumindest kein adäquates Sicherheitsmanagement vor. Oftmals verbessert aber gerade die Einführung bzw. die Optimierung des Sicherheitsmanagements die Informationssicherheit in einem höheren Ausmaße bzw. trägt zu einer Effektivitätssteigerung der Informationssicherheit bei. Informationen repräsentieren enorme Werte Informationen finden sich an vielfältigen Stellen Sicherheitsniveau ist oft nicht angemessen Bevor die Fragen des angemessenen Sicherheitsniveaus betrachtet werden, soll die Informationssicherheit nun von der IT-Sicherheit (in technischer Sicht) abgegrenzt werden. 1.1 Informationssicherheit vs. IT-Sicherheit IT-Sicherheit steht zunächst einmal für den Schutz der IT-Systeme, spricht also vor allem technische Maßnahmen an und beschäftigt sich damit schwerpunktmäßig mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Wenngleich der Begriff IT-Sicherheit oft synonym für den Begriff Informationssicherheit verwendet wird, soll hier doch klar zwischen beiden Begrifflichkeiten unterschieden werden, wenn im Rahmen eines modernen Sicherheitsmanagements von Sicherheitsmaßnahmen die Rede ist. Informationssicherheit ist im Vergleich zur IT-Sicherheit nicht auf den Schutz elektronisch gespeicherter Informationen beschränkt, sondern berücksichtigt Informationen in allen Phasen der Geschäftsprozesse. Dabei werden als klassische Grundwerte der Informationssicherheit häufig die drei Begriffe Vertraulichkeit, Integrität und Verfügbarkeit bezeichnet. Im englischen Sprachraum fasst man diese drei Begriffe auch unter dem Akronym CIA-Triade (vgl. Abbildung 1.1) zusammen, als Kurzform für die Anfangsbuchstaben der englischen Begriffe confidentiality, integrity und availability. Informationssicherheit vs. IT-Sicherheit CIA-Triade

10 Seite 10 Studienbrief 1 Einleitung und Motivation Abb. 1.1: Illustration der CIA-Triade zur Darstellung der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. ConfidentialityIntegrity Availability Vertraulichkeit (engl.: confidentiality) bezeichnet den Umstand, dass Informationen nur Berechtigten zur Verfügung stehen. Durch Schutzmaßnahmen wie beispielsweise einer angemessenen Zugriffskontrolle wird dabei verhindert, dass Nicht-Berechtigte Zugriff auf Informationen erhalten. Integrität (engl.: integrity) bezeichnet die Unversehrtheit einer Information. Dabei kann allerdings nicht der Umstand der Unversehrtheit selbst, sondern nur die Nicht-Erkennung der Verletzung der Unversehrtheit durch Maßnahmen ermöglicht werden. Verfügbarkeit (engl.: availability) bezeichnet den Umstand, dass Informationen den Berechtigten (vgl. dazu auch Vertraulichkeit) innerhalb einer angemessenen Zeit zur Verfügung stehen. Mögliche Verletzung der Schuztziele Für mögliche Verletzungen der genannten Schutzziele geben wir nun einige ausgewählte Beispiele an, die stellvertretend für die Vielzahl von potentiellen Gefährdungen stehen: Fälle, in denen die Verfügbarkeit beeinträchtigt wird, sind: Datenträger und/oder IT-Systeme werden durch höhere Gewalt zerstört; nach einem notwendigen Software-Update funktionieren wichtige Anwendungen nicht mehr; ein Mitarbeiter erkrankt, dadurch verzögert sich ein wichtiger Geschäftsprozess. Fälle, in denen aufgrund einer fehlenden Integritätssicherungsmaßnahme die Integrität der Daten beeinträchtigt wird, sind: Ein (böswilliger) Mitarbeiter manipuliert wichtige Produktionsdaten, dadurch entsteht wirtschaftlicher Schaden, da die produzierten Güter nicht verwertbar sind. Fälle, in denen die Vertraulichkeit der Daten beeinträchtigt wird, sind: Vertrauliche Informationen werden unverschlüsselt über das Internet übertragen; personenbezogene Daten werden unverschlüsselt auf einem USB-Stick verschickt, dieser geht jedoch auf dem Transportweg verloren. Zutritts-, Zugriffs- und Zugangskontrollen Zur Sicherherstellung der Schutzziele kommen zudem unterschiedliche Kontrollen in Frage, die im weiteren Verlauf dieses Moduls noch eine wichtige Rolle spielen werden und daher bereits an dieser Stelle kurz erläutert werden sollen: Zutritt (engl.: physical access) bezeichnet die Möglichkeit des Betretens bspw. eines Serverraums. Allgemeiner kann man Zutritt auch damit erklären, dass der Zutritt jemanden in die Lage versetzt, die Gegenstände im Raum anfassen zu können. Eine typische Zutrittskontrolle stelle ein Schloss an der Tür zum Serverraum dar. Zugang (engl.: logical access) bezeichnet die Möglichkeit, sich an einem System, bspw. dem Betriebssystem eines Rechners, anmelden zu können. Eine typische Zugriffskontrolle ist bspw. die Passwort-Eingabe bei der Anmeldung am Betriebssystem. Zugriff (engl.: data access) bezeichnet die Möglichkeit, Zugriff auf die Daten auf einem System nehmen zu können. Eine typische Zugriffskontrolle ist die Abbildung der entsprechenden Dateirechte im Dateisystem und deren Kontrolle durch die Sicherheitsfunktionen des Betriebssystems

11 1.2 Standards zur Informationssicherheit Seite 11 Die Schutzziele können dabei sowohl durch vorsätzliche Handlungen (gezieltes Abhören/Abfangen von Informationen) als auch Formen von höherer Gewalt beeinträchtigt werden. Da die Verarbeitung von Informationen in der heutigen Zeit meist elektronisch erfolgt und nahezu alle Lebensbereiche durchdrungen hat, macht eine Unterscheidung, ob Informationen elektronisch mit Hilfe von IT- Systemen, mittels Kommunikationstechnik oder auf Papier verarbeitet werden, keinen Sinn mehr. Informationssicherheit Mögliche Gefährdungen Abb. 1.2: Darstellung des Säulen-Modells zur Informationssicherheit: Die Informationssicherheit fußt auf den drei Säulen Personen, Prozesse und Technik. Personen Prozesse Technik Daher geht man vom Begriff der IT-Sicherheit über zum Begriff der Informationssicherheit, die sich auf alle Informationen in allen Phasen des Geschäftsprozesses bezieht. Dabei werden Aspekte der drei Säulen berücksichtigt, neben der rein technischen Sicht (Säule: Technik ) auch die Fragestellungen bzgl. der Geschäftsprozesse (Säule: Prozesse ) und der Mitarbeiter (Säule: Mensch ). Drei Säulen-Modell 1.2 Standards zur Informationssicherheit Im Bereich Informationssicherheit haben sich seit längerer Zeit einige (internationale) Standards etabliert, die im Folgenden kurz vorgestellt werden sollen. Auch wenn diese Standards aufgrund ihrer historischen Entwicklung zum Teil unterschiedliche Ausrichtung haben, so erleichtern sie doch die strukturierte Planung und Umsetzung der Informationssicherheit in einer Organisation. Im Bereich der Internationalen Organisation für Normung (kurz: ISO) existiert eine ganze Reihe von Standards im Bereich der Informationssicherheit, die so genannten 27000er-Reihe. Standards zur Informationssicherheit ISO-Standards zur Informationssicherheit ISO Information security management systems - Overview and vocabulary gibt einen Überblick über Managementsysteme für Informationssicherheit (ISMS) und die Zusammenhänge zwischen den Standards der 2700x-Reihe. Zudem werden in der ISO die wesentlichen Begriffe, Definitionen und Prinzipien für ISMS erläutert. ISO ISO ISO Information technology - Security techniques - Information security management systems - Requirements beschreibt auf knappen zehn Seiten die Anforderungen an die Einführung, den Betrieb und die ständige Verbesserung eines dokumentierten Managementsystems zur Informationssicherheit (ISMS) und bildet die Grundlage für eine Zertifizierung. Dabei werden auch die Risiken für die Informationssicherheit innerhalb der gesamten Organisation berücksichtigt. Der Standard selbst gibt keine Kontrollmaßnahmen

12 Seite 12 Studienbrief 1 Einleitung und Motivation ISO Weitere ISO-Normen Weitere Subnormen Normen für technische Aspekte zur Erreichung dieses Zieles an (diese werden vielmehr im Standard ISO beschrieben), sondern spricht lediglich allgemeine Empfehlungen zum Einsatz eines ISMS aus. ISO Code of practice for information security management ergänzt die ISO und beinhaltet Empfehlungen für diverse Kontrollmechanismen. Da es sich hierbei aber um reine Empfehlungen handelt, ist eine Zertifizierung auf Grundlage dieses Standards grundsätzlich nicht möglich, diese erfolgt immer auf Grundlage der ISO Darüber hinaus gibt es noch weitere Normen, die hier nur der Vollständigkeit halber kurz erwähnt werden sollen. Dazu gehören die ISO Information security management systems - Implementation Guidelines, die ISO Information security management measurements, die ISO Information security risk management, die ISO Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems, die ISO Information technology - Security techniques - Guidelines for information security management systems auditing und die ISO TR Information technology - Security techniques - Guidance for auditors on information security management systems controls. Hinzu kommen die Normen ISO bis ISO 27019, die als fachspezifische Subnormen die ISO ergänzen. Darunter finden sich mit der ISO TR Auditing and Reviews eher allgemein gehaltene Normen, aber auch sehr spezielle, wie bspw. die ISO Security techniques Code of practice for information security controls for cloud computing services. Die Normen ISO bis ISO sollen schließlich die technischen Aspekte der IS abdecken, dazu gehören bspw. ISO Business Continuity oder ISO bis zu den Themen der Netzwerksicherheit. 1.3 BSI-Standards zur Informationssicherheit IT-Grundschutzhandbuch BSI-Standards zur Informationssicherheit Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT- Grundschutzhandbuch eine Vorgehensweise entwickelt, die Betreiber der IT innerhalb einer Organisation dabei unterstützt, Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Zielsetzung ist dabei nicht eine 100 %ige Sicherheit zu erreichen, sondern vielmehr Maßnahmen zu ergreifen, die angemessen sind und ein ausreichendes Schutzniveau realisieren. Im Rahmen der Umstrukturierung im Jahre 2006 wurden die Standards von den IT-Grundschutz-Katalogen separiert. Aktuell gibt es insgesamt die folgenden vier Standards: BSI-Standard Managementsysteme für Informationssicherheit (ISMS) [1] BSI-Standard IT-Grundschutz-Vorgehensweise [2] BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz [3] BSI-Standard Notfallmanagement [4] Auf den BSI-Standard IT-Grundschutz-Vorgehensweise gehen wir in Studienbrief 6 noch gesondert im Detail ein.

13 1.4 Wichtige Prinzipien Seite Wichtige Prinzipien Im Rahmen der Umsetzung der Informationssicherheit spielen einige wesentliche Konzepte immer wieder eine Rolle. Im Folgenden sollen drei ausgewählte Konzepte, auf die wir im Verlauf dieses Moduls noch zurück kommen werden, kurz erläutert werden. Oft wird Informationssicherheit als (singuläres) Projekt betrachtet - doch dies erweist sich allerdings als der grundlegend falsche Ansatz. Wird Informationssicherheit nicht als kontinuierlicher Prozess verstanden, so läuft eine Organisation Gefahr, dass die Informationssicherheit zwar zu einem definierten Zeitpunkt ausreichend war, danach aber immer weniger den Anforderungen der Organisation genügt, da sich die Randbedingungen stetig ändern, die Maßnahmen im Bereich der Informationssicherheit aber aufgrund des fehlenden Prozessansatzes nicht oder nur in unzureichendem Maße angepasst werden. Ein weiterer wichtiger und häufig diskutierter Aspekt ist die Frage nach der angemessene Sicherheit. 100 %ige Sicherheit ist allein aufgrund der begrenzten Ressourcen und einem dabei ins unermessliche steigenden Aufwand nicht erreichbar. Auf diese Fragestellung gehen wir bspw. in Studienbrief 3 und Studienbrief 6 nochmals genauer ein. Auch das Konzept der Verteidung in mehreren Ebenen (engl.: Layered Defense) ist ein wichtiger Grundsatz im Rahmen der Informationssicherheit. Es bedeutet, dass nicht auf singuläre Schutzmechanismen gesetzt, sondern vielmehr versucht wird, Maßnahmen auf unterschiedlichen Ebenen parallel umzusetzen. Es ähnelt damit dem mittelalterlichen Ansatz der Verteidigung von Burganlagen, bei dem auch ein Burggraben, eine hohe Mauer und ggf. noch weitere Abwehrmaßnahmen parallel eingesetzt wurden. Zielsetzung ist wie damals auch, dass dem Angreifer, der eine Maßnahme überwunden hat, dennoch der Weg -in usnerem Fall also bspw. der Zugriff auf die Informationen- verbaut ist. Auf diesen Ansatz gehen wir im Studienbrief 2 nochmals genauer ein. Darüber hinaus ist bspw. noch der Ansatz des Need-to-know-Prinzips zu nennen, nach dem Informationen bzw. Zugriffsrechte auf dieselbem nur im zur Ausführung der zugewiesenen Prozesse bzw. Tatigkeiten erforderlichen Umfang und nur an die wirklich Berechtigten zugeteilt werden. Zusätzlich wären zahlreiche weitere Konzepte zu nennen, was den Rahmen dieses Studienbriefs sprengen würde. Der interessieret Leser wird in diesem Zusammenhang insbesondere auf die Grundlagenliteratur, bspw. die des BSI [1], verwiesen. Grundlegende Konzepte Lebenszyklus Informationssicherheit als Prozess Angemessene Sicherheit Konzept der Layered Defense Need-to-know-Prinzip Weitere Konzepte 1.5 Ausblick auf die folgenden Kapitel Nun folgt ein kurzer Überblick über die folgenden Studienbriefe dieses Moduls: Ausblick auf die folgenden Kapitel Im Studienbrief 2 Governance im Bereich der IS lernen wir die wesent- Governance im Bereich der IS lichen Konzepte und Ideen der Governance im Bereich der Informationssicherheit kennen. Dabei werden sowohl die wesentlichen Elemente der Governance behandelt als auch aufgezeigt, wie eine effektive Governance betrieben werden kann. Im Studienbrief 3 Risikomanagement im Bereich der IS lernen wir an- Risikomanagement im Bereich der IS schließend die Grundzüge des Risikomanagements kennen. Nach einem einleitenden Teil, der unter anderem die grundlegenden Begrifflichkeiten

14 Seite 14 Studienbrief 1 Einleitung und Motivation Umsetzung im IS-Programm Vorfallsmanagement im Bereich der IS Vorgehensweise nach BSI IT-Grundschutz vermittelt, wird dabei aufgezeigt, wie der Prozess des Risikomanagements im Bereich der Informationssicherheit betrieben werden sollte. Nach einführenden Überlegungen zum Thema IS-Programm gliedert sich der Studienbrief 4 Umsetzung im IS-Programm in zwei wesentliche Abschnitte. Dabei wird zunächst der Prozess der Entwicklung eines IS- Programms behandelt. In diesem Abschnitt wird vermittelt, aus welchen Komponenten ein IS-Programm besteht und was beim Aufbau eines IS- Programms beachtet werden muss. Anschließend geht der zweite Abschnitt auf das Thema Management eines IS-Programms ein. Dabei werden unter anderem die Fragen, wie ein IS-Programm aufrecht erhalten werden kann und welche Prozesse dafür aufzubauen sind, behandelt. Insbesondere wird aber auch thematisiert, wie gewährleistet werden kann, dass die zur Verfügung stehenden Ressourcen möglichst effizient eingesetzt werden. Im Studienbrief 5 Vorfallsmanagement im Bereich der IS wird vermittelt, was im Falle eines Falles zu tun ist. Dabei werden vor allem die Fallkonstellationen behandelt, die im Rahmen des Risikomanagement nicht bzw. nicht ausreichend berücksichtigt werden konnten und die somit unvorhergesehene Ereignisse darstellen. Im Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz wird abschließend vermittelt, was beim Aufbau eines Informationssicherheits- Managementsystems auf Basis von BSI IT-Grundschutz zu beachten ist. 1.6 Studienbegleitende Literatur Grundlagen dieses Moduls Begleitende Literatur Studienbrief 2 bis Studienbrief 5 dieses Moduls sind im Rahmen des Aufbaus eines IS-Managements eng an die etablierten Vorgehensweise der amerikanischen Information Systems Audit and Control Association (kurz: ISACA) [7] angelehnt 1, der Studienbrief 6 orientiert sich an den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI ) nach BSI-Standard IT-Grundschutz- Vorgehensweise [2]. Daher wird die studienbegleitende Lektüre der zugehörigen Literatur empfohlen. Darüber hinaus ist es für ein tieferes Verständnis der Thematik hilfreich, die grundlegenden Fragestellungen der Governance und des Risikomanagements anhand weiterer einschlägiger Literatur zu erarbeiten. 1 Im Rahmen der Ausbildung zum Certified Information Security Manager (kurz: CISM) wird diese Vorgehensweise seit vielen Jahren erfolgreich angewendet.

15 Studienbrief 7 Zusammenfassung und Fazit Seite 105 Studienbrief 7 Zusammenfassung und Fazit Informationssicherheit ist mehr als IT-Sicherheit, denn neben den technischen Aspekten sind eine Fülle weiterer Fragen aus den Bereichen Personen und Prozesse zu berücksichtigen. Das Ziel einer kontinuierlich verbesserten, an die aktuellen Änderungen angepassten IS kann allerdings nur erreicht werden, wenn ein Prozess zum Management der IS aufgebaut wird. Ein weiterer wichtiger Erfolgsfaktor ist die Akzeptanz der Maßnahmen. Dazu muss gewährleistet werden, dass diese angemessen sind und im Sinne des Geschäftsbetriebs der Organisation ausgerichtete sind. Nicht zuletzt spielt auch die Unterstützung durch das Management eine wesentliche Rolle für den Erfolg der IS. Nur wenn das Management auch im Konfliktfall Business vs. Security eine Risiko-basierte Entscheidung trifft und die Ziele der IS unterstützt, wird das IS-Management langfristig von Erfolg gekrönt sein. Dazu ist aber wiederum die Beteiligung aller Mitarbeiter und vor allem die Unterstützung durch das Management erforderlich. Dieses Modul soll die Grundlagen dazu legen. In der Einleitung (Studienbrief 1) haben wir zunächst eine kurze Einführung in die Thematik gegeben und dargelegt, warum ein IS-Management der richtige Ansatz ist. Studienbrief 2 geht dann im Detail auf die Aspekte der IS-Governance ein. Dabei wurde die notwendige Ausrichtung an den Geschäftszielen betont und die wesentlichen Vorteile einer IS Governance aufgezeigt. Im Studienbrief 3 haben wir mit dem Thema Risikomanagement die Grundlage für den Aufbau des IS-Programms gelegt. Erst ein effektives und effizientes Risikomanagement gibt der Organisation die Chance, trotz begrenzter Ressourcen die Maßnahmen zu implementieren, die in Bezug auf die IS den größten Mehrwert bieten. Gleichzeitig gibt das Risikomanagement dem IS-Manager auch Argumente an die Hand, die Leitungsebene von der Sinnhaftigkeit der IS zu überzeugen. Der Studienbrief 4 ging dann auf die Planung und den Aufbau des IS-Programms ein. Erst durch das IS-Programm werden die auf Grundlage des Risikomanagements ermittelten Maßnahmen in die Fläche gebracht und auf der Arbeitsebene implementiert. Gleichzeitig bietet das IS-Programm die Möglichkeit, die IS in den Standardprozessen der Organisation zu verankern und zu einer hohen Effizienz, aber auch Akzeptanz der IS beizutragen. Studienbrief 5 beschäftigte sich schließlich mit der Frage, wie man sich auf mögliche Vorfälle vorbereitet, die trotz eines umfangreichen Risikomanagements bisher nicht entsprechend abgefedert wurden - etwa, weil sie nicht bedacht wurden oder als zu unwahrscheinlich erachtet wurden. In Studienbrief 6 haben wir dann den Ansatz nach dem BSI IT-GS exemplarisch kennne gelernt und die einzelnen Schritte beschrieben, die notwendig sind, um ein ISMS nach IT-GS aufzubauen. Dieser Studienbrief hat allerdings nicht den Anspruch, die Standards 100-1, und des BSI zu ersetzen. Vielmehr steht es für eine zusammenfassende Darstellung des Standards 100-2, der die Implementierung eines ISMS nach IT-GS beschreibt. Abschließend muss aber betont werden, dass dieses Modul nur die theoretische Grundlage für den Betrieb eines ISMS liefert. Die Umsetzung ist in der Praxis aber -gemäß dem Spruch Theorie und Praxis - häufig mit erheblichen Problemen verbunden, die in diesem Moduel nur ansatzweise angesprochen werden können. Erfahrung ist daher nach wie vor das Kriterium, das einen guten IS-Manager auszeichnet - und ihn dann auch alle Widrigkeiten meistern lässt. Informationssicherheit vs. IT-Sicherheit IS-Governance als Motivator Risikomanagement als Entscheidungsbasis Umsetzung im IS- Programm Pläne für das Ungeplante IS-Management mit BSI IT-Grundschutz Zusammenfassung Erfahrung macht den Meister

16

17 Verzeichnisse Seite 107 Verzeichnisse 8.1 Abbildungen Abb. 1.1: Illustration der CIA-Triade Abb. 1.2: Drei-Säulen-Modell der Informationssicherheit Abb. 2.1: PDCA-Zyklus nach Deming Abb. 2.2: Konzept der Layered Defense Abb. 2.3: Schematische Darstellung der Policy-Pyramide Abb. 2.4: Veranschaulichung der Kriterien Umsetzungsverpflichtung und Messbarkeit Abb. 3.1: Risikobewertung mittels Eintrittswahrscheinlichkeit und Auswirkungen Abb. 3.2: Risikomanagement nach dem Standard NIST Abb. 3.3: Klassifizierung von Informationswerten durch Gruppierung Abb. 3.4: Illustration der 4-T -Maßnahmen Abb. 4.1: Beispiel einer Netzwerk-Architektur Abb. 4.2: SDLC als Wasserfall-Diagramm Abb. 5.1: Illustration des SAP-Konzepts der Digitalen Forensik Abb. 5.2: Illustration eines virtuellen Teams Abb. 6.1: Vorgehensweise nach BSI IT-Grundschutz Abb. 6.2: Kosten-Nutzen-Relation im Bereich der IS Literatur [1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), Version 1.5, Mai [2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise, Version 2.0, Mai [3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-3: Risikoanalyse auf der Basis IT-Grundschutz, Version 2.5, Mai [4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-4: Notfallmanagement, Version 1.0, November [5] W.E. Deming. Out of the Crisis. The MIT Press, Cambridge (USA), 1. Auflage, [6] Information Systems Audit and Control Association (ISACA), Rolling Meadows (USA). Control Objectives for Information and Related Technology (COBIT), Version 5, April [7] Information Systems Audit and Control Association (ISACA), Rolling Meadows (USA). Certified Information Security Manager (CISM) Review Manual, Version 11, [8] R.S. Kaplan, D.P. Norton und P. Horváth. Balanced Scorecard: Strategien erfolgreich umsetzen. Schäffer-Poeschel Verlag, Stuttgart, 1. Auflage, September [9] Payment Card Industry (PCI) Security Standards Council, Wakefield (USA). PCI Data Security Standard (PCI DSS), Version 3.0, November [10] W.A. Shewhart. Statistical Method from the Viewpoint of Quality Control. Dover Pubn Inc, 1. Auflage, November 1986.

18 Seite 108 Verzeichnisse [11] Software Engineering Institute (SEI), Carnegie Mellon University, Pittsburgh (USA). Capability Maturity Model Integration (CMMI), Version 1.3, [12] R. Stoneburner, A. Feringa und A. Goguen. Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology, Gaithersburg (USA), Version 1.0, Juli 2002.

Informationssicherheitsmanagement [ISM] Bachelorstudiengang Informatik/IT-Sicherheit. Autoren: Dr. Christoph Wegener, CCSK, CISA, CISM, CRISC, GDDcert

Informationssicherheitsmanagement [ISM] Bachelorstudiengang Informatik/IT-Sicherheit. Autoren: Dr. Christoph Wegener, CCSK, CISA, CISM, CRISC, GDDcert Bachelorstudiengang Informatik/IT-Sicherheit Informationssicherheitsmanagement [ISM] Autoren: Dr. Christoph Wegener, CCSK, CISA, CISM, CRISC, GDDcert Ruhr-Universität Bochum Modul Informationssicherheitsmanagement

Mehr

Modul. Management der Informationssicherheit

Modul. Management der Informationssicherheit Modul Management der Informationssicherheit Studienbrief 1: Einleitung und Motivation Studienbrief 2: Governance im Bereich der IS Studienbrief 3: Risikomanagement im Bereich IS Studienbrief 4: Umsetzung

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Realisierung von Softwareprojekten. Bachelorstudiengang Informatik/IT-Sicherheit. Autoren: Hans-Georg Eßer Prof. Dr.-Ing. Felix C.

Realisierung von Softwareprojekten. Bachelorstudiengang Informatik/IT-Sicherheit. Autoren: Hans-Georg Eßer Prof. Dr.-Ing. Felix C. 20 60 10 30 35 50 70 90 5 7 11 12 15 21 24 33 38 43 45 52 55 65 67 69 80 85 96 Bachelorstudiengang Informatik/IT-Sicherheit Realisierung von Softwareprojekten Autoren: Hans-Georg Eßer Prof. Dr.-Ing. Felix

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Integriertes Management der Informationssicherheit im Krankenhaus

Integriertes Management der Informationssicherheit im Krankenhaus Integriertes Management der Informationssicherheit im Krankenhaus IEC 80001-1 & ISO 27001:2008 Themenflyer mit Leistungsangebot Think.Guide.Ready Mission und Vision Die CETUS Consulting GmbH ist ein Premium-

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten Sicherheitsprofile Software as a Service Sichere Nutzung von Cloud-Diensten Referat B22 Informationssicherheit und Digitalisierung it-sa 2014, Nürnberg Was ist ein Sicherheitsprofil Das Sicherheitsprofil

Mehr