IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)

Größe: px
Ab Seite anzeigen:

Download "IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)"

Transkript

1 IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP) In&Out AG IT Consulting & Engineering Kilchbergsteig 13, CH-8038 Zürich, Phone Fax

2 Inhalt Inhalt Kurzdarstellung (Abstract) Information Security Methodology Framework Grundzüge der Methodik IO-ISCCP Referenz auf internationale Standards Prüfablauf Arbeitsschritte Aufbauorganisation Auswahl des Prüfobjekts Ausführende Rollen Prozess-Steuerung Standardprozess Teilprozesse Jahresplanung Risikomanagement Schwachstellenanalyse Risikobeurteilung ISO Compliance Kontrolle Definition von Sicherheitsmassnahmen Sicherheitsrapportierung Grafische Profile Standardformat des Prüfberichts...12 Seite 2 von 13

3 1 Kurzdarstellung (Abstract) Das In&Out Information Security Compliance & Controlling Program (IO-ISCCP) ist Bestandteil von IO-ISMF (siehe Fussnote 1 ) und beschreibt eine Methodik zur regelmässigen, koordinierten und dokumentierten Durchführung von Sicherheitsreviews, Risikobeurteilungen und Audits. IO-ISCCP wird im vorliegenden Dokument ausführlich erläutert und eingeführt. Dokumentiert werden zuerst die Grundzüge der Methodik und danach deren Ablauf mit Aufbauorganisation, Prozessteuerung, Risikomanagement und Sicherheitsrapportierung. Zum Abschluss wird eine mögliche Auswahl von Prüfmodulen (Testpaketen) vorgestellt. 1 Das In&Out Information Security Methodology Framework (IO-ISMF) ist eine übergeordnete Methodik zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. Seite 3 von 13

4 2 Information Security Methodology Framework Das In&Out Information Security Methodology Framework (IO-ISMF) ist ein übergeordnetes Methodengerüst zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. IO-ISMF besteht in seinem Kern aus einem vierstufigen Referenzkatalog, welcher in 4 Wirkungsbereiche (Governance, Risk & Compliance; IT Security Architecture; Information Security Management; Information Security Audit), 14 Sicherheitsdienste (z.b. Kommunikationssicherheit), 43 Handlungsfelder (z.b. sicherer Datentransport) und rund 140 Sicherheitsanforderungen (sogenannte Controls) gegliedert ist. Abbildung 1: IO-ISMF Abbildung 2: IO-ISMF In Kombination mit einem an CobiT 4.1 ausgerichteten Reifegradmodell, das für die Umsetzung des Referenzkatalogs beziehungsweise die Durchsetzung von ausgewählten Sicherheitsmassnahmen drei Güteklassen definiert (Baseline, Advanced, Optimized Measures), erlaubt IO-ISMF die präzise Ausrichtung des firmen- und geschäftsspezifischen Sicherheitsdispositivs auf das angestrebte Sicherheitsniveau und stellt somit einen effizienten Ressourceneinsatz sicher. IO-ISMF umfasst neben dem allgemeinen Referenzkatalog die folgenden Untermodule: IO-ISMS: Methode zur Realisierung eines Information Security Management Systems (inkl. Sicherheitsorganisation) nach ISO/IEC IO-SA: Methode zur Realisierung einer Informationssicherheitsarchitektur auf der Grundlage von ISO/IEC (Common Criteria) und TOGAF V9 IO-ISCCP: Methode zur Realisierung eines Information Security Compliance & Controlling Programms (unter Verwendung von ISO/IEC und CRAMM) Die drei Module werden durch eine Reihe von Hilfsmitteln unterstützt: Risikotabellen Listen generischer Schutzobjekte und Bedrohungen Generische Weisungen und Standards (Policy Framework) Vorlagen zur Erstellung von Risiko-Grobanalysen und Sicherheitskonzepten Fragebogen und Checklisten (z.b. zur Überprüfung von Grundschutzvorgaben) Technische Werkzeuge (Toolboxes) für das Controlling (Security Probing, Hands-on-Testing, Tracking, Reporting) Seite 4 von 13

5 3 Grundzüge der Methodik IO-ISCCP 3.1 Referenz auf internationale Standards IO-ISCCP basiert auf der langjährigen Erfahrung der In&Out AG bei der Durchführung von Audits und orientiert sich an international angewandten Standards und Vorgehensweisen, insbesondere den folgenden: ISO (oft referenziert als Code of Practice (CoP), ehemals ISO/IEC 17799), Common Criteria for Information Technology Security Evaluation (ISO 15408). 3.2 Prüfablauf Der Ablauf eines typischen Audits im Rahmen von IO-ISCCP gliedert sich in: die systematische Identifikation schützenswerter Ziele, die Einschätzung des Risikos (d.h. mit welcher Wahrscheinlichkeit verursacht eine Gefahr ein Schadenereignis), die Definition von Gegenmassnahmen zur Begrenzung der festgestellten Risiken. 3.3 Arbeitsschritte Im Detail besteht ein typischer Audit aus den folgenden Arbeitsschritten: 1. Ermittlung der möglichen Bedrohungen anhand eines allgemeinen Gefahrenkatalogs, 2. Definition der Schutzobjekte auf der Grundlage des ISO Objektkatalogs (CoP Controls), 3. Ermittlung des Schadenspotentials jedes Schutzobjektes auf der Basis selektiver Prüfmodule 2 (z.b. einer Überprüfung der vorhandenen Projekt-Dokumentation, Interviews mit den verantwortlichen Personen, Durchführung technischer Sicherheitstests), 4. Einschätzung des Risikos, d.h. Quantifizierung der Tragweite und Quantifizierung der Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohungskategorie, 5. Definition von spezifischen Gegenmassnahmen mit Gewichtung nach geschätztem Aufwand und Restrisiko bei erfolgter oder nicht erfolgter Umsetzung, 6. Grafische und textliche Darstellung der Resultate respektive, wenn angebracht, Sicherheitsrapportierung nach ISO Standardformaten. 2 Für mehr Informationen zu möglichen Prüfmodulen in Rahmen eines Audits siehe Kapitel 7. Seite 5 von 13

6 4 Aufbauorganisation 4.1 Auswahl des Prüfobjekts IO-ISCCP eignet sich nicht nur als Methodik zur Durchführung einzelner Audits, sondern ist als Programm konzipiert, mit dessen Hilfe auch regelmässige Überprüfungen über eine längere Zeitdauer durchgeführt werden können. Die Auswahl der Prüfobjekte (= Targets of Evaluation (ToE)) über einen definierten Zeitraum (in der Regel ein Jahr) ist dabei der erste Schritt beim Aufbau des Audit Programms und erfolgt durch einen Steuerungsausschuss der Auftraggeberin in Zusammenarbeit mit der In&Out AG. Die Auswahl orientiert sich an der IT System- und Anwendungsarchitektur der Auftraggeberin, soll aber bewusst offen gehalten werden, damit aktuelle, sicherheitskritische Ereignisse in die Ablaufplanung miteinbezogen werden können. Die pro Audit relevanten Objekte (Geschäftsdaten, Geschäftsprozesse, Arbeitsabläufe, unterstützende Applikationen, eingesetzte Plattformen) werden jeweils von den ausführenden Personen des Programms gemeinsam identifiziert. 4.2 Ausführende Rollen Am IO-ISCCP sind folgende ausführende Funktionsrollen beteiligt: Security Board: Gesamtleitung des Audit Programms und verantwortlich für die Auswahl der Prüfobjekte, die Jahresplanung und die Umsetzungskontrolle. Project Leader: Verantwortlich seitens Auftraggeberin für die Koordination der einzelnen Audits. Der Project Leader identifiziert die internen Ansprechpartner (z.b. Geschäftsprozessverantwortliche, Applikationsanwender, Systembetreuer), stellt wesentliche Dokumentationen bereit und veranlasst alles Nötige, damit die Prüfung durchgeführt werden kann. Team Leader: Der Team Leader ist verantwortlich für die Durchführung der eigentlichen Prüfung und die Verfassung des Prüfberichts. Dies beinhaltet insbesondere die Risikoanalyse und die Erstellung des Katalogs vorgeschlagener Massnahmen. Diese Rolle wird durch einen leitenden Mitarbeiter respektive zertifizierten Auditor der In&Out AG wahrgenommen. Reviewer: Der Reviewer ist eine Fachkraft der In&Out AG und je nach Aufgabestellung eines Audits spezialisiert auf die Durchführung der entsprechenden Tests. Der Reviewer befragt die internen Ansprechpartner, begutachtet Dokumentationen, führt technische Tests durch und verfasst die Prüfprotokolle. Seite 6 von 13

7 5 Prozess-Steuerung 5.1 Standardprozess Die folgende Abbildung gibt einen grafischen Überblick über den IO-ISCCP Standardprozess. Zeitachse Teilprozesse [Lead] Lieferobjekte 1 Auswahl des Prüfobjekts [Security Board] 2 Vorbereitung [Project leader] 3 Kick-off Meeting [Project leader] Maximal 10 Wochen 4 5 Schwachstellenanalyse (Team leader) Risikobeurteilung [Team leader] 6 Massnahmenempfehlung [Team leader] Bericht V0.9 7 Workshop [Project leader] Ev. Iterationen 8 Nachbearbeitung [Team leader] Bericht V1.0 9 Umsetzungskontrolle [Security Board] t Abbildung 3: Übersicht IO-ISCCP Standardprozess Seite 7 von 13

8 5.2 Teilprozesse Die Inhalte der einzelnen Teilprozesse sind aus folgender Aufstellung ersichtlich: Teilprozess Kurzbeschreibung 1. Auswahl der Prüfobjekte (ToE) Vgl. Kapitel Vorbereitung Vorbereitung des Kick-off Meetings 3. Kick-off Meeting Festlegung des Prüfumfangs und zeitliche Planung 4. Schwachstellenanalyse Vgl. Kapitel Risikobeurteilung Vgl. Kapitel Massnahmenempfehlung Vgl. Kapitel Workshop Festlegung der umzusetzenden, zurückgestellten, nicht umzusetzenden oder empfohlenen Gegenmassnahmen zur Begrenzung des festgestellten Risikos 8. Nachbearbeitung Erstellen des Schlussberichts (vgl. Kapitel 7) 9. Umsetzungskontrolle Umsetzungskontrolle gemäss Usanz der Sicherheitsorganisation der Auftraggeberin 5.3 Jahresplanung Die folgende Abbildung zeigt die mögliche Verteilung von zwölf Audits über den Zeitraum eines Jahres. Sie soll aufzeigen, dass die Prüfungen überlappend und von unterschiedlicher Dauer geplant und nach Bedürfnis über das ganze Jahr verteilt werden können. Aufgabenname Dauer Q1 06 Q2 06 Q3 06 Q Project 1 10w 2 Project 2 10w Project 3 Project 4 Project 5 Project 6 Project 7 Project 8 Short Project 1 10w 10w 10w 10w 10w 10w 6w 10 Short Project 2 11 Short Project 3 6w 6w 12 Short Project 4 6w Abbildung 4: Übersicht einer möglichen Jahresplanung Seite 8 von 13

9 6 Risikomanagement 6.1 Schwachstellenanalyse Die Schwachstellenanalyse ist die erste und gleichzeitig die arbeitsintensivste Aktivität nach dem Kick-off Meeting eines Audits. Ausgangspunkte der Schwachstellenanalyse sind die Identifikation und Abgrenzung der zu prüfenden Komponenten und die durch die übergeordnete Methodik (IO-ISMF) vorgegebenen Kataloge generischer Bedrohungen und Schutzobjekte. Die Schwachstellenanalyse dient der Ermittlung möglicher Schadenspotentiale der Schutzobjekte. Dies geschieht, je nach Audit, durch Überprüfung der vorhandenen Projekt-Dokumentation, anhand von Interviews mit den zuständigen Fachpersonen und anhand der Begleitung kritischer/wichtiger Arbeitsabläufe vor Ort. Ergänzend werden, falls angebracht, Service Applikationen und Systemplattformen sicherheitstechnischen Tests unterzogen. Die Geschäftsdaten und Geschäftsprozesse werden, falls die Ausrichtung des Audits dies erforderlich macht, durch zusätzliche Interviews mit Stellen im Business (insb. Daten-Verantwortliche, Geschäftsprozess-Verantwortliche) in die Prüfung einbezogen. 6.2 Risikobeurteilung Die während der Schwachstellenanalyse eruierten kritischen Sachverhalte werden anschliessend einer Risikobewertung unterzogen. Die Beurteilung der Risiken ist dabei in erster Linie an den Schutzanforderungen der betrachteten Geschäftsdaten ausgerichtet. Die Einschätzung des Risikos erfolgt durch Quantifizierung der Tragweite und Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohung. Massgebend sind dabei die durch die IO-ISMF vorgegebenen Methoden und Risikobewertungstabellen, die sich an der ISO 2700x Reihe orientieren, es können aber auch standardisierte Risikomanagement-Methoden wie CRAMM, BSI, IRAM, SPRINT und andere eingesetzt oder die entsprechenden Methoden der Auftraggeberin zur Risikobeurteilung verwendet werden. Obwohl dies in der Praxis nicht allzu häufig vorkommt, können auch mehrere Schutzobjekte, Bedrohungen und Schwachstellen in einem Risiko-Szenario kombiniert werden. 6.3 ISO Compliance Kontrolle Analog zur Risikobewertung wird, falls von der Auftraggeberin gewünscht, im gleichen Schritt der Grad gemessen, mit welchem das von einem bestimmten Risiko betroffene ISO Control Objective mit den Anforderungen des ISO Standards übereinstimmt. Im Unterschied zu den Risiken, wo nur Potentiale bewertet werden, die mit einer Schwachstelle verbunden sind, werden in der ISO Compliance Kontrolle auch Schutzobjekte, die nicht mit einer Schwachstelle verbunden sind, und damit letztlich alle 39 im ISO Standard definierten Control Objectives auf ihren Compliance-Grad zum ISO Standard geprüft. Seite 9 von 13

10 6.4 Definition von Sicherheitsmassnahmen Auf Basis der Ergebnisse der Schwachstellenanalyse, der Risikobeurteilung und optional der ISO Compliance Kontrolle verfasst der Reviewer einen Katalog möglicher und aus seiner Sicht empfehlenswerter Sicherheitsmassnahmen. Für jede Massnahme wird dabei der Aufwand geschätzt und angegeben, wie hoch die verbleibenden Restrisiken sind, wenn die betroffene Massnahme korrekt umgesetzt bzw. nicht umgesetzt wird. Der Massnahmenkatalog dient als Vorgabe für die letzte Aktivität eines Audits vor der Fertigstellung des Prüfberichts, den Workshop, wo die Massnahmenempfehlungen der In&Out AG vom Sicherheitsmanagement der Auftraggeberin mit den Prüfern und mit den fachlichen und betrieblichen Vertretern des im Audit begutachteten Prüfobjekts diskutiert werden. Im Rahmen des Workshops entscheidet letztlich die Auftraggeberin, welche Gegenmassnahmen umzusetzen sind, bis wann dies geschehen muss und wer für die Umsetzung verantwortlich ist. Ebenfalls soll definiert werden, welche Massnahmen nicht umgesetzt oder zurückgestellt werden oder lediglich den Status einer empfohlenen Massnahme beibehalten; die letzteren Entscheide bedürfen jeweils einer Begründung. Seite 10 von 13

11 Basic security Identification and authentication Data protection Trusted communication Audit Resource utilization In&Out AG Information Security Compliance & Controlling Program (ISCCP) 7 Sicherheitsrapportierung 7.1 Grafische Profile Die Ergebnisse eines Audits werden in einem vertraulichen Prüfrapport in einer standardisierten Struktur dokumentiert, die von der Auftraggeberin gewünscht oder von der In&Out Methodik bereitgestellt wird. Folgt man der Sicherheitsrapportierung, die von IO-ISCCP bereitgestellt wird, werden die Resultate der ISO Compliance Kontrolle (siehe Kapitel 6.3) und der Risikobeurteilung (siehe Kapitel 6.2) für das Reporting grafisch dargestellt. Die Ergebnisse werden sowohl detailliert für alle 39 ISO Control Objectives als auch aggregiert für sechs generische Kategorien von Schutzobjekten ausgewiesen. 3 Beispiel-Grafiken Grade of compliance Grade of compliance (aggregated) compliant partly compliant (<90%) 100% 80% 60% 86% 50% 91% 77% 90% 83% not compliant (<60%) 40% 20% 0% 3 Für die Einstufung des Risikos auf aggregierter Ebene gilt: Ein einziges High Risk pro Kategorie auf der detaillierten Ebene führt zu einem High Risk auf der aggregierten Ebene. Werden ein Drittel oder mehr der bewerteten Control Objectives als Medium Risk klassifiziert, wird die zugehörige Kategorie auf aggregierter Ebene ebenfalls als Medium Risk klassifiziert. Für die Bewertung des Grade of compliance gilt: Wird ein Control Objective zu mindestens 90% erfüllt, gilt es als compliant. Ergebnisse zwischen 60% und 89% werden als partly compliant eingestuft. Ist der Erfüllungsgrad tiefer als 60%, wird das Prüfobjekt mit not compliant bewertet. Der Erfüllungsgrad auf aggregierter Ebene wird als Mittelwert der bewerteten Objectives auf der detaillierten Ebene berechnet. Seite 11 von 13

12 7.2 Standardformat des Prüfberichts Der Prüfbericht folgt, falls gewünscht, einem einheitlichen ISO Format, das in der folgenden Abbildung dargestellt wird. Kapitel Komponente Inhalt Management Summary Skizze des Prüfobjekts (ToE) Beschreibung bestehend aus Grafiken und Text Kontrollziel Erwartetes Verhalten Ergebnisse Massnahmen Grafiken Standard Kontrollziele und Einzelheiten Eine Beschreibung des erwarteten Qualitätsund Sicherheitsniveaus bzw. der erwarteten Sicherheitsfunktionalität Eine Beschreibung der Ergebnisse Eine Beschreibung von empfohlenen Sicherheitsmassnahmen Eine Sammlung von Grafiken, entsprechen den CISO Bedürfnissen Risikobericht Zusammenfassung Eine Tabelle mit Bedrohungsklassen und identifizierten Risiken dieser Klassen Schwachstellen Identifizierte Schwachstellen, mögliche Auswirkungen (Impacts), Schätzung der Eintrittswahrscheinlichkeit, Risikobewertung Umsetzung der Massnahmen Umgesetzte Massnahmen Eine Liste mit Massnahmen die umgesetzt werden einschliesslich der verantwortlichen Organisationseinheit und des vorgesehenen Umsetzungstermins Anhang: Einzelheiten des Prüfobjekts Nicht umgesetzte Massnahmen Weitere Empfehlungen Abbildung 5: Beispiel der Struktur der IO-ISCCP Prüfberichte Eine Liste der Massnahmen, die nicht umgesetzt werden einschliesslich einer entsprechenden Begründung Eine Liste von empfohlenen Massnahmen, deren Umsetzung noch nicht entschieden ist Eine Beschreibung des Prüfobjektes mit einem Fokus auf die untersuchten sicherheitsrelevanten Konzepte In der folgenden Tabelle sind die verschiedenen Prüfmodule und übergeordneten Testpakete erläutert. Test packets Test modules Test methods Test tools Procedural review Security review of the business case Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Ownership, Governance und Datenklassifizierung Document review, interviews Questionnaire Security review of the service procedures Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Daten- Inventarisierung und Archivierung, Nachvollziehbarkeit und Autorisierung der Zugriffe (Rollen und Rechte) Seite 12 von 13

13 Test packets Test modules Test methods Test tools Architectural review Security review of the business processes Prüfung der Geschäftsdaten-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Document review, interviews Questionnaire Security review of the IT services layer Prüfung der Anwendungs-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Security review of the IT infrastructure Prüfung der Sicherheit der IT Infrastruktur Application security assessment Security testing of a service application Prüfung einer Service Applikation auf Übereinstimmung mit der 10-Punkte-Checkliste (Top Ten) des Open Web Application Security Projects (OWASP) Hands on testing Penetration testing tools, test methodology Process review Security review of the use cases design Prüfung der Prozess-Sicherheit durch die Risikoanalyse kritischer und wichtiger Arbeitsabläufe Document review, interviews Checklist Security testing of the use cases implementation Prüfung der Prozess-Sicherheit durch die Begleitung kritischer und wichtiger Arbeitsabläufe vor Ort bei den Anwendern. Falls Kompensationskontrollen implementiert sind, werden diese dokumentiert. Hands on testing Review of the firewall rule set Security review of the firewall change process Prüfung der Firewall Sicherheit durch die Analyse der Firewall Change Requests Document review, interviews Checklist Security testing of the firewall rules Prüfung der Firewall Sicherheit durch die Kontrolle der Firewall Regeln vor Ort bei der Administration Hands on testing Compliance check Security testing of a system platform Prüfung einer Systemplattform auf Übereinstimmung mit den Base Line Security Standards der Anwender (korrektes Downstripping und Hardening) oder in Bezug zur im Sicherheitskonzept definierten Kommunikations-Matrix (vor Ort bei der Administration) Hands on testing Checklist Vulnerability scanning Security testing of the communication platform Prüfung der Netzwerksicherheit durch die automatisierte Suche nach Schwachstellen Hands on testing Scanning tools Abbildung 6: IO-ISCCP Testpakete und Testmodule Seite 13 von 13

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria Risikomanagement Nationale / Internationale Methoden Herbert.Leitold@a-sit.at Zentrum für sichere Informationstechnologie - Austria Inhalte Einleitung Vorgaben des Rates zu klassifizierten Informationen

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN...

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... Feb. 2012 IT-SICHERHEITSARCHITEKTUR METHODIK Marcel Hausherr, Leiter Fachbereich Security Management Tomaso Vasella, Leiter Geschäftsbereich IT Security Feb.

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Integriertes Management der Informationssicherheit im Krankenhaus

Integriertes Management der Informationssicherheit im Krankenhaus Integriertes Management der Informationssicherheit im Krankenhaus IEC 80001-1 & ISO 27001:2008 Themenflyer mit Leistungsangebot Think.Guide.Ready Mission und Vision Die CETUS Consulting GmbH ist ein Premium-

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

PM & IT Business Consulting mit IS4IT FÜR SIE.

PM & IT Business Consulting mit IS4IT FÜR SIE. PM & IT Business Consulting mit IS4IT FÜR SIE. Business Consulting IT Architektur IT Projektmanagement IT Service- & Qualitätsmanagement IT Security- & Risikomanagement Strategie & Planung Business Analyse

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014. Technische Sicherheitstests

Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014. Technische Sicherheitstests Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014 Technische Sicherheitstests von Industrial Control Systems (ICS) Autoren Heiko Rudolph heiko.rudolph@admeritia.de +49 2173 20363-0 +49 162 2414691 Aaron

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

TOGAF The Open Group Architecture Framework

TOGAF The Open Group Architecture Framework TOGAF The Open Group Architecture Ein Überblick Gesellschaft für Informatik, Regionalgruppe München Dr. Michael Bulenda München, 7.12.2009 Vorstellung Dr. M. Bulenda Seit 2001 bei Cirquent IT Management

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

Unternehmensvorstellung

Unternehmensvorstellung Unternehmensvorstellung Stand zum 14. September 2010 If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology - Bruce Schneier

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

"So schützen Sie sich" Sicherheit in der Informationstechnologie

So schützen Sie sich Sicherheit in der Informationstechnologie 1 "So schützen Sie sich" Sicherheit in der Informationstechnologie Stuttgart, 30. Januar 2002 Christian Emmerich Tel: +49 172 713 8886 EMail: christian.emmerich@de.ibm.com 2 Agenda Business Consulting

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Process Management Office. Process Management Office as a Service

Process Management Office. Process Management Office as a Service Process Management Office Process Management Office as a Service Mit ProcMO unterstützen IT-Services die Business- Anforderungen qualitativ hochwertig und effizient Um Geschäftsprozesse erfolgreich zu

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

OWASP German Chapter. Chapter Meeting 17.05.2013

OWASP German Chapter. Chapter Meeting 17.05.2013 The OWASP Foundation http://www.owasp.org OWASP German Chapter Chapter Meeting 17.05.2013 Tobias Glemser tobias.glemser@owasp.org Was ist OWASP? Was ist OWASP? Fear, Uncertainty and Doubt (FUD) Angstkultur

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Werkzeuge für den leichtgewichtigen Einstieg in industrielle Cyber-Security 12.08.2014 Michael Gröne Sirrix AG security technologies Herausforderung

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Musterpräsentation TOsecurity Audit

Musterpräsentation TOsecurity Audit Musterpräsentation Die nachfolgenden Präsentationsfolien sind beispielhaft und dienen nur zur Veranschaulichung. Die tatsächliche Ausprägung in Art und Umfang orientiert sich am jeweiligen Fokus des Security

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008 Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE Heinrich Dreier Elmshorn 17.04.2008 Einleitung Softwareprozesse verbessern Einleitung Softwareprozesse verbessern SPI Software

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Projektrisikomanagement im Corporate Risk Management

Projektrisikomanagement im Corporate Risk Management VERTRAULICH Projektrisikomanagement im Corporate Risk Management Stefan Friesenecker 24. März 2009 Inhaltsverzeichnis Risikokategorien Projekt-Klassifizierung Gestaltungsdimensionen des Projektrisikomanagementes

Mehr

Projektrisiken analysieren

Projektrisiken analysieren Projektrisiken analysieren Compendio: Kapitel 5, Seiten 78-90 15.06.2013 SWE-IPM 1 Inhalt Risiko Management Prozess Risiko-Bewusstsein Chancen und Gefahren gehören zusammen Typische Projektrisiken Risiken

Mehr

Process Management Office Process Management as a Service

Process Management Office Process Management as a Service Process Management Office Process Management as a Service Unsere Kunden bringen ihre Prozesse mit Hilfe von ProcMO so zur Wirkung, dass ihre IT- Services die Business-Anforderungen schnell, qualitativ

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

CALL CENTER- KURZ CHECK

CALL CENTER- KURZ CHECK CALL CENTER- KURZ CHECK DER KARER CONSULTING KURZ-CHECK FÜR IHREN TELEFONISCHEN KUNDENSERVICE Call Center Kurz Check White Paper 1 Einleitung Wollen Sie genau wissen, wie der aktuelle Stand in Ihrem telefonischen

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite 1 itsmf Deutschland e.v. Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite Ben Martin, Glenfis AG Zürich 26.09.2012 Service Strategie und Sourcing

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr