ITIL und Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "ITIL und Informationssicherheit"

Transkript

1 ITIL und Informationssicherheit Aspekte der Integration von Incident und Security Management Version KBSt-Brief 2/2006 Oktober 2006 Seite 1

2 Nachdruck, auch auszugsweise, ist genehmigungspflichtig Dieser Band wurde erstellt von der KBSt im Bundesministerium des Innern in Zusammenarbeit mit HiSolutions AG Redaktion: HiSolutions AG, Berlin Interessenten erhalten die derzeit lieferbaren Veröffentlichungen der KBSt und weiterführende Informationen zu den Dokumenten beim Bundesministerium des Innern Referat IT 2 (KBSt) Berlin Homepage der KBSt: Seite 2

3 ITIL und Informationssicherheit Aspekte der Integration von Incident und Security Management Version September 2006 Herausgegeben vom Bundesministerium des Innern Seite 3

4 Inhaltsverzeichnis 1. Einleitung Zielsetzung Zielgruppen Einordnung und Ausblick Dokumentaufbau Standards im IT-Service- und IT-Sicherheitsmanagement ITIL und IT-Service Management Standards und Richtlinien im IT-Sicherheitsmanagement IT-Grundschutz-Standards BS 7799/ ISO 17799: ISO Zusammenspiel von Incident Management und IT-Sicherheit Der Service Desk im Incident Management Incident Management Übergeordnete Anforderungen Incident erkennen und erfassen Incident qualifizieren und Erstlösungsversuch Incident analysieren und Lösung vorschlagen Incident lösen und Service wiederherstellen Incidents überwachen und steuern Incident abschließen Referenzen Glossar...34 Anhang...36 Tabellenverzeichnis Tabelle 1: Erläuterung der Tabellen...8 Tabelle 2: Störungsannahme für Sicherheitsvorfälle...15 Tabelle 3: IT-Sicherheitsrichtlinie...19 Tabelle 4: Rollen und Verantwortlichkeiten...20 Tabelle 5: Erkennungs- und Registrierungsregeln...21 Tabelle 6: Bewusstsein für IT-Sicherheit schaffen...22 Seite 4

5 Tabelle 7: Priorisierungsmatrix für Sicherheitsvorfälle...24 Tabelle 8: Klassifizierung von Sicherheitsvorfällen...25 Tabelle 9: Verifizierung des Verdachts eines sicherheitsrelevanten Incident...26 Tabelle 10: Informationsbeschaffung über Sicherheitslücken des Systems...27 Tabelle 11: Zugriff auf Incident Informationen (Konzeption und Planung)...28 Tabelle 12: Eskalations- und Benachrichtigungswege bei Sicherheitsvorfällen...30 Tabelle 13: Notfallvorsorge...31 Tabelle 14: Dokumentationsregeln...32 Tabelle 15: Glossar...35 Tabelle 16: Berührungspunkte Incident Management / IT-Sicherheitsmanagement...37 Abbildungsverzeichnis Abbildung 1: Übersicht über BSI Publikationen zum IT-Sicherheitsmanagement...11 Abbildung 2: Prozesse im Service Desk...14 Abbildung 3: Prozessübersicht Incident Management...17 Seite 5

6 1. Einleitung Die IT-Organisationen in Behörden und Unternehmen werden zunehmend mit der Anforderung konfrontiert, ihre IT-Prozesse aufgrund der dynamischen Änderungen in den Geschäftsprozessen neu auszurichten und gleichzeitig zu optimieren. Auch der schnelle Fortschritt in der Informationstechnologie selbst führt zu neuen Anforderungen an Prozesse im IT-Bereich. Um dieser Dynamik gewachsen zu sein, führt kein Weg an Standardisierung vorbei. Dies gilt nicht nur für die Betriebsprozesse in der IT, sondern vor allem auch für die IT- Service-Management-Prozesse, die für die Planung und Steuerung der Servicequalität und für das serviceorientierte Zusammenwirken der Betriebsverfahren verantwortlich sind.. Eine gute Orientierung für diese Prozessstandardisierung bietet die IT Infrastructure Library (ITIL), die sich als fachliche Anleitung zur Planung, Erbringung und Qualitätssicherung von IT Dienstleistungen etabliert hat. Doch nur zu oft muss festgestellt werden, dass das Thema Informationssicherheit - obwohl ein fester Bestandteil des ITIL-Standards - bei Einrichtung oder Optimierung von IT-Service-Management-Prozessen isoliert und ohne gegenseitige Berücksichtigung behandelt wird. Dieser Umstand führt zu Reibungsverlusten. Daher ist es dringend notwendig, den IT-Sicherheitsbeauftragten frühzeitig und in der richtigen Weise einzubeziehen. Dieses Dokument zeigt auf, welche Aspekte und Anforderungen für den ITIL-Prozess Incident Management (Störungsmanagement) diskutiert werden müssen. Es soll den dringend notwendigen Dialog zwischen den jeweiligen Verantwortlichen fördern. Alle Beteiligten müssen nach Wegen suchen, um Medienbrüche und Redundanzen in den Prozessen zu vermeiden und gemeinsame Synergiepotenziale zur Gewährleistung sicherer und wirtschaftlicher IT-Services zu erschließen. 1.1 Zielsetzung Was dieses Dokument erreichen kann. Ziel dieser Veröffentlichung ist es, eine Grundlage für das Verständnis sicherheitsrelevanter Anforderungen im Incident Management (Störungsmanagement) zu schaffen. Tabellarisch wird dargestellt, welche Sicherheitsvorgaben berücksichtigt werden sollten, welche Fragen beantwortet werden müssen und welche Empfehlungen für die Umsetzung ausgesprochen werden können. Die hier berücksichtigten Sicherheitsanforderungen basieren auf dem ISO Standard sowie den IT-Grundschutz-Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Dokument bietet somit Hilfestellung für eine Ist-Aufnahme, mit der überprüft werden kann, welche Anforderungen bereits abgedeckt sind und wo die Verbesserungspotenziale liegen. Dabei geht es nicht darum, ob alle Aktivitäten hochintegriert oder automatisiert unterstützt werden. Wichtig ist vielmehr, dass grundsätzlich Lösungen zur Erfüllung der Anforderungen in angemessenem Umfang bereitgestellt werden können, auch wenn diese zunächst mit rein organisatorischen Maßnahmen verbunden sind. Sind Verbesserungspotenziale identifiziert, gibt das Dokument Hinweise zur Ableitung geeigneter Maßnahmen. Insbesondere die IT-Grundschutz-Kataloge (GSK) des BSI mit ihren konkreten Maßnahmenempfehlungen bieten ausreichende Unterstützung bei der Umsetzung. Seite 6

7 Was dieses Dokument nicht erreichen kann. Pauschale Lösungen von der Stange gibt es nicht. In diesem Dokument können zwar Hinweise gegeben werden, die konkrete Umsetzung ist jedoch stark vom individuellen Umfeld und den besonderen Erfordernissen der IT-Organisation einer Behörde oder eines Unternehmens abhängig. Es geht in diesem Dokument nur um das Was und Warum, nicht um das Wie und Wer. Deshalb werden auch keine Vorschläge zur Prozess- und Rollenorganisation gegeben. Für diese Aspekte sei auf den BSI-Standard Managementsysteme für Informationssicherheit und Baustein B 1.0 IT-Sicherheitsmanagement der GSK verwiesen. Diese sollten im Rahmen einer anschliessenden Umsetzungsplanung zwischen Incident- und IT-Sicherheits-management abgestimmt werden. Auch das zum Incident Management gemäß ITIL notwendige Grundlagenwissen wird in diesem Dokument nicht vermittelt. Der Prozess mit seinen Einzelschritten wird lediglich kurz beschrieben (siehe Kapitel: 3.2 Incident Management). Zur detaillierten Darstellung der Funktionsweise des Incident Management wird auf die weiterführende ITIL-Literatur verwiesen (siehe Anhang). 1.2 Zielgruppen Das Dokument wendet sich an alle IT-Organisationen, die ihr implementiertes Incident Management gegen die sicherheitsrelevanten Prozessanforderungen prüfen möchten. Insbesondere werden die Prozessverantwortlichen für Incident Management und IT- Sicherheitsmanagement angesprochen, denen ein Gerüst für den notwendigen Dialog an die Hand gegeben werden soll. Ist die Incident Management Einführung geplant oder aktuell in der Umsetzung, ergeben sich konkrete Anforderungen und Fragestellungen für das Projektteam. Auch die Vorbereitung interner und externer Audits wird unterstützt. Grundsätzlich gelten die Sicherheitsanforderungen unabhängig davon, in welcher Reifephase sich die Prozesseinführung befindet. Je höher die Prozeßreife, desto stärker greift der Anspruch an Automatismen und Integration. Jede IT-Organisation muss selbst eruieren, wo sie steht und welche vordergründigen Ziele mit einem konkreten Horizont anzustreben sind. Zusätzlich kann diese Dokumentation für alle an den Synergien zwischen IT-Sicherheit und IT-Service-Management interessierte Personen eine weiterführende Informationsquelle sein. 1.3 Einordnung und Ausblick In diesem Dokument wird das Incident Management behandelt. Es soll die Wechselwirkung von ITIL und IT-Sicherheitsmanagement für weitere ITIL-Prozesse dargestellt werden. Aktuell im Fokus stehen dabei das Change Management (Änderungsmanagement) das Configuration Management (Konfigurationsmanagement) und das Service Level Management Seite 7

8 Bei allen Veröffentlichungen stehen dabei nicht die Prozesse selbst, sondern die gegenseitigen Wechselwirkungen mit dem IT-Sicherheitsmanagement im Vordergrund. Das Ziel dabei ist konkrete Anforderungen sowie Hinweise zur Umsetzung in den jeweiligen Prozessen zu liefern und somit die Zusammenarbeit beider Managementdisziplinen zu fördern. 1.4 Dokumentaufbau Das Dokument umfasst folgende Kapitel: Kapitel 1: Einleitung Kapitel 2.: Standards im IT-Service-Management und IT-Sicherheitsmanagement Dargestellt wird ein Überblick über die relevanten Sicherheitsstandards im Zusammenhang mit den ITIL-Best-Practices. Kapitel 3.: Zusammenspiel von IT-Service und IT-Sicherheitsmanagement: In diesem Kapitel wird auf die Schnittstellen zwischen Incident Management und dem IT-Sicherheitsmanagement sowie ihre Integrationsmöglichkeiten auf Ebene der konkreten Prozessschritte eingegangen. In tabellarischer Form werden in den Prozessschritten des Incident Management die sicherheitsrelevanten Ziele benannt, deren Auswirkungen erläutert sowie Kontrollfragen gestellt. Zur Unterstützung der Durchführung von Verbesserungsmaßnahmen werden an ausgewählten Stellen Umsetzungshinweise geliefert. Die Tabellen sind wie folgt aufgebaut: Benennung der festgestellten Anforderungen, welche zu berücksichtigen sind Phase In Anlehnung an die IT-Grundschutz-Standards wurden die Anforderungen mit den entsprechenden Maßnahmen in einem Phasenzyklus aufgelistet. In der Regel können folgende Phasen identifiziert werden, in welchen anschließend die angeführten Themen bearbeitet werden können: Ziel Auswirkung Kontrollfragen (Prio1) Kontrollfragen optional (Prio2) ITGS Maßnahmen Umsetzungshinweis Tabelle 1: Erläuterung der Tabellen Planung und Konzeption Umsetzung und Betrieb Erläuterung der Anforderung und des zu erreichenden Ziels Erläuterung möglicher Auswirkungen Essentielle Fragen, welche vor der Umsetzung kritisch zu hinterfragen sind Weiterführende Fragen unterstützender Natur Maßnahmen aus den Maßnahmenkatalogen des ITGS. Die Details zu den Maßnahmen können dem IT-Grundschutz entnommen werden. Siehe: An ausgewählten Stellen werden zur Verdeutlichung zusätzlich Umsetzungsbeispiele benannt Seite 8

9 Neben der Zusammenfassung der Sicherheitsziele und ihren Auswirkungen können durch die Beantwortung gezielter Kontrollfragen Verbesserungspotentiale sowie mögliche Risiken abgeleitet werden. Sie haben zum Ziel, den erörterten Punkt abzurunden und abschließend einen kritischen Blick auf das Thema zu ermöglichen. Sie sind jedoch nicht als abschließend zu verstehen und sollten um die behörden- oder unternehmensinternen Anforderungen erweitert werden. Kapitel 4.: Referenzen: Benennung weiterführender Dokumentationen, die als Grundlage zur Erstellung dieser Veröffentlichung genutzt wurden. Kapitel 5.: Glossar: Erläuterung der in diesem Dokument verwendeten Abkürzungen und Begriffe. Anhang: Darstellung einer Matrix, welche im Überblick die Sicherheitsanforderungen zusammenfasst, die in konkreten Prozessschritten des Incident Management berücksichtigt werden sollten. Die Sicherheitsziele entsprechen dem ISO Standard und werden um korrespondierende Maßnahmen aus den IT- Grundschutz Standards ergänzt. Seite 9

10 2. Standards im IT-Service- und IT-Sicherheitsmanagement Nachfolgend wird ein kurzer Überblick über die Grundkonzepte und die allgemeingültigen und in der Praxis anzutreffendnen Standards des IT- Sicherheitsmanagements gegeben, welche in dieser Studie heangezogen wurden. Als Orientierungshilfe für den Umgang mit aktuellen Prozess-Standards werden die Standards des IT-Service-Management und des IT-Sicherheitsmanagements in der KBSt-Studie Aktuelle Standards für die Gestaltung von IT-Prozessen ausführlicher behandelt. Diese liefert einen Überblick über relevante Normen in der Prozess- und Projektorganisation und verweist auf weiterführende Quellen. 2.1 ITIL und IT-Service Management Ausgangspunkt für die Entwicklung der IT Infrastructure Library (ITIL) ist die Erkenntnis, dass Behörden und Unternehmen zunehmend von IT abhängig sind. Die Steigerung der Effizienz und Effektivität in den Prozessabläufen einerseits sowie die Erreichung der gestellten Geschäftsanforderungen andererseits führt zunehmend zu Bedarf an gesteuerten IT-Services. So rückt das Management von IT-Services zunehmend ins Zentrum der taktischen und operativen Steuerung der IT-Organisation. ITIL beschreibt, wie Betriebsleistungen der IT-Organisation und die betroffene Infrastruktur in IT-Services gebündelt und wie diese Services prozessorientiert gesteuert und unterstützt werden. Da die Qualität der IT-Services meist in verschiedenen Verantwortungsbereichen der IT beeinflußt wird, ziehen sich diese Prozesse durch die gesamte IT-Organisation. Damit wird sichergestellt, dass allen Beteiligten das gemeinsame Serviceziel bewußt wird und sich ihre Aktivitäten daran ausrichten. Auf Grundlage der ITIL-Best-Practices entstand der BS15000-Standard für das IT- Service-Management, der erstmals eine entsprechende Zertifizierung für IT- Organisationen ermöglicht. Inzwischen sind die Best Practices auch im ISO Standard normiert. Dieses Dokument berücksichtigt das Incident Management (Störungsmanagement) als einen der wesentlichen Service-Support-Management-Prozesse von ITIL. 2.3 Standards und Richtlinien im IT-Sicherheitsmanagement IT-Grundschutz-Standards Die BSI Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) liefern konkrete Richtlinien zur Etablierung eines IT-Sicherheitsmanagements. Sie haben sich weit über die Behörden hinaus zu einem anerkannten Standard für die Gewährleistung grundsätzlicher Sicherheitsanforderungen etabliert. Die BSI-Standards bieten einerseits bewährte Empfehlungen und Lösungsvorschläge und benennen andererseits Hilfsmittel für zahlreiche IT-Konfigurationen, um gängigen Sicherheitsproblemen wirksam begegnen zu können: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Seite 10

11 BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Die IT-Grundschutz Vorgehensweise beschreibt den schrittweisen Aufbau und Betrieb eines IT-Sicherheitsmanagements in der Praxis. Er ist vollständig kompatibel zum ISO Standard und berücksichtigt weiterhin die Empfehlungen der ISO Standards und BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Zur Abdeckung von Sicherheitsanforderungen, die über das normale Maß hinaus gehen, hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT- Grundschutz erarbeitet. Diese Vorgehensweise ermöglicht den Behörden oder Unternehmen eine zur IT-Grundschutzanalyse ergänzende Risikoanalyse, um die erweiterten Anforderungen zu erfüllen. Abbildung 1: Übersicht über BSI Publikationen zum IT-Sicherheitsmanagement BS 7799/ ISO 17799:2005 In den Best Practices von ITIL wird das Betreiben eines IT-Sicherheitsmanagements als unabdingbarer Bestandteil der IT-Organisation angesehen. Der britische Standard BS 7799 beschreibt allgemein gültige Vorgaben zum Aufbau eines IT- Sicherheitsmanagements und basiert auf einem Best Practice Ansatz. Der BS 7799 gliedert sich in zwei Teile: Part 1: Code of Practice for Information Security Management liefert einen Leitfaden zum Management der Informationssicherheit mit Darstellung entsprechender Maßnahmen Seite 11

12 Part 2: Information Security Management Systems - Specification with guidance for use liefert Anforderungen an IT-Sicherheitsmanagementsysteme und damit als Grundlage ein Raster zur Beurteilung für Zertifizierungen Der Part 1 wurde in den ISO-Standard übernommen. Der im Jahr 2005 erschienene ISO enthält eine wesentliche Neuerung im Vergleich zu ISO : der Standard wurde um einen elften Abschnitt erweitert, der sich ausschließlich dem Thema Information Security Incident Handling (Umgang mit Sicherheitsvorfällen) widmet und die ursprünglich in anderen Abschnitten verstreuten Anforderungen und Inhalte zum Umgang mit Sicherheitsvorfällen konsolidiert. Der Inhalt des Part 2 des BS 7799 ist im Oktober 2005 als ISO verabschiedet worden (siehe Kapitel ISO 27001) ISO Der ISO Standard "Information technology - Security techniques - Information security management systems requirements specification" ist der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht. Obwohl er der direkte Nachfolger des zweiten Teiles des BS 7799 Standards ist, enthält er jedoch im Vergleich zu seinem Vorgänger in folgenden Bereichen wesentliche Neuerungen: Management von Sicherheitsvorfällen Sicherheit bei Personaleinsatz sowie Management von Sicherheitslücken (Vulnerability Management). Der Standard spezifiziert die Anforderungen an Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS unter Berücksichtigung der Risiken innerhalb der gesamten Institution. Seite 12

13 3. Zusammenspiel von Incident Management und IT- Sicherheit Im Folgenden werden Integrationsaspekte in den jeweiligen Prozessschritten des Incident Management hinsichtlich Abhängigkeiten und Synergien zum IT- Sicherheitsmanagement aufgezeigt. Mit der Gegenüberstellung der beiden Themenbereiche werden die Zusammenhänge zwischen ITIL und den korrespondierenden Sicherheitszielen des ISO Standards sowie der IT-Grundschutz-Kataloge (GSK) des BSI dargestellt. Damit werden Anforderungen aus dem Blickwinkel des Incident Management einerseits und der IT- Sicherheit andererseits identifiziert und miteinander verknüpft. 3.1 Der Service Desk im Incident Management Der Service Desk spielt eine wichtige Rolle, um eine zeitnahe Unterstützung für den Anwender zu gewährleisten. So fungiert der Service Desk als die zentrale Anlaufstelle der IT-Organisation (Single Point of Contact) für alle Anfragen der Anwender und garantiert die schnelle und zuverlässige Bearbeitung. Im Service Desk wird ermittelt, ob es sich um eine Störungsmeldung oder eine Serviceanfrage handelt. Dementsprechend wird die weitere Bearbeitung des Vorgangs gesteuert. Dem Anwender bleibt die Suche nach einer kompetenten und zuständigen Person erspart, die ihm bei der Lösung seiner Probleme und Anfragen behilflich sein kann. Im Gegensatz zu den Servicemanagement-Prozessen in ITIL stellt der Service Desk keinen eigentlichen Prozess dar, sondern eine Funktion, die eine Schnittstelle zwischen Anwendern und IT-Organisation bildet und hier verschiedene Prozesse abwickelt. Je nach Aufgabenstellung ist der Service Desk in folgende ITIL-Prozesse involviert: Incident Management: dies ist wohl der wichtigste Prozess, in den der Service Desk involviert ist. Üblicherweise ist bereits die erste Ebene (1st Level Support) des Incident Management im Service Desk verankert. Dort werden die Störungen aufgenommen, wenn möglich gelöst oder an die nächste Support-Ebene (2nd, n- Level) weitergeleitet. Configuration Management: während der Erfassung einer Anfrage oder Störung verifiziert der Service Desk die Daten des Anwenders und der betroffenen IT- Komponenten in der zentralen Configuration Database (nach ITIL: CMDB) Change Management: der Service Desk nimmt Änderungsanträge der Anwender auf und kann mitunter selbständig standardisierte Aufträge bearbeiten. Service Level Management: der Service Desk kann einerseits die Anwender über neue Produkte und Services informieren; andererseits kontaktiert er das Service Level Management bei Anfragen und Beschwerden, die in die Definition veränderter Service-Anforderungen einfließen. Darüber hinaus kann der Service Desk für operative Betriebsprozesse wie z.b. Installation von Soft- und Hardware eingesetzt werden. In diesem Fall würde er das Release Management in der Roll-Ort-Phase unterstützen. Seite 13

14 Management Incident- Management Service Desk Change- Management Release- Management Configuration- Service-Level- Management Abbildung 2: Prozesse im Service Desk In dieser Dokumentation wird nur auf die Aufgaben des Service Desk im Rahmen des Incident Management eingegangen. In den darüber hinaus geplanten Veröffentlichungen werden die in den anderen ITIL-Prozessen relevanten Tätigkeiten des Service Desk mit behandelt. 3.2 Incident Management Umfang und Ziele: Das Incident Management hat zur Aufgabe, alle Meldungen von Störungen (englisch: Incidents) sowie Anfragen und Aufträge seitens der Anwender entgegenzunehmen, um die Anwender in ihrer Arbeit zu unterstützen. Auch IT-Sicherheitsvorfälle (Security Incidents) gelten als Störungen, da hierdurch die Verfügbarkeit, Integrität oder Vertraulichkeit der in den IT-Services verarbeiteten Informationen beeinträchtigt werden und damit entsprechende Schäden in den Geschäftsfunktionen verursacht werden können. Service-Störungen können auch Folge unerkannter Sicherheitsvorfälle sein. Dies ist z.b. der Fall, wenn der Sicherheitsvorfall mit Angriffen verbunden ist, die Schwachstellen nutzen, um IT-Services gezielt zu destabilisieren. Mitunter werden diese Sicherheitsvorfälle erst über ihre Wirkung in Form eingetretener Störungen erkannt. Wenn die Destabilisierung der IT-Services das eigentliche Ziel eines Angriffs ist, spricht man auch von Denial-of-Service-Attacken (DoS). Ebenso können durch IT-Störungen auch neue Sicherheitslücken verursacht werden, wenn z.b. Sicherheitsmechanismen durch instabile Systeme oder notwendige Umgehungslösungen außer Kraft gesetzt werden. Seite 14

15 Servicebeeinträchtigungen und Sicherheitsvorfälle können also jeweils sowohl Ursache als auch Wirkung sein. Deshalb müssen sollten diese im Zusammenhang betrachtet und behandelt werden. In der Praxis bieten sich zwei Möglichkeiten für die Meldung von Sicherheitsvorfällen: 1. Alle Störungen (inkl. der Sicherheitsvorfälle) werden über die zentrale Störungsannahme, also üblicherweise über den Service Desk im 1st Level des Incident Management gemeldet. 2. Sicherheitsvorfälle werden über eine separate Meldestelle bei einem dedizierten Ansprechpartner gemeldet. Beide Alternativen bieten folgende Vor- und Nachteile: Anwender sind nicht in der Lage, eine Störung als sicherheitsrelevant einzustufen IT-Sicherheitsmanagement nutzt bereits vorhandene Infrastruktur und Prozesse im IT-Service-Management Zentrale Störungsannahme für alle Störungen FÜR FÜR Separate Störungsannahme für Sicherheitsvorfälle WIDER WIDER Sicherheitsvorfälle werden ebenfalls FÜR WIDER in einer zentralen DB verwaltet 1 2 Sensible Sachverhalte könnten trotz aller Vorkehrungen zum sensiblen Umgang unerwünscht an die Öffentlichkeit gelangen Tabelle 2: Störungsannahme für Sicherheitsvorfälle WIDER FÜR Das primäre Ziel im Incident Management ist, Störungen schnellstmöglich zu beheben und den vereinbarten Service wiederherzustellen, um negative Auswirkungen auf Geschäftsprozesse so gering wie möglich zu halten. Wie die Übersicht oben zeigt, könnte jedoch die Vorgehensweise bei Sicherheitsvorfällen eine andere sein, da in diesem Fall andere Prozessanforderungen zu berücksichtigen sind. Dies kann die vertrauliche Behandlung von Sicherheitsstörungen, notwendige forensische Analysen, die Veranlassung der Täterverfolgung u.a. Aspekte betreffen. 1 Die zentrale Verwaltung in einer gemeinsamen DB wäre möglich, wenn mit strenger Authentisierung gearbeitet wird und das Werkzeug eine hinreichend differenzierte Berechtigungsverwaltung erlaubt. In der Praxis stößt man hier derzeit jedoch noch schnell an praktische Grenzen der Umsetzbarkeit. 2 Ausnahme: Sicherheitsvorfälle, die gegen Sicherheitsrichtlinien verstoßen und gesondert behandelt werden müssen (z. B. interne Angriffe) Seite 15

16 Daher lässt sich hier keine pauschale Aussage treffen, über welche Kanäle die Sicherheitsvorfälle gemeldet werden sollten. Die Entscheidung muss auf jeden Fall auf die Anforderungen der Behörde bzw. des Unternehmens abgestimmt sein. Unumstritten ist jedoch, dass dafür eine klare Vorgehensweise definiert sein und sie allen Mitarbeitern der Behörde oder des Unternehmens bekannt gemacht werden muss. Die Chancen, Störungen und Sicherheitsvorfälle in einem umfassenden und standardisierten Incident Management behandeln zu können, steigen, wenn die nachfolgend beschriebenen Integrationsaspekte berücksichtigt werden. Seite 16

17 Prozessübersicht: Abbildung 3: Prozessübersicht Incident Management Die Abbildung veranschaulicht die wesentlichen Prozessschritte im Incident Management mit Ihren Aktivitäten. Die folgenden Kapitel beschreiben, welche Integrationsaspekte hier hinterfragt werden sollten, um den Prozess auch an den Anforderungen des IT-Sicherheitsmanagements auszurichten: Erkennen und Erfassen (Kapitel 3.2.2) Qualifizieren und Erstlösungsversuch (Kapitel 3.2.3) Analysieren und Lösung vorschlagen (Kapitel 3.2.4) Lösen und Service wiederherstellen (Kapitel 3.2.5) Überwachen und steuern (Kapitel 3.2.6) Abschließen (Kapitel 3.2.7) Seite 17

18 3.2.1 Übergeordnete Anforderungen Bevor eine zentrale Bearbeitung von Sicherheitsvorfällen in einem Incident Management Prozess etabliert werden kann, sind im Vorfeld organisatorische Rahmenbedingungen zu schaffen, Leitaussagen zu formulieren sowie konzeptionelle Vorgaben zu erarbeiten. IT-Sicherheitsrichtlinie und Regelungen zur Behandlung von Sicherheitsvorfällen Phase Planung und Konzeption Ziel Eine Sicherheitsrichtlinie soll die Ziele und Rahmenbedingungen der IT- Sicherheitsstrategie festschreiben. Der Umgang mit Sicherheitsvorfällen ist mit der Festlegung des Geltungsbereichs einer Sicherheitsrichtlinie zu verabschieden und in konkreten Prozessregelungen zu konkretisieren. Die Sicherheitsrichtlinie und die Regelungen zum Umgang mit Sicherheitsvorfällen sind anschließend innerhalb der Behörde oder des Unternehmens entsprechend zu kommunizieren und bereitzustellen. In der Konzeptionsphase des Prozesses sind zu berücksichtigen: Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen Definition der Verhaltensregeln und Meldewege o Aufnahme und Fortschrittsverfolgung aller Sicherheitsvorfälle im Incident Management o Kommunikationsschnittstellen zwischen Incident Management und IT- Sicherheitsmanagement Abstimmung der Eskalationsstrategie zwischen Incident Management und IT- Sicherheitsmanagement Festlegung von Prioritätsklassen für die Behandlung von Sicherheitsvorfällen Pauschale Empfehlungen zur angemessenen Detailtiefe der Regelungen im Umgang mit Sicherheitsvorfällen sind kaum sinnvoll. In der Regel sind die Festlegungen detaillierter und konkreter, je reifer der Incident Management Prozess entwickelt ist, was also mit den konkreten Gegebenheiten in der IT-Organisation zusammenhängt. Auswirkung Kontrollfragen (Prio1) Durch die Verankerung des Prozesses in den Regelungen zum Umgang mit Sicherheitsvorfällen sowie mit den Rahmenbedingungen der Sicherheitsrichtlinie wird sichergestellt, dass: Sicherheitsvorfälle bemerkt und an die entsprechende Stelle weitergeleitet werden bei einem Sicherheitsvorfall die notwendigen Maßnahmen kurzfristig ergriffen und umgesetzt werden weitere direkt oder indirekt betroffene Stellen rechtzeitig benachrichtigt werden Überwachung des Prozesses zur Behandlung von Sicherheitsvorfällen stattfindet Gibt es eine von der Leitungsebene verabschiedete IT-Sicherheitsleitlinie? Unterstützt die Leitungsebene die Verankerung des Incident Management Prozesses in der IT-Sicherheitsrichtlinie? Ist in der IT-Sicherheitsleitlinie der Umgang mit Sicherheitsvorfällen geregelt? Berücksichtigt diese auch Verhaltensregeln, Verantwortlichkeiten, Eskalationsprozeduren? Wurde die Sicherheitsrichtlinie innerhalb der Behörde oder des Unternehmens kommuniziert? Sind die Meldewege für Sicherheitsvorfälle in der Behörde oder im Unternehmen allen Mitarbeitern bekannt? Ist die Sicherheitsrichtlinie zum Umgang mit Sicherheitsvorfällen dem 1st Level Support (Service Desk) und den Mitarbeitern im IT-Betrieb bekannt? Sind die Prioritätsklassen und Eskalationsprozeduren für Sicherheitsvorfälle im 1st Level Support bekannt? Seite 18

19 Sind die Aufgabenbereiche zum Umgang mit Sicherheitsvorfällen den Sicherheitsexperten bekannt? Kontrollfragen optional (Prio2) ITGS Maßnahmen Finden regelmäßige Tests des Prozesses zur Behandlung von Sicherheitsvorfällen statt? Wird der Prozess zur Behandlung von Sicherheitsvorfällen in der Sicherheitsrichtlinie aktualisiert? Werden die Prioritätsklassen und Eskalationsprozeduren aktualisiert? M 1.92, M 2.192, M 2.193, M 6.58 M 6.68, M Der zu definierende Umgang mit Sicherheitsvorfällen kann der Maßnahme M 6.58 (siehe entnommen werden. Tabelle 3: IT-Sicherheitsrichtlinie und Umgang mit IT-Sicherheitsvorfällen Input: Incident Management / IT-Sicherheitsmanagement Rollen und Verantwortlichkeiten Phase Ziel Auswirkung Umsetzungshinweis Kontrollfragen (Prio1) ITGS Maßnahmen Umsetzungshinweis Planung und Konzeption Durch das IT-Sicherheitsmanagement sind Rollen mit der Beschreibung der Aufgaben, Kompetenzen und Verantwortlichkeiten zu identifizieren, die bei Sicherheitsvorfällen (oder bei sicherheitsrelevanten Service-Anfragen) zu involvieren sind. Die Rollen sollten folgende Aufgabenbereiche abdecken: Annahme und Bearbeitung des Sicherheitsvorfalls Untersuchung und Bewertung des Sicherheitsvorfalls Eskalation des Sicherheitsvorfalls an die Leitungsebene Die Beschreibung der Rollen inkl. der zu verantwortenden Aufgabenbereiche sind im Incident Management zu kommunizieren. Mit klar definierten Rollen und Verantwortlichkeiten werden redundante Arbeiten zur Lösung der Sicherheitsvorfälle vermieden. Sind alle notwendigen Rollen für Sicherheitsvorfälle im Incident Management bekannt, die für konkrete Arten von Bedrohungen zu informieren sind? (auch bei Gefährdungen durch höhere Gewalt oder vermuteten vorsätzlichen Handlungen) Kennen die benannten Rollen ihren Aufgaben- und Verantwortlichkeitsbereich? M 6.59 Die zu benennenden Rollen mit ihren Aufgabenbereichen und Verantwortlichkeiten können der Maßnahme M 6.59 (siehe entnommen werden. Beispielhaft sollen genannt werden: IT-Sicherheitsbeauftragter: Aufgabe: Entscheidungsfindung über Sicherheitsproblem oder -vorfall, Untersuchung und Bewertung des Sicherheitsvorfalls, Auswahl und Veranlassung der Umsetzung der notwendigen Maßnahmen, Eskalation an die Geschäftsleitung Kompetenz: Eskalation, Genehmigung von finanziellen und personellen Ressourcen IT-Administrator: Aufgabe: Entgegennahme der Aufgabe, die sicherheitsrelevante Störung zu prüfen und zu beheben, ggf. Eskalation an die nächst höhere Support-Ebene Kompetenz: Entscheidung, ob für die Lösung weitere Personen hinzuzuziehen sind Seite 19

20 Tabelle 4: Rollen und Verantwortlichkeiten Input: Incident Management / IT-Sicherheitsmanagement Incident erkennen und erfassen Die Erfassung der von Anwendern gemeldeten Störungen erfolgt im Incident Management im 1st Level Support. Damit ist der 1st Level Support von Beginn an in den Bearbeitungszyklus der Störung involviert. Im IT-Betrieb festgestellte Störungen werden i.d.r. durch die Administratoren der Systeme selbständig erfasst. Die Störungen können also auf unterschiedliche Art und Weise erkannt und entgegengenommen werden. Dies macht deutlich, warum ITIL klare Prozessregelungen für die Steuerung der Störungsbearbeitung empfiehlt. Auch Sicherheitsvorfälle können auf unterschiedlichen Wegen bekannt werden: Feststellung durch Benutzer: Dieser meldet die Störung, z. B. vermuteten oder tatsächlichen Virenbefall Erkennung durch ein System: o In der Systemüberwachung (Monitoring) wird bei Überschreitung eines kritischen Grenzwertes ein Ereignis generiert und entweder als Störung an ein Support-Team weitergeleitet oder automatisch an ein Incident Management System übergeben. o IDS (Intrusion Detection System) meldet z. B. eine Hacking Attack oder einen Einbruch in einen Server Feststellung durch einen Mitarbeiter aus einer IT-Abteilung: dieser registriert die Störung selbst im Störungserfassungssystem. Feststellung durch einen externen Partner Information durch Strafverfolgungsbehörden oder Presse Achtung: Bereits bei der Erfassung einer Störung im 1st Level Support könnten Indizien darauf hindeuten, dass es sich um einen Sicherheitsvorfall handelt, ohne dass dies dem Anwender bewusst ist. Das Incident Management - in diesem Fall der 1st Level Support - sollte berücksichtigen, dass eine forensische Analyse des Vorfalls notwendig sein könnte und die meldende Person entsprechend darauf hingewiesen wird. Erkennungs- und Registrierungsregeln Phase Ziel Konzeption und Planung / Umsetzung und Betrieb Zwischen dem IT-Sicherheitsmanagement und dem Incident Management sind Erkennungs- und Registrierungsregeln sowie Detektionsmechanismen technischer und organisatorischer Art für Sicherheitsvorfälle zu identifizieren und etablieren, über welche sicherheitsrelevante Störungen erkannt und registriert werden können. Erkennungs- und Registrierungsregeln leiten sich ab aus den durch die Kritikalität der Geschäftsprozesse definierten Anforderungen an die IT-Ressourcen (IT-Infrastruktur, IT-Anwendungen, Informationen, Human Ressources). Im Rahmen einer IT- Strukturanalyse zur Erhebung von Informationen, Anwendungen und Systemen sowie bei der Feststellung deren Schutzbedarf werden die hierzu relevanten Kriterien erhoben, um danach die notwendigen Prozesse zur Analyse, Prävention oder Reaktion bei den verantwortlichen Ansprechpartnern zielorientiert anstoßen zu können. Seite 20

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Incident Management Anatolij Ristok, AI 7 Aktuelle Themen der Informatik Übersicht Einführung Incident Management Process, Incident Lifecycle n-level Support Dokumentation Klassifizierung Priorisierung

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

ITIL Incident Management

ITIL Incident Management ITIL Incident Management + Vertiefung IT-Betriebsprozesse HSLU T&A Service- und System Management HS13 Michael Estermann https://www.ca.com/images/inlineimage/itil_svc_op.gif Eingliederung in ITIL Service

Mehr

SERVICE SUPPORT nach ITIL

SERVICE SUPPORT nach ITIL SERVICE SUPPORT nach ITIL Seminar: Professor: Student: Aktuelle Themen der Informatik Prof. Dr. Friedbert Kaspar Koblavi Adjamah, CN7 1. Einleitung... 3 2. Service Desk... 4 3. Incident Management... 5

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel Datum des LAV-Beschlusses: 05.11.2012 Seite 1 von 9 Inhalt 1 Zweck, Ziel... 1 2 Geltungsbereich... 2 3 Begriffe, Definitionen... 2 4 Verfahren... 2 4.1 Planung der Audits... 5 4.2 Vorbereitung des Audits...

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Leitbild SpaceNet ist Spezialist für das Hosting geschäftskritischer Anwendungen und Daten. Unbedingtes Ziel der SpaceNet ist es jede Störung

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Exam Requirements. Examensspezifikationen. Practitioner's Certificate in IT Service Mangement: Support & Restore (based on ITIL )

Exam Requirements. Examensspezifikationen. Practitioner's Certificate in IT Service Mangement: Support & Restore (based on ITIL ) Exam Requirements Practitioner's Certificate in IT Service Mangement: Support & Restore (based on ITIL ) Publicationdate 3-9-2007 Startdate 1-3-2006 Zielgruppe Das Examen IT Service Management Practitioner:

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

WENDIA ITSM EXPERT TALK

WENDIA ITSM EXPERT TALK WENDIA ITSM EXPERT TALK DIE ABBILDUNG VON SERVICES IN DER CMDB: LEITFADEN ZUR KONZEPTION VON SERVICEMODELLEN LOTHAR BUHL FCS CONSULTING GMBH Die Abbildung von Services in der CMDB: Leitfaden zur Konzeption

Mehr

Tine 2.0 Wartungs- und Supportleistungen

Tine 2.0 Wartungs- und Supportleistungen Tine 2.0 Wartungs- und Supportleistungen 1 Überblick Wartungs- und Supportleistungen Metaways Tine 2.0 Wartungs- und Support Editionen: LEISTUNGEN BASIC BUSINESS PROFESSIONAL SW Wartung ja ja ja Ticketsystem

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Application Lifecycle Management

Application Lifecycle Management Die Leidenschaft zur Perfektion Application Lifecycle Management SAP Solution Manager Agenda Einführung in den SAP Solution Manager Funktionsbereiche des SAP Solution Managers IT Service Management Übersicht

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr