ITIL und Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "ITIL und Informationssicherheit"

Transkript

1 ITIL und Informationssicherheit Aspekte der Integration von Incident und Security Management Version KBSt-Brief 2/2006 Oktober 2006 Seite 1

2 Nachdruck, auch auszugsweise, ist genehmigungspflichtig Dieser Band wurde erstellt von der KBSt im Bundesministerium des Innern in Zusammenarbeit mit HiSolutions AG Redaktion: HiSolutions AG, Berlin Interessenten erhalten die derzeit lieferbaren Veröffentlichungen der KBSt und weiterführende Informationen zu den Dokumenten beim Bundesministerium des Innern Referat IT 2 (KBSt) Berlin Homepage der KBSt: Seite 2

3 ITIL und Informationssicherheit Aspekte der Integration von Incident und Security Management Version September 2006 Herausgegeben vom Bundesministerium des Innern Seite 3

4 Inhaltsverzeichnis 1. Einleitung Zielsetzung Zielgruppen Einordnung und Ausblick Dokumentaufbau Standards im IT-Service- und IT-Sicherheitsmanagement ITIL und IT-Service Management Standards und Richtlinien im IT-Sicherheitsmanagement IT-Grundschutz-Standards BS 7799/ ISO 17799: ISO Zusammenspiel von Incident Management und IT-Sicherheit Der Service Desk im Incident Management Incident Management Übergeordnete Anforderungen Incident erkennen und erfassen Incident qualifizieren und Erstlösungsversuch Incident analysieren und Lösung vorschlagen Incident lösen und Service wiederherstellen Incidents überwachen und steuern Incident abschließen Referenzen Glossar...34 Anhang...36 Tabellenverzeichnis Tabelle 1: Erläuterung der Tabellen...8 Tabelle 2: Störungsannahme für Sicherheitsvorfälle...15 Tabelle 3: IT-Sicherheitsrichtlinie...19 Tabelle 4: Rollen und Verantwortlichkeiten...20 Tabelle 5: Erkennungs- und Registrierungsregeln...21 Tabelle 6: Bewusstsein für IT-Sicherheit schaffen...22 Seite 4

5 Tabelle 7: Priorisierungsmatrix für Sicherheitsvorfälle...24 Tabelle 8: Klassifizierung von Sicherheitsvorfällen...25 Tabelle 9: Verifizierung des Verdachts eines sicherheitsrelevanten Incident...26 Tabelle 10: Informationsbeschaffung über Sicherheitslücken des Systems...27 Tabelle 11: Zugriff auf Incident Informationen (Konzeption und Planung)...28 Tabelle 12: Eskalations- und Benachrichtigungswege bei Sicherheitsvorfällen...30 Tabelle 13: Notfallvorsorge...31 Tabelle 14: Dokumentationsregeln...32 Tabelle 15: Glossar...35 Tabelle 16: Berührungspunkte Incident Management / IT-Sicherheitsmanagement...37 Abbildungsverzeichnis Abbildung 1: Übersicht über BSI Publikationen zum IT-Sicherheitsmanagement...11 Abbildung 2: Prozesse im Service Desk...14 Abbildung 3: Prozessübersicht Incident Management...17 Seite 5

6 1. Einleitung Die IT-Organisationen in Behörden und Unternehmen werden zunehmend mit der Anforderung konfrontiert, ihre IT-Prozesse aufgrund der dynamischen Änderungen in den Geschäftsprozessen neu auszurichten und gleichzeitig zu optimieren. Auch der schnelle Fortschritt in der Informationstechnologie selbst führt zu neuen Anforderungen an Prozesse im IT-Bereich. Um dieser Dynamik gewachsen zu sein, führt kein Weg an Standardisierung vorbei. Dies gilt nicht nur für die Betriebsprozesse in der IT, sondern vor allem auch für die IT- Service-Management-Prozesse, die für die Planung und Steuerung der Servicequalität und für das serviceorientierte Zusammenwirken der Betriebsverfahren verantwortlich sind.. Eine gute Orientierung für diese Prozessstandardisierung bietet die IT Infrastructure Library (ITIL), die sich als fachliche Anleitung zur Planung, Erbringung und Qualitätssicherung von IT Dienstleistungen etabliert hat. Doch nur zu oft muss festgestellt werden, dass das Thema Informationssicherheit - obwohl ein fester Bestandteil des ITIL-Standards - bei Einrichtung oder Optimierung von IT-Service-Management-Prozessen isoliert und ohne gegenseitige Berücksichtigung behandelt wird. Dieser Umstand führt zu Reibungsverlusten. Daher ist es dringend notwendig, den IT-Sicherheitsbeauftragten frühzeitig und in der richtigen Weise einzubeziehen. Dieses Dokument zeigt auf, welche Aspekte und Anforderungen für den ITIL-Prozess Incident Management (Störungsmanagement) diskutiert werden müssen. Es soll den dringend notwendigen Dialog zwischen den jeweiligen Verantwortlichen fördern. Alle Beteiligten müssen nach Wegen suchen, um Medienbrüche und Redundanzen in den Prozessen zu vermeiden und gemeinsame Synergiepotenziale zur Gewährleistung sicherer und wirtschaftlicher IT-Services zu erschließen. 1.1 Zielsetzung Was dieses Dokument erreichen kann. Ziel dieser Veröffentlichung ist es, eine Grundlage für das Verständnis sicherheitsrelevanter Anforderungen im Incident Management (Störungsmanagement) zu schaffen. Tabellarisch wird dargestellt, welche Sicherheitsvorgaben berücksichtigt werden sollten, welche Fragen beantwortet werden müssen und welche Empfehlungen für die Umsetzung ausgesprochen werden können. Die hier berücksichtigten Sicherheitsanforderungen basieren auf dem ISO Standard sowie den IT-Grundschutz-Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Dokument bietet somit Hilfestellung für eine Ist-Aufnahme, mit der überprüft werden kann, welche Anforderungen bereits abgedeckt sind und wo die Verbesserungspotenziale liegen. Dabei geht es nicht darum, ob alle Aktivitäten hochintegriert oder automatisiert unterstützt werden. Wichtig ist vielmehr, dass grundsätzlich Lösungen zur Erfüllung der Anforderungen in angemessenem Umfang bereitgestellt werden können, auch wenn diese zunächst mit rein organisatorischen Maßnahmen verbunden sind. Sind Verbesserungspotenziale identifiziert, gibt das Dokument Hinweise zur Ableitung geeigneter Maßnahmen. Insbesondere die IT-Grundschutz-Kataloge (GSK) des BSI mit ihren konkreten Maßnahmenempfehlungen bieten ausreichende Unterstützung bei der Umsetzung. Seite 6

7 Was dieses Dokument nicht erreichen kann. Pauschale Lösungen von der Stange gibt es nicht. In diesem Dokument können zwar Hinweise gegeben werden, die konkrete Umsetzung ist jedoch stark vom individuellen Umfeld und den besonderen Erfordernissen der IT-Organisation einer Behörde oder eines Unternehmens abhängig. Es geht in diesem Dokument nur um das Was und Warum, nicht um das Wie und Wer. Deshalb werden auch keine Vorschläge zur Prozess- und Rollenorganisation gegeben. Für diese Aspekte sei auf den BSI-Standard Managementsysteme für Informationssicherheit und Baustein B 1.0 IT-Sicherheitsmanagement der GSK verwiesen. Diese sollten im Rahmen einer anschliessenden Umsetzungsplanung zwischen Incident- und IT-Sicherheits-management abgestimmt werden. Auch das zum Incident Management gemäß ITIL notwendige Grundlagenwissen wird in diesem Dokument nicht vermittelt. Der Prozess mit seinen Einzelschritten wird lediglich kurz beschrieben (siehe Kapitel: 3.2 Incident Management). Zur detaillierten Darstellung der Funktionsweise des Incident Management wird auf die weiterführende ITIL-Literatur verwiesen (siehe Anhang). 1.2 Zielgruppen Das Dokument wendet sich an alle IT-Organisationen, die ihr implementiertes Incident Management gegen die sicherheitsrelevanten Prozessanforderungen prüfen möchten. Insbesondere werden die Prozessverantwortlichen für Incident Management und IT- Sicherheitsmanagement angesprochen, denen ein Gerüst für den notwendigen Dialog an die Hand gegeben werden soll. Ist die Incident Management Einführung geplant oder aktuell in der Umsetzung, ergeben sich konkrete Anforderungen und Fragestellungen für das Projektteam. Auch die Vorbereitung interner und externer Audits wird unterstützt. Grundsätzlich gelten die Sicherheitsanforderungen unabhängig davon, in welcher Reifephase sich die Prozesseinführung befindet. Je höher die Prozeßreife, desto stärker greift der Anspruch an Automatismen und Integration. Jede IT-Organisation muss selbst eruieren, wo sie steht und welche vordergründigen Ziele mit einem konkreten Horizont anzustreben sind. Zusätzlich kann diese Dokumentation für alle an den Synergien zwischen IT-Sicherheit und IT-Service-Management interessierte Personen eine weiterführende Informationsquelle sein. 1.3 Einordnung und Ausblick In diesem Dokument wird das Incident Management behandelt. Es soll die Wechselwirkung von ITIL und IT-Sicherheitsmanagement für weitere ITIL-Prozesse dargestellt werden. Aktuell im Fokus stehen dabei das Change Management (Änderungsmanagement) das Configuration Management (Konfigurationsmanagement) und das Service Level Management Seite 7

8 Bei allen Veröffentlichungen stehen dabei nicht die Prozesse selbst, sondern die gegenseitigen Wechselwirkungen mit dem IT-Sicherheitsmanagement im Vordergrund. Das Ziel dabei ist konkrete Anforderungen sowie Hinweise zur Umsetzung in den jeweiligen Prozessen zu liefern und somit die Zusammenarbeit beider Managementdisziplinen zu fördern. 1.4 Dokumentaufbau Das Dokument umfasst folgende Kapitel: Kapitel 1: Einleitung Kapitel 2.: Standards im IT-Service-Management und IT-Sicherheitsmanagement Dargestellt wird ein Überblick über die relevanten Sicherheitsstandards im Zusammenhang mit den ITIL-Best-Practices. Kapitel 3.: Zusammenspiel von IT-Service und IT-Sicherheitsmanagement: In diesem Kapitel wird auf die Schnittstellen zwischen Incident Management und dem IT-Sicherheitsmanagement sowie ihre Integrationsmöglichkeiten auf Ebene der konkreten Prozessschritte eingegangen. In tabellarischer Form werden in den Prozessschritten des Incident Management die sicherheitsrelevanten Ziele benannt, deren Auswirkungen erläutert sowie Kontrollfragen gestellt. Zur Unterstützung der Durchführung von Verbesserungsmaßnahmen werden an ausgewählten Stellen Umsetzungshinweise geliefert. Die Tabellen sind wie folgt aufgebaut: Benennung der festgestellten Anforderungen, welche zu berücksichtigen sind Phase In Anlehnung an die IT-Grundschutz-Standards wurden die Anforderungen mit den entsprechenden Maßnahmen in einem Phasenzyklus aufgelistet. In der Regel können folgende Phasen identifiziert werden, in welchen anschließend die angeführten Themen bearbeitet werden können: Ziel Auswirkung Kontrollfragen (Prio1) Kontrollfragen optional (Prio2) ITGS Maßnahmen Umsetzungshinweis Tabelle 1: Erläuterung der Tabellen Planung und Konzeption Umsetzung und Betrieb Erläuterung der Anforderung und des zu erreichenden Ziels Erläuterung möglicher Auswirkungen Essentielle Fragen, welche vor der Umsetzung kritisch zu hinterfragen sind Weiterführende Fragen unterstützender Natur Maßnahmen aus den Maßnahmenkatalogen des ITGS. Die Details zu den Maßnahmen können dem IT-Grundschutz entnommen werden. Siehe: An ausgewählten Stellen werden zur Verdeutlichung zusätzlich Umsetzungsbeispiele benannt Seite 8

9 Neben der Zusammenfassung der Sicherheitsziele und ihren Auswirkungen können durch die Beantwortung gezielter Kontrollfragen Verbesserungspotentiale sowie mögliche Risiken abgeleitet werden. Sie haben zum Ziel, den erörterten Punkt abzurunden und abschließend einen kritischen Blick auf das Thema zu ermöglichen. Sie sind jedoch nicht als abschließend zu verstehen und sollten um die behörden- oder unternehmensinternen Anforderungen erweitert werden. Kapitel 4.: Referenzen: Benennung weiterführender Dokumentationen, die als Grundlage zur Erstellung dieser Veröffentlichung genutzt wurden. Kapitel 5.: Glossar: Erläuterung der in diesem Dokument verwendeten Abkürzungen und Begriffe. Anhang: Darstellung einer Matrix, welche im Überblick die Sicherheitsanforderungen zusammenfasst, die in konkreten Prozessschritten des Incident Management berücksichtigt werden sollten. Die Sicherheitsziele entsprechen dem ISO Standard und werden um korrespondierende Maßnahmen aus den IT- Grundschutz Standards ergänzt. Seite 9

10 2. Standards im IT-Service- und IT-Sicherheitsmanagement Nachfolgend wird ein kurzer Überblick über die Grundkonzepte und die allgemeingültigen und in der Praxis anzutreffendnen Standards des IT- Sicherheitsmanagements gegeben, welche in dieser Studie heangezogen wurden. Als Orientierungshilfe für den Umgang mit aktuellen Prozess-Standards werden die Standards des IT-Service-Management und des IT-Sicherheitsmanagements in der KBSt-Studie Aktuelle Standards für die Gestaltung von IT-Prozessen ausführlicher behandelt. Diese liefert einen Überblick über relevante Normen in der Prozess- und Projektorganisation und verweist auf weiterführende Quellen. 2.1 ITIL und IT-Service Management Ausgangspunkt für die Entwicklung der IT Infrastructure Library (ITIL) ist die Erkenntnis, dass Behörden und Unternehmen zunehmend von IT abhängig sind. Die Steigerung der Effizienz und Effektivität in den Prozessabläufen einerseits sowie die Erreichung der gestellten Geschäftsanforderungen andererseits führt zunehmend zu Bedarf an gesteuerten IT-Services. So rückt das Management von IT-Services zunehmend ins Zentrum der taktischen und operativen Steuerung der IT-Organisation. ITIL beschreibt, wie Betriebsleistungen der IT-Organisation und die betroffene Infrastruktur in IT-Services gebündelt und wie diese Services prozessorientiert gesteuert und unterstützt werden. Da die Qualität der IT-Services meist in verschiedenen Verantwortungsbereichen der IT beeinflußt wird, ziehen sich diese Prozesse durch die gesamte IT-Organisation. Damit wird sichergestellt, dass allen Beteiligten das gemeinsame Serviceziel bewußt wird und sich ihre Aktivitäten daran ausrichten. Auf Grundlage der ITIL-Best-Practices entstand der BS15000-Standard für das IT- Service-Management, der erstmals eine entsprechende Zertifizierung für IT- Organisationen ermöglicht. Inzwischen sind die Best Practices auch im ISO Standard normiert. Dieses Dokument berücksichtigt das Incident Management (Störungsmanagement) als einen der wesentlichen Service-Support-Management-Prozesse von ITIL. 2.3 Standards und Richtlinien im IT-Sicherheitsmanagement IT-Grundschutz-Standards Die BSI Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) liefern konkrete Richtlinien zur Etablierung eines IT-Sicherheitsmanagements. Sie haben sich weit über die Behörden hinaus zu einem anerkannten Standard für die Gewährleistung grundsätzlicher Sicherheitsanforderungen etabliert. Die BSI-Standards bieten einerseits bewährte Empfehlungen und Lösungsvorschläge und benennen andererseits Hilfsmittel für zahlreiche IT-Konfigurationen, um gängigen Sicherheitsproblemen wirksam begegnen zu können: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Seite 10

11 BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Die IT-Grundschutz Vorgehensweise beschreibt den schrittweisen Aufbau und Betrieb eines IT-Sicherheitsmanagements in der Praxis. Er ist vollständig kompatibel zum ISO Standard und berücksichtigt weiterhin die Empfehlungen der ISO Standards und BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Zur Abdeckung von Sicherheitsanforderungen, die über das normale Maß hinaus gehen, hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT- Grundschutz erarbeitet. Diese Vorgehensweise ermöglicht den Behörden oder Unternehmen eine zur IT-Grundschutzanalyse ergänzende Risikoanalyse, um die erweiterten Anforderungen zu erfüllen. Abbildung 1: Übersicht über BSI Publikationen zum IT-Sicherheitsmanagement BS 7799/ ISO 17799:2005 In den Best Practices von ITIL wird das Betreiben eines IT-Sicherheitsmanagements als unabdingbarer Bestandteil der IT-Organisation angesehen. Der britische Standard BS 7799 beschreibt allgemein gültige Vorgaben zum Aufbau eines IT- Sicherheitsmanagements und basiert auf einem Best Practice Ansatz. Der BS 7799 gliedert sich in zwei Teile: Part 1: Code of Practice for Information Security Management liefert einen Leitfaden zum Management der Informationssicherheit mit Darstellung entsprechender Maßnahmen Seite 11

12 Part 2: Information Security Management Systems - Specification with guidance for use liefert Anforderungen an IT-Sicherheitsmanagementsysteme und damit als Grundlage ein Raster zur Beurteilung für Zertifizierungen Der Part 1 wurde in den ISO-Standard übernommen. Der im Jahr 2005 erschienene ISO enthält eine wesentliche Neuerung im Vergleich zu ISO : der Standard wurde um einen elften Abschnitt erweitert, der sich ausschließlich dem Thema Information Security Incident Handling (Umgang mit Sicherheitsvorfällen) widmet und die ursprünglich in anderen Abschnitten verstreuten Anforderungen und Inhalte zum Umgang mit Sicherheitsvorfällen konsolidiert. Der Inhalt des Part 2 des BS 7799 ist im Oktober 2005 als ISO verabschiedet worden (siehe Kapitel ISO 27001) ISO Der ISO Standard "Information technology - Security techniques - Information security management systems requirements specification" ist der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht. Obwohl er der direkte Nachfolger des zweiten Teiles des BS 7799 Standards ist, enthält er jedoch im Vergleich zu seinem Vorgänger in folgenden Bereichen wesentliche Neuerungen: Management von Sicherheitsvorfällen Sicherheit bei Personaleinsatz sowie Management von Sicherheitslücken (Vulnerability Management). Der Standard spezifiziert die Anforderungen an Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS unter Berücksichtigung der Risiken innerhalb der gesamten Institution. Seite 12

13 3. Zusammenspiel von Incident Management und IT- Sicherheit Im Folgenden werden Integrationsaspekte in den jeweiligen Prozessschritten des Incident Management hinsichtlich Abhängigkeiten und Synergien zum IT- Sicherheitsmanagement aufgezeigt. Mit der Gegenüberstellung der beiden Themenbereiche werden die Zusammenhänge zwischen ITIL und den korrespondierenden Sicherheitszielen des ISO Standards sowie der IT-Grundschutz-Kataloge (GSK) des BSI dargestellt. Damit werden Anforderungen aus dem Blickwinkel des Incident Management einerseits und der IT- Sicherheit andererseits identifiziert und miteinander verknüpft. 3.1 Der Service Desk im Incident Management Der Service Desk spielt eine wichtige Rolle, um eine zeitnahe Unterstützung für den Anwender zu gewährleisten. So fungiert der Service Desk als die zentrale Anlaufstelle der IT-Organisation (Single Point of Contact) für alle Anfragen der Anwender und garantiert die schnelle und zuverlässige Bearbeitung. Im Service Desk wird ermittelt, ob es sich um eine Störungsmeldung oder eine Serviceanfrage handelt. Dementsprechend wird die weitere Bearbeitung des Vorgangs gesteuert. Dem Anwender bleibt die Suche nach einer kompetenten und zuständigen Person erspart, die ihm bei der Lösung seiner Probleme und Anfragen behilflich sein kann. Im Gegensatz zu den Servicemanagement-Prozessen in ITIL stellt der Service Desk keinen eigentlichen Prozess dar, sondern eine Funktion, die eine Schnittstelle zwischen Anwendern und IT-Organisation bildet und hier verschiedene Prozesse abwickelt. Je nach Aufgabenstellung ist der Service Desk in folgende ITIL-Prozesse involviert: Incident Management: dies ist wohl der wichtigste Prozess, in den der Service Desk involviert ist. Üblicherweise ist bereits die erste Ebene (1st Level Support) des Incident Management im Service Desk verankert. Dort werden die Störungen aufgenommen, wenn möglich gelöst oder an die nächste Support-Ebene (2nd, n- Level) weitergeleitet. Configuration Management: während der Erfassung einer Anfrage oder Störung verifiziert der Service Desk die Daten des Anwenders und der betroffenen IT- Komponenten in der zentralen Configuration Database (nach ITIL: CMDB) Change Management: der Service Desk nimmt Änderungsanträge der Anwender auf und kann mitunter selbständig standardisierte Aufträge bearbeiten. Service Level Management: der Service Desk kann einerseits die Anwender über neue Produkte und Services informieren; andererseits kontaktiert er das Service Level Management bei Anfragen und Beschwerden, die in die Definition veränderter Service-Anforderungen einfließen. Darüber hinaus kann der Service Desk für operative Betriebsprozesse wie z.b. Installation von Soft- und Hardware eingesetzt werden. In diesem Fall würde er das Release Management in der Roll-Ort-Phase unterstützen. Seite 13

14 Management Incident- Management Service Desk Change- Management Release- Management Configuration- Service-Level- Management Abbildung 2: Prozesse im Service Desk In dieser Dokumentation wird nur auf die Aufgaben des Service Desk im Rahmen des Incident Management eingegangen. In den darüber hinaus geplanten Veröffentlichungen werden die in den anderen ITIL-Prozessen relevanten Tätigkeiten des Service Desk mit behandelt. 3.2 Incident Management Umfang und Ziele: Das Incident Management hat zur Aufgabe, alle Meldungen von Störungen (englisch: Incidents) sowie Anfragen und Aufträge seitens der Anwender entgegenzunehmen, um die Anwender in ihrer Arbeit zu unterstützen. Auch IT-Sicherheitsvorfälle (Security Incidents) gelten als Störungen, da hierdurch die Verfügbarkeit, Integrität oder Vertraulichkeit der in den IT-Services verarbeiteten Informationen beeinträchtigt werden und damit entsprechende Schäden in den Geschäftsfunktionen verursacht werden können. Service-Störungen können auch Folge unerkannter Sicherheitsvorfälle sein. Dies ist z.b. der Fall, wenn der Sicherheitsvorfall mit Angriffen verbunden ist, die Schwachstellen nutzen, um IT-Services gezielt zu destabilisieren. Mitunter werden diese Sicherheitsvorfälle erst über ihre Wirkung in Form eingetretener Störungen erkannt. Wenn die Destabilisierung der IT-Services das eigentliche Ziel eines Angriffs ist, spricht man auch von Denial-of-Service-Attacken (DoS). Ebenso können durch IT-Störungen auch neue Sicherheitslücken verursacht werden, wenn z.b. Sicherheitsmechanismen durch instabile Systeme oder notwendige Umgehungslösungen außer Kraft gesetzt werden. Seite 14

15 Servicebeeinträchtigungen und Sicherheitsvorfälle können also jeweils sowohl Ursache als auch Wirkung sein. Deshalb müssen sollten diese im Zusammenhang betrachtet und behandelt werden. In der Praxis bieten sich zwei Möglichkeiten für die Meldung von Sicherheitsvorfällen: 1. Alle Störungen (inkl. der Sicherheitsvorfälle) werden über die zentrale Störungsannahme, also üblicherweise über den Service Desk im 1st Level des Incident Management gemeldet. 2. Sicherheitsvorfälle werden über eine separate Meldestelle bei einem dedizierten Ansprechpartner gemeldet. Beide Alternativen bieten folgende Vor- und Nachteile: Anwender sind nicht in der Lage, eine Störung als sicherheitsrelevant einzustufen IT-Sicherheitsmanagement nutzt bereits vorhandene Infrastruktur und Prozesse im IT-Service-Management Zentrale Störungsannahme für alle Störungen FÜR FÜR Separate Störungsannahme für Sicherheitsvorfälle WIDER WIDER Sicherheitsvorfälle werden ebenfalls FÜR WIDER in einer zentralen DB verwaltet 1 2 Sensible Sachverhalte könnten trotz aller Vorkehrungen zum sensiblen Umgang unerwünscht an die Öffentlichkeit gelangen Tabelle 2: Störungsannahme für Sicherheitsvorfälle WIDER FÜR Das primäre Ziel im Incident Management ist, Störungen schnellstmöglich zu beheben und den vereinbarten Service wiederherzustellen, um negative Auswirkungen auf Geschäftsprozesse so gering wie möglich zu halten. Wie die Übersicht oben zeigt, könnte jedoch die Vorgehensweise bei Sicherheitsvorfällen eine andere sein, da in diesem Fall andere Prozessanforderungen zu berücksichtigen sind. Dies kann die vertrauliche Behandlung von Sicherheitsstörungen, notwendige forensische Analysen, die Veranlassung der Täterverfolgung u.a. Aspekte betreffen. 1 Die zentrale Verwaltung in einer gemeinsamen DB wäre möglich, wenn mit strenger Authentisierung gearbeitet wird und das Werkzeug eine hinreichend differenzierte Berechtigungsverwaltung erlaubt. In der Praxis stößt man hier derzeit jedoch noch schnell an praktische Grenzen der Umsetzbarkeit. 2 Ausnahme: Sicherheitsvorfälle, die gegen Sicherheitsrichtlinien verstoßen und gesondert behandelt werden müssen (z. B. interne Angriffe) Seite 15

16 Daher lässt sich hier keine pauschale Aussage treffen, über welche Kanäle die Sicherheitsvorfälle gemeldet werden sollten. Die Entscheidung muss auf jeden Fall auf die Anforderungen der Behörde bzw. des Unternehmens abgestimmt sein. Unumstritten ist jedoch, dass dafür eine klare Vorgehensweise definiert sein und sie allen Mitarbeitern der Behörde oder des Unternehmens bekannt gemacht werden muss. Die Chancen, Störungen und Sicherheitsvorfälle in einem umfassenden und standardisierten Incident Management behandeln zu können, steigen, wenn die nachfolgend beschriebenen Integrationsaspekte berücksichtigt werden. Seite 16

17 Prozessübersicht: Abbildung 3: Prozessübersicht Incident Management Die Abbildung veranschaulicht die wesentlichen Prozessschritte im Incident Management mit Ihren Aktivitäten. Die folgenden Kapitel beschreiben, welche Integrationsaspekte hier hinterfragt werden sollten, um den Prozess auch an den Anforderungen des IT-Sicherheitsmanagements auszurichten: Erkennen und Erfassen (Kapitel 3.2.2) Qualifizieren und Erstlösungsversuch (Kapitel 3.2.3) Analysieren und Lösung vorschlagen (Kapitel 3.2.4) Lösen und Service wiederherstellen (Kapitel 3.2.5) Überwachen und steuern (Kapitel 3.2.6) Abschließen (Kapitel 3.2.7) Seite 17

18 3.2.1 Übergeordnete Anforderungen Bevor eine zentrale Bearbeitung von Sicherheitsvorfällen in einem Incident Management Prozess etabliert werden kann, sind im Vorfeld organisatorische Rahmenbedingungen zu schaffen, Leitaussagen zu formulieren sowie konzeptionelle Vorgaben zu erarbeiten. IT-Sicherheitsrichtlinie und Regelungen zur Behandlung von Sicherheitsvorfällen Phase Planung und Konzeption Ziel Eine Sicherheitsrichtlinie soll die Ziele und Rahmenbedingungen der IT- Sicherheitsstrategie festschreiben. Der Umgang mit Sicherheitsvorfällen ist mit der Festlegung des Geltungsbereichs einer Sicherheitsrichtlinie zu verabschieden und in konkreten Prozessregelungen zu konkretisieren. Die Sicherheitsrichtlinie und die Regelungen zum Umgang mit Sicherheitsvorfällen sind anschließend innerhalb der Behörde oder des Unternehmens entsprechend zu kommunizieren und bereitzustellen. In der Konzeptionsphase des Prozesses sind zu berücksichtigen: Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen Definition der Verhaltensregeln und Meldewege o Aufnahme und Fortschrittsverfolgung aller Sicherheitsvorfälle im Incident Management o Kommunikationsschnittstellen zwischen Incident Management und IT- Sicherheitsmanagement Abstimmung der Eskalationsstrategie zwischen Incident Management und IT- Sicherheitsmanagement Festlegung von Prioritätsklassen für die Behandlung von Sicherheitsvorfällen Pauschale Empfehlungen zur angemessenen Detailtiefe der Regelungen im Umgang mit Sicherheitsvorfällen sind kaum sinnvoll. In der Regel sind die Festlegungen detaillierter und konkreter, je reifer der Incident Management Prozess entwickelt ist, was also mit den konkreten Gegebenheiten in der IT-Organisation zusammenhängt. Auswirkung Kontrollfragen (Prio1) Durch die Verankerung des Prozesses in den Regelungen zum Umgang mit Sicherheitsvorfällen sowie mit den Rahmenbedingungen der Sicherheitsrichtlinie wird sichergestellt, dass: Sicherheitsvorfälle bemerkt und an die entsprechende Stelle weitergeleitet werden bei einem Sicherheitsvorfall die notwendigen Maßnahmen kurzfristig ergriffen und umgesetzt werden weitere direkt oder indirekt betroffene Stellen rechtzeitig benachrichtigt werden Überwachung des Prozesses zur Behandlung von Sicherheitsvorfällen stattfindet Gibt es eine von der Leitungsebene verabschiedete IT-Sicherheitsleitlinie? Unterstützt die Leitungsebene die Verankerung des Incident Management Prozesses in der IT-Sicherheitsrichtlinie? Ist in der IT-Sicherheitsleitlinie der Umgang mit Sicherheitsvorfällen geregelt? Berücksichtigt diese auch Verhaltensregeln, Verantwortlichkeiten, Eskalationsprozeduren? Wurde die Sicherheitsrichtlinie innerhalb der Behörde oder des Unternehmens kommuniziert? Sind die Meldewege für Sicherheitsvorfälle in der Behörde oder im Unternehmen allen Mitarbeitern bekannt? Ist die Sicherheitsrichtlinie zum Umgang mit Sicherheitsvorfällen dem 1st Level Support (Service Desk) und den Mitarbeitern im IT-Betrieb bekannt? Sind die Prioritätsklassen und Eskalationsprozeduren für Sicherheitsvorfälle im 1st Level Support bekannt? Seite 18

19 Sind die Aufgabenbereiche zum Umgang mit Sicherheitsvorfällen den Sicherheitsexperten bekannt? Kontrollfragen optional (Prio2) ITGS Maßnahmen Finden regelmäßige Tests des Prozesses zur Behandlung von Sicherheitsvorfällen statt? Wird der Prozess zur Behandlung von Sicherheitsvorfällen in der Sicherheitsrichtlinie aktualisiert? Werden die Prioritätsklassen und Eskalationsprozeduren aktualisiert? M 1.92, M 2.192, M 2.193, M 6.58 M 6.68, M Der zu definierende Umgang mit Sicherheitsvorfällen kann der Maßnahme M 6.58 (siehe entnommen werden. Tabelle 3: IT-Sicherheitsrichtlinie und Umgang mit IT-Sicherheitsvorfällen Input: Incident Management / IT-Sicherheitsmanagement Rollen und Verantwortlichkeiten Phase Ziel Auswirkung Umsetzungshinweis Kontrollfragen (Prio1) ITGS Maßnahmen Umsetzungshinweis Planung und Konzeption Durch das IT-Sicherheitsmanagement sind Rollen mit der Beschreibung der Aufgaben, Kompetenzen und Verantwortlichkeiten zu identifizieren, die bei Sicherheitsvorfällen (oder bei sicherheitsrelevanten Service-Anfragen) zu involvieren sind. Die Rollen sollten folgende Aufgabenbereiche abdecken: Annahme und Bearbeitung des Sicherheitsvorfalls Untersuchung und Bewertung des Sicherheitsvorfalls Eskalation des Sicherheitsvorfalls an die Leitungsebene Die Beschreibung der Rollen inkl. der zu verantwortenden Aufgabenbereiche sind im Incident Management zu kommunizieren. Mit klar definierten Rollen und Verantwortlichkeiten werden redundante Arbeiten zur Lösung der Sicherheitsvorfälle vermieden. Sind alle notwendigen Rollen für Sicherheitsvorfälle im Incident Management bekannt, die für konkrete Arten von Bedrohungen zu informieren sind? (auch bei Gefährdungen durch höhere Gewalt oder vermuteten vorsätzlichen Handlungen) Kennen die benannten Rollen ihren Aufgaben- und Verantwortlichkeitsbereich? M 6.59 Die zu benennenden Rollen mit ihren Aufgabenbereichen und Verantwortlichkeiten können der Maßnahme M 6.59 (siehe entnommen werden. Beispielhaft sollen genannt werden: IT-Sicherheitsbeauftragter: Aufgabe: Entscheidungsfindung über Sicherheitsproblem oder -vorfall, Untersuchung und Bewertung des Sicherheitsvorfalls, Auswahl und Veranlassung der Umsetzung der notwendigen Maßnahmen, Eskalation an die Geschäftsleitung Kompetenz: Eskalation, Genehmigung von finanziellen und personellen Ressourcen IT-Administrator: Aufgabe: Entgegennahme der Aufgabe, die sicherheitsrelevante Störung zu prüfen und zu beheben, ggf. Eskalation an die nächst höhere Support-Ebene Kompetenz: Entscheidung, ob für die Lösung weitere Personen hinzuzuziehen sind Seite 19

20 Tabelle 4: Rollen und Verantwortlichkeiten Input: Incident Management / IT-Sicherheitsmanagement Incident erkennen und erfassen Die Erfassung der von Anwendern gemeldeten Störungen erfolgt im Incident Management im 1st Level Support. Damit ist der 1st Level Support von Beginn an in den Bearbeitungszyklus der Störung involviert. Im IT-Betrieb festgestellte Störungen werden i.d.r. durch die Administratoren der Systeme selbständig erfasst. Die Störungen können also auf unterschiedliche Art und Weise erkannt und entgegengenommen werden. Dies macht deutlich, warum ITIL klare Prozessregelungen für die Steuerung der Störungsbearbeitung empfiehlt. Auch Sicherheitsvorfälle können auf unterschiedlichen Wegen bekannt werden: Feststellung durch Benutzer: Dieser meldet die Störung, z. B. vermuteten oder tatsächlichen Virenbefall Erkennung durch ein System: o In der Systemüberwachung (Monitoring) wird bei Überschreitung eines kritischen Grenzwertes ein Ereignis generiert und entweder als Störung an ein Support-Team weitergeleitet oder automatisch an ein Incident Management System übergeben. o IDS (Intrusion Detection System) meldet z. B. eine Hacking Attack oder einen Einbruch in einen Server Feststellung durch einen Mitarbeiter aus einer IT-Abteilung: dieser registriert die Störung selbst im Störungserfassungssystem. Feststellung durch einen externen Partner Information durch Strafverfolgungsbehörden oder Presse Achtung: Bereits bei der Erfassung einer Störung im 1st Level Support könnten Indizien darauf hindeuten, dass es sich um einen Sicherheitsvorfall handelt, ohne dass dies dem Anwender bewusst ist. Das Incident Management - in diesem Fall der 1st Level Support - sollte berücksichtigen, dass eine forensische Analyse des Vorfalls notwendig sein könnte und die meldende Person entsprechend darauf hingewiesen wird. Erkennungs- und Registrierungsregeln Phase Ziel Konzeption und Planung / Umsetzung und Betrieb Zwischen dem IT-Sicherheitsmanagement und dem Incident Management sind Erkennungs- und Registrierungsregeln sowie Detektionsmechanismen technischer und organisatorischer Art für Sicherheitsvorfälle zu identifizieren und etablieren, über welche sicherheitsrelevante Störungen erkannt und registriert werden können. Erkennungs- und Registrierungsregeln leiten sich ab aus den durch die Kritikalität der Geschäftsprozesse definierten Anforderungen an die IT-Ressourcen (IT-Infrastruktur, IT-Anwendungen, Informationen, Human Ressources). Im Rahmen einer IT- Strukturanalyse zur Erhebung von Informationen, Anwendungen und Systemen sowie bei der Feststellung deren Schutzbedarf werden die hierzu relevanten Kriterien erhoben, um danach die notwendigen Prozesse zur Analyse, Prävention oder Reaktion bei den verantwortlichen Ansprechpartnern zielorientiert anstoßen zu können. Seite 20

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

SERVICE SUPPORT nach ITIL

SERVICE SUPPORT nach ITIL SERVICE SUPPORT nach ITIL Seminar: Professor: Student: Aktuelle Themen der Informatik Prof. Dr. Friedbert Kaspar Koblavi Adjamah, CN7 1. Einleitung... 3 2. Service Desk... 4 3. Incident Management... 5

Mehr

ITIL Incident Management

ITIL Incident Management ITIL Incident Management + Vertiefung IT-Betriebsprozesse HSLU T&A Service- und System Management HS13 Michael Estermann https://www.ca.com/images/inlineimage/itil_svc_op.gif Eingliederung in ITIL Service

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Mirko Jahn DCON Software & Service AG. E-Mail: mirko.jahn@dcon.de

Mirko Jahn DCON Software & Service AG. E-Mail: mirko.jahn@dcon.de 67,-RXU)L[,7,/± 6HUYLFHXQG%XVLQHVVRULHQWLHUWH,7 Mirko Jahn DCON Software & Service AG E-Mail: mirko.jahn@dcon.de $JHQGD ƒ IT Service Management: Grundlagen ƒ Was ist ITIL? ƒ Die Kernprozesse aus dem ITIL

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

ITIL in der Praxis 4. Secure Linux Administration Conference, 10.12.2009. Dipl.-Inform. Johannes Plötner

ITIL in der Praxis 4. Secure Linux Administration Conference, 10.12.2009. Dipl.-Inform. Johannes Plötner ITIL in der Praxis 4. Secure Linux Administration Conference, 10.12.2009 Dipl.-Inform. Johannes Plötner Johannes Plötner Diplom Informatiker, Uni Karlsruhe (TH) Schwerpunkte Telematik, Kryptographie und

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14

Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Service-Level-Agreement für SpaceNet Service 7x24 und 7x14 Leitbild SpaceNet ist Spezialist für das Hosting geschäftskritischer Anwendungen und Daten. Unbedingtes Ziel der SpaceNet ist es jede Störung

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

Tine 2.0 Wartungs- und Supportleistungen

Tine 2.0 Wartungs- und Supportleistungen Tine 2.0 Wartungs- und Supportleistungen 1 Überblick Wartungs- und Supportleistungen Metaways Tine 2.0 Wartungs- und Support Editionen: LEISTUNGEN BASIC BUSINESS PROFESSIONAL SW Wartung ja ja ja Ticketsystem

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

ITIL Foundation Seite 2. ITIL Practitioner* Release & Control Seite 5 Support & Restore Seite 7 Agree & Define Seite 9. Anmeldeformular Seite 12

ITIL Foundation Seite 2. ITIL Practitioner* Release & Control Seite 5 Support & Restore Seite 7 Agree & Define Seite 9. Anmeldeformular Seite 12 Bildungswerk der Bayerischen Wirtschaft ggmbh ITIL ITIL Foundation Seite 2 ITIL Practitioner* Release & Control Seite 5 Support & Restore Seite 7 Agree & Define Seite 9 ITIL Service Manager* Seite 11 Anmeldeformular

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Exam Requirements. Examensspezifikationen. Practitioner's Certificate in IT Service Mangement: Support & Restore (based on ITIL )

Exam Requirements. Examensspezifikationen. Practitioner's Certificate in IT Service Mangement: Support & Restore (based on ITIL ) Exam Requirements Practitioner's Certificate in IT Service Mangement: Support & Restore (based on ITIL ) Publicationdate 3-9-2007 Startdate 1-3-2006 Zielgruppe Das Examen IT Service Management Practitioner:

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

IT Service Management in der Praxis Umsetzung an der Universität Bielefeld

IT Service Management in der Praxis Umsetzung an der Universität Bielefeld IT Service Management in der Praxis Umsetzung an der Universität Bielefeld 1 Gliederung Ausgangslage Ziele der Einführung von IT-SM Was wird/wurde getan, wie wurde vorgegangen Was sind die Ergebnisse 2

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Prozesseinführung in Raiffeisen Schweiz Erfahrungsbericht

Prozesseinführung in Raiffeisen Schweiz Erfahrungsbericht Prozesseinführung in Raiffeisen Schweiz Erfahrungsbericht 3. Prozessfux IT Service Management Tagung 12. Juni 2012 Willi Schocher HPV Incident & Problem Management Seite 1 Agenda Prozessorganisation &

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Hauptdokument - Stand 19.02.2013 Version 1.8 (10. IT-Planungsrat Beschluss

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Ausarbeitung zum Thema: Incident Management. Fachhochschule Furtwangen Fachbereich Informatik Studiengang Allgemeine Informatik Anatolij Ristok, AI 7

Ausarbeitung zum Thema: Incident Management. Fachhochschule Furtwangen Fachbereich Informatik Studiengang Allgemeine Informatik Anatolij Ristok, AI 7 Ausarbeitung zum Thema: Incident Management Fachhochschule Furtwangen Fachbereich Informatik Studiengang Allgemeine Informatik Anatolij Ristok, AI 7 Incident Management Einführung Übersetzt aus dem Englischen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

MIS Service Portfolio

MIS Service Portfolio MIS Service Portfolio Service Level Management o Service Management o Customer Satisfaction Management o Contract Management & Accounting o Risk Management Event Management o Monitoring und Alerting Services

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr