Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken

Größe: px
Ab Seite anzeigen:

Download "Informationssicherheit. Ein Vergleich von Standards und Rahmenwerken"

Transkript

1 Informationssicherheit Ein Vergleich von Standards und Rahmenwerken

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: Bundesamt für Sicherheit in der Informationstechnik 2009

3 Vorwort Danksagung Wir danken Herrn Friedrich Hueber, Herrn Robert Manuel Beck, Herrn Ronny Frankenstein und Herrn Timo Kob von der HiSolutions AG für die Erstellung dieser Studie. Für die Überarbeitung und die engagierte Unterstützung sei an dieser Stelle außerdem folgenden BSI-Mitarbeitern gedankt: Herrn Holger Schildt für die organisatorische Leitung, Herrn Dr. Clemens Doubrava, Frau Isabel Münch und Frau Dr. Marie-Luise Moschgath für Ergänzungen und Qualitätssicherung. Die Abbildungen dieser Studie wurden von Frau Jessika Welticke aufbereitet. Bundesamt für Sicherheit in der Informationstechnik 3

4 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Standards und Rahmenwerke ISO/IEC IT-Grundschutz PCI DSS Version CobiT IDW Standards SAS ISO/IEC Vergleich von Standards und Rahmenwerken IT-Grundschutz und CobiT IT-Grundschutz und IDW PS IT-Grundschutz und ISO/IEC Zusammenfassung Mapping von Standards und Rahmenwerke Ergebnisse: IT-Grundschutz und CobiT Ergebnisse: IT-Grundschutz und IDW PS Ergebnisse: IT-Grundschutz und ISO/IEC Mapping Tabellen Zusammenfassung Fazit Abkürzungsverzeichnis Literaturverzeichnis...51 Abbildungsverzeichnis Abbildung 1: CobiT-Kontrollmodell (Quelle: [CobiT 2007], Seite 14)...18 Abbildung 2: CobiT Würfel (Quelle: [CobiT 2007], Seite 25)...19 Abbildung 3: Ansatz der Systemprüfung nach IDW (Quelle: [IDW PS ], Tz. 8)...22 Abbildung 4: ISO/IEC Prozesse (Quelle: [ISO/IEC ], Seite 1)...27 Abbildung 5: Plan-Do-Check-Act Methodik für Service Management Prozesse (Quelle: [ISO/IEC ], Seite 5)...28 Abbildung 6: Abbildung von IT-Grundschutz durch CobiT...39 Abbildung 7: Abbildung von CobiT durch IT-Grundschutz...40 Abbildung 8: Abbildung von IT-Grundschutz durch IDW PS Bundesamt für Sicherheit in der Informationstechnik

5 Inhaltsverzeichnis Abbildung 9: Abbildung von PS 330 durch IT-Grundschutz...42 Abbildung 10: Abbildung von IT-Grundschutz durch ISO/IEC Abbildung 11: Abbildung von ISO/IEC durch IT-Grundschutz...44 Abbildung 12: Auszug einer Mapping Tabelle...45 Abbildung 13: Auszug einer Kreuzreferenztabelle...46 Tabellenverzeichnis Tabelle 1: Vergleich von SAS 70-Berichten des Typs I und Typ II (Quelle: In Anlehnung an [SAS ])...25 Tabelle 2: Zuordnung der Phasen des PDCA-Zyklus zu den CobiT-Domänen (Quelle: [SecMgr11/2007])...30 Bundesamt für Sicherheit in der Informationstechnik 5

6 Einleitung 1 1 Einleitung Standards und Rahmenwerke stellen für Institutionen eine wichtige Grundlage für die Erschließung neuer und die Erweiterung bereits bekannter Themengebiete dar. In diesem Zusammenhang kann die Anwendung von Standards und Rahmenwerken sowohl eine Innen- als auch eine Außenwirkung haben. Nach innen dienen sie oftmals als Leitfaden und erleichtern der jeweiligen Institution so die Erschließung oder Erweiterung des jeweiligen Themengebietes. Darüber hinaus helfen Standards und Rahmenwerke dabei, die Anforderungen des jeweiligen Themengebietes institutionsweit einheitlich umzusetzen. Nach außen kann die Erfüllung von Standards und Rahmenwerken als Nachweis einer einheitlichen und mit anderen Institutionen vergleichbaren Umsetzung dienen. Dies gilt insbesondere, wenn die Standards und Rahmenwerke zertifizierungsfähig sind. Speziell im Zusammenhang mit dem Qualitätsmanagement werden beispielsweise fehlende Zertifizierungen oftmals als Ausschlusskriterium in Ausschreibungen verwendet. Um die Umsetzung von Informationssicherheit zu unterstützen, wurden in der Vergangenheit unterschiedliche Standards und Rahmenwerke entwickelt (z. B. ISO/IEC 2700x, IT-Grundschutz). Durch die Anwendung dieser Sicherheitsstandards wird sichergestellt, dass allgemein anerkannte, einheitliche Methoden und Best Practices in die Realisierung von Informationssicherheit einfließen. Die standardkonforme Umsetzung ist in der Regel auditierbar und je nach Standard auch zertifizierbar. Eine Zertifizierung kann als Nachweis der Standardkonformität für Kunden, Lieferanten oder Partnerinstitutionen dienen. Es existieren darüber hinaus Standards, in denen Informationssicherheit als Teilaspekt oder aus einer bestimmten fachlichen Perspektive betrachtet wird. Dadurch bestehen inhaltliche Überschneidungen zu den Standards und Rahmenwerken, die Informationssicherheit als Hauptaspekt betrachten. Aufgrund ihrer unterschiedlichen Themengebiete kommt es oft vor, dass mehrere Standards und Rahmenwerke für eine Institution relevant sind. Durch die oben genannten Überschneidungen entsteht hier ein entsprechender Koordinierungsbedarf. Beispielsweise könnten die Anforderungen eines bereits umgesetzten Standards oder Rahmenwerks durch die Umsetzung neuer Anforderungen revidiert werden. Andererseits könnte unbemerkt Mehraufwand entstehen, da die Umsetzung einer gleichartigen Anforderung des neuen Standards schon in ähnlicher Weise durch den bereits umgesetzten Standard implementiert wurde. Institutionen müssen daher bei der Einführung neuer Standards oder Rahmenwerke die relevanten Maßnahmen parallel existierender Standards und Rahmenwerke berücksichtigen. Die Überschneidungen müssen identifiziert und Synergieeffekte effizient genutzt werden. Das Ziel der vorliegenden Studie ist es daher eine Grundlage zu schaffen, um unterschiedliche Standards und Rahmenwerke im Bezug auf die Informationssicherheit kombinieren zu können. Hierfür wird ein Überblick über eine Auswahl von Standards und Rahmenwerke gegeben. Des Weiteren sollen die Überschneidungen zwischen ausgewählten Standards und Rahmenwerken mit Informationssicherheit als Teilaspekt und den Vorgaben aus dem IT-Grundschutz des BSI identifiziert werden. Im ersten Teil der Studie werden daher die relevanten Standards und Rahmenwerke mit Sicherheitsbezug vorgestellt. Dabei handelt es sich zunächst um die Standards mit direktem Bezug zur Informationssicherheit ISO/IEC 27001, IT-Grundschutz des BSI und den auf Kreditkarten bezogenen Bundesamt für Sicherheit in der Informationstechnik 7

7 1 Einleitung Standard PCI-DSS. Im Folgenden werden Standards und Rahmenwerke vorgestellt, in denen Informationssicherheit lediglich einen Teilaspekt darstellt. Dies sind CobiT 4.1, die ITW Standards IDW RS FAIT 1, IDW PS 330 und IDW PS 951, der SAS 70 sowie die ISO/IEC Darauf folgend werden die Standards CobiT 4.1, IDW PS 330 sowie ISO/IEC dem IT- Grundschutz vom BSI gegenübergestellt. In einem direkten Vergleich werden die Gemeinsamkeiten und Unterschiede identifiziert und dadurch eine qualitative Abgrenzung der Inhalte vorgenommen. Zum Vergleich wird anschließend ein Mapping der genannten Standards mit dem IT-Grundschutz vorgenommen. Dabei wurden die Maßnahmen der IT-Grundschutz-Kataloge und die Anforderungen der genannten Standards aus beiden Richtungen aufeinander abgebildet. Im Ergebnis wird demnach zum einen betrachtet, welche Maßnahmen der genannten Standards durch IT-Grundschutz abgebildet werden. Zum anderen wird aufgezeigt, welche Anforderungen der genannten Standards durch IT-Grundschutz-Maßnahmen realisiert werden können. Für die praktische Anwendung wird darüber hinaus eine Zuordnung der Anforderungen von CobiT 4.1, IDW PS 330 und ISO/IEC zu den IT-Grundschutz-Bausteinen statt und in Form einer Kreuzreferenztabelle dargestellt. In Zusammenhang mit dem Mapping findet auch eine konkrete Zuordnung der Anforderungen von CobiT 4.1, IDW PS 330 und ISO/IEC zu den IT-Grundschutz-Bausteinen statt. Diese Zuordnung wird mittels einer Kreuzreferenztabelle durchgeführt, die für die Praxis verdeutlicht, wo Überschneidungen der Standards und Rahmenwerke zu finden sind. 8 Bundesamt für Sicherheit in der Informationstechnik

8 Standards und Rahmenwerke 2 2 Standards und Rahmenwerke 2.1 ISO/IEC Der Standard ISO/IEC definiert auf knapp 30 Seiten Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS). Diese beschreiben einen prozessorientierten Ansatz, der die Planung, Umsetzung und Durchführung, die Überwachung und Überprüfung sowie die Wartung und Verbesserung des ISMS beinhaltet. Entstanden ist die ISO/IEC aus dem British Standard (BS) Für die Verträglichkeit mit anderen Managementsystemen wurde die Norm ISO/IEC mit anderen Normen abgestimmt. Dies ermöglicht die konsistente und integrierte Umsetzung und Durchführung mit anderen Managementsystemen. Dazu zählen die beiden internationalen Normen ISO 9001 (Quality management systems - Requirements) und ISO (Environmental management systems - Requirements with guidance for use). Nach der Norm ISO/IEC können Institutionen ihr ISMS zertifizieren lassen. Die Anforderungen richten sich dabei nicht an eine spezielle Organisationsform, sondern lediglich an ein Informationssicherheitsmanagementsystem (vergleiche [ISO/IEC ], Seite v). Institutionen können z. B. kommerzielle Unternehmen oder Behörden sein. Die Reihenfolge der an ein ISMS gestellten Anforderungen verdeutlicht bereits den in der ISO/IEC verwendeten prozessorientierten Ansatz. Der gesamte Prozess des ISMS ist den vier Phasen des PDCA-Modells zugeordnet, so dass es auf die sich stetig ändernden Einflüsse angepasst werden und schrittweise verbessert werden kann. In der Planungsphase ("Plan") werden die Ziele, Strategien und relevanten Prozesse in Bezug auf die entsprechenden Bedürfnisse einer Institution geplant. In der Phase Umsetzung und Durchführung ("Do") wird das ISMS entsprechend der Planung umgesetzt. Diese beinhaltet unter anderem die Erstellung eines Plans zur Risikobehandlung, die Umsetzung von risikomindernden Maßnahmen (Controls) sowie das Management von Operationen und Ressourcen für das ISMS. Die dritte Phase, Überwachung und Überprüfung ("Check") des ISMS, dient der Messung und Prüfung des ISMS im Hinblick auf die Erreichung der in der Planungsphase festgelegten Ziele und Strategien. Aus den gewonnenen Informationen werden Berichte für das Management erstellt. Mit der Wartung und Verbesserung wird die letzte Phase ( Act ) des Zyklus abgeschlossen. Hier werden korrektive und vorbeugende Maßnahmen vorgenommen, um eine kontinuierliche Verbesserung des ISMS sicherzustellen. Die Maßnahmen werden aus den Ergebnissen der Vorphase definiert (vergleiche [ISO/IEC ], Seite vi). Der Aufbau und die Erstellung des ISMS einer Institution wird durch ihre Bedürfnisse und Ziele, ihre Sicherheitsanforderungen, die Prozesse sowie ihrer Größe und Struktur geprägt (vergleiche [ISO/IEC ], Seite v). Die ISO/IEC verweist in Anlage A auf die Norm ISO/IEC Information technology -- Security techniques -- Code of practice for information security management, die im Jahr 2005 von ISO/IEC in ISO/IEC umnummeriert wurde. Sie definiert Best Practices bezüglich der Ziele und Kontrollen zur Behandlung von Risiken als generische Implementierungshilfe. Für die Zertifizierung müssen diese definierten Ziele und Kontrollen in der Planungsphase des ISMS berücksichtigt werden, es müssen jedoch nicht alle Ziele und Kontrollen der ISO/IEC notwen Bundesamt für Sicherheit in der Informationstechnik 9

9 2 Standards und Rahmenwerke digerweise umgesetzt werden. Bei entsprechender Begründung können Ziele und Kontrollen auch weggelassen werden. Darüber hinaus kann eine Institution zusätzlich zu den vorhandenen Zielen und Kontrollen, eigene, individuelle Ziele und Kontrollen definieren. Innerhalb der Normenreihe ISO 2700x gibt es derzeit weitere Normen und Normentwürfe, die die Inhalte der ISO/IEC ergänzen bzw. konkretisieren. Als Beispiele sind insbesondere ISO/IEC Overview and vocabulary, ISO/IEC Information Security Management Measurement, ISO/IEC Information security risk management sowie ISO/IEC Requirements for bodies providing audit and certification of information security management systems zu nennen. Die rein binären Aussagen zur Erfüllung einer Maßnahme der ISO/IEC sollen um konkretere Bewertungsmassstäbe z. B. für Effizienz und Effektivität mit der Norm ISO/IEC Information Security Management Measurement erweitert werden. Diese Norm liegt bisher nur als Entwurf vor und soll nach Fertigstellung die Forderung einer weitergehenden Qualitätsbewertung erfüllen. Die Norm ISO/IEC 27005:2008 enthält Spezifikationen für das Risikomanagement, die bei der Umsetzung des in der ISO/IEC enthaltenen Risikomanagementansatzes helfen. Weiterhin existiert die Norm ISO/IEC mit Anforderungen an Stellen, die Institutionen nach ISO/IEC zertifizieren oder auditieren. ISO/IEC ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Der Standard basiert auf der DIN EN ISO/IEC und ergänzt diesen um die ISMS-spezifischen Anforderungen. Grundsätzlich ist dieser Standard dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen für ISMS gemäß DIN ISO/IEC definiert werden. In erster Linie dient er somit der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von "Peer Assessments" oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, die Arbeit von Zertifizierungsstellen zu harmonisieren und diesen einen Leitfaden zur Umsetzung bereitzustellen. 2.2 IT-Grundschutz IT-Grundschutz ist ein Standard für Informationssicherheit, der vom Bundesamt für Sicherheit für Informationstechnik (BSI) Mitte der neunziger Jahre entwickelt wurde. Er stellt Methoden und Hilfestellungen zur Verfügung, mit denen Institutionen ein oder mehrere individuelle Informationsverbünde abgrenzen und für dessen bzw. deren Bestandteile angemessene Sicherheitsmaßnahmen auswählen können (vergleiche [BSI ], Seite 36ff). Dabei ist der Informationsverbund eine individuelle Abgrenzung von Objekten aus den Bereichen Organisation, Personal, Technik und Infrastruktur. Bei der IT-Grundschutz-Vorgehensweise wird auf bekannte und bereits bewährte Sicherheitsmaßnahmen für einen normalen Schutzbedarf zurückgegriffen und für den Fall das diese nicht ausreichen ggf. weitere individuelle Maßnahmen anhand einer Risikoanalyse definiert. Dadurch ermöglicht die IT-Grundschutz-Vorgehensweise das Erreichen eines angemessenes Sicherheitsniveaus (vergleiche [BSI ]). Das Lebenszyklusmodell nach Deming stellt in diesem Zusammenhang die Grundlage für den Sicherheitsprozess dar und dient schließlich der kontinuierlichen Anpassung und Verbesserung des Sicherheitsmanagements (vergleiche [BSI ] und [ISO/IEC ]). Angewendet werden kann IT-Grundschutz wie die ISO/IEC in Institutionen jeder Art und Größe (vergleiche [BSI ]). Den Informationsverbund können Institutionen vom BSI nach ISO auf der Basis von IT- Grundschutz zertifizieren lassen. Eine solche Zertifizierung beinhaltet immer eine offizielle ISO- 10 Bundesamt für Sicherheit in der Informationstechnik

10 Standards und Rahmenwerke 2 Zertifizierung nach ISO/IEC und bietet darüber hinaus aufgrund der zusätzlich geprüften technischen Aspekte eine erweiterte Aussagekraft (vergleiche [BSI ]). IT-Grundschutz vom BSI umfasst die BSI-Standards zum Sicherheitsmanagement und die IT- Grundschutz-Kataloge. Die BSI-Standards geben Empfehlungen für die Methoden, Prozesse und Verfahren sowie Vorgehensweisen und Maßnahmen hinsichtlich der Informationssicherheit. Die IT-Grundschutz-Kataloge enthalten Bausteine, Gefährdungen und Maßnahmen. Daneben gibt es zahlreiche weitere Veröffentlichungen rund um IT-Grundschutz (siehe Zunächst werden die vier BSI-Standards zum Sicherheitsmanagement vorgestellt. BSI-Standard 100-1: Managementsysteme für Informationssicherheit Dieser Standard definiert die generellen Anforderungen an ein Managementsystem für Informationssicherheit. Der Standard ist mit der ISO/IEC vollständig kompatibel. Darüber hinaus werden Empfehlungen der ISO/IEC und ISO/IEC berücksichtigt. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Die Ausführungen dieses Standards geben eine detaillierte Anleitung, wie ein Managementsystem für Informationssicherheit in der Praxis umgesetzt werden kann. Dabei werden unter anderem die Aufgaben des Informationssicherheitsmanagement sowie der Aufbau einer Organisationsstruktur für Informationssicherheit berücksichtigt (vergleiche [BSI ], Seite 10ff). Wichtige Elemente dieser Vorgehensweise werden im Anschluss der Darstellung der IT-Grundschutz- Kataloge ausführlicher erläutert. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Wird im Rahmen der IT-Grundschutz-Vorgehensweise die Entscheidung für eine Risikoanalyse getroffen, bietet dieser Standard eine detailliert beschriebene Methode ([BSI ]), die mit der IT-Grundschutz-Vorgehensweise abgestimmt wurde und sich nahtlos in diese einbetten ([BSI ], S. 11) lässt. BSI-Standard 100-4: Notfall-Management Dieser Standard beschreibt eine Methodik zur Etablierung eines institutionsweiten Notfallmanagements (vergleiche [BSI ]), basiert auf der IT-Grundschutz-Vorgehensweise nach BSI- Standard und ergänzt diese sinnvoll (vergleiche [BSI ]). IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge (vergleiche [BSI GSK]) gliedern sich in Bausteine, Maßnahmen- und Gefährdungs-Kataloge. Sie enthalten konkrete Implementierungshilfen für den Sicherheitsprozess (vergleiche [BSI ], Seite 11). Dank der Modularität der Bausteine kann jede Institution ihren individuellen Informationsverbund entsprechend ihrer Sicherheitsanforderungen modellieren (vergleiche [BSI ], Seite 7f). Die IT-Grundschutz-Kataloge werden ständig aktualisiert und unter anderem im Internet veröffentlicht (vergleiche [BSI GSK]). Bundesamt für Sicherheit in der Informationstechnik 11

11 2 Standards und Rahmenwerke Bausteine Die Bausteine bilden typische Prozesse, Anwendungen und IT-Komponenten ab. Sie bestehen aus einer Beschreibung, Verweisen zu Gefährdungen und entsprechenden Maßnahmen. Die Gefährdungen und Maßnahmen sind jeweils in eigenen Katalogen beschrieben (vergleiche [BSI ], Seite 11f). Zur besseren Strukturierung sind die Bausteine in folgende fünf Schichten eingeteilt: - Übergreifende Aspekte - Infrastruktur - IT-Systeme - Netz - Anwendungen Gefährdungs-Kataloge In diesem Katalog sind die in den Bausteinen enthaltenen Gefährdungen ausführlich beschrieben (vergleiche [BSI ], Seite 61). Die Gefährdungs-Kataloge gliedern sich in die fünf Bereiche: - Höhere Gewalt - Organisatorische Mängel - Menschliche Fehlhandlungen - Technisches Versagen - Vorsätzliche Handlungen Maßnahmen-Kataloge Die Maßnahmen enthalten praxiserprobte Standard-Sicherheitsmaßnahmen als Implementierungshilfe für den Sicherheitsprozess (vergleiche [BSI ], Seite 11). IT-Grundschutz definiert in diesem Zusammenhang einen Lebenszyklus mit den Phasen Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge. Jede Maßnahme ist einer dieser Phasen zugeordnet (vergleiche [BSI ], Seite 77f). Die Maßnahmen sind darüber hinaus anhand der Siegelstufen Einstieg (A), Aufbau (B), Zertifikat (C), Zusätzlich (Z) und auch Wissenstransfer (W) kategorisiert, welche die Bedeutung der Maßnahmen für die Qualifizierung angeben. Um ein Auditoren-Zertifikat der "Einstiegsstufe" zu erlangen, reicht beispielsweise die Umsetzung der A-Maßnahmen aus. Ein Auditor-Testat der "Aufbaustufe" kann durch die Erfüllung aller A- und B-Maßnahmen erreicht werden. Für eine ISO Zertifizierung auf der Basis von IT-Grundschutz müssen sowohl A-, B- als auch die C-Maßnahmen umgesetzt sein. Die zusätzlichen Maßnahmen sind insbesondere für erhöhte Sicherheitsanforderungen vorgesehen. Mit "W" werden schließlich Maßnahmen gekennzeichnet, die der Vermittlung von Wissen dienen (vergleiche [BSI ], Seite 15). Die Maßnahmen-Kataloge sind wie folgt strukturiert (vergleiche [BSI ], Seite 61): - Infrastruktur - Organisation 12 Bundesamt für Sicherheit in der Informationstechnik

12 - Personal - Hard- und Software - Kommunikation - Notfallvorsorge Standards und Rahmenwerke 2 Nachdem notwendige Elemente erläutert wurden, wird nachfolgend die IT-Grundschutz- Vorgehensweise dargestellt. Sie basiert auf einem Sicherheitsprozess mit vier Hauptphasen: Initiierung des Sicherheitsprozesses Bei der Initiierung werden die grundlegenden organisatorischen Aspekte für das Informationssicherheitsmanagement realisiert. Dies beinhaltet die Verantwortung der Leitungsebene, die Konzeption und Planung, die Erstellung einer Leitlinie zur Informationssicherheit, den Aufbau einer Informationssicherheitsorganisation, die Bereitstellung von Ressourcen sowie die Einbindung aller Mitarbeiter. Erstellung einer Sicherheitskonzeption Nach der Initiierung des Sicherheitsprozesses wird die Sicherheitskonzeption erstellt. Die wichtigsten Schritte zur Erstellung sind ([BSI ], Seite 14): - Strukturanalyse - Schutzbedarfsfeststellung - Auswahl und Anpassung von Maßnahmen - Basis-Sicherheitscheck - Ergänzende Sicherheitsanalyse Als Grundlage für die Erstellung der Sicherheitskonzeption muss zunächst der Geltungsbereich abgegrenzt werden, der im IT-Grundschutz als Informationsverbund bezeichnet wird (vergleiche [BSI ], Seite 38). In der Strukturanalyse werden die für die Bestandteile (Informationen, Anwendungen, IT-Systene, Räume, Gebäude, Kommunikationsnetze) des Informationsverbundes erfasst. Klassischerweise wird hier mit den Anwendungen begonnen und darauf aufbauend die weiteren relevanten Objekte identifiziert (vergleiche [BSI ], Seite 37ff). Für die in der Strukturanalyse erfassten Bestandteile des Informationsverbunds wird eine Schutzbedarfsfeststellung durchgeführt. Dabei wird für jedes Objekt der Schutzbedarf bezüglich Vertraulichkeit, Verfügbarkeit und Integrität definiert. Dieser wird anhand der möglichen Schäden durch die Beeinträchtigung der betroffenen Anwendung bestimmt. Der IT-Grundschutz gibt die drei Schutzbedarfsklassen normal, hoch und sehr hoch vor. Die Grenzen dieser Klassen müssen von jeder Institution individuell festgelegt werden. In diesem Zusammenhang können bei Bedarf auch mehr Schutzbedarfsklassen definiert werden. (vergleiche [BSI ], Seite 37ff). Bei der Auswahl und Anpassung von Maßnahmen werden den Objekten des Informationsverbundes die entsprechenden Bausteine und die darin enthaltenen Gefährdungen und Maßnahmen zugeordnet (vergleiche [BSI ], Seite 60ff). Dieser Vorgang wird auch als Modellierung bezeichnet. Anschließend wird ein Basis-Sicherheitscheck durchgeführt, in dem der Soll-Zustand mit dem Ist- Zustand verglichen wird (vergleiche [BSI ], Seite 65ff). Dadurch wird aufgezeigt, wo noch Defizite in der Umsetzung bestehen. Bundesamt für Sicherheit in der Informationstechnik 13

13 2 Standards und Rahmenwerke Bei hohem oder sehr hohem Schutzbedarf, bei Zielobjekten, die nicht hinreichend durch die Grundschutzbausteine abgebildet werden können, sowie in Einsatzszenarien, für die IT- Grundschutz nicht vorgesehen ist, wird eine ergänzende Sicherheitsanalyse durchgeführt. Hier wird entschieden, ob die umgesetzten IT-Grundschutz-Maßnahmen ausreichend sind oder zusätzliche Maßnahmen durch eine Risikoanalyse ermittelt werden müssen. Umsetzung der Sicherheitskonzeption Bei der Umsetzung findet zunächst eine Sichtung der Untersuchungsergebnisse statt. Hierbei werden die noch nicht umgesetzten IT-Grundschutz-Maßnahmen sowie ggf. die Maßnahmen aus der Risikoanalyse zusammengestellt. Im nächsten Schritt findet eine Konsolidierung der Maßnahmen statt. Dabei wird zum einen geprüft, ob die ausgewählten Maßnahmen aus den Katalogen durch die zusätzlichen Maßnahmen aus der ggf. durchgeführten Risikoanalyse ergänzt oder ersetzt werden können. Zum anderen wird festgestellt, ob die umzusetzenden Maßnahmen hinsichtlich der technischen und organisatorischen Gegebenheiten der Institution konkretisiert oder angepasst werden müssen (vergleiche [BSI ], 76ff). Die weiteren Schritte bestehen aus der Kosten- und Aufwandsschätzung, der Festlegung der Umsetzungsreihenfolge der Maßnahmen, der Festlegung der Aufgaben und der Verantwortung sowie der Berücksichtigung realisierungsbegleitender Maßnahmen (z. B. Sensibilisierung der betroffenen Mitarbeiter). (vergleiche [BSI ], 77ff) Aufrechterhaltung und Verbesserung Die letzte Phase beinhaltet die Prüfung des Informationssicherheitsprozesses auf seine Wirksamkeit und Effizienz. Hier sollte insbesondere eine regelmäßige Erfolgskontrolle durch die Leitungsebene stattfinden. Für die Aufrechterhaltung und Verbesserung müssen zwei Aspekte berücksichtigt werden. Zum einen sollte die Überprüfung des Informationssicherheitsprozess in allen Ebenen stattfinden. Dies bedeutet, dass geeignete Methoden zur Überprüfung des Informationssicherheitsprozesses ausgewählt, eine Überprüfung der Umsetzung der Sicherheitsmaßnahmen durchgeführt, die Eignung der Informationssicherheitsstrategie (Aktualität, Wirtschaftlichkeit etc.) geprüft sowie die Übernahme der Ergebnisse in den Informationssicherheitsprozess organisiert werden. Zum anderen muss der Informationsfluss im Informationssicherheitsprozess betrachtet werden. Hierbei geht es sowohl um die zielgruppengerechte Aufbereitung als auch um die zeitnahe Verteilung von Informationen des Informationssicherheitsprozesses. Der kontinuierliche Verbesserungszyklus schließt sich mit der Phase "Erstellung der Sicherheitskonzeption" in die die Verbesserungsmaßnahmen einfließen. 2.3 PCI DSS Version 1.2 Der Payment Card Industry Data Security Standard (PCI DSS) wird von einem Konsortium führender Kreditkarten-Organisationen herausgegeben. Er wurde vom PCI Security Standards Council erstellt und formuliert Sicherheitsanforderungen an die Abwicklung von Kreditkartentransaktionen. 14 Bundesamt für Sicherheit in der Informationstechnik

14 Standards und Rahmenwerke 2 Die Anforderungen von PCI DSS müssen von allen Unternehmen umgesetzt werden, die Karteninhaberdaten von Kreditkarten speichern, verarbeiten oder übertragen, also z. B. von Händlern, die Kreditkartenzahlungen akzeptieren, oder von Dienstleistern, die diese im Auftrag weiterverarbeiten. In Version 1.1 des Standards war ausformuliert, dass PCI DSS Anforderungen "immer dann gelten, wenn eine Primary Account Number (PAN) gespeichert, verarbeitet oder übermittelt wird." Dabei wird mit PAN die Zahlungskartennummer einer Kredit- oder Debitkarte bezeichnet, die den Kartenaussteller und das jeweilige Karteninhaberkonto identifiziert. Im Volksmund wird PAN auch kurz als Kontonummer bezeichnet. Diesem Standard unterliegen nur Karteninhaberdaten, die in Verbindung mit der PAN gespeichert werden. Datenelemente, die in Verbindung mit der PAN gespeichert werden, sind laut PCI DSS der Name des Karteninhabers, der Servicecode und das Ablaufdatum der Karte. Der Standard weist darüber hinaus darauf hin, dass sich aus vertraglichen oder gesetzlichen Anforderungen (z. B. Datenschutzgesetze) zusätzliche Sicherheitsanforderungen an die sorgfältige Verarbeitung, Speicherung und Weitergabe erfasster Kundendaten im Rahmen der geschäftlichen Tätigkeit ergeben können (vergleiche [PCI-DSS 2008], Seite 4). Vertrauliche Authentisierungsdaten haben einen sehr hohen Schutzbedarf und unterliegen daher einer besonderen Anforderung. Zu den vertraulichen Authentisierungsdaten zählen die Daten des Magnetstreifens einer Debit- oder Kreditkarte, PINs und Kartenprüfwerte wie z. B. den CVC2 (Card Validation Code Version 2). Diese dürfen nach der Authentisierung nicht in den Händlersystemen gespeichert werden (vergleiche [PCI-DSS 2008], Seite 4). Deshalb enthält dieser Standard keine weitergehenden Sicherheitsanforderungen an diese Art Informationen. Die im PCI DSS formulierten Sicherheitsanforderungen gelten für alle Systemkomponenten, die Karteninhaberdaten oder vertrauliche Authentisierungsdaten (z. B. die Magnetstreifendaten, PIN der PIN-Block) verarbeiten oder mit dieser in Verbindung stehen. Diese Systemkomponenten sind beispielsweise Netzkomponenten (z. B. Firewall, Switches und Router), Server oder Anwendungen (vergleiche [PCI-DSS 2008], Seite 5ff). Der zu sichernde Bereich kann durch eine sinnvolle Netzsegmentierung reduziert werden. Insgesamt sind 12 übergreifende Sicherheitsanforderungen in den folgenden sechs Bereichen definiert (vergleiche [PCI-DSS 2008], Seite 13ff): - Erstellung und Wartung eines sicheren Netzwerks - Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten - Ändern der vom Anbieter festgelegten Standardeinstellung für Systemkennwörter und andere Sicherheitsparameter - Schutz von Karteninhaberdaten - Schutz gespeicherter Karteninhaberdaten - Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze - Wartung eines Anfälligkeits-Managementprogramms - Verwendung und regelmäßige Aktualisierung von Antivirensoftware - Entwicklung und Wartung sicherer Systeme und Anwendungen - Implementierung starker Zugriffskontrollmaßnahmen Bundesamt für Sicherheit in der Informationstechnik 15

15 2 Standards und Rahmenwerke - Beschränkung des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informationsbedarf - Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff - Beschränkung des physischen Zugriffs auf Karteninhaberdaten - Regelmäßige Überwachung und regelmäßiges Testen von Netzwerken - Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten - Regelmäßiges Testen der Sicherheitssysteme und -prozesse - Befolgung einer Informationssicherheitsrichtlinie - Befolgung einer Informationssicherheits-Richtline für Mitarbeiter und Subunternehmer Alle Dienstanbieter, die auf Karteninhaberdaten zugreifen können, müssen ebenfalls PCI DSS komplett umsetzen. Hosting-Anbieter, die von mehreren Kreditkarten-verarbeitenden Unternehmen genutzt werden, müssen außerdem weitere Anforderungen erfüllen. Beispielsweise müssen sie die Zugriffsrechte ihrer jeweiligen Vertragspartner auf deren eigene Umgebung beschränken. Bei einem Sicherheitsvorfall bei einem Dienstleister muss es möglich sein, den Vorfall rechtzeitig zu untersuchen, falls erforderlich auch gerichtlich. Die jeweiligen Sicherheitsanforderungen in diesen sechs Bereichen sind im PCI DSS kurz inhaltlich umrissen, aber nicht detailliert ausformuliert. Sie entsprechen im Detaillierungsgrad in etwa den Kontrollzielen aus ISO Zu jeder Anforderung werden zusätzlich Prüfhinweise gegeben. Insgesamt umfassen alle 12 Sicherheitsanforderungen und Prüfverfahren circa 50 Seiten. Wenn die definierten Anforderungen in dem Unternehmen aufgrund technischer oder organisatorischer Besonderheiten nicht umgesetzt werden können, besteht die Möglichkeit, Kompensationskontrollen durchzuführen, die jedes Jahr dokumentiert und geprüft werden müssen. Hierdurch dürfen jedoch keine Risiken entstehen, die bei strikter Umsetzung der Anforderungen von PCI DSS behandelt worden wären. Die umgesetzten Kompensationskontrollen müssen folgende Kriterien erfüllen (vergleiche [PCI-DSS 2008], Seite 66): 1. "Sie müssen in Absicht und Anspruch den ursprünglichen PCI DSS-Anforderungen entsprechen. 2. Sie müssen ein vergleichbares Schutzniveau wie die ursprüngliche PCI DSS-Anforderung bieten. (...) 3. Sie müssen mindestens so weitreichend wie andere PCI DSS-Anforderungen sein. (...) 4. Sie müssen dem zusätzlichen Risiko, das durch die Nichteinhaltung der PCI DSS-Anforderung entsteht, angemessen sein." Führende Kreditkartenunternehmen haben sich darauf geeinigt, dass PCI DSS für alle Institutionen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, seit Januar 2008 verpflichtend ist (vergleiche hierzu unter anderem [Saferpay 2007]). Dazu gehören nicht nur alle Dienstleister, die Kreditkarten- oder Transaktionsdaten verarbeiten, sondern auch Händler, die Kreditkarten akzeptieren, ebenso wie Händlerbanken und Acquirer. Institutionen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, müssen nicht nur die Anforderungen nach PCI DSS umsetzen, sondern die erfolgreiche Umsetzung muss anschließend überprüft und das Ergebnis registriert werden. Je nach Art und Größe der Institution, der Anzahl der Transaktionen und der Führung der Karteninhaberdaten, gibt es hierzu verschiedene Möglichkeiten 16 Bundesamt für Sicherheit in der Informationstechnik

16 Standards und Rahmenwerke 2 von Zertifizierungen oder Selbstzertifizierungen. Wenn eine Zertifizierung nicht zwingend notwendig ist, kann durch jährlich auszufüllende Selbstbeurteilungs-Fragebögen die Komformität zum PCI-Regelwerk mitgeteilt werden. Hierfür sieht das PCI Security Standards Council fünf verschiedene Validierungstypen vor. Zusätzlich sollten noch vierteljährliche Sicherheitschecks durchgeführt werden. Die Zertifizierungen nach PCI DSS dürfen nur akkreditierte Prüfer, sogenannte Qualified Security Assessors, durchführen. Nähere Informationen zu PCI DSS finden sich unter https://www.pcisecuritystandards.org. 2.4 CobiT 4.1 Das Rahmenwerk Control Objectives for Information and related Technology (CobiT) ermöglicht die Steuerung und Kontrolle des IT-Betriebs durch das Management (vergleiche [CobiT 2007], Seite 5). CobiT wurde von der ISACA (Information Systems Audit and Control Association) entwickelt. Entstanden ist CobiT aus einer Sammlung von mehreren IT-Standards, Rahmenwerken, Richtlinien und Best Practices. Zu diesen zählen unter anderem die IT Infrastructure Library (ITIL), die ISO/IEC (vormals ISO/IEC 17799) und das Capability Maturity Model (CMM). Für die Version 4.1 wurde der Schwerpunkt auf sechs IT-Standards, Rahmenwerke, Richtlinien und Best Practices gelegt (vergleiche [CobiT 2007], Seite 177). CobiT bietet dabei nicht die Möglichkeit einer Zertifizierung. Der Fokus liegt auf der Erreichung der Anforderungen für das IT Governance. "IT Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Unternehmensstrategie und -ziele zu erreichen und zu erweitern." (CobiT , Seite 5) Als prozessorientierte Methode ist CobiT dabei unabhängig von der internen Struktur oder der Rechtsform einer Institution einsetzbar. Die Anforderungen für das IT Governance teilt CobiT in fünf Kernbereiche ein, die auf die drei grundlegenden Bestandteile Wertbeitrag, Risiko und Steuerung zurückzuführen sind. Die fünf Kernbereiche sind strategische Ausrichtung, Schaffen von Werten und Nutzen, Ressourcenmanagement, Risikomanagement und das Messen der Performance (vergleiche [CobiT 2007], Seite 5f). Die Sicherstellung der Kernbereiche des IT Governance und die dafür notwendige Identifikationen der IT-Ressourcen, IT-Prozesse, IT-Kontrollen sowie mögliche Lücken wird folgendermaßen erreicht (vergleiche [CobiT 2007], Seite 5f): Die IT-Ziele werden aus den Unternehmenszielen und der Unternehmensstrategie für die IT abgeleitet. Dabei gliedert CobiT die Unternehmensziele in die Kategorien Effektivität, Effizienz, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance und Verlässlichkeit. Die Bedeutung der Sicherheit wird aus den drei Kriterien Vertraulichkeit, Verfügbarkeit und Integrität deutlich. Aus den IT-Zielen wird die Unternehmensarchitektur für die IT bestimmt. Die Architektur besteht aus IT-Ressourcen und -Prozessen. Die IT-Ressourcen gliedern sich in Anwendungen, Informationen, Infrastruktur und Personal (vergleiche [CobiT 2007], Seite 10ff) und werden von IT-Prozessen gesteuert (vergleiche [CobiT 2007], Seite 25). Die IT-Prozesse sind in vier Domänen gegliedert (vergleiche [CobiT 2007], Seite 12): - Plan and Organise (PO) - Aquire and Implement (AI) Bundesamt für Sicherheit in der Informationstechnik 17

17 2 Standards und Rahmenwerke - Deliver and Support (DS) - Monitor and Evaluate (ME) Den IT-Prozessen sind sieben generelle Kontrollziele (der Kategorien der Unternehmensziele siehe oben) zugeordnet, jeweils ein übergeordnetes Kontrollziel und mehrere detaillierte Kontrollziele. Über die IT-Prozesse hinaus existieren Anwendungskontrollziele, die sicherstellen, dass der Umgang mit den im Unternehmen verwendeten Anwendungssystemen richtig und korrekt erfolgt (vergleiche [CobiT 2007], Seite 14). Die Kontrolle der Zielerreichung erfolgt durch die Bereitstellung geeigneter Messgrößen und durch ein Reifegradmodell (vergleiche [CobiT 2007], Seite 5, 14 und 17f). Die Messgrößen werden in zwei Kategorien unterteilt: die Outcome Measures, die angeben, wie gut die Unternehmenserfordernisse umgesetzt worden sind, und die Perfomance Indicators, welche die aktuelle und zukünftige Zielerreichung der IT-Prozesse messen (vergleiche [CobiT 2007], Seite 22f). Die Reife eines Prozesses wird mit dem Reifegradmodell bestimmt, welches eine Bewertung der IT-Prozesse von "nicht existent" bis "optimiert" in fünf Stufen ermöglicht (vergleiche [CobiT 2007], Seite 18f). Den IT-Fachbereichen werden für eine wirksame Ausführung und Umsetzung entsprechende Verantwortlichkeiten zugeordnet (vergleiche [CobiT 2007], Seite 6 und 15). Abbildung 1: CobiT-Kontrollmodell (Quelle: [CobiT 2007], Seite 14) Die beschriebenen Punkte fließen in das Kontrollmodell von CobiT ein. Dieses ist in Abbildung 1 dargestellt. Als Eingabe dienen die Standards, Rahmenwerke, Guidelines, Best Practices und die IT- Ziele. Die aus den Prozessen entstandenen Kontrollinformationen werden mit den Eingaben verglichen und aus den Ergebnissen entsprechende Maßnahmen abgeleitet (vergleiche [CobiT 2007], Seite 14). Die gesamte Umsetzung wird durch eine Strukturierung der Prozesse unterstützt, dem CobiT- Prozessmodell (vergleiche [CobiT 2007], Seite 5). Hier bestehen die oben beschriebenen vier Domänen der IT-Prozesse aus insgesamt 34 Prozessen, die sich wiederum aus Aktivitäten zusammensetzen (vergleiche [CobiT 2007], Seite 6 und 26). 18 Bundesamt für Sicherheit in der Informationstechnik

18 Standards und Rahmenwerke 2 Abbildung 2: CobiT Würfel (Quelle: [CobiT 2007], Seite 25) Dieses Prozessmodell, ergänzt um die oben beschriebenen Unternehmensanforderungen und IT- Ressourcen, bildet den in Abbildung 2 dargestellten CobiT-Würfel (vergleiche [CobiT 2007], Seite 26). Dieser stellt die Zusammenhänge der drei Bestandteile dar. IT-Aktivitäten und -Ressourcen werden von den vorgegeben Unternehmensanforderungen über die Domänen und Prozesse gesteuert. Die Messgrößen ermöglichen sodann eine Überwachung und bei Bedarf eine Neuausrichtung der IT ([CobiT 2007], Seite 24). Das CobiT-Rahmenwerk gibt für jeden Prozess eine komplette Übersicht. Diese enthält eine Prozessbeschreibung, detaillierte Kontrollziele, Prozesseingaben und ausgaben, RACI-Informationen (RACI: Zuständig (Responsible), verantwortlich (Accountable), beraten (Consulted), informiert (Informed); vergleiche [CobiT 2007], Seite 24), Ziele und Metriken sowie eine Beschreibung für die Reifegradbestimmung (vergleiche [CobiT 2007], Seite 27f). Die Eingaben, Ausgaben, Aktivitäten, Rollen, Verantwortlichkeiten und Metriken sind illustrativ aufgeführt und nicht vollständig beschrieben. Die Eingaben enthalten neben einer kurzen Eingabenbeschreibung Informationen über die Herkunft der Eingaben. Diese können von anderen CobiT-Prozessen oder Prozessausgaben stammen, oder aber von außerhalb kommen. Die Ausgaben enthalten neben einer kurzen Beschreibung Informationen darüber, in welche Prozesse die Ausgaben als Eingaben einfließen (vergleiche [CobiT 2007], Seite 31ff). Jeder Prozess wird durch die Prozessbeschreibung übersichtlich dargestellt. Diese enthält Informationen darüber, welche Unternehmensanforderungen der sieben Kategorien und aus den fünf Kernbereichen der IT Governance primär (p) oder sekundär (s) angesprochen werden. Weiterhin enthält diese Übersicht die Kontrolle des IT-Prozesses, die Unternehmensziele bezüglich der IT, die wichtigsten IT-Ziele des IT-Prozesses, wie diese Ziele erreicht und kontrolliert werden sowie Bundesamt für Sicherheit in der Informationstechnik 19

19 2 Standards und Rahmenwerke welche IT-Ressourcen für den jeweiligen IT-Prozess benötigt werden (vergleiche [CobiT 2007], Seite 27f). Zu CobiT existiert kein eigenes Zertifizierungsschema. Andererseits dient CobiT aber als Rahmenwerk für interne und externe Audits (z. B. von Wirtschaftsprüfern). 2.5 IDW Standards Das Institut der Wirtschaftsprüfer in Deutschland e.v. (IDW) ist ein Zusammenschluss von Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften Deutschlands. Eines der Ziele des IDW ist es, die Facharbeit von Wirtschaftsprüfern zu unterstützen (vergleiche [IDW 2008]). Das IDW gibt verschiedene Arten von Publikationen heraus: - Prüfungsstandards (IDW PS) - Stellungnahmen zur Rechnungslegung (IDW RS) - IDW Standards (IDW S) - Prüfungs- und Rechnungslegungshinweise (IDW PH und IDW RH) Die Prüfungsstandards legen Anforderungen der Rechnungslegung und Prüfungsfragen fest. Alle Verlautbarungen des IDW werden, unter der Einbeziehung der Öffentlichkeit, von Fachgremien entwickelt und regelmäßig aktualisiert. Einige dieser Verlautbarungen beinhalten auch Aspekte der Informationssicherheit. Hierzu gehören beispielsweise: - Abschlussprüfung bei Einsatz von Informationstechnologien (IDW PS 330) - Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PH ) - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) - Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3) - Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880) - Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW PS 951) Im Folgenden werden die Stellungnahme zur Rechnungslegung IDW RS FAIT 1 sowie die Prüfungsstandards IDW PS 330 und IDW PS 951 erläutert. Die Stellungnahme beschreibt die Grundsätze und die beiden Prüfungsstandards, die beim Einsatz von Informationstechnologie relevant sind und beschreiben Sicherheitsanforderungen an die IT. Der Prüfungsstandard 330 richtet seine Anforderungen direkt an die IT. Hingegen macht der Prüfungsstandard 951 Vorgaben an das interne Kontrollsystem eines Dienstleistungsunternehmens. Da die IT Teil des internen Kontrollsystem ist, sind auch die Vorgaben dieses Standards für die IT zu beachten. 20 Bundesamt für Sicherheit in der Informationstechnik

20 Standards und Rahmenwerke IDW RS FAIT 1 In seiner Stellungnahme zur Rechnungslegung IDW RS FAIT 1 definiert der Fachausschuss für Informationstechnologie des IDW die "Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie". Die Stellungnahme stellt die grundlegenden Definitionen für die ITspezifischen Prüfungsstandards des IDW (z. B. PS 330, PS 880) zusammen. Insbesondere wird hier der Geltungsbereich des Begriffs "IT-System" definiert. Im Gegensatz zu anderen Standards ist "IT-System" hier nicht als Hardware inklusive Betriebssystem, sondern als übergeordneter Begriff zu verstehen. Ein IT-System nach RS FAIT 1 beinhaltet die rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse, IT-Anwendungen, IT-Infrastruktur wie bauliche Einrichtungen, Hardware und den IT-Betrieb. Das Zusammenwirken der Elemente des IT- Systems wird durch das IT-Kontrollsystem definiert. In diesem werden die Risiken des IT-Einsatzes behandelt (vergleiche [IDW RS FAIT ], Tz. 7ff). Da Sicherheit eine Voraussetzung für die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung darstellt, wurden in der RS FAIT 1 auch die "Sicherheitsanforderungen an rechnungslegungsrelevante Daten" festgelegt. Als Sicherheitsanforderungen an die IT-Systeme definiert die RS FAIT 1 Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität und Verbindlichkeit. Darüber hinaus verlangt die Stellungnahme, dass ein Sicherheitskonzept erstellt wird, in dem die Sicherheitsrisiken des IT-Einsatzes bewertet und entsprechende organisatorische oder technische Maßnahmen abgeleitet werden. Neben den Sicherheitsanforderungen werden in der RS FAIT 1 die gesetzlichen Anforderungen ordnungsgemäßer Buchführung auf die IT abgebildet. Der Standard legt hier die im HGB verlangten Werte Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit für die IT aus IDW PS 330 Der IDW Prüfungsstandard "Abschlussprüfung bei Einsatz von Informationstechnologie" (IDW PS 330) ist ein Prüfungsstandard, der von Wirtschaftsprüfern bei Abschlussprüfungen eingesetzt wird, wenn die Rechnungslegung des jeweiligen Unternehmens unter dem Einsatz von Informationstechnologie (IT) erfolgt (vergleiche [IDW PS ], Tz. 8). Da dies heutzutage bei nahezu allen Unternehmen der Fall ist, ist der PS 330 ein viel beachteter Standard. Der Prüfungsumfang ist dabei auf IT-Systeme konzentriert, die "rechnungslegungsrelevante" Daten verarbeiten, also beispielsweise für Buchführung, Jahresabschlüsse, Lageberichte oder ähnliches. Prinzipiell richtet sich der Standard aber an alle IT-Systeme, bei denen durch dort auftretende Sicherheitsrisiken dem Unternehmen ein wesentlicher wirtschaftlicher Schaden entstehen könnte. PS 330 beschreibt die Ziele, den Umfang, die Durchführung, die IT-gestützten Prüfungstechniken sowie die Dokumentation der Prüfung von rechnungslegungsrelevanten IT-Systemen entsprechend der in RS FAIT 1 gegebenen Definition. Auch die weiteren grundlegenden Begriffe zur Informationstechnologie, zum Einsatz der IT im Unternehmen sowie zur Einrichtung des IT-Systems werden in der IDW RS FAIT 1 geregelt. Insbesondere die darin enthaltenen Anforderungen an die Ordnungsmäßigkeit und Sicherheit sowie weitere gesetzliche Anforderungen stellen die Basis für die IT-Systemprüfung dar (vergleiche [IDW PS ], Tz. 7). Bundesamt für Sicherheit in der Informationstechnik 21

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

IT-Outsourcing aus Sicht der Wirtschaftsprüfer IT-Outsourcing aus Sicht der Wirtschaftsprüfer Roundtable der matrix technology AG München, 6. November 2008 Lothar Schulz Wirtschaftsprüfer - Steuerberater Prüfer für Qualitätskontrolle AGENDA 1. IT-Prüfung

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA)

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T

WBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr