4 Bundesamt für Sicherheit in der Informationstechnik

Größe: px
Ab Seite anzeigen:

Download "4 Bundesamt für Sicherheit in der Informationstechnik"

Transkript

1

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: https://www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2010

3 4 Bundesamt für Sicherheit in der Informationstechnik

4 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Was ist eine Metrik? Vorgehensmodell Einschränkungen und Einsatzbereich Struktur dieses Dokumentes IT-Sicherheitsstandards und Governance IT Sicherheitsstandards Security Governance Metriken für IT-Sicherheitsmanagement Der IT-Sicherheitsmanagementzyklus Methoden und Metriken für die Bewertung von Assets und die Bewertung des Risikos Metriken zur Messung der Effektivität von Sicherheitsmaßnahmen Metriken für Service-orientierte Architekturen Sicherheitsmetriken zur Bewertung von Diensten Metriken für Identitätsmanagement Bewertung der Konformität zu Web Service Sicherheitsstandards Bewertung des Reifegrads einer SOA Infrastruktur Metriken Metriken für Schwachstellenbeschreibungen Attack-Graphen zur Messung von Sicherheit Metriken für Intrusion Detection Systeme Metriken in der Anwendung Anwendungsszenario Fall 1 Sicherheit beim Produzenten Fall 2 Sicherheit beim Händler Zusammenfassung Literaturverzeichnis Abbildungsverzeichnis Abbildung 1: Ebenen für die Betrachtung der Metriken in dieser Studie...10 Abbildung 2: Kategorien von IT Sicherheitsstandards...13 Abbildung 3: Zusammenhang von IT Standards und Governance...23 Abbildung 4: Standards und Best Practices für Governance...24 Abbildung 5: Governanceaspekte für SOA Sicherheit...26 Bundesamt für Sicherheit in der Informationstechnik 5

5 Inhaltsverzeichnis Abbildung 6: Einsatz von Metriken in einem Informationssicherheitsmanagementsystem (Quelle: Stefan Strobel: Schutzfaktor: Kennzahlen und Messbarkeit der IT Sicherheit", ix 7/2008)...33 Abbildung 7: Abhängigkeiten der Risikoanalyse...38 Abbildung 8: Beispiel einer Gefährdungstabelle, BSI-Standard 100-3, S Abbildung 9: Testarchitektur der WS-I...75 Abbildung 10: Beispiel für das Ergebnis eines WS-I Tests...76 Abbildung 11: Beispiel für einen komplexen Angriff...88 Abbildung 12: Visualisierung eines Attack-Graphen...89 Abbildung 13: Attack Graph Workflow...90 Abbildung 14: Beispiel für einen Attack Tree...91 Abbildung 15: Beispiel für ein Konzept in JIGSAW...92 Abbildung 16: Beispiel einer Angriffsbeschreibung mit LAMBDA...93 Abbildung 17: TVAS aggregierter Attack-Graph...97 Abbildung 18: NetSPA Beispiel Attack Graph...98 Abbildung 19: Komponenten eines Intrusion Detection Systems Abbildung 20: Beispiel einer ROC Kurve Abbildung 21: Vergleichskurven ROC - C_ID Abbildung 22: Schichtenmodell des Anwendungsbeispiels Abbildung 23: Anwendungslandschaften Abbildung 24: Übersicht zur Netzwerkstruktur des Produzenten Abbildung 25: Auszug aus der MulVAL Netzwerkbeschreibung Abbildung 26: Auszug aus der MulVAL Servicebeschreibung Abbildung 27: Auszug aus der MulVAL Schwachstellenbeschreibung Abbildung 28: Generierter Attack Graph für das konkrete Netzwerk Abbildung 29: Übersicht IDS Deployment beim Produzenten Abbildung 30: Generierte ROC Kurven Tabellenverzeichnis Tabelle 1: Ansätze zur Bestimmung des Schutzbedarfs...35 Tabelle 2: Schutzbedarfskategorien nach BSI Standard Tabelle 3: Schutzbedarfskategorie "normal" nach BSI-Standard 100-2, S Tabelle 4: Vor- und Nachteile der quantitativen Risikoanalyse...40 Tabelle 5: Vor- und Nachteile der qualitativen Risikoanalyse Bundesamt für Sicherheit in der Informationstechnik

6 Inhaltsverzeichnis Tabelle 6: Kontrollziele nach COBIT...43 Tabelle 7: Kontrollziele nach ISO Tabelle 8: technische Metriken im Zusammenhang mit dem verkehr...49 Tabelle 9: technische Metriken in Zusammenhang mit Antivirus und Antispyware...50 Tabelle 10: technische Metriken in Zusammenhang mit Firewall und Netzwerk...51 Tabelle 11: technische Metriken in Zusammenhang mit Hosts...52 Tabelle 12: technische Metriken in Zusammenhang mit Patchmanagement...53 Tabelle 13: technische Metriken in Zusammenhang mit Antivirus- und Antispywaresoftware...54 Tabelle 14: technische Metriken für die Zuverlässigkeit und Verfügbarkeit von Systemen...55 Tabelle 15: Klassifizierung von Anwendungskomponenten...57 Tabelle 16: InCommon Bewertungskriterien und Zuordnung zu Sicherheitsleveln (nach [IAP 2008])...69 Tabelle 17: Zuordnung der Schwere potenzieller Authentifizierungsfehler zu Sicherheitsleveln...72 Tabelle 18: Erlaubte Tokentypen für jeden Sicherheitslevel (Auszug aus [NIST 2006])...73 Tabelle 19: Benötigter Schutz gegen Attacken für jeden Sicherheitslevel (Auszug aus [NIST 2006])...73 Tabelle 20: Identitätsmanagementansätze und deren Grad an Flexibilität...77 Tabelle 21: Policy Managementansätze und deren Grad an Flexibilität...78 Tabelle 22: Schwachstellen-Datenbanken im Vergleich...87 Tabelle 23: Schutzbedarfsklassen für Dienste der Kategorie Bestand Tabelle 24: Schutzbedarfsklassen für Dienste der Kategorie Logik Tabelle 25: Schutzbedarfsklassen für Dienste der Kategorie Prozess Tabelle 26: Bewertung der Dienste in der Anwendungslandschaft Tabelle 27: Checkliste Dienstsicherheit Tabelle 28: CVE Identifier und zugehörige CVSS Scores Tabelle 29: angenommenes Szenario für die Bewertung der Sicherheit des Identitätsmanagement beim Händler Tabelle 30: Beispielaudit des Händlers nach den InCommon Kriterien Tabelle 31: Beispielhafte Risikobewertung nach OMB / NIST Bundesamt für Sicherheit in der Informationstechnik 7

7 Einleitung 1 1 Einleitung Was du nicht messen kannst, kannst du nicht lenken. Peter Drucker, US-amerikanischer Ökonom und Pionier moderner Managementlehre Dieses Zitat von Peter Drucker, einem Pionier der modernen Managementlehre, reflektiert recht deutlich den Wunsch, Entscheidungsprozesse in Unternehmen und Organisationen durch geeignete Kennzahlen und Metriken transparenter zu gestalten und zu vereinfachen. Insbesondere möchte man gerade in großen Organisationen und Unternehmen die Effektivität von Prozessen und den Erfolg von Investitionsentscheidungen messen, um gegebenenfalls Gegenmaßnahmen einleiten zu können und damit letztendlich auch am Markt zu bestehen. Das Gleiche gilt auch für die Sicherheit von Service-orientierten Architekturen (SOA). Die Effektivität von Sicherheitsmaßnahmen und der umgesetzte Schutz von möglicherweise unternehmenskritischen Diensten sind Aspekte, die IT- Sicherheitsverantwortliche und die Geschäftsführung gerne mit Kennzahlensystemen überwachen und kontrollieren möchten. So stark dieser Wunsch nach eindeutigen und klaren Kennzahlen auf der einen Seite ist, so schwer ist auf der anderen Seite die Umsetzung. Gerade IT-Sicherheitsverantwortliche, welche in der Situation sind, die Anforderungen der Geschäftsführung umzusetzen, sehen sich mit einer ganzen Reihe von Standards wie ITIL oder Cobit konfrontiert, die neben allgemeinen Vorgehensweisen auch Kennzahlen für verschiedenste Sicherheitsbereiche definieren. Im Rahmen dieser Studie wird untersucht, welche Metriken im Bereich der Sicherheitsbewertung von Service-orientierten Architekturen zur Verfügung stehen und wie diese sinnvoll angewendet werden können. Im Ergebnis gibt das vorliegende Dokument einen Überblick über existierende Metriken und deren Einsatz auf verschiedenen Ebenen einer SOA - von der Governance-Ebene, welche die Anforderungen definiert bis hinunter zur Infrastrukturebene, die letztendlich die Basis eines jeden IT-Systems bereitstellt. 1.1 Was ist eine Metrik? Die ursprüngliche Definition einer Metrik kommt aus dem Bereich der Physik und Mathematik. Das Oxford-Dictionary definiert eine Metrik als: A system or standard of measurement Eine Metrik ist also ein Maßzahlsystem, welches einen definierten Parameterraum normiert auf eine Kennzahl abbildet. Diese Art von Metriken wird im Folgenden als quantitative Metriken bezeichnet. Da die Erstellung einer quantitativen Metrik nicht für alle Anwendungsbereiche einfach durchführbar ist, wird im Bereich der Sicherheitsmetriken häufig Gebrauch von sogenannten qualitativen Metriken gemacht. Qualitative Metriken geben eine Übersicht über Sicherheitseigenschaften durch Einordnung von bestimmten Parametern in verschiedene Kategorien. Dem gegenüber ermöglichen quantitative Metriken die Bewertung eines Teilaspektes der Sicherheit mit konkreten Zahlen. Bundesamt für Sicherheit in der Informationstechnik 9

8 1 Einleitung Gemäß [Jaqi 2009] zeichnet sich eine gute Metrik durch die folgenden Eigenschaften aus: 1. Objektivität 2. Kostengünstig in der Erhebung 3. Idealerweise quantitativ 4. Besitz einer Einheit 5. Nutzbar für eine Entscheidungsfindung Im Rahmen dieser Studie werden sowohl qualitative als auch quantitative Metriken betrachtet, da gerade im Bereich der Sicherheit quantitative Metriken häufig nicht verfügbar sind. 1.2 Vorgehensmodell Da die zugrunde liegende Fragestellung sehr komplex ist, wurde das Problem im Rahmen dieser Studie in Teilprobleme zerlegt. Dies wurde durch die Erarbeitung eines Schichtenmodells erreicht, welches in Abbildung 1 dargestellt ist. Es umfasst die drei wesentlichen Schichten: Infrastruktur Metriken, SOA Metriken und Security Management Metriken. Orthogonal zu diesen Schichten sind in dem Modell Governance und IT-Standards angeordnet. Diese repräsentieren die organisatorische Ebene einer SOA, welche in diesem Dokument aus Gründen der Vollständigkeit aufgeführt sind, aber nicht den eigentlichen Fokus darstellen. Schwerpunkt dieser Studie sind Metriken auf den einzelnen Schichten, welche zur Bewertung der Sicherheit einer SOA herangezogen werden können. Abbildung 1: Ebenen für die Betrachtung der Metriken in dieser Studie Security Management Metriken IT-Sicherheitsmanagement bezeichnet Verfahren, Prozesse und Modelle zur Planung, Umsetzung, Steuerung und Kontrolle der Sicherheit innerhalb einer Organisation. Governance, Risk und Compliance (GRC) stellt dabei einen wesentlichen Teil des IT-Sicherheitsmanagements dar. Das Sicherheitsmanagement kann durch geeignete Metriken unterstützt werden und bei der Entscheidungsfindung helfen. Nach Einführung der Schutzbedarfsanalyse und Risikoanalyse werden in dieser Studie konkrete Metriken aus Kontrollzielen sowie Metriken aus technischen Anforderungen betrachtet. SOA Metriken 10 Bundesamt für Sicherheit in der Informationstechnik

9 Einleitung 1 Um die Sicherheit einer SOA zu bewerten, müssen zwei Punkte betrachtet werden. Zum einen müssen die IT-Komponenten (Netzinfrastruktur, Hardware und Software), aus denen eine SOA aufgebaut ist, abgesichert werden. Zum anderen muss die SOA als Ganzes abgesichert sein. Für die Absicherung der IT-Komponenten existieren keine SOA-spezifischen Kennzahlen. Allerdings können generelle Kennzahlen herangezogen werden, um bestimmte Teilbereiche einer SOA abzudecken. So wurden für diese Studie wichtige Aspekte einer SOA herausgegriffen und Metriken für diese Aspekte aufgeführt. Im Fokus stehen Sicherheitsmetriken zur Bewertung von Diensten, Metriken für Identitätsmanagement, Metriken zur Bewertung der Konformität zu Web Service Sicherheitsstandards sowie Metriken zur Bewertung des Reifegrades einer SOA. Infrastruktur Metriken Die technische Infrastruktur ist die Grundlage für den Betrieb einer SOA und die Kommunikation von IT Systemen über Netzwerke im Allgemeinen. Im Rahmen dieser Studie wurden ausgewählte Metriken zur Bewertung der Sicherheit einer IT-Infrastruktur zusammengetragen und im Detail erläutert. Näher betrachtet wurden Metriken zur Bewertung von Schwachstellen, Metriken zur Bewertung der Leistungsfähigkeit eines Intrusion Detection Systems (IDS) und Metriken zur Bewertung der Sicherheit eines Netzwerkes mittels Attack-Graphen. Neben den vorgestellten Metriken sind weitere Ansätze bekannt und anwendbar, welche nicht im Rahmen dieser Studie behandelt wurden. Im Rahmen dieser Studie wird gezeigt, dass eine Vielzahl von Metriken existiert, welche zur Bewertung der Sicherheit einer SOA genutzt werden können. Hierbei ist hervorzuheben, dass diese nicht gleichmäßig über die verschiedenen Schichten verteilt sind. Ebenso ist ein starker Fokus auf qualitativen Metriken auf den höheren Schichten einer SOA zu erkennen. Generell befasst sich jede untersuchte Metrik mit einem konkreten Teilaspekt der Sicherheit einer SOA, etwa mit dem Identitätsmanagement oder der Leistungsfähigkeit des IDS in der Infrastruktur. Es gibt nur wenige Metriken, welche möglichst umfassend eine Vielzahl von Faktoren zur Bewertung der Sicherheit heranziehen. Attack Graph Metriken und deren Kombination mit CVSS sind ein erster Schritt, welcher in der Bewertung einer Vielzahl von Aspekten münden kann. Forschungsarbeiten in diesem Bereich können helfen, diese Bewertungsmethoden zu erweitern und umfassender zu gestalten. Im Rahmen dieser Studie wurden diese Forschungsfragen jedoch nicht behandelt. 1.3 Einschränkungen und Einsatzbereich Diese Studie richtet sich insbesondere an IT-Sicherheitsexperten, Controller, Entscheidungsträger und verantwortliche IT-Sicherheitsbeauftragte, welche die Sicherheit einer SOA mittels verschiedener Metriken bewerten wollen. Allerdings darf der Einsatz dieser Metriken nicht unreflektiert erfolgen. Im Controlling werden beispielsweise Metriken genutzt, um die Effektivität von Maßnahmen zu bestimmen, indem ein Soll-Wert mit dem Ist-Wert verglichen wird. Der Soll-Wert ist allerdings in Bezug auf sicherheitsbezogene Fragen zumeist schwierig zu bestimmen, da die gegebenen Daten oft nicht durch quantitative Werte zu erfassen sind, und somit qualitative Werte zu Hilfe genommen werden. Insbesondere ist anzumerken, dass Sicherheit nicht durch eine einzige Kennzahl oder eine begrenzte Menge an Kennzahlen beschreibbar ist. Vielmehr muss eine Auswahl und ein Zusammenspiel verschiedener Metriken erfolgen und auf das jeweilige Anwendungsfeld abgestimmt sein. Bundesamt für Sicherheit in der Informationstechnik 11

10 1 Einleitung Eine solche Studie kann demnach keine detaillierte Anleitung sein, wie das eigene Unternehmen anhand von Metriken vermessen werden kann. Die Auswahl von geeigneten Metriken für den konkreten Fall ist von der jeweiligen Struktur der SOA abhängig und kann im Rahmen der Aufgaben eines Chief Information Security Officers und des IT-Sicherheitsmanagements durchgeführt werden. 1.4 Struktur dieses Dokumentes Dieses Dokument gliedert sich grob entsprechend den in Abschnitt 1.2 beschriebenen Ebenen, anhand derer die Messbarkeit von Sicherheit in Service-orientierten Architekturen untersucht werden soll. Beginnend mit der höchsten Ebene betrachtet Kapitel 2 die für SOA Sicherheit relevanten IT Sicherheitsstandards und geht darauf ein, wie diese von der IT Governance genutzt werden können, um konkrete Sicherheitszielstellungen und Anforderungen abzuleiten. Kapitel 3 betrachtet anschließend Metriken für das IT-Sicherheitsmanagement. Kapitel 4 geht konkret auf Besonderheiten einer Service-orientierten Architektur ein und beschreibt Methoden, nach denen eine SOA bewertet werden kann. Kapitel 5 widmet sich schließlich der untersten Ebene des in Abschnitt 1.2 beschriebenen Schichtenmodells und beschreibt Methoden und Metriken zur Bewertung der IT-Infrastruktur eines Unternehmens. In Kapitel 6 werden die vorgestellten Metriken und Methoden an einem konkreten Szenario veranschaulicht. Kapitel 7 fasst die Ergebnisse der Studie abschließend zusammen. 12 Bundesamt für Sicherheit in der Informationstechnik

11 IT-Sicherheitsstandards und Governance 2 2 IT-Sicherheitsstandards und Governance Die Umsetzung von Sicherheit in einer SOA kann nur eingehend bewertet werden anhand der Anforderungen, die von der Managementebene festgelegt werden (Aufgabe der Governance). Sicherheitsstandards wie die ISO Serie, IT-Grundschutz oder SOGP definieren dazu Sicherheitsanforderungen an Systeme und Sicherheitsprozesse, deren Umsetzung die Aufgabe des IT-Sicherheitsmanagements ist. Im folgenden Abschnitt werden in aller Kürze wesentliche IT Sicherheitsstandards vorgestellt und in ihrem Anwendungsbereich und ihrer Struktur beschrieben. Der Abschnitt IT Governance zeigt, wie diese Standards im Unternehmen genutzt werden, um Sicherheitsanforderungen zu definieren, umzusetzen und zu kontrollieren und damit die Informationssicherheit im Unternehmen kontinuierlich zu verbessern. 2.1 IT Sicherheitsstandards Weltweit gibt es eine ganze Fülle an IT Sicherheitsstandards, Vorschriften und Normen, um Produkte, Systeme, Geschäftsprozesse oder Umgebungen einheitlich zu beschreiben. Je nach Art des Unternehmens und des geplanten Einsatzes kann dabei der eine oder der andere Standard Anwendung finden. Hier den Überblick zu behalten und den richtigen auszuwählen ist nicht einfach. Eine Hilfe bietet die Einteilung der verschiedenen Standards anhand ihres vorrangigen Einsatzbereiches, wie es durch die Arbeitsgruppe NIA-27 (http://www.nia.din.de) vorgeschlagen wird. Demnach können die IT Sicherheitsstandards unterschieden werden in - Grundlegende Standards zum IT-Sicherheits- und Risikomanagement wie der IT-Grundschutz oder die ISO Familie - Standards mit IT-Sicherheitsaspekten wie Cobit und ITIL - Standards zur Evaluierung von IT-Sicherheit wie die Common Criteria - Vorschriften wie das Bundesdatenschutzgesetz oder der Sarbanes-Oxley Act. Bundesamt für Sicherheit in der Informationstechnik 13

12 2 IT-Sicherheitsstandards und Governance Standards mit IT-Sicherheitsaspekten Cobit, ITIL, etc. Standards zur Evaluierung von IT-Sicherheit Common Criteria (ISO/IEC 15408), ISO/IEC TR 15443, ISO/IEC 18045, etc. Grundlegende Standards zum IT-Sicherheits- und Risikomanagement Informationssicherheits-Managementsysteme (ISMS): IT-GS, ISO/IEC 27001, ISO/IEC 27002, etc. Vorschriften und Gesetze Bundesdatenschutzgesetz, Sarbanes-Oxley-Act, etc. Abbildung 2: Kategorien von IT Sicherheitsstandards Die dieser Studie zugrunde liegenden Standards werden im folgenden Abschnitt beschrieben. Jede Standardbeschreibung folgt dabei einem einheitlichen Schema: - Vollständiger Name - Herausgeber - Ziel und Anwendungsbereich - Struktur und Aufbau des Standards - Anwendung des Standards - Beispiel - Seiten (ca.) - Bisherige Versionen IT-Grundschutz - Vollständiger Name IT Grundschutz - Herausgeber Bundesamt für Sicherheit in der Informationstechnik (BSI) - Ziel und Anwendungsbereich IT-Grundschutz kann herangezogen werden, um ein effektives Informationssicherheits- Management aufzubauen. Dazu werden Konzepte (Bausteine), Gefährdungen und Methodiken für typische Geschäftsprozesse und deren Absicherung beschrieben. Im Fokus steht dabei der Verbund von organisatorischen, personellen, infrastrukturellen und technischen Komponenten. Auf Basis der im Unternehmen vorhandenen Komponenten kann IT- 14 Bundesamt für Sicherheit in der Informationstechnik

13 IT-Sicherheitsstandards und Governance 2 Grundschutz genutzt werden, um die IT-Sicherheitsmaßnahmen auf die Bedürfnisse des Unternehmens anzupassen. - Struktur und Aufbau des Standards Der Standard beschreibt technische Komponenten und Konzepte, die in typischen IT- Landschaften Anwendung finden (Bausteine). Außerdem werden Gefahrentypen definiert und aufgeschlüsselt (Gefährdungskataloge), sowie Maßnahmen auf infrastruktureller, personeller, organisatorischer und technischer Ebene beschrieben (Maßnahmenkataloge), um die IT- Sicherheit zu gewährleisten. - Anwendung des Standards Ausgehend von der Leitungsebene werden strategische Leitaussagen zur Informationssicherheit sowie organisatorische Rahmenbedingungen festgelegt. Aufbauend auf diesen Festlegungen wird ein Sicherheitskonzept nach IT-Grundschutz erstellt, wobei das Zusammenspiel der Geschäftsprozesse, der Anwendungen und der vorliegenden Informationstechnik zu analysieren und zu dokumentieren ist. Um geeignete Sicherheitsmaßnahmen für den vorliegenden Informationsverbund identifizieren zu können, müssen anschließend die IT-Grundschutz Bausteine auf die Zielobjekte und Teilbereiche der Anwendungen abgebildet werden. - Beispiel Im Rahmen einer Strukturanalyse werden zum Beispiel eine Netzplanerhebung und eine Erfassung der IT-Systeme durchgeführt. Für diese wird dann der Schutzbedarf ermittelt und Maßnahmen für den ermittelten Bedarf entsprechend der IT-Grundschutzkataloge umgesetzt. - Seiten (ca.) Bisherige Versionen IT-Grundschutzhandbuch (2003) IT-Grundschutz-Kataloge ( ) ISO / ISO Vollständiger Name ISO/IEC Information Security Management Systems Requirements ISO/IEC (zuvor 17779) Code of Practice for information security management - Herausgeber ISO International Organization for Standardization, - Ziel und Anwendungsbereich ISO/IEC gilt als der grundlegende Standard für ein Informationssicherheits- Managementsystem (ISMS) und beschreibt Anforderungen an ein solches System im Unternehmen. Bundesamt für Sicherheit in der Informationstechnik 15

14 2 IT-Sicherheitsstandards und Governance ISO wird durch weitere Standards ergänzt: ISO/IEC definiert sicherheitsrelevante Begriffe wie Bedrohung, Schwachstellen, Schäden, Risiken und enthält die grundlegende Methodik zur Bewertung, Analyse und Abschätzung von Risiken. ISO/IEC formuliert Maßnahmen für das Etablieren und Verbessern des Informationssicherheits-Management in einer Organisation. Ziel dieser Standards ist es, Informationssicherheit als Gesamtaufgabe des Unternehmens darzustellen und Richtlinien für die Informationssicherheit zu formulieren. Diese richten sich beispielsweise an die folgenden Sicherheitsaspekte: - Risikomanagement - Aufstellen von Sicherheitspolicies - Asset Management - Physische Sicherheit - Zugangskontrolle - Organisation der Informationssicherheit - Einhalten von Vorgaben (Compliance) - Anwendung des Standards ISO / IEC und ISO/ IEC sind insbesondere als Leitfäden für Informationssicherheits-Management anzusehen und enthalten keine konkreten Lösungen. Die Dokumente sind bewusst generisch gehalten, um auf alle Organisationen anwendbar zu sein. Dementsprechend ist der technische Detaillierungsgrad gering. Die Standards sind damit insbesondere für die Unternehmensführung und für IT-Sicherheitsbeauftragte relevant und weniger für die Umsetzungsverantwortlichen. - Beispiel ISO bestimmt zum Beispiel, dass in jedem Informationssicherheitsmanagementsystem Sicherheitspolicies mit Ziel und Gültigkeitsbereich definiert sein sollten. Ebenso sollten die Konsequenzen für die Verletzung von Sicherheitspolicies klar definiert sein. Des Weiteren beschreibt der Standard die in einem Informationssicherheitsmanagementsystem notwendigen Reportingprozesse. - Seiten (ca.) Bisherige Versionen ISO/IEC (2005) ISO/IEC (2005), zuvor: ISO/IEC (2000) Cobit - Vollständiger Name Cobit (Control Objectives for Information and Related Technology) 16 Bundesamt für Sicherheit in der Informationstechnik

15 - Herausgeber IT Governance Institute, IT-Sicherheitsstandards und Governance 2 Das IT Governance Institute ist Teil der Information Systems Audit and Control Association (ISACA), - Ziel und Anwendungsbereich Der Cobit Standard findet im IT Governance Bereich Anwendung. IT Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch die Unternehmensführung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie (vgl.[bit 2007], S.31). Dies umfasst beispielsweise die Anpassung der IT im Hinblick auf eine optimale Erreichung der Unternehmensziele, die Kontrolle der dazu benötigten Ressourcen (Personal, Hardware, etc.) sowie die Abschätzung von Risiken und deren Absicherung. Ebenso muss das IT Management sicherstellen, dass bestimmte rechtliche Rahmenbedingungen eingehalten werden. Cobit unterstützt das Unternehmensmanagement, indem es ein Rahmenwerk bietet, welches es einfacher macht im Unternehmen ein Kontrollsystem zu etablieren, welches die Effizienz der Unternehmensprozesse misst und die Erreichung der Geschäftsziele überwacht. Dazu umfasst Cobit im wesentlichen einen Katalog von allgemein anerkannten Kontrollzielen aus verschiedenen Bereichen des IT Einsatzes im Unternehmen, welcher genutzt werden kann, um alle Aspekte des IT Einsatzes zu planen und zu kontrollieren von der Einsatzplanung über die Mitarbeiterführung bis hin zu IT Dienstleistungen. Die Kontrolle erfolgt über definierte Prozesse und dazugehörige Kontrollziele, deren Einhaltung vom Unternehmensmanagement zu prüfen sind. - Struktur und Aufbau des Standards Cobit besteht im wesentlichen aus dem Hauptdokument (Framework). Darüber hinaus veröffentlicht die ISACA weitere Dokumente rund um den Cobit Standard. Mit Cobit fb gibt es eine Reihe von Dokumenten, die die Abbildung von Standards wie ITIL, ISO oder IT- Grundschutz auf Cobit beschreiben. - Anwendung des Standards Der Ausgangspunkt für die Anwendung des Standards sind die Unternehmensziele, die mit den IT Zielen in Einklang stehen sollten. Dies ist der Fall, wenn alle IT Prozesse im Unternehmen optimal im Hinblick auf die Geschäftsziele funktionieren und Informationen und IT-Ressourcen optimal verwaltet werden. Um dies zu gewährleisten, werden mit Hilfe des Cobit Standards für jeden Prozess in einem Top Down Ansatz Mess- und Zielgrößen festgelegt. Insgesamt definiert Cobit 34 Prozesse und zugeordnete Kontrollziele zur Überwachung der Performance. Eine kontinuierliche Messung der Zielerreichung ist letztendlich Voraussetzung für einen gesunden Steuerungszyklus. Cobit stellt eine Metrik zur Verfügung, um die Effektivität und Effizienz von IT Prozessen zu messen. Für jeden der 34 definierten Prozesse werden dazu spezifische Messgrößen definiert. Als Messgrößen kann zum Beispiel die Häufigkeit, in der das Thema IT im Vorstand diskutiert wird, dienen genauso wie die Anzahl und der Zyklus der Schulungen, an denen Mitarbeiter im IT Bereich teilnehmen. - Beispiel Bundesamt für Sicherheit in der Informationstechnik 17

16 2 IT-Sicherheitsstandards und Governance Ein von Cobit definierter Prozess ist beispielsweise der Schutz von Computeranlagen und Geschäftsdaten zur Sicherstellung der Geschäftsfähigkeit des Unternehmens. Dazu definiert Cobit Kontrollziele wie beispielsweise die geeignete Standortwahl, den Einsatz von physischen Sicherheitsmaßnahmen oder den Schutz gegen Umwelteinflüsse. Zur Kontrolle der Erreichung dieser Ziele dienen Messgrößen wie die Anzahl der durch die Verletzung der physischen Sicherheit hervorgerufenen Ausfälle. - Seiten (ca.) Bisherige Versionen Cobit 4.1 (englisch), 2007 Cobit 4.0 (englisch und deutsch), November ITIL - Vollständiger Name ITIL (Information Technology Infrastructure Library) - Herausgeber Office of Government Commerce (OGC), Das OGC ist ein unabhängiges Büro des Ökonomie- und Finanzministeriums des Vereinigten Königreiches Großbritannien und Nordirland (HM Treasury). - Ziel und Anwendungsbereich Im Fokus der Entwicklung von ITIL standen die bewährten Methoden der Rechenzentren der britischen Regierung um Services vergleichen zu können. Heute ist ITIL der de-facto Standard für Service Management mit einer Sammlung von fachlichen Dokumentationen über die Planung, Erbringung und Unterstützung von IT-Servicemerkmalen. Das wesentliche Ziel von ITIL besteht darin die Ausrichtung der IT-Organisation so zu ändern, dass sie prozess-, service- und kundenorientiert ist und so zuverlässige, sichere und wirtschaftliche IT-Services anbieten kann. - Struktur und Aufbau des Standards ITIL 3.0 gliedert sich in fünf Bücher zur Servicestrategie (Service Strategy), Serviceentwurf (Service Design), Serviceüberführung (Service Transition), Servicebetrieb (Service Operation) und kontinuierlichen Serviceverbesserung (Continual Service Improvement), die das Service- Lifecycle-Management umfasst. - Anwendung des Standards Die Bücher erläutern die notwendigen Prozesse zu den fünf Schritten des Lifecycle- Managements. Im ersten Schritt (Servicestrategie) des Lifecycle-Managements werden die Services auf Basis der Kunden- und Unternehmensanforderungen definiert. Im zweiten Schritt (Serviceentwurf) werden die Services entworfen bzw. bestehende Services angepasst. Dazu zählt auch die Berücksichtigung der Sicherheitsanforderungen. 18 Bundesamt für Sicherheit in der Informationstechnik

17 IT-Sicherheitsstandards und Governance 2 Im dritten Schritt (Serviceüberführung) werden die entworfenen Services umgesetzt und im vierten Schritt (Servicebetrieb) werden die umgesetzten Services betrieben. Im letzten Schritt (Serviceverbesserung) werden kontinuierlich die Verbesserungsmöglichkeiten der Services identifiziert und realisiert. - Beispiel Ein durch ITIL entwickelter Dienst ist beispielsweise ein "Help Desk". Für diesen muss definiert werden, wer den Dienst anfragen darf, wie schnell eine Antwort zurückkommen muss und wie verfügbar (z.b. 24/7) der "Help Desk" sein muss. ITIL macht Angaben dazu, wie dieser Dienst in einen realen Wirkbetrieb umgesetzt werden sollte und auch, wie der laufende Dienst, durch Aufnahme von Kundenwünschen und allgemeinen Verbesserungsvorschläge kontinuierlich verbessert werden kann. - Seiten (ca.) Bisherige Versionen ITIL 1.0 ( ) ITIL 2.0 ( ) ITIL 3.0 (Juni 2007) Common Critera - Vollständiger Name Common Criteria for Information Technology Security Evaluation ISO/IEC Herausgeber Common Criteria Recognition Arrangement (CCRA) in Deutschland vertreten durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) - Ziel und Anwendungsbereich Die Common Criteria sind eine international anerkannte Sammlung von Sicherheitsnormen, welche eine zuverlässige und international vergleichbare Bewertung der Sicherheitstauglichkeit von Produkten im Bereich der Informationstechnologie bieten. IT-Produkte können durch eine unabhängige, in Deutschland vom BSI geprüfte Instanz, nach den Common Criteria zertifiziert werden. Eine solche Zertifizierung kann Käufern als Hilfestellung für Kaufentscheidungen dienen, indem sie eine unabhängige Bewertung der Übereinstimmungsfähigkeit eines Produkts mit den Sicherheitsnormen vornimmt. Ebenso können Hersteller von IT Sicherheitsprodukten die Zertifizierung nach den Common Criteria als Marketinginstrument nutzen. Historisch sind die Common Criteria aus dem europäischen ITSEC, den amerikanischen Federal Criteria (FC) und den kanadischen CTCPEC entstanden. Sie sind heute unter ISO/IEC JTC 1/SC 27 international standardisiert mit Zertifizierungsstellen in zahlreichen Ländern. - Struktur und Aufbau des Standards Bundesamt für Sicherheit in der Informationstechnik 19

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz

Reifegradmodelle. Skiseminar Software Engineering. Robin Schultz Reifegradmodelle Skiseminar Software Engineering Robin Schultz Agenda Grundlagen Die IT Infrastructure Library Entwicklung Aufbau Kritik Kombination mit anderen Modellen Praktischer Einsatz Fazit und Ausblick

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT Sicherheit: Bewertungskriterien

IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / 18.12.2014 1/27 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.12.2014 Dr. Christian Rathgeb

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Strategische Effektivität und Effizienz mitcobitjtil&co Mit einem Praxisbericht von Daniel Just und Farsin Tami dpunkt.verlag Inhaltsverzeichnis

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

2 Einführung und Grundlagen 5

2 Einführung und Grundlagen 5 xi Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT.............................. 5 2.2 Trends und Treiber................................ 7 2.3 Geschäftsarchitektur

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5

xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 xiü Inhaltsverzeichnis 1 Einleitung 1 2 Einführung und Grundlagen 5 2.1 Die neue Rolle der IT 5 2.2 Trends und Treiber 7 2.2.1 Wertbeitrag von IT 7 2.2.2 IT-Business-Alignment 12 2.2.3 CompÜance 14 2.2.4

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015 pco ISO/IEC 27001:2013 Praxisworkshop Einleitung Der Praxisworkshop Information-Security-Management-System (ISMS) nach ISO/IEC 27001:2013 vermittelt den Teilnehmern einen fundierten Überblick, wie durch

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Agenda ITIL v3 Framework

Agenda ITIL v3 Framework Agenda ITIL v3 Framework Overview & Allgemeines ITIL Service Lifecycle Service Strategies Service Design Service Transition Service Operation Continual Service Improvement ITIL V3 Continual Service Improvement

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr