4 Bundesamt für Sicherheit in der Informationstechnik
|
|
- Günther Busch
- vor 8 Jahren
- Abrufe
Transkript
1
2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: Bundesamt für Sicherheit in der Informationstechnik 2010
3 4 Bundesamt für Sicherheit in der Informationstechnik
4 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Was ist eine Metrik? Vorgehensmodell Einschränkungen und Einsatzbereich Struktur dieses Dokumentes IT-Sicherheitsstandards und Governance IT Sicherheitsstandards Security Governance Metriken für IT-Sicherheitsmanagement Der IT-Sicherheitsmanagementzyklus Methoden und Metriken für die Bewertung von Assets und die Bewertung des Risikos Metriken zur Messung der Effektivität von Sicherheitsmaßnahmen Metriken für Service-orientierte Architekturen Sicherheitsmetriken zur Bewertung von Diensten Metriken für Identitätsmanagement Bewertung der Konformität zu Web Service Sicherheitsstandards Bewertung des Reifegrads einer SOA Infrastruktur Metriken Metriken für Schwachstellenbeschreibungen Attack-Graphen zur Messung von Sicherheit Metriken für Intrusion Detection Systeme Metriken in der Anwendung Anwendungsszenario Fall 1 Sicherheit beim Produzenten Fall 2 Sicherheit beim Händler Zusammenfassung Literaturverzeichnis Abbildungsverzeichnis Abbildung 1: Ebenen für die Betrachtung der Metriken in dieser Studie...10 Abbildung 2: Kategorien von IT Sicherheitsstandards...13 Abbildung 3: Zusammenhang von IT Standards und Governance...23 Abbildung 4: Standards und Best Practices für Governance...24 Abbildung 5: Governanceaspekte für SOA Sicherheit...26 Bundesamt für Sicherheit in der Informationstechnik 5
5 Inhaltsverzeichnis Abbildung 6: Einsatz von Metriken in einem Informationssicherheitsmanagementsystem (Quelle: Stefan Strobel: Schutzfaktor: Kennzahlen und Messbarkeit der IT Sicherheit", ix 7/2008)...33 Abbildung 7: Abhängigkeiten der Risikoanalyse...38 Abbildung 8: Beispiel einer Gefährdungstabelle, BSI-Standard 100-3, S Abbildung 9: Testarchitektur der WS-I...75 Abbildung 10: Beispiel für das Ergebnis eines WS-I Tests...76 Abbildung 11: Beispiel für einen komplexen Angriff...88 Abbildung 12: Visualisierung eines Attack-Graphen...89 Abbildung 13: Attack Graph Workflow...90 Abbildung 14: Beispiel für einen Attack Tree...91 Abbildung 15: Beispiel für ein Konzept in JIGSAW...92 Abbildung 16: Beispiel einer Angriffsbeschreibung mit LAMBDA...93 Abbildung 17: TVAS aggregierter Attack-Graph...97 Abbildung 18: NetSPA Beispiel Attack Graph...98 Abbildung 19: Komponenten eines Intrusion Detection Systems Abbildung 20: Beispiel einer ROC Kurve Abbildung 21: Vergleichskurven ROC - C_ID Abbildung 22: Schichtenmodell des Anwendungsbeispiels Abbildung 23: Anwendungslandschaften Abbildung 24: Übersicht zur Netzwerkstruktur des Produzenten Abbildung 25: Auszug aus der MulVAL Netzwerkbeschreibung Abbildung 26: Auszug aus der MulVAL Servicebeschreibung Abbildung 27: Auszug aus der MulVAL Schwachstellenbeschreibung Abbildung 28: Generierter Attack Graph für das konkrete Netzwerk Abbildung 29: Übersicht IDS Deployment beim Produzenten Abbildung 30: Generierte ROC Kurven Tabellenverzeichnis Tabelle 1: Ansätze zur Bestimmung des Schutzbedarfs...35 Tabelle 2: Schutzbedarfskategorien nach BSI Standard Tabelle 3: Schutzbedarfskategorie "normal" nach BSI-Standard 100-2, S Tabelle 4: Vor- und Nachteile der quantitativen Risikoanalyse...40 Tabelle 5: Vor- und Nachteile der qualitativen Risikoanalyse Bundesamt für Sicherheit in der Informationstechnik
6 Inhaltsverzeichnis Tabelle 6: Kontrollziele nach COBIT...43 Tabelle 7: Kontrollziele nach ISO Tabelle 8: technische Metriken im Zusammenhang mit dem verkehr...49 Tabelle 9: technische Metriken in Zusammenhang mit Antivirus und Antispyware...50 Tabelle 10: technische Metriken in Zusammenhang mit Firewall und Netzwerk...51 Tabelle 11: technische Metriken in Zusammenhang mit Hosts...52 Tabelle 12: technische Metriken in Zusammenhang mit Patchmanagement...53 Tabelle 13: technische Metriken in Zusammenhang mit Antivirus- und Antispywaresoftware...54 Tabelle 14: technische Metriken für die Zuverlässigkeit und Verfügbarkeit von Systemen...55 Tabelle 15: Klassifizierung von Anwendungskomponenten...57 Tabelle 16: InCommon Bewertungskriterien und Zuordnung zu Sicherheitsleveln (nach [IAP 2008])...69 Tabelle 17: Zuordnung der Schwere potenzieller Authentifizierungsfehler zu Sicherheitsleveln...72 Tabelle 18: Erlaubte Tokentypen für jeden Sicherheitslevel (Auszug aus [NIST 2006])...73 Tabelle 19: Benötigter Schutz gegen Attacken für jeden Sicherheitslevel (Auszug aus [NIST 2006])...73 Tabelle 20: Identitätsmanagementansätze und deren Grad an Flexibilität...77 Tabelle 21: Policy Managementansätze und deren Grad an Flexibilität...78 Tabelle 22: Schwachstellen-Datenbanken im Vergleich...87 Tabelle 23: Schutzbedarfsklassen für Dienste der Kategorie Bestand Tabelle 24: Schutzbedarfsklassen für Dienste der Kategorie Logik Tabelle 25: Schutzbedarfsklassen für Dienste der Kategorie Prozess Tabelle 26: Bewertung der Dienste in der Anwendungslandschaft Tabelle 27: Checkliste Dienstsicherheit Tabelle 28: CVE Identifier und zugehörige CVSS Scores Tabelle 29: angenommenes Szenario für die Bewertung der Sicherheit des Identitätsmanagement beim Händler Tabelle 30: Beispielaudit des Händlers nach den InCommon Kriterien Tabelle 31: Beispielhafte Risikobewertung nach OMB / NIST Bundesamt für Sicherheit in der Informationstechnik 7
7 Einleitung 1 1 Einleitung Was du nicht messen kannst, kannst du nicht lenken. Peter Drucker, US-amerikanischer Ökonom und Pionier moderner Managementlehre Dieses Zitat von Peter Drucker, einem Pionier der modernen Managementlehre, reflektiert recht deutlich den Wunsch, Entscheidungsprozesse in Unternehmen und Organisationen durch geeignete Kennzahlen und Metriken transparenter zu gestalten und zu vereinfachen. Insbesondere möchte man gerade in großen Organisationen und Unternehmen die Effektivität von Prozessen und den Erfolg von Investitionsentscheidungen messen, um gegebenenfalls Gegenmaßnahmen einleiten zu können und damit letztendlich auch am Markt zu bestehen. Das Gleiche gilt auch für die Sicherheit von Service-orientierten Architekturen (SOA). Die Effektivität von Sicherheitsmaßnahmen und der umgesetzte Schutz von möglicherweise unternehmenskritischen Diensten sind Aspekte, die IT- Sicherheitsverantwortliche und die Geschäftsführung gerne mit Kennzahlensystemen überwachen und kontrollieren möchten. So stark dieser Wunsch nach eindeutigen und klaren Kennzahlen auf der einen Seite ist, so schwer ist auf der anderen Seite die Umsetzung. Gerade IT-Sicherheitsverantwortliche, welche in der Situation sind, die Anforderungen der Geschäftsführung umzusetzen, sehen sich mit einer ganzen Reihe von Standards wie ITIL oder Cobit konfrontiert, die neben allgemeinen Vorgehensweisen auch Kennzahlen für verschiedenste Sicherheitsbereiche definieren. Im Rahmen dieser Studie wird untersucht, welche Metriken im Bereich der Sicherheitsbewertung von Service-orientierten Architekturen zur Verfügung stehen und wie diese sinnvoll angewendet werden können. Im Ergebnis gibt das vorliegende Dokument einen Überblick über existierende Metriken und deren Einsatz auf verschiedenen Ebenen einer SOA - von der Governance-Ebene, welche die Anforderungen definiert bis hinunter zur Infrastrukturebene, die letztendlich die Basis eines jeden IT-Systems bereitstellt. 1.1 Was ist eine Metrik? Die ursprüngliche Definition einer Metrik kommt aus dem Bereich der Physik und Mathematik. Das Oxford-Dictionary definiert eine Metrik als: A system or standard of measurement Eine Metrik ist also ein Maßzahlsystem, welches einen definierten Parameterraum normiert auf eine Kennzahl abbildet. Diese Art von Metriken wird im Folgenden als quantitative Metriken bezeichnet. Da die Erstellung einer quantitativen Metrik nicht für alle Anwendungsbereiche einfach durchführbar ist, wird im Bereich der Sicherheitsmetriken häufig Gebrauch von sogenannten qualitativen Metriken gemacht. Qualitative Metriken geben eine Übersicht über Sicherheitseigenschaften durch Einordnung von bestimmten Parametern in verschiedene Kategorien. Dem gegenüber ermöglichen quantitative Metriken die Bewertung eines Teilaspektes der Sicherheit mit konkreten Zahlen. Bundesamt für Sicherheit in der Informationstechnik 9
8 1 Einleitung Gemäß [Jaqi 2009] zeichnet sich eine gute Metrik durch die folgenden Eigenschaften aus: 1. Objektivität 2. Kostengünstig in der Erhebung 3. Idealerweise quantitativ 4. Besitz einer Einheit 5. Nutzbar für eine Entscheidungsfindung Im Rahmen dieser Studie werden sowohl qualitative als auch quantitative Metriken betrachtet, da gerade im Bereich der Sicherheit quantitative Metriken häufig nicht verfügbar sind. 1.2 Vorgehensmodell Da die zugrunde liegende Fragestellung sehr komplex ist, wurde das Problem im Rahmen dieser Studie in Teilprobleme zerlegt. Dies wurde durch die Erarbeitung eines Schichtenmodells erreicht, welches in Abbildung 1 dargestellt ist. Es umfasst die drei wesentlichen Schichten: Infrastruktur Metriken, SOA Metriken und Security Management Metriken. Orthogonal zu diesen Schichten sind in dem Modell Governance und IT-Standards angeordnet. Diese repräsentieren die organisatorische Ebene einer SOA, welche in diesem Dokument aus Gründen der Vollständigkeit aufgeführt sind, aber nicht den eigentlichen Fokus darstellen. Schwerpunkt dieser Studie sind Metriken auf den einzelnen Schichten, welche zur Bewertung der Sicherheit einer SOA herangezogen werden können. Abbildung 1: Ebenen für die Betrachtung der Metriken in dieser Studie Security Management Metriken IT-Sicherheitsmanagement bezeichnet Verfahren, Prozesse und Modelle zur Planung, Umsetzung, Steuerung und Kontrolle der Sicherheit innerhalb einer Organisation. Governance, Risk und Compliance (GRC) stellt dabei einen wesentlichen Teil des IT-Sicherheitsmanagements dar. Das Sicherheitsmanagement kann durch geeignete Metriken unterstützt werden und bei der Entscheidungsfindung helfen. Nach Einführung der Schutzbedarfsanalyse und Risikoanalyse werden in dieser Studie konkrete Metriken aus Kontrollzielen sowie Metriken aus technischen Anforderungen betrachtet. SOA Metriken 10 Bundesamt für Sicherheit in der Informationstechnik
9 Einleitung 1 Um die Sicherheit einer SOA zu bewerten, müssen zwei Punkte betrachtet werden. Zum einen müssen die IT-Komponenten (Netzinfrastruktur, Hardware und Software), aus denen eine SOA aufgebaut ist, abgesichert werden. Zum anderen muss die SOA als Ganzes abgesichert sein. Für die Absicherung der IT-Komponenten existieren keine SOA-spezifischen Kennzahlen. Allerdings können generelle Kennzahlen herangezogen werden, um bestimmte Teilbereiche einer SOA abzudecken. So wurden für diese Studie wichtige Aspekte einer SOA herausgegriffen und Metriken für diese Aspekte aufgeführt. Im Fokus stehen Sicherheitsmetriken zur Bewertung von Diensten, Metriken für Identitätsmanagement, Metriken zur Bewertung der Konformität zu Web Service Sicherheitsstandards sowie Metriken zur Bewertung des Reifegrades einer SOA. Infrastruktur Metriken Die technische Infrastruktur ist die Grundlage für den Betrieb einer SOA und die Kommunikation von IT Systemen über Netzwerke im Allgemeinen. Im Rahmen dieser Studie wurden ausgewählte Metriken zur Bewertung der Sicherheit einer IT-Infrastruktur zusammengetragen und im Detail erläutert. Näher betrachtet wurden Metriken zur Bewertung von Schwachstellen, Metriken zur Bewertung der Leistungsfähigkeit eines Intrusion Detection Systems (IDS) und Metriken zur Bewertung der Sicherheit eines Netzwerkes mittels Attack-Graphen. Neben den vorgestellten Metriken sind weitere Ansätze bekannt und anwendbar, welche nicht im Rahmen dieser Studie behandelt wurden. Im Rahmen dieser Studie wird gezeigt, dass eine Vielzahl von Metriken existiert, welche zur Bewertung der Sicherheit einer SOA genutzt werden können. Hierbei ist hervorzuheben, dass diese nicht gleichmäßig über die verschiedenen Schichten verteilt sind. Ebenso ist ein starker Fokus auf qualitativen Metriken auf den höheren Schichten einer SOA zu erkennen. Generell befasst sich jede untersuchte Metrik mit einem konkreten Teilaspekt der Sicherheit einer SOA, etwa mit dem Identitätsmanagement oder der Leistungsfähigkeit des IDS in der Infrastruktur. Es gibt nur wenige Metriken, welche möglichst umfassend eine Vielzahl von Faktoren zur Bewertung der Sicherheit heranziehen. Attack Graph Metriken und deren Kombination mit CVSS sind ein erster Schritt, welcher in der Bewertung einer Vielzahl von Aspekten münden kann. Forschungsarbeiten in diesem Bereich können helfen, diese Bewertungsmethoden zu erweitern und umfassender zu gestalten. Im Rahmen dieser Studie wurden diese Forschungsfragen jedoch nicht behandelt. 1.3 Einschränkungen und Einsatzbereich Diese Studie richtet sich insbesondere an IT-Sicherheitsexperten, Controller, Entscheidungsträger und verantwortliche IT-Sicherheitsbeauftragte, welche die Sicherheit einer SOA mittels verschiedener Metriken bewerten wollen. Allerdings darf der Einsatz dieser Metriken nicht unreflektiert erfolgen. Im Controlling werden beispielsweise Metriken genutzt, um die Effektivität von Maßnahmen zu bestimmen, indem ein Soll-Wert mit dem Ist-Wert verglichen wird. Der Soll-Wert ist allerdings in Bezug auf sicherheitsbezogene Fragen zumeist schwierig zu bestimmen, da die gegebenen Daten oft nicht durch quantitative Werte zu erfassen sind, und somit qualitative Werte zu Hilfe genommen werden. Insbesondere ist anzumerken, dass Sicherheit nicht durch eine einzige Kennzahl oder eine begrenzte Menge an Kennzahlen beschreibbar ist. Vielmehr muss eine Auswahl und ein Zusammenspiel verschiedener Metriken erfolgen und auf das jeweilige Anwendungsfeld abgestimmt sein. Bundesamt für Sicherheit in der Informationstechnik 11
10 1 Einleitung Eine solche Studie kann demnach keine detaillierte Anleitung sein, wie das eigene Unternehmen anhand von Metriken vermessen werden kann. Die Auswahl von geeigneten Metriken für den konkreten Fall ist von der jeweiligen Struktur der SOA abhängig und kann im Rahmen der Aufgaben eines Chief Information Security Officers und des IT-Sicherheitsmanagements durchgeführt werden. 1.4 Struktur dieses Dokumentes Dieses Dokument gliedert sich grob entsprechend den in Abschnitt 1.2 beschriebenen Ebenen, anhand derer die Messbarkeit von Sicherheit in Service-orientierten Architekturen untersucht werden soll. Beginnend mit der höchsten Ebene betrachtet Kapitel 2 die für SOA Sicherheit relevanten IT Sicherheitsstandards und geht darauf ein, wie diese von der IT Governance genutzt werden können, um konkrete Sicherheitszielstellungen und Anforderungen abzuleiten. Kapitel 3 betrachtet anschließend Metriken für das IT-Sicherheitsmanagement. Kapitel 4 geht konkret auf Besonderheiten einer Service-orientierten Architektur ein und beschreibt Methoden, nach denen eine SOA bewertet werden kann. Kapitel 5 widmet sich schließlich der untersten Ebene des in Abschnitt 1.2 beschriebenen Schichtenmodells und beschreibt Methoden und Metriken zur Bewertung der IT-Infrastruktur eines Unternehmens. In Kapitel 6 werden die vorgestellten Metriken und Methoden an einem konkreten Szenario veranschaulicht. Kapitel 7 fasst die Ergebnisse der Studie abschließend zusammen. 12 Bundesamt für Sicherheit in der Informationstechnik
11 IT-Sicherheitsstandards und Governance 2 2 IT-Sicherheitsstandards und Governance Die Umsetzung von Sicherheit in einer SOA kann nur eingehend bewertet werden anhand der Anforderungen, die von der Managementebene festgelegt werden (Aufgabe der Governance). Sicherheitsstandards wie die ISO Serie, IT-Grundschutz oder SOGP definieren dazu Sicherheitsanforderungen an Systeme und Sicherheitsprozesse, deren Umsetzung die Aufgabe des IT-Sicherheitsmanagements ist. Im folgenden Abschnitt werden in aller Kürze wesentliche IT Sicherheitsstandards vorgestellt und in ihrem Anwendungsbereich und ihrer Struktur beschrieben. Der Abschnitt IT Governance zeigt, wie diese Standards im Unternehmen genutzt werden, um Sicherheitsanforderungen zu definieren, umzusetzen und zu kontrollieren und damit die Informationssicherheit im Unternehmen kontinuierlich zu verbessern. 2.1 IT Sicherheitsstandards Weltweit gibt es eine ganze Fülle an IT Sicherheitsstandards, Vorschriften und Normen, um Produkte, Systeme, Geschäftsprozesse oder Umgebungen einheitlich zu beschreiben. Je nach Art des Unternehmens und des geplanten Einsatzes kann dabei der eine oder der andere Standard Anwendung finden. Hier den Überblick zu behalten und den richtigen auszuwählen ist nicht einfach. Eine Hilfe bietet die Einteilung der verschiedenen Standards anhand ihres vorrangigen Einsatzbereiches, wie es durch die Arbeitsgruppe NIA-27 ( vorgeschlagen wird. Demnach können die IT Sicherheitsstandards unterschieden werden in - Grundlegende Standards zum IT-Sicherheits- und Risikomanagement wie der IT-Grundschutz oder die ISO Familie - Standards mit IT-Sicherheitsaspekten wie Cobit und ITIL - Standards zur Evaluierung von IT-Sicherheit wie die Common Criteria - Vorschriften wie das Bundesdatenschutzgesetz oder der Sarbanes-Oxley Act. Bundesamt für Sicherheit in der Informationstechnik 13
12 2 IT-Sicherheitsstandards und Governance Standards mit IT-Sicherheitsaspekten Cobit, ITIL, etc. Standards zur Evaluierung von IT-Sicherheit Common Criteria (ISO/IEC 15408), ISO/IEC TR 15443, ISO/IEC 18045, etc. Grundlegende Standards zum IT-Sicherheits- und Risikomanagement Informationssicherheits-Managementsysteme (ISMS): IT-GS, ISO/IEC 27001, ISO/IEC 27002, etc. Vorschriften und Gesetze Bundesdatenschutzgesetz, Sarbanes-Oxley-Act, etc. Abbildung 2: Kategorien von IT Sicherheitsstandards Die dieser Studie zugrunde liegenden Standards werden im folgenden Abschnitt beschrieben. Jede Standardbeschreibung folgt dabei einem einheitlichen Schema: - Vollständiger Name - Herausgeber - Ziel und Anwendungsbereich - Struktur und Aufbau des Standards - Anwendung des Standards - Beispiel - Seiten (ca.) - Bisherige Versionen IT-Grundschutz - Vollständiger Name IT Grundschutz - Herausgeber Bundesamt für Sicherheit in der Informationstechnik (BSI) - Ziel und Anwendungsbereich IT-Grundschutz kann herangezogen werden, um ein effektives Informationssicherheits- Management aufzubauen. Dazu werden Konzepte (Bausteine), Gefährdungen und Methodiken für typische Geschäftsprozesse und deren Absicherung beschrieben. Im Fokus steht dabei der Verbund von organisatorischen, personellen, infrastrukturellen und technischen Komponenten. Auf Basis der im Unternehmen vorhandenen Komponenten kann IT- 14 Bundesamt für Sicherheit in der Informationstechnik
13 IT-Sicherheitsstandards und Governance 2 Grundschutz genutzt werden, um die IT-Sicherheitsmaßnahmen auf die Bedürfnisse des Unternehmens anzupassen. - Struktur und Aufbau des Standards Der Standard beschreibt technische Komponenten und Konzepte, die in typischen IT- Landschaften Anwendung finden (Bausteine). Außerdem werden Gefahrentypen definiert und aufgeschlüsselt (Gefährdungskataloge), sowie Maßnahmen auf infrastruktureller, personeller, organisatorischer und technischer Ebene beschrieben (Maßnahmenkataloge), um die IT- Sicherheit zu gewährleisten. - Anwendung des Standards Ausgehend von der Leitungsebene werden strategische Leitaussagen zur Informationssicherheit sowie organisatorische Rahmenbedingungen festgelegt. Aufbauend auf diesen Festlegungen wird ein Sicherheitskonzept nach IT-Grundschutz erstellt, wobei das Zusammenspiel der Geschäftsprozesse, der Anwendungen und der vorliegenden Informationstechnik zu analysieren und zu dokumentieren ist. Um geeignete Sicherheitsmaßnahmen für den vorliegenden Informationsverbund identifizieren zu können, müssen anschließend die IT-Grundschutz Bausteine auf die Zielobjekte und Teilbereiche der Anwendungen abgebildet werden. - Beispiel Im Rahmen einer Strukturanalyse werden zum Beispiel eine Netzplanerhebung und eine Erfassung der IT-Systeme durchgeführt. Für diese wird dann der Schutzbedarf ermittelt und Maßnahmen für den ermittelten Bedarf entsprechend der IT-Grundschutzkataloge umgesetzt. - Seiten (ca.) Bisherige Versionen IT-Grundschutzhandbuch (2003) IT-Grundschutz-Kataloge ( ) ISO / ISO Vollständiger Name ISO/IEC Information Security Management Systems Requirements ISO/IEC (zuvor 17779) Code of Practice for information security management - Herausgeber ISO International Organization for Standardization, - Ziel und Anwendungsbereich ISO/IEC gilt als der grundlegende Standard für ein Informationssicherheits- Managementsystem (ISMS) und beschreibt Anforderungen an ein solches System im Unternehmen. Bundesamt für Sicherheit in der Informationstechnik 15
14 2 IT-Sicherheitsstandards und Governance ISO wird durch weitere Standards ergänzt: ISO/IEC definiert sicherheitsrelevante Begriffe wie Bedrohung, Schwachstellen, Schäden, Risiken und enthält die grundlegende Methodik zur Bewertung, Analyse und Abschätzung von Risiken. ISO/IEC formuliert Maßnahmen für das Etablieren und Verbessern des Informationssicherheits-Management in einer Organisation. Ziel dieser Standards ist es, Informationssicherheit als Gesamtaufgabe des Unternehmens darzustellen und Richtlinien für die Informationssicherheit zu formulieren. Diese richten sich beispielsweise an die folgenden Sicherheitsaspekte: - Risikomanagement - Aufstellen von Sicherheitspolicies - Asset Management - Physische Sicherheit - Zugangskontrolle - Organisation der Informationssicherheit - Einhalten von Vorgaben (Compliance) - Anwendung des Standards ISO / IEC und ISO/ IEC sind insbesondere als Leitfäden für Informationssicherheits-Management anzusehen und enthalten keine konkreten Lösungen. Die Dokumente sind bewusst generisch gehalten, um auf alle Organisationen anwendbar zu sein. Dementsprechend ist der technische Detaillierungsgrad gering. Die Standards sind damit insbesondere für die Unternehmensführung und für IT-Sicherheitsbeauftragte relevant und weniger für die Umsetzungsverantwortlichen. - Beispiel ISO bestimmt zum Beispiel, dass in jedem Informationssicherheitsmanagementsystem Sicherheitspolicies mit Ziel und Gültigkeitsbereich definiert sein sollten. Ebenso sollten die Konsequenzen für die Verletzung von Sicherheitspolicies klar definiert sein. Des Weiteren beschreibt der Standard die in einem Informationssicherheitsmanagementsystem notwendigen Reportingprozesse. - Seiten (ca.) Bisherige Versionen ISO/IEC (2005) ISO/IEC (2005), zuvor: ISO/IEC (2000) Cobit - Vollständiger Name Cobit (Control Objectives for Information and Related Technology) 16 Bundesamt für Sicherheit in der Informationstechnik
15 - Herausgeber IT Governance Institute, IT-Sicherheitsstandards und Governance 2 Das IT Governance Institute ist Teil der Information Systems Audit and Control Association (ISACA), - Ziel und Anwendungsbereich Der Cobit Standard findet im IT Governance Bereich Anwendung. IT Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch die Unternehmensführung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie (vgl.[bit 2007], S.31). Dies umfasst beispielsweise die Anpassung der IT im Hinblick auf eine optimale Erreichung der Unternehmensziele, die Kontrolle der dazu benötigten Ressourcen (Personal, Hardware, etc.) sowie die Abschätzung von Risiken und deren Absicherung. Ebenso muss das IT Management sicherstellen, dass bestimmte rechtliche Rahmenbedingungen eingehalten werden. Cobit unterstützt das Unternehmensmanagement, indem es ein Rahmenwerk bietet, welches es einfacher macht im Unternehmen ein Kontrollsystem zu etablieren, welches die Effizienz der Unternehmensprozesse misst und die Erreichung der Geschäftsziele überwacht. Dazu umfasst Cobit im wesentlichen einen Katalog von allgemein anerkannten Kontrollzielen aus verschiedenen Bereichen des IT Einsatzes im Unternehmen, welcher genutzt werden kann, um alle Aspekte des IT Einsatzes zu planen und zu kontrollieren von der Einsatzplanung über die Mitarbeiterführung bis hin zu IT Dienstleistungen. Die Kontrolle erfolgt über definierte Prozesse und dazugehörige Kontrollziele, deren Einhaltung vom Unternehmensmanagement zu prüfen sind. - Struktur und Aufbau des Standards Cobit besteht im wesentlichen aus dem Hauptdokument (Framework). Darüber hinaus veröffentlicht die ISACA weitere Dokumente rund um den Cobit Standard. Mit Cobit fb gibt es eine Reihe von Dokumenten, die die Abbildung von Standards wie ITIL, ISO oder IT- Grundschutz auf Cobit beschreiben. - Anwendung des Standards Der Ausgangspunkt für die Anwendung des Standards sind die Unternehmensziele, die mit den IT Zielen in Einklang stehen sollten. Dies ist der Fall, wenn alle IT Prozesse im Unternehmen optimal im Hinblick auf die Geschäftsziele funktionieren und Informationen und IT-Ressourcen optimal verwaltet werden. Um dies zu gewährleisten, werden mit Hilfe des Cobit Standards für jeden Prozess in einem Top Down Ansatz Mess- und Zielgrößen festgelegt. Insgesamt definiert Cobit 34 Prozesse und zugeordnete Kontrollziele zur Überwachung der Performance. Eine kontinuierliche Messung der Zielerreichung ist letztendlich Voraussetzung für einen gesunden Steuerungszyklus. Cobit stellt eine Metrik zur Verfügung, um die Effektivität und Effizienz von IT Prozessen zu messen. Für jeden der 34 definierten Prozesse werden dazu spezifische Messgrößen definiert. Als Messgrößen kann zum Beispiel die Häufigkeit, in der das Thema IT im Vorstand diskutiert wird, dienen genauso wie die Anzahl und der Zyklus der Schulungen, an denen Mitarbeiter im IT Bereich teilnehmen. - Beispiel Bundesamt für Sicherheit in der Informationstechnik 17
16 2 IT-Sicherheitsstandards und Governance Ein von Cobit definierter Prozess ist beispielsweise der Schutz von Computeranlagen und Geschäftsdaten zur Sicherstellung der Geschäftsfähigkeit des Unternehmens. Dazu definiert Cobit Kontrollziele wie beispielsweise die geeignete Standortwahl, den Einsatz von physischen Sicherheitsmaßnahmen oder den Schutz gegen Umwelteinflüsse. Zur Kontrolle der Erreichung dieser Ziele dienen Messgrößen wie die Anzahl der durch die Verletzung der physischen Sicherheit hervorgerufenen Ausfälle. - Seiten (ca.) Bisherige Versionen Cobit 4.1 (englisch), 2007 Cobit 4.0 (englisch und deutsch), November ITIL - Vollständiger Name ITIL (Information Technology Infrastructure Library) - Herausgeber Office of Government Commerce (OGC), Das OGC ist ein unabhängiges Büro des Ökonomie- und Finanzministeriums des Vereinigten Königreiches Großbritannien und Nordirland (HM Treasury). - Ziel und Anwendungsbereich Im Fokus der Entwicklung von ITIL standen die bewährten Methoden der Rechenzentren der britischen Regierung um Services vergleichen zu können. Heute ist ITIL der de-facto Standard für Service Management mit einer Sammlung von fachlichen Dokumentationen über die Planung, Erbringung und Unterstützung von IT-Servicemerkmalen. Das wesentliche Ziel von ITIL besteht darin die Ausrichtung der IT-Organisation so zu ändern, dass sie prozess-, service- und kundenorientiert ist und so zuverlässige, sichere und wirtschaftliche IT-Services anbieten kann. - Struktur und Aufbau des Standards ITIL 3.0 gliedert sich in fünf Bücher zur Servicestrategie (Service Strategy), Serviceentwurf (Service Design), Serviceüberführung (Service Transition), Servicebetrieb (Service Operation) und kontinuierlichen Serviceverbesserung (Continual Service Improvement), die das Service- Lifecycle-Management umfasst. - Anwendung des Standards Die Bücher erläutern die notwendigen Prozesse zu den fünf Schritten des Lifecycle- Managements. Im ersten Schritt (Servicestrategie) des Lifecycle-Managements werden die Services auf Basis der Kunden- und Unternehmensanforderungen definiert. Im zweiten Schritt (Serviceentwurf) werden die Services entworfen bzw. bestehende Services angepasst. Dazu zählt auch die Berücksichtigung der Sicherheitsanforderungen. 18 Bundesamt für Sicherheit in der Informationstechnik
17 IT-Sicherheitsstandards und Governance 2 Im dritten Schritt (Serviceüberführung) werden die entworfenen Services umgesetzt und im vierten Schritt (Servicebetrieb) werden die umgesetzten Services betrieben. Im letzten Schritt (Serviceverbesserung) werden kontinuierlich die Verbesserungsmöglichkeiten der Services identifiziert und realisiert. - Beispiel Ein durch ITIL entwickelter Dienst ist beispielsweise ein "Help Desk". Für diesen muss definiert werden, wer den Dienst anfragen darf, wie schnell eine Antwort zurückkommen muss und wie verfügbar (z.b. 24/7) der "Help Desk" sein muss. ITIL macht Angaben dazu, wie dieser Dienst in einen realen Wirkbetrieb umgesetzt werden sollte und auch, wie der laufende Dienst, durch Aufnahme von Kundenwünschen und allgemeinen Verbesserungsvorschläge kontinuierlich verbessert werden kann. - Seiten (ca.) Bisherige Versionen ITIL 1.0 ( ) ITIL 2.0 ( ) ITIL 3.0 (Juni 2007) Common Critera - Vollständiger Name Common Criteria for Information Technology Security Evaluation ISO/IEC Herausgeber Common Criteria Recognition Arrangement (CCRA) in Deutschland vertreten durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) - Ziel und Anwendungsbereich Die Common Criteria sind eine international anerkannte Sammlung von Sicherheitsnormen, welche eine zuverlässige und international vergleichbare Bewertung der Sicherheitstauglichkeit von Produkten im Bereich der Informationstechnologie bieten. IT-Produkte können durch eine unabhängige, in Deutschland vom BSI geprüfte Instanz, nach den Common Criteria zertifiziert werden. Eine solche Zertifizierung kann Käufern als Hilfestellung für Kaufentscheidungen dienen, indem sie eine unabhängige Bewertung der Übereinstimmungsfähigkeit eines Produkts mit den Sicherheitsnormen vornimmt. Ebenso können Hersteller von IT Sicherheitsprodukten die Zertifizierung nach den Common Criteria als Marketinginstrument nutzen. Historisch sind die Common Criteria aus dem europäischen ITSEC, den amerikanischen Federal Criteria (FC) und den kanadischen CTCPEC entstanden. Sie sind heute unter ISO/IEC JTC 1/SC 27 international standardisiert mit Zertifizierungsstellen in zahlreichen Ländern. - Struktur und Aufbau des Standards Bundesamt für Sicherheit in der Informationstechnik 19
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrIT-Governance und COBIT. DI Eberhard Binder
IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrIT-Sicherheit in der Energiewirtschaft
IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrC R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrStrategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014
Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
MehrBSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH
zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,
Mehr1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7
vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrGovernance, Risk & Compliance für den Mittelstand
Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive
MehrITIL V3 zwischen Anspruch und Realität
ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrBSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach
Mehr4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management
1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrSafety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012
Safety Management Systeme in der Luftfahrt Joel Hencks AeroEx 2012 1 Agenda Warum SMS? Definitionen Management System laut EASA SMS vs. CM SMS vs. Flugsicherheitsprogramme Schlüsselprozesse des SMS SMS
MehrDer Blindflug in der IT - IT-Prozesse messen und steuern -
Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrBSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
MehrIT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter
IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas
MehrFachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik
Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver
MehrDer Datenschutzbeauftragte. Eine Information von ds² 05/2010
Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrDelta Audit - Fragenkatalog ISO 9001:2014 DIS
QUMedia GbR Eisenbahnstraße 41 79098 Freiburg Tel. 07 61 / 29286-50 Fax 07 61 / 29286-77 E-mail info@qumedia.de www.qumedia.de Delta Audit - Fragenkatalog ISO 9001:2014 DIS Zur Handhabung des Audit - Fragenkatalogs
MehrÄnderungen ISO 27001: 2013
Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar
MehrErfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank
Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank
MehrIT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen
IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrModul 1 Modul 2 Modul 3
Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrKompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance
Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der
MehrThe AuditFactory. Copyright by The AuditFactory 2007 1
The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier
MehrErläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)
Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das
MehrInformationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.
Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrIT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen
Dr. Stefan Kronschnabl Stephan Weber Christian Dirnberger Elmar Török Isabel Münch IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Studie IT-Sicherheitsstandards
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrKooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung
Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss
MehrSDD System Design Document
SDD Software Konstruktion WS01/02 Gruppe 4 1. Einleitung Das vorliegende Dokument richtet sich vor allem an die Entwickler, aber auch an den Kunden, der das enstehende System verwenden wird. Es soll einen
MehrIT-Dienstleistungszentrum Berlin
IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrMit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden -
Mit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden - TÜV Management Service GmbH TÜV SÜD Gruppe Alexandra Koller Dipl.Ing.(FH) / Lead Auditorin Leiterin Kunden-
MehrISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand
ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrÄnderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000
Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:
MehrBETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT
FÜR INFORMATIONSSICHERHEIT FÜR INFORMATIONSSICHERHEIT Informationssicherheit bedingt höhere Anforderungen und mehr Verantwortung für Mitarbeiter und Management in Unternehmen und Organisationen. Awareness-Trainings
MehrModernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central
Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei
MehrDie COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke
Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling
MehrVom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten
Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting
MehrCloud Computing Security
Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14
MehrTechnische Aspekte der ISO-27001
ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ
MehrSoftware-Entwicklungsprozesse zertifizieren
VDE-MedTech Tutorial Software-Entwicklungsprozesse zertifizieren Dipl.-Ing. Michael Bothe, MBA VDE Prüf- und Zertifizierungsinstitut GmbH BMT 2013 im Grazer Kongress 19.09.2013, 10:00-10:30 Uhr, Konferenzraum
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrInformationssicherheit in handlichen Päckchen ISIS12
Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrUrs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung
Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien
MehrSicherheit - Dokumentation. Erstellt von James Schüpbach
- Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrNormierte Informationssicherheit durch die Consultative Informationsverarbeitung
Normierte Informationssicherheit durch die Consultative Informationsverarbeitung INAUGURALDISSERTATION zur Erlangung des akademischen Grades eines Doktors der Wirtschaftswissenschaften an der Wirtschaftswissenschaftlichen
MehrWas beinhaltet ein Qualitätsmanagementsystem (QM- System)?
Was ist DIN EN ISO 9000? Die DIN EN ISO 9000, 9001, 9004 (kurz ISO 9000) ist eine weltweit gültige Norm. Diese Norm gibt Mindeststandards vor, nach denen die Abläufe in einem Unternehmen zu gestalten sind,
MehrGemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz
Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsame Sitzung von AK 1 & 5 am 02.04.2013 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz
MehrIoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH
IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrFirst Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG
First Climate AG IT Consulting und Support Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG - INFORMATION SECURITY MANAGEMENT MAIKO SPANO IT MANAGER CERTIFIED ISO/IEC
MehrBCM Schnellcheck. Referent Jürgen Vischer
BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz
Mehr