Vorgaben von BSI und COBIT zur IT-Sicherheit
|
|
- Johannes Huber
- vor 8 Jahren
- Abrufe
Transkript
1 Vorgaben von BSI und COBIT zur IT-Sicherheit PTI983 Management von Sicherheit Maik Schürer, Marek Kretzschmar Westsächsische Hochschule Zwickau (FH) 15. Juni 2010
2 Übersicht 1. Einleitung 2. Das COBIT-Framework 3. Vorgaben des BSI zur IT-Sicherheit 4. BSI und COBIT 2
3 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 3
4 Einleitung: Warum IT-Sicherheit? Globale Vernetzung, zunehmende Verteilung von IT-Systemen, wachsende Mobilität sowie verstärkte Verwendung drahtloser Technologien erzeugen ständig neue Bedrohungsszenarien Entstehung von Wettbewerbsnachteilen für das Unternehmen durch Ausfall von IT-Systemen oder durch Datendiebstahl Handlungsverpflichtungen oder sogar Haftungsrisiken für Unternehmensführung aufgrund bestehender Rechtsvorschriften Ein Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt. ( 91 Abs. 2 KonTraG) [Grün2009] 4
5 Einleitung: IT im Unternehmen IT wird zur Unterstützung von Geschäftsprozessen benötigt IT hilft bei der Erreichung der Unternehmensziele bzw. macht dies überhaut erst möglich Informationen und die unterstützenden Technologien repräsentieren meist einen wertvollen Vermögensgegenstand Daraus ergeben sich auch Anforderungen an Sicherheit der Informationen Die IT soll helfen, die Unternehmensziele zu erreichen, was durch eine Struktur für Beziehungen und Prozesse besser gesteuert werden kann Stichwort: IT-Governance 5
6 IT-Governance Definition IT-Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern. [COBIT4.0] S. 6 6
7 IT-Governance Was? Wozu? Wer? Wie? Eine Struktur für Beziehungen und Prozesse um eine Organisation dahingehend zu steuern, die Organisationsziele zu erreichen Stellt sicher, dass die Informationen und die damit verbundene Technologie des Unternehmens die Unternehmensziele unterstützt Verantwortung : Vorstand bzw. Geschäftsführung Einige Modelle und Initiativen: COSO, ITIL, COBIT MOF (Microsoft Operational Framework), SOF (Siemens Operational Framework) 7
8 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 8
9 COBIT: Was ist COBIT? Control Objectives for Information and related Technology Weltweit verbreitetes und international standardisiertes Rahmenwerk und Best Practice Ansatz für die IT-Governance Integriert globale Standards wie z.b. ITIL, CMMI und ISO Wurde von gemeinnützigem, unabhängigen Institut ISACF, dem Forschungsinstitut der ISACA (Information Audit and Control Association) entwickelt 1996 erstmals veröffentlicht, 2005 wesentlich überarbeitet (v4.0) Aktuell: Version 4.1 (Stand 2010) Informationen: 9
10 COBIT: Produkte Gegliedert in Produkte für drei Unternehmensebenen zur Unterstützung der Bereiche: Strategische Ebene (Geschäftsführung, Aufsichtsrat) z.b. Board Briefing on IT-Governance Unternehmens- und IT-Management z.b. Management Guidelines Fachbereiche Governance, Assurance, Control und Security z.b. IT-Governance Implementation Guide COBIT Quickstart COBIT Security Baseline (kostenpflichtig) 10
11 COBIT: Begriffe und Struktur Kontrollen (Controls, eigentlich Steuerung ) Konzepte, Verfahren, Praktiken und Organisationsstrukturen, welche eine angemessene Gewissheit verschaffen, dass die Geschäftsziele erreicht und unerwünschte Ereignisse verhindert bzw. erkannt und korrigiert werden Kontrollziele (Control Objectives) Aussagen zu einem gewünschten Resultat das mit Kontrollen erreicht werden soll IT-Ressourcen Personal, Informationen, Infrastruktur und Anwendungssysteme 11
12 COBIT: Begriffe und Struktur Die sieben Information Criteria: Qualitätsanforderungen 1. Effectiveness (Wirksamkeit, Effektivität) 2. Efficiency (Wirtschaftlichkeit, Effizienz) Sicherheitsanforderungen 3. Confidentiality (Vertraulichkeit) 4. Integrity (Integrität) 5. Availability (Verfügbarkeit) Anforderung an die Ordnungsmäßigkeit 6. Compliance (Regelkonformität) 7. Reliability (Zuverlässigkeit) Verschlüsselung Hash-Funktion 12
13 COBIT: Begriffe und Struktur Hierarchische Gliederung in drei Ebenen für das Management der IT-Ressourcen: Domänen, Prozesse, Aktivitäten Erste Ebene repräsentiert vier Domänen PO (Planung und Organisation) AI (Beschaffung und Einführung) DS (Betrieb und Unterstützung) ME (Überwachung und Beurteilung) Prozessmodell mit 34 Prozessen, aufgeteilt auf die Domänen Jeder Prozess enthält eine Abfolge von Aktivitäten 13
14 COBIT: Dimensionen Erweiterung der ersten Dimension (COBIT-Struktur) um Geschäftsanforderungen die Dimensionen (Information Criteria) Geschäftsanforderungen (Information Criteria) IT-Ressourcen IT-Prozesse Domänen Prozesse Aktivitäten Personal Informationen Infrastruktur Anwendungssysteme COBIT-Würfel (nach [Gol2006] S. ) 14
15 Geschäfts- und Governanceziele Themen ME Regelmäßige Beurteilung aller IT-Prozesse Einhaltung und Qualität der Kontrollen IT-Governance organisieren Monitoring & Evaluierung Information Information Criteria Effizienz Effektivität Vertraulichkeit Integrität Verfügbarkeit Compliance Zuverlässigkeit Themen PO Strategie und Taktik für die IT-Unterstützung Erfüllung der Geschäftsanforderungen Ausreichende Planung, Kommunikation und Steuerung Korrekte organisatorische und technische Infrastruktur Planung & Organisation Themen DS Delivery & Support Effektive Ablieferung benötigter Dienstleistungen Wirklich sicherer Betrieb inkl. Training Aufstellung von Unternehmensprozessen Effektive Datenverarbeitung durch Anwendungen IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Akquisition & Implementierung Themen AI Realisierung der IT-Strategie Lösungen identifiziert, entwickelt oder beschafft und implementiert Lösungen in den Geschäftsprozess integriert Änderung und Unterhalt von Systemen Gesamtübersicht über das COBIT Framework [Gol2006] 15
16 COBIT: Prozesse Jeder der 34 COBIT Prozesse besitzt Control Objectives (Kontrollanforderungen) ein übergeordnetes High Level Control Objective, als Wasserfallmodell dargestellt mehrere detaillierte Control Objectives (z.b. Prozess DS5 enthält elf detaillierte Kontrollanforderungen DS5.1 bis DS5.11) 17
17 COBIT: Prozesse Ein Prozess wird in vier Abschnitten gegliedert: 1. Prozessbeschreibung, High Level Control, Verknüpfung mit den Information Criteria, IT-Ressourcen und IT- Governance Domänen 2. Detaillierte Control Objectives 3. Prozessinputs- und Outputs, RACI-Charts, Ziele und Metriken 4. Reifegradmodell für den Prozess Jeder Prozess enthält eine Abfolge von Tätigkeiten (im RACI- Chart definiert), welche aus gegebenen Eingangsgrößen (Input) ein Ergebnis (Output) erzeugen 18
18 COBIT: Aktivitäten Aktivitäten werden mittels RACI-Chart dargestellt R Responsible Rollen A Accountable C Consulted I Informed Aktivitäten CEO Aktivität 1 I C A Aktivität 2 Aktivität n CFO Rollen sind für alle Prozesse gleich definiert CIO Projektbüro R I C I A R 19
19 COBIT: Reifegradmodelle Sind ein Bild davon, wie die IT im Unternehmen gemanagt wird Reifegrade als Profile für alle 34 Prozesse vorgegeben Grafische Darstellung des Reifegradmodells nach [COBIT4.0] 20
20 COBIT: Zusammenfassung Prozessinputs sind Informationen, die ein Prozesseigner von anderen benötigt Die Prozessbeschreibungen der Kontrollanforderungen beschreiben, was der Prozesseigner tun muss Der Prozessoutput beschreibt, was der Prozessverantwortliche zu liefern hat Die Ziele und Metriken zeigen, wie der Prozess gemessen werden soll Das RACI-Chart definiert, was an wen delegiert werden muss Das Reifegradmodell zeigt, was zur Verbesserung gemacht werden muss 21
21 COBIT: Navigation Verbindung zu den Information Criteria High Level Control Objective, als Wasserfallmodell dargestellt Domänenzuordnung Verbindung zu IT- Gouvernance IT_Ressourcen [COBIT4.0] 22
22 COBIT: IT-Sicherheitsprozesse Prozesse, die mit sicherheitsrelevanten Information Criteria verbunden sind: PO (Planung und Organisation): PO2 Definiere die Informationsarchitektur (Integrität, Vertraulichkeit) PO9 Beurteile und Manage IT-Risiken (Vertraulichkeit, Integrität und Verfügbarkeit) AI (Beschaffung und Einführung): Nur sekundäre Verbindungen einiger Prozesse 23
23 COBIT: IT-Sicherheitsprozesse DS (Betrieb und Unterstützung): DS4 Stelle den kontinuierlichen Betrieb sicher (Verfügbarkeit) DS5 Stelle Security von Systemen sicher (Vertraulichkeit, Integrität) DS11 Manage Daten (Integrität) DS12 Manage die physische Umgebung (Integrität, Verfügbarkeit) DS13 Manage den Betrieb (Integrität,Verfügbarkeit) ME (Überwachung und Beurteilung): Nur sekundäre Verbindungen einiger Prozesse 24
24 Beispiel: Prozess DS5 High Level Control Objective DS5 Ensure Systems Security (Stelle Security von Systemen sicher) Die Notwendigkeit, die Integrität von Informationen zu erhalten sowie die ITbezogenen Vermögenswerte zu schützen, erfordert einen Security Management- Prozess. Dieser Prozess umfasst die Erstellung und Aufrechterhaltung von Rollen, Verantwortlichkeiten, Richtlinien, Standards und Verfahren für die IT-Sicherheit. Security Management umfasst ebenfalls die Überwachung und den periodischen Test sowie die Umsetzung korrektiver Maßnahmen für erkannte Schwachstellen oder Vorfälle. Wirksames Security Management schützt alle IT-bezogenen Vermögenswerte, um die Auswirkungen auf das Kerngeschäft durch Schwachstellen oder Vorfälle zu minimieren. 25
25 Bsp. DS5 Ensure Systems Security Verknüpfung des Prozesses DS5 mit den Information Criteria P Primäre Verbindung S Sekundäre Verbindung [COBIT4.0] S.131 Verknüpfung mit IT-Ressourcen 26
26 Bsp. DS5 Ensure Systems Security Kontrolle über den IT-Prozess Ensure Systems Security (Stelle Security von Systemen sicher) der die Anforderung des Unternehmens an die IT bezüglich der Aufrechterhaltung der Integrität von Informationen und der Infrastruktur der Informationsverarbeitung und der Minimierung der Auswirkungen von Sicherheitsschwachstellen und Incidents durch die Konzentration auf die Festlegung von IT-Sicherheitsrichtlinien, Verfahren und Standards sowie die Überwachung, Erkennung, Berichterstattung und Lösung von Sicherheitsschwachstellen und -Incidents, zufrieden stellt, wird erreicht durch - Verstehen der Sicherheitsanforderungen, -schwachstellen und -Incidents - Management von Benutzerkennungen und -berechtigungen in standardisierter Art - Regelmäßiges Testen der Sicherheit und gemessen durch - Anzahl der Vorfälle die dem Ruf des Unternehmens in der Öffentlichkeit schaden - Anzahl der Systeme, die den Sicherheitsanforderungen nicht entsprechen - Anzahl der Verstöße gegen die Funktionstrennung 27
27 Bsp. DS5 Ensure Systems Security Kontrollanforderungen, auf die sich die Kontrolle bezieht: DS5.1 Management der IT-Sicherheit Manage die IT-Sicherheit auf der höchstmöglichen organisatorischen Ebene, so dass das Management von sicherheitsrelevanten Aktivitäten in Einklang steht mit den Unternehmensanforderungen. DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 IT-Sicherheitsplan Identitätsmanagement Management von Benutzerkonten Testen, Beobachtung und Überwachung der Sicherheit Definition von Security Incidents Schutz von Sicherheitseinrichtungen 28
28 Bsp. DS5 Ensure Systems Security DS5.8 Verwaltung kryptographischer Schlüssel DS5.9 Schutz vor sowie Erkennung und Beseitigung von bösartiger Software DS5.10 Netzwerk-Sicherheit DS5.11 Austausch sensitiver Daten Stelle sicher, dass sensitive Transaktionsdaten nur über einen vertrauenswürdigen Pfad oder ein Medium ausgetauscht werden mit (den notwendigen) Maßnahmen, um die Authentizität des Inhalts, den Beweis der Aufgabe und des Empfangs und Nichtabstreitbarkeit der Quelle zu bieten 29
29 Bsp. DS5 Ensure Systems Security Prozess-Inputs von DS5 Prozess-Outputs von DS5 30
30 Bsp. DS5 Ensure Systems Security RACI-Chart zu DS5 aus [COBIT4.0] 31
31 Bsp. DS5 Ensure Systems Security Ziele und Metriken zu DS5 aus [COBIT4.0] 32
32 COBIT: Authentizität Authentizität ist vor allem in zwei COBIT-Prozessen ein entscheidendes Thema: DS5 Ensure Systems Security (Stelle Security von Systemen sicher) DS11 Manage Data (Manage Daten) 33
33 COBIT: Weitere Publikationen COBIT online ISCA IT-Governance-Portal 34
34 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 35
35 BSI Definition Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentraler IT- Sicherheitsdienstleister des Bundes Sensibilisiert für Unternehmenssicherheit bietet Informationen und Dienstleistungen für Privatanwender und Unternehmen zum Schutz von IT-Landschaften IT Governance COBIT BSI COBIT&BSI 36
36 Sicherheit - Wozu Gesetzliche Verpflichtung Vorstand verantwortlich: Ein Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt ( 91/ 93 AktG) Datenschutzgesetze Verbraucherschutzgesetze IT Governance COBIT BSI COBIT&BSI 37
37 Sicherheit - Wozu Vorteile für das Unternehmen [Leitf09] Wettbewerbsvorteil Zuverlässigere Arbeiter Kostenersparnis Bekannte Vorfälle [Grün2009] Befragung des Kriminalamtes in Schleswig- Holstein: Von 2000 Unternehmen 39% Angriffsopfer Erheblicher Teil mit Datenverlusten IT Governance COBIT BSI COBIT&BSI 38
38 Sicherheit - Wozu Verbreitung von Angriffsmethoden in deutschen und schweizerischen Unternehmen (Quelle: BSI) IT Governance COBIT BSI COBIT&BSI 39
39 Sicherheit Herausforderungen steigende Komplexität [IT-Kat09, S14] Steigender Vernetzungsgrad IT-Verbreitung und Durchdringung Verschwinden von Netzgrenzen Angriffe kommen schneller Höhere Interaktion von Anwendungen Verantwortung der Nutzer IT Governance COBIT BSI COBIT&BSI 40
40 Sicherheit - Probleme geringes Sicherheitsbewusstsein Fehlende Ressourcen Knappe Budgets Vielzahl an Bedrohungen Vielzahl an Sicherheitslösungen Sicherheit ist Prozess IT Governance COBIT BSI COBIT&BSI 41
41 Sicherheit Lösung (1) Risikoanalyse Ziel: Erstellung eines Sicherheitskonzeptes Ermittlung schützenswerter Objekte Untersuchung der Bedrohungen / Schadensausmaß Erarbeitung Notwendiger Maßnahmen Teuer, da externe Sicherheitsfirma notwendig IT Governance COBIT BSI COBIT&BSI 42
42 Sicherheit Lösung (2) Selbstständiger Aufbau einer Sicherheitsorganisation mittels IT- Grundschutz des BSI BSI bietet verschiedene Hilfen Informationen Schulungen Zertifizierung IT Governance COBIT BSI COBIT&BSI 43
43 BSI IT-Grundschutz IT-Grundschutz bietet eine einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen. [bsi.de] jährlich aktualisiert praxisorientiert technikorientiert (im Gegensatz zu COBIT/ITIL) IT Governance COBIT BSI COBIT&BSI 44
44 BSI IT-Grundschutz Leitfaden IT-Sicherheit 50 Seiten Broschüre für kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten leicht überschaubaren Einstieg in die Thematik Veranschaulichung von Gefahren durch Praxisbeispiele Überblick über die wichtigsten IT- Sicherheitsmaßnahmen IT Governance COBIT BSI COBIT&BSI 45
45 Szenario: Kein Backup Eine Anwaltskanzlei betreibt ein kleines Netz mit einem zentralen Server, auf dem alle Daten gespeichert werden. Der Server enthält ein Bandlaufwerk, auf das in regelmäßigen Abständen eine Sicherungskopie gespeichert wird. Der Administrator bewahrt die Sicherungsbänder in einem verschlossenen Schrank in seinem Büro auf. Als eines Tages der Server durch einen Festplattendefekt ausfällt, sollen die Daten vom Sicherungsband wieder eingespielt werden. 46
46 Szenario: Kein Backup Dabei stellt sich jedoch heraus, dass das Bandlaufwerk offenbar bereits längere Zeit defekt war und gar keine Daten auf die Sicherungsbänder geschrieben hatte. Das einzige noch funktionstüchtige Sicherungsband ist mehr als fünf Jahre alt. Alle Daten der letzten Jahre sind damit verloren. Der Administrator hat bei der Planung der Datensicherung eine weitere potentielle Gefahr übersehen: Selbst wenn das Bandlaufwerk funktioniert hätte, wären bei einem Feuer oder ähnlichen Katastrophen neben den Originaldaten auch die Sicherungsmedien in seinem Schrank mit vernichtet worden! 47
47 Szenario: Kein Backup Maßnahmen regelmäßige Überprüfung der Backup-Bänder Rücksicherung prüfen und üben Lagerung von Sicherungsbändern außerhalb der eigenen Büroräume, beispielsweise in einem Bankschließfach aus [Leitf09] 48
48 BSI IT-Grundschutz IT-Gundschutz-Standards (ca. 250 Seiten): Umsetzung der ISO 2700x Vorgaben Methoden, Prozesse, Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit 1. Anforderungen an ein Managementsystem für Informationssicherheit (MSIS) 2. Schritt für Schritt Anleitung, wie ein MSIS in der Praxis aufgebaut und betrieben werden kann 3. Standards zur Risikoanalyse 4. Aufbau eines Notfallmanagements IT Governance COBIT BSI COBIT&BSI 49
49 BSI IT-Grundschutz IT-Grundschutz-Katalog Umfangreiche Sammlung von konkreten Anleitungen, auf die sich die Grundschutz- Standards beziehen 4100 Seiten beinhalten Baustein-, Maßnahmenund Gefährdungskataloge Anpassbar an eigene IT-Umgebung einfach und arbeitsökonomisch IT Governance COBIT BSI COBIT&BSI 50
50 BSI IT-Grundschutz Katalog beschreibt detailliert Standard- Sicherheitsmaßnahmen, die für jedes IT-System zu beachten sind "normaler" Schutzbedarf z.b. Ärzte/Banken: gesonderte Anforderungen Baukastenprinzip Bausteine spiegeln typische Abläufe von Geschäftsprozessen und Bereiche des IT-Einsatzes jeder Baustein: zu erwartende Gefährdungslage beschrieben Grundlage für spezifisches Maßnahmenbündel IT Governance COBIT BSI COBIT&BSI 51
51 BSI IT-Grundschutz Katalog Bausteine B 1: Übergreifende Aspekte der Informationssicherheit B 2: Sicherheit der Infrastruktur B 3: Sicherheit der IT-Systeme B 4: Sicherheit in Netzen B 5: Sicherheit in Anwendungen Folgt Schichtenmodell je tiefer, desto detaillierter IT Governance COBIT BSI COBIT&BSI 52
52 BSI IT-Grundschutz Katalog Gefährdungskataloge G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen IT Governance COBIT BSI COBIT&BSI 53
53 BSI IT-Grundschutz Katalog Maßnahmenkataloge M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge IT Governance COBIT BSI COBIT&BSI 54
54 BSI IT-Grundschutz Katalog Weitere Einteilungen der Maßnahmen: Bearbeitungsphase (z.b. Beschaffung, Betrieb) Qualifizierungsstufe (essentiell, Zusätzlich, nur für Zertifizierung) Abschluss der Maßnahme Prüffragen (Checklisten) Basis für Revision und Zertifizierung IT Governance COBIT BSI COBIT&BSI 55
55 BSI Beispiel - Gefahren B Internet-PC Höhere Gewalt: G 1.2 Ausfall von IT-Systemen Organisatorische Mängel: G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern Menschliche Fehlhandlungen: G 3.38 Konfigurations- und Bedienungsfehler Vorsätzliche Handlungen: G 5.1 Manipulation oder Zerstörung von Geräten/Zubehör G 5.21 Trojanische Pferde IT Governance COBIT BSI COBIT&BSI 56
56 BSI Beispiel - Maßnahmen B Internet-PC Planung und Konzeption M Richtlinien für die Nutzung von Internet-PCs M 5.66 Verwendung von TLS/SSL Umsetzung M 5.91 Einsatz von Personal Firewalls für Internet-PCs M 5.98 Schutz vor Missbrauch kostenpfl. Einwahlnummern Notfallvorsorge M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs IT Governance COBIT BSI COBIT&BSI 57
57 BSI Beispiel - M 5.59 Schutz vor DNS- Spoofing Verantwortlich für Initiierung: Leiter IT, IT- Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Gefahr durch DNS-Spoofing besteht dann, wenn eine Authentisierung anhand eines Rechnernamens durchgeführt wird. Eine hostbasierte Authentisierung, d. h. Rechte werden anhand eines Rechnernamens oder IP- Adresse gewährt, sollte durch eine der folgenden Konfigurationen (auch in Kombination) erschwert werden: 1. Es sollten IP-Adressen, keine Hostnamen verwendet werden. 2. Wenn Hostnamen verwendet werden, sollten alle Namen lokal aufgelöst werden (Einträge in der Datei /etc/hosts) [ ] IT Governance COBIT BSI COBIT&BSI 58
58 BSI Beispiel - M 5.59 Schutz vor DNS- Spoofing Ergänzende Kontrollfragen: Wird eine Zugriffssteuerung anhand von Rechnernamen durchgeführt? Falls ja: Welche Methode zum Schutz vor DNS- Spoofing wird eingesetzt? IT Governance COBIT BSI COBIT&BSI 59
59 BSI IT-Grundschutz Möglichkeit der Zertifizierung: Nachweis der Organisation über Sicherheitsstandards BSI bietet ISO Zertifizierung auf Basis von IT-Grundschutz Cobit richtet sich nach ISO 27002, somit erfüllt IT-Grundschutz Cobit-Kriterien Keine Zertifizierung, sondern Richtlinie IT Governance COBIT BSI COBIT&BSI 60
60 Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 61
61 BSI und COBIT Themenblöcke, zu dem ein Sicherheitsframework vorgaben machen muss: Schutz von Daten Sicherheitsmanagement IT-Betrieb IT-Systeme Verankerung der IT-Sicherheit im Unternehmen Service Management IT Continuity 62
62 IT-Sicherheitsrichtline Drei-Ebenen-Modell Grundlegende Policy Hauptdokument IT Sicherheitsmanagement Organisationshandbuch Richtlinie zum Datenschutz Datensicherungskonzept Ergänzende themenbezogene Richtlinien - Arbeitsanweisungen - Prozessbeschreibungen - System- und Anwendungsdokumentationen operative Dokumente 63
63 IT-Sicherheitsrichtline Inhalt einer Datenschutzrichtlinie: Absicht der Richtlinie Rollen und Verantwortliche Prozesse und Ausnahmebehandlungen Ansatz zur Compliance Referenzen zu Maßnahmen und Verfahren Standards Anleitungen 64
64 Beispiel: Schutz von Daten Primäres Thema: Schutz von Unternehmens-, Mitarbeiter- und Kundendaten vor Verlust oder Veränderung Zielvorgaben durch COBIT in den Domains Planung & Organisation (PO) Delivery & Support (DS) Monitoring & Evaluation (ME) PO ME DS AI 66
65 Beispiel: Schutz von Daten PO - Planung und Organisation Klassifikationsschema als Basis für Controls einrichten (z.b. öffentlich, vertraulich, geheim) Richtlinien Unterstützung der IT-Strategie entwickeln und unterhalten Inhalt Absicht der Richtlinie Rollen und Verantwortliche Prozesse zur Ausnahmebehandlung Referenzen zu Verfahren, Standards u. Anleitungen ME PO DS AI 67
66 Beispiel: Schutz von Daten Domäne DS - Delivery und Support Regelung der Zugriffsberechtigung Festlegung von Benutzerberechtigungen Benutzerkennungen Benutzerkontenverwaltung PO ME AI DS Techn. Sicherheitsmaßnahmen Vollständige Verfügbarkeit von relevante Daten Verfahren für Datenspeicherung und -archivierung 68
67 Fazit Die Kombination aus strategischer Prozesssteuerung nach COBIT und taktischer Maßnahmenvorgabe durch BSI Grundschutz bildet eine umfangreiche Basis für die Erstellung einer maßgeschneiderten Unternehmens-Policy zur IT- Sicherheit. Ein Beispiel eines solchen Regelwerkes ist in Das IT-Gesetz: Compliance in der IT-Sicherheit [Grün2009] zu finden 69
68 Quellen [Gol2006] Goltsche, Wolfgang: COBIT kompakt und verständlich, Vieweg Verlag, Wiesbaden, 2006, ISBN [Grün2009] Ralf-T. Grünendahl, Andreas F. Steinbacher, Peter H.L.Will: Das IT-Gesetz: Compliance in der IT-Sicherheit, Vieweg+Teubner, Wiesbaden, 2009, ISBN
69 Quellen [COBIT4.0] IT Governance Institute / KPMG: COBIT 4.0 Deutsche Ausgabe (COBIT 4.0 Deutsch.pdf) 2005 IT Governance Institute [COBIT4.1] IT Governance Institute: COBIT 4.1 Framework, Control Objectives, Management Guidelines, Maturing Models (COBIT_4.1_English.pdf, 71
70 Quellen [Leitf09] Bundesamt für Sicherheit in der Informationstechnik: Leitfaden Informationssicherheit, Bundesanzeiger-Verlag, 2009 [IT-Kat09] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kataloge 11. Ergänzungslieferung, Bundesanzeiger-Verlag, 2009, ISBN
C R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
MehrStrategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014
Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,
MehrCOBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach
COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome
MehrIT-Governance und COBIT. DI Eberhard Binder
IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrIT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes
IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
Mehr1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7
vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................
MehrIT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen
IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrModul 1 Modul 2 Modul 3
Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrInformationssicherheit (k)eine Frage für Ihr Unternehmen?
Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele
MehrIT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen
IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrIT-Grundschutz: Cloud-Bausteine
IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public
MehrRonny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom
Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrInformationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.
Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrIT-Controlling in der Sparkasse Hildesheim
1 IT-Controlling in der der Steuerungsregelkreislauf für IT-Entwicklung und -Betrieb Auf Basis der IT-Strategie mit den dort definierten Zielen wurde das IT-Controlling eingeführt und ist verbindliche
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrInformations- / IT-Sicherheit - Warum eigentlich?
Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297
MehrUrs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung
Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrDer beste Plan für Office 365 Archivierung.
Der beste Plan für Office 365 Archivierung. Der Einsatz einer externen Archivierungslösung wie Retain bietet Office 365 Kunden unabhängig vom Lizenzierungsplan viele Vorteile. Einsatzszenarien von Retain:
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrDie COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke
Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrSecurity. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.
Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrRisiken auf Prozessebene
Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse
MehrSicherheitshinweise für Administratoren. - Beispiel -
Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrDatenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand
Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,
MehrDr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen
Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:
MehrSchon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge
Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen
MehrMicrosoft SharePoint 2013 Designer
Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste
MehrTransparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen
IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.
MehrIT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter
IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter Agenda 1) Warum IT-Sicherheit? 2) IT-Sicherheit der Netzleitstelle 3) Ausweitung auf Smart Meter 2 Definition IT-Sicherheit IT-Sicherheit betrifft
MehrMITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.
MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrIT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen
IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition
MehrIT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen
IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt
MehrLösungen die standhalten.
Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen
MehrVom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten
Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting
MehrScannen Sie schon oder blättern Sie noch?
Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon
MehrNeu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter
und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt
MehrSiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
MehrManagements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY
Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches
MehrErfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters
Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung
MehrIT-Grundschutz - der direkte Weg zur Informationssicherheit
IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
MehrErfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank
Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank
Mehr4Brain IT-Netzwerke IT-Sicherheit
4Brain IT-Netzwerke IT-Sicherheit Markus Hannemann Geschäftsführer IT-Counsultant 4Brain IT-Netzwerke IT-Sicherheit Essener Straße 59 46047 Oberhausen 0208 307791-81 info@4brain.de 1 Firmenportrait März
MehrSSZ Policy und IAM Strategie BIT
SSZ Policy und IAM Strategie BIT Thierry Perroud Unternehmensarchitekt BIT Agenda Geschäftstreiber SSZ Abgrenzung Access Management / Identity Management IAM Strategien Zugriffsmuster Stand der Arbeiten
MehrFachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik
Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver
MehrModernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central
Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei
MehrIT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance
IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.
MehrIT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014
IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen
MehrIT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen
IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrIT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach
IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur
MehrQualitätsmanagement in kleinen und mittleren Unternehmen
Qualitätsmanagement in kleinen und mittleren Unternehmen M. Haemisch Qualitätsmanagement Von der Qualitätssicherung zum Qualitätsmanagement (ISO 9001) Qualitätsmanagement als ein universelles Organisationsmodell
MehrDATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher
DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
Mehr«Zertifizierter» Datenschutz
«Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrVortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -
Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrWozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.
Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrCloud-Computing. Selina Oertli KBW 28.10.2014
2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht
MehrIT-Grundschutz praktisch im Projekt Nationales Waffenregister
IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum
MehrTeil - I Gesetzliche Anforderungen an IT-Sicherheit
Teil - I an IT-Sicherheit Unternehmensrisiken (Einleitung Abschnitt-1) Jedes Unternehmen ist Risiken 1 ausgesetzt oder geht Risiken bewusst manchmal auch unbewusst ein. Risiken können entstehen in den
MehrÜbersicht Kompakt-Audits Vom 01.05.2005
Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis
Mehr