DAS IT-GRUNDSCHUTZ-KONZEPT. Datenschutz und IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "DAS IT-GRUNDSCHUTZ-KONZEPT. Datenschutz und IT-Sicherheit"

Transkript

1 DAS IT-GRUNDSCHUTZ-KONZEPT Dr. Heinrich Kersten Datenschutz und IT-Sicherheit

2 PROBLEMSTELLUNG Warum IT-Sicherheit? Schutz der Werte eines Unternehmens / einer Behörde Anforderungen von Kunden und Partnern Wettbewerbsfaktor Haftungsverpflichtungen aufgrund gesetzlicher Regelungen Was wird benötigt? Eine praktikable Methode, um Risiken analysieren zu können, Maßnahmen zur Behandlung der Risiken festzulegen, verbleibende Risiken zu bestimmen. Am besten ein anerkannter Standard oder ein akzeptiertes Vorgehensmodell: Stand der Technik: Entlastung bei der Verantwortung des Sicherheitsmanagements möglich. Abdeckung der Vorsorgeverpflichtungen Vergleichsmöglichkeit: Wie weit ist man noch von den Vorgaben entfernt? Möglichkeit der Zertifizierung 2

3 IT-GRUNDSCHUTZ wurde Anfang der 90 er Jahre vom BSI entwickelt. Ursprüngliche Zielrichtung: Anwendung in Bundesbehörden durch Nicht-Experten für Anwendungsfälle mit tolerablen Risiken mittels einfacher Standard- Sicherheitsmaßnahmen (Katalog) Inzwischen: Anwendungen auch in der Industrie Methode erweitert auf höhere Risiken Maßnahmenkatalog massiv erweitert, deckt meist 80 % aller Sicherheitsaspekte ab viele Hilfsmittel und Tools verfügbar, sogar Freeware-Tool Zertifizierungsschema vorhanden 3

4 WAS IST DER IT-GRUNDSCHUTZ? Ein Vorgehensmodell, um IT-Anwendungen konzeptionell abzusichern. Etablierung eines IT-Sicherheitsmanagements Gefährdungen Schutzbedarf Anwendung standardisierter Maßnahmen Umsetzung der Maßnahmen zusätzliche Analysen Gefährdungskatalog Maßnahmenkatalog Umsetzungsplanung ergänzende (Risiko)Analyse bei hohem Schutzbedarf Schutzbedarfsfeststellung Bausteinkatalog (Maßnahmengruppen) Überprüfung individuelle Maßnahmen BSI-Standard BSI-Standard BSI-Standard

5 IT-GRUNDSCHUTZ: ARBEITSPAKETE Struktur analysieren Organisation, Personal, Infrastruktur, Anwendungen, IT-Systeme Schutzbedarf feststellen Maßnahmen wählen Modellierung nach Bausteinkatalog Basis-Sicherheitscheck Schutzbedarf NORMAL? NEIN Ergänzende Analyse Ca. 20% Ca. 80% JA Konsolidierung Realisierung 5

6 1. STRUKTURANALYSE Das IT-Grundschutz- Konzept 6

7 VORGEHENSWEISE Es sind zunächst die zu schützenden Objekte zu erfassen*. Dabei werden nur bestimmte Objekttypen betrachtet: * manuell oder Tool-gestützt IT-Anwendungen IT-Systeme IT-Räume inkl. aller Daten Server, Workstations, PC Switches, Router, Gateways, Firewalls Sonstige: Scanner, Drucker, Kopierer, Räume mit IT-Systemen, Netzwerk- und Versorgungstechnik Rechenzentren Schalt- und Schutzschränke Wer führt die Erfassung durch? Netzwerk Transportwege bzw. Verbindungsstrecken Geschäftsprozesse, Organisationsmittel, Personal / Rollen können mitgeführt werden, gehen aber in die weitere Analyse nicht ein. 7

8 IT-ANWENDUNGEN z.b. Bezeichnung von Org-Einheiten Bez. IT-Anwendungen Datenart verantwortlich Anwender Nutzer Geschäftsprozess Verwaltungsverfahren A1 Personaldaten P Z1 Z1 Personalverwaltung A2 Reisekosten P Z2 alle Personalverwaltung A3 Projekt-Controlling A P5 P1-5 Projektabwicklung A4 Nutzer-Authentisierung S IT1 alle alle A5 System-Management S IT2 IT2 alle A6 Bürokommunikation P, S, A B1 alle alle A7 Dokumentenarchiv P, S, A C3 alle alle P = personenbezogene Daten S = systemtechnische Daten A = Auftragsdaten 8

9 IT-SYSTEME Bezeichnung Status in Betrieb, im Test, geplant,... Beschreibung HW / Betriebssystem, installierte SW und Anwendungen Gruppierung Liste gruppierter IT-Systeme Lokalität z. B. Gebäude-/Raumnummer Rollen Verantwortliche, Nutzer, Admin, Betrieb, Wartung, 9

10 RÄUME Bezeichnung z. B. Raumnummer aus einem Bauplan Status in Betrieb, im Test, geplant,... Beschreibung Gruppierung Office, Technikraum (z. B. Notstromversorgung, Klimatisierung), Archivraum, Schutzschrank, Server- Raum, Rechenzentrum Liste gruppierter Räume Lokalität Standort, Liegenschaft, Gebäude Rollen Verantwortliche, Nutzer, Haustechnik, 10

11 VERKNÜPFUNGEN IT-Systeme Bez. IT-Anwendungen S1 S2 S3 C1 C2 C3 C4 A1 Personaldaten X A2 Reisekosten X A3 Projekt-Controlling X X A4 Nutzer-Authentisierung X X A5 System-Management X A6 Bürokommunikation X A7 Dokumentenarchiv X Bez. Räume S1 S2 S3 C1 C2 C3 C4 R1 Rechenzentrum X R2 Server-Raum 1 X R3 Server-Raum 2 X X R4 Standard-Office X X X 11

12 NETZWERK = SUMME DER VERBINDUNGSSTRECKEN Bezeichnung Status in Betrieb, im Test, geplant,... Beschreibung Art der Verbindung (Leitung, Funk, etc.), technische Daten, Protokolle Gruppierung Liste gruppierter Verbindungen Lokalität Übertragungsbereich, ggf. Leitungsführung Rollen Verantwortliche, Nutzer, 12

13 WIE REDUZIERT MAN DIE KOMPLEXITÄT? Gruppierung Bei der Strukturanalyse können Gruppen gleichartiger Objekte zusammengefasst und auf ein Objekt reduziert werden. Mögliche Kriterien gleiche (standardisierte) Ausstattung vergleichbare Nutzung / gleiche Anwendung vergleichbarer Arbeitsbereich vergleichbarer Sicherheitsbedarf 13

14 2. SCHUTZBEDARF FESTSTELLEN Das IT-Grundschutz- Konzept 14

15 SCHADENSSZENARIEN Mögliche Schäden werden in Kategorien einsortiert: Schadenkategorien Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung / Geschäftstätigkeit Negative Innen- und Außenwirkung (Image, Kreditwürdigkeit, ) Finanzielle Auswirkungen Ergänzung um eigene Kategorien Schäden werden einem Grundwert zugeordnet: Beispiele Grundwerte Vertraulichkeit Integrität Verfügbarkeit Beispiele: 1) Die Veröffentlichung vertraulicher Informationen zieht Regressforderungen nach sich. 2) Durch unerlaubte Weitergabe von Firmen-Knowhow entsteht ein geschäftlicher Schaden. 15

16 SCHUTZBEDARF Für alle betrachteten Schäden: Konkreter Schaden Schadenkategorie Betroffene IT- Anwendung(en) Beeinträchtigte Grundwert(e) Schadenauswirkung Bei jeder IT-Anwendung bestimmt die höchste vorkommende Schadenauswirkung den Schutzbedarf der IT-Anwendung (bezogen auf den jeweiligen Grundwert). Schutzbedarf NORMAL HOCH Auswirkung begrenzt, überschaubar beträchtlich Wer ermittelt den Schutzbedarf? SEHR HOCH existenziell bedrohlich, katastrophal 16

17 HILFE BEI DER EINSCHÄTZUNG Schutzbedarf Schadenkategorie NORMAL HOCH SEHR HOCH Verstoß gegen Gesetze/Vorschriften/Verträge Verstöße mit <..> Konsequenzen Vertragsverletzungen mit < > Konventionalstrafen <geringfügigen> <geringen> <erheblichen> <hohen> <fundamentalen> <ruinösen> Beeinträchtigung des informationellen Selbstbestimmungsrechts Personenbez. Daten, bei denen der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen < > beeinträchtigt werden kann. <nicht> <erheblich> <gravierend> Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung ist < >. <nicht möglich> <nicht absolut auszuschließen> <gravierend> Beeinträchtigung der Aufgabenerfüllung Beeinträchtigung würde als < > eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist < > Stunde(n). <tolerabel> <größer als 24> <nicht tolerabel> <zwischen 1 und 24> <nicht tolerabel> <kleiner als 1> Negative Innen-/Außenwirkung Ansehens- oder Vertrauensbeeinträchtigung ist < >. <gering bzw. nur intern> <organisationsübergreifend> <landesweit>, evtl. sogar <existenzgefährdend> Finanzielle Auswirkungen Der finanzieller Schaden ist < >. <tolerabel> <beachtlich, aber nicht existenzbedrohend> <existenzbedrohend> 17

18 SYSTEMATIK DES SCHUTZBEDARFS Vererbungsprinzip IT-Anwendung IT-Systeme IT-Räume Jede IT-Anwendung vererbt ihren Schutzbedarf auf die beteiligten IT-Systeme. Jedes in einem Raum installierte IT- System vererbt seinen Schutzbedarf auf den Raum. Vererbung Anwendung IT-System Maximumprinzip: Erbt ein IT-System von mehreren Anwendungen einen Schutzbedarf, so ist der maximale vererbte Schutzbedarf für das IT-System maßgebend. Verteilungseffekt: Durch die Verteilung einer Anwendung auf mehrere IT-Systeme kann sich deren Schutzbedarf erniedrigen. Kumulationseffekt: Durch die Ansammlung vieler Anwendungen auf einem IT-System kann sich dessen Schutzbedarf erhöhen. Vererbung IT-System Raum Alle obigen Regeln gelten sinngemäß auch hierfür. 18

19 BEISPIEL: VERERBUNG AUF SYSTEME UND RÄUME Bez. IT-Anwendung Schutzbedarf S1 S2 S3 C1 C2 C3 C4 A1 Personaldaten HOCH X A2 Reisekosten NORMAL X A3 Projekt-Controlling NORMAL X X A4 Nutzer-Authentisierung SEHR HOCH X X A5 System-Management SEHR HOCH X A6 Bürokommunikation NORMAL X A7 Dokumentenarchiv HOCH X Bez. Räume Schutzbedarf S1 S2 S3 C1 C2 C3 C4 R1 Rechenzentrum X? R2 Server-Raum 1 X R3 Server-Raum 2 X X R4 Standard-Office X X X 19

20 NETZWERK-ANALYSE Verwaltung Server S1 Entwicklung Server S2 Netzwerkverbindungen werden vollständig erfasst und kategorisiert. Switch Router Internet Client C1 Client C2 Client C3 Client C4 Kategorien Verbindungen Außenverbindung Hohe Vertraulichkeit Hohe Integrität Hohe Verfügbarkeit Keine Übertragung C1/2 S X C3/4 - S X X S1 S X S2 - S X X X S - R X X R - I X Aus dieser Tabelle leitet man (später) Anforderungen z. B. nach Kryptografie oder Redundanz ab! Gruppierte Verbindungen 20

21 3. MODELLIERUNG DES VERBUNDS Das IT-Grundschutz- Konzept 21

22 MODELLIERUNG = AUSWAHL GEEIGNETER BAUSTEINE Schicht Management Infrastruktur IT-Systeme Netze Anwendungen Bausteingruppe B1 B2 B3 B4 B5 Übergreifende Aspekte Sicherheit der Infrastruktur Sicherheit der IT-Systeme Sicherheit im Netz Sicherheit in Anwendungen Blick in den Bausteinkatalog! Die Schichten werden von oben nach unten durchlaufen. Jeden Baustein einer Gruppe ist dahingehend prüfen, ob er auf ein Schutzobjekt angewendet werden kann. Wenn ja: Alle Maßnahmen aus diesem Baustein übernehmen und zur Umsetzung vorsehen! 22

23 ÜBERBLICK BAUSTEIN-GRUPPEN 1,2,3 1 Übergreifende Aspekte 1.0 Sicherheitsmanagement 1.1 Organisation 1.2 Personal 1.3 Notfallmanagement 1.4 Datensicherungskonzept 1.5 Datenschutz 1.6 Schutz vor Schadprogrammen 1.7 Kryptokonzept 1.8 Behandlung von Sicherheitsvorfällen 1.9 Hard- und Software-Management 1.10 Standardsoftware 1.11 Outsourcing 1.12 Archivierung 1.13 Sensibilisierung und Schulung 1.14 Patch- und Änderungsmanagement 1.15 Löschen und Vernichten von Daten 1.16 Anforderungsmanagement 2 Infrastruktur 2.1 Gebäude 2.2 Elektrotechnische Verkabelung 2.3 Büroraum 2.4 Serverraum 2.5 Datenträgerarchiv 2.6 Raum für techn. Infrastruktur 2.7 Schutzschränke 2.8 Häuslicher Arbeitsplatz 2.9 Rechenzentrum 2.10 Mobiler Arbeitsplatz 2.11 Besprechungs-,Veranstaltungsund Schulungsräume 2.12 IT-Verkabelung 3 IT-Systeme Allgemeiner Server Server unter Unix S/390- und zseries-mainframe Windows Server Windows Server Allgemeiner Client Allg. nicht vernetztes IT-System Laptop Client unter Unix Internet-PC Client unter Windows XP Client unter Windows Vista Client unter Mac OS X Client unter Windows Sicherheitsgateway (Firewall) Router und Switches Speichersysteme, Speichernetze Virtualisierung Terminalserver TK-Anlage Faxgerät Mobiltelefon PDA Drucker, Kopierer, 23

24 ÜBERBLICK BAUSTEIN-GRUPPEN 4,5 4 Netze 4.1 Heterogene Netze 4.2 Netz- und Systemmanagement 4.3 Modem 4.4 VPN 4.5 LAN-Anbindung über ISDN 4.6 WLAN 4.7 VoIP 4.8 Bluetooth 5 Anwendungen 5.2 Datenträgeraustausch Webserver 5.5 Lotus Notes 5.6 Faxserver 5.7 Datenbanken 5.8 Telearbeit 5.9 Novell edirectory 5.12 Exchange 2000 / Outlook SAP System 5.14 Mobile Datenträger 5.15 Allgemeiner Verzeichnisdienst 5.16 Active Directory 5.17 Samba 5.18 DNS-Server 5.19 Internet-Nutzung 5.20 OpenLDAP 5.21 Webanwendungen 5.22 Protokollierung 24

25 EINFACHES BEISPIEL Server S1 Server S2 Verwaltung Vertrieb Entwicklung Telefon TK-Anlage Switch SW2 Telefonnetz FAX Clients C3 Router Internet Switch SW1 C1 C2 C3 S1 S2 Windows 7 Clients Unix-Client Linux-Server Clients C1 Client C2 25

26 BAUSTEINGRUPPE 3 Alle weiteren Bausteingruppen 1,2,4,5 müssen analog bearbeitet werden! B B B B B B B B B Allgemeiner Server Allgemeiner Client Allgemeines nicht vernetztes IT-System Laptop Client unter Unix Internet-PC Client unter Windows XP Client unter Windows Vista Client unter Mac OS X B Client unter Windows 7 Immer anwenden B Server unter Unix Linux fehlt: Anwendung B S/390- und zseries-mainframe eines ähnlichen B Windows Server 2003 Bausteins Immer anwenden B B B B B B B B Sicherheitsgateway (Firewall) Router und Switches Speichersysteme und Speichernetze TK-Anlage Faxgerät Mobiltelefon PDA Drucker, Kopierer und Multifunktionsgeräte Blick in einzelne Bausteine! 26

27 RESULTAT (NUR FÜR BAUSTEINGRUPPE 3) In jedem Baustein sind die dazu gehörenden Maßnahmen verzeichnet. Die Maßnahmen selbst sind verlinkt mit dem Maßnahmenkatalog und dort detailliert beschrieben. Ausgewählte Bausteine Anzahl Maßnahmen B Allgemeiner Server 33 B Server unter Unix 26 B Allgemeiner Client 19 B Client unter Unix 29 B Client unter Windows 7 45 B Router und Switches 21 B TK-Anlage 18 Wer führt die Modellierung durch? B Faxgerät 19 Summe

28 4. BASIS-SICHERHEITS-CHECK Das IT-Grundschutz- Konzept 28

29 BASIS-SICHERHEITS-CHECK Maßnahmenliste Die Maßnahmen aus allen ausgewählten Bausteinen zusammenstellen. Personalisieren Für jede Maßnahme eine auskunftsfähige Person ermitteln. Umsetzungsgrad Durch Befragung klären, ob die Maßnahme bereits umgesetzt ist, oder ganz oder in Teilen fehlt. Realisierungsplan alle umgesetzten Maßnahmen auf korrekte Umsetzung prüfen Prüfplan alle nicht bzw. nicht vollständig umgesetzten Maßnahmen Defizite beheben Wer macht das? 29

30 KONSOLIDIERUNG/ REALISIERUNG Im Realisierungsplan Dubletten entfernen, nicht anwendbare bzw. nicht mehr benötigte Maßnahmen streichen. Für jede Maßnahme aus diesem Plan ein Formblatt ausfüllen, in dem Details der Umsetzung beschrieben sind: Beschreibung der Maßnahme, Zuständigkeiten, Termine, benötigte / verfügbare Ressourcen. Diese Formblätter den für die Umsetzung Zuständigen aushändigen und nach Umsetzung der Maßnahme als Rücklauf anfordern. Im Rücklauf muss erklärt sein, dass die Maßnahme korrekt umgesetzt wurde bzw. wo ggf. Probleme bestehen. 30

31 ÜBERPRÜFUNG Jede Maßnahme im Prüfplan ist auf korrekte Umsetzung zu überprüfen: Beim ersten Mal (nach Freigabe des Sicherheitskonzeptes) ist eine vollständige Prüfung erforderlich. Dies kann später stichprobenartig über eine längere Zeit erfolgen, z. B. nach 3 Jahren vollständige Abdeckung aller Maßnahmen. Der Prüfplan wird im Laufe der Zeit länger, wenn weitere Maßnahmen aus dem Realisierungsplan umgesetzt worden sind. 31

32 WO STEHEN WIR? Schutzbedarf NORMAL? Alle zu schützenden Objekte haben Schutzbedarf NORMAL. Nach Aussage des BSI sind die Katalogmaßnahmen für den Schutzbedarf NORMAL ausreichend. Realisierungsplan umsetzen *** ENDE *** Es gibt zu schützende Objekte mit Schutzbedarf (SEHR) HOCH. Dann ist zusätzlich eine ergänzende Analyse (nach BSI 100-3) durchzuführen! Es kann sein, dass die Katalogmaßnahmen für diesen Schutzbedarf nicht ausreichend sind. Es können weitere / stärkere Maßnahmen erforderlich werden. 32

33 4. ERGÄNZENDE ANALYSE Das IT-Grundschutz- Konzept 33

34 ERWEITERTES VORGEHENSMODELL Die Phase Basis-Sicherheits-Check wird untergliedert: Weitere Gefährdungen ermitteln. Alle zusätzlichen Maßnahmen geeignet zusammenstellen. 1. Gefährdungsübersicht* Basis- Sicherheits- Check 1 2. Zusätzliche Gefährdungen 3. Gefährdungsbewertung 4. Risiken behandeln 5. Konsolidieren Basis- Sicherheits- Check 2 Die in den ausgewählten Bausteinen gelisteten Gefährdungen. Prüfen, ob die Katalogmaßnahmen ausreichend sind; andernfalls zusätzliche Maßnahmen einplanen. Prüfplan Realisierungsplan 34

35 GEFÄHRDUNGEN (1,2) Zielobjekte (IT-Anwendungen, Systeme, Räume) mit höherem Schutzbedarf identifizieren. Relevante Bausteine und Maßnahmen aus den Katalogen übernehmen. Die in den Baustein-Beschreibungen genannten Gefährdungen zusammenstellen. Relevante Gefährdungen ermitteln, die nicht im Katalog stehen. Beispiel Linux Server Vertraulichkeit: Integrität: Verfügbarkeit: NORMAL NORMAL HOCH G1.2 Ausfall des Systems G3.2 Fahrlässige Zerstörung G4.1 Ausfall Stromversorgung EG.05 Betrieb in Produktionsbereich mit extrem hoher Luftfeuchte Unrealistische / nicht relevante Gefährdungen streichen. * Gefährdungskatalog 35

36 BEWERTUNG UND RISIKEN (3,4) Sind die Maßnahmen aus den Bausteinen ausreichend, um die Gefährdung abzuwehren? Aspekt Vollständigkeit: Bieten diese Sicherheitsmaßnahmen Schutz gegen die betrachtete Gefährdung? Aspekt Stärke: Sind die Maßnahmen ausreichend stark? Aspekt Zuverlässigkeit: Können diese Sicherheitsmechanismen umgangen werden? Wenn Zweifel bestehen: individuelle Risikobehandlung erforderlich! Beispiel Linux Server Vertraulichkeit: NORMAL Integrität: NORMAL Verfügbarkeit: HOCH G1.2 Ausfall des Systems G3.2 Fahrlässige Zerstörung G4.1 Ausfall Stromversorgung EG.05 Betrieb im Produktionsbereich mit extrem hoher Luftfeuchte Maßnahmen ausreichend? J J N N J = ist ausreichend abgedeckt. N = ist nicht ausreichend abgedeckt. 36

37 RISIKOBEHANDLUNG Für nicht abgedeckte Risiken bestehen folgende Optionen: Risiko-Übernahme / -Akzeptanz. Risiko-Transfer / -Verlagerung. Risiko-Reduktion durch weitere Sicherheitsmaßnahmen. Risiko-Reduktion durch Umstrukturierung des IT-Verbunds / der Geschäftsprozesse. Entsprechende Entscheidungen sind herbeizuführen und zu dokumentieren! Validierung ausgewählter Maßnahmen auf Eignung, Zusammenwirken, Benutzerfreundlichkeit, Angemessenheit. Verbleibende Risiken abschätzen. 37

38 ISO Das IT-Grundschutz- Konzept 38

39 ISO NORMENREIHE ISO Vocabulary* Rahmenwerk für das Management der Informationssicherheit (ISMS). Eher eine Meta-Methode mit viel Spielraum für eigene Lösungen. Langjährige internationale Erfahrungen (u. a. BS7799). ISO ist die Vorgabe für eine mögliche Zertifizierung. Nationale / internationale Strukturen sind vorhanden: Auditoren, Zertifizierungsstellen, Anerkennungsabkommen. ISO ISMS Requirements* ISO Code of Practice* ISO Implementation Guidance ISO Measurement ISO Risk Management ISO Management Audit ISO Technical Audit ISO IT Security and ITIL ISO IT Security and Governance ISO IT Security and Economics * Normen in deutscher Sprache verfügbar. 39

40 WEITERE SPEZIALNORMEN Alle zumindest als Entwurf erschienen. ISO Informationsaustausch in kritischen Infrastrukturen ISO Informationssicherheit bei Telekommunikationsanbietern ISO Informationssicherheit und ITIL ISO Governance und Compliance ISO Informationssicherheit im Finanzsektor ISO Informationssicherheit und Wirtschaftlichkeit ISO 27017/27018 Cloud Computing ISO Prozesssteuerung Energiesektor ISO Business Continuity ISO Cybersecurity ISO IT Network Security ISO Application Security ISO Incident Management ISO Supplier Security ISO Digital Evidence Normen erhältlich unter ISO Digital Redaction ISO Health sector security Weitere geplante Standards dieser Reihe: Informationen unter 40

41 ISO 27001: INHALT ISMS Inhaltsverzeichnis (Auszug) Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Betrieb, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit behandelt... ISMS 4 Geschäftstätigkeit der Organisation Gegenstand des ISMS bestimmen ISMS Einrichtung 5 Leitungsaufgaben Leitung und Unterstützung, Leitlinie Rollen, Verantwortlichkeiten and Zuständigkeiten 6 Planung Risiken und Chancen adressieren Sicherheitsziele und pläne 7 Unterstützung Ressourcen, Kompetenzen, Awareness, Kommunikation Dokumentation 8 Betrieb Pläne und Kontrollen Risikoeinschätzung und behandlung 9 Bewertung der Wirksamkeit Überprüfung, Messung, Analyse und Bewertung Interne Audits Management Bewertung 10 Verbesserung Nicht-Konformität und Korrekturmaßnahmen Kontinuierliche Verbesserung Anhang A (normativ) Maßnahmenziele und Maßnahmen 41

42 PLAN-PHASE: UNTERSTÜTZUNG (KAP. 7) Ausreichende Ressourcen für das ISMS Kompetenzen (Qualifikationen) Interne Kommunikation Lenkung von Informationen Awareness Einrichtung Anforderungen an wichtige Rollen Dokumente Kenntnis der Leit- und Richtlinien Betrieb Überprüfung Entsprechende Rollenbesetzung Aus- und Fortbildung Weitergabe wichtiger Informationen persönliche Sicherheitsverantwortung Verbesserung Nachweise archivieren Aufzeichnungen Folgen bei Nichtbeachtung Leitungsaufgaben 42

43 CHECK-PHASE (KAP. 9) In 3 Ebenen: Aktivitäten Zuständigkeit Abschnitte in der Norm Überwachen Messen Bewerten Sicherheitspersonal 9.1 Interne Audits anderes Personal 9.2 Management-Bewertung Leitung

44 ANHANG A DER ISO Anhang A ist ein Katalog mit 14 Sicherheitsthemen, Thema 35 Maßnahmenzielen, Ziel 1 Ziel 2 Alle Ziele decken das Thema ab. 114 Controls. Control 1.A Control 1.B Control 2.A Control 2.B Control 2.C Jedes Control fordert die Bearbeitung eines bestimmten Sicherheitsaspekts. Alle Controls decken das Ziel ab. Anhang A ist normativ, d. h. alle Controls müssen bearbeitet werden, aber nur die für die Organisation relevanten Controls müssen umgesetzt werden! 44

45 ANHANG A: GLIEDERUNG DER CONTROLS 5 Sicherheitsleitlinien Vorgaben der Leitung zur Informationssicherheit 6 Organisation der Informationssicherheit Interne Organisation Mobilgeräte und Telearbeit 7 Sicherheit des Personals Vor der Einstellung Während der Anstellung Beendigung und Wechsel der Anstellung 8 Wertemanagement Verantwortung für Werte Klassifizierung von Informationen Umgang mit Medien 9 Zugriffskontrolle Geschäftliche Anforderungen in Bezug auf die Zugriffskontrolle Benutzerverwaltung Benutzerverantwortung Kontrolle des Zugriffs auf Systeme und Anwendungen 10 Kryptographie Kryptographische Maßnahmen 11 Schutz vor physischem Zugang und Umwelteinflüssen Sicherheitsbereiche Betriebsmittel Aus ISO 27001: (deutsche Fassung) Nummerierung in der Norm von 5 bis 18! Kommentare und Beispiele in der ISO (Leitfaden ). 12 Betriebssicherheit Betriebsverfahren und Zuständigkeiten Schutz vor Malware Datensicherungen Protokollierung und Überwachung Kontrolle von Software im Betrieb Management technischer Schwachstellen Auswirkungen von Audits auf Informationssysteme 13 Sicherheit in der Kommunikation Netzwerksicherheitsmanagement Informationsübertragung 14 Anschaffung, Entwicklung und Instandhaltung Sicherheitsanforderungen für Informationssysteme Sicherheit in Entwicklungs- und Unterstützungsprozessen Prüfdaten 15 Lieferantenbeziehungen Sicherheit in Lieferantenbeziehungen Management der Dienstleistungserbringung 16 Management von Informationssicherheitsvorfällen Management von Informationssicherheitsvorfällen und Verbesserungen 17 Informationssicherheitsaspekte des BCM Kontinuität der Informationssicherheit Redundanzen 18 Richtlinienkonformität Informationssicherheitsprüfungen Einhaltung gesetzlicher u. vertraglicher Anforderungen 45

46 BEISPIEL: A.11 Schutz vor physischem Zugang und Umwelteinflüssen 1. Sicherheitsbereiche 2. Betriebsmittel Kategorie Aufzählung der Maßnahmenziele Maßnahmenziel 1 1. Sicherheitsbereiche Zieldefinition Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Controls 1.1 Physische Sicherheitszone 1.2 Physische Zugangskontrolle 1.3 Sicherung von Zweigstellen, Räumen und Anlagen 1.4 Schutz externen und umweltbedingten Bedrohungen 1.5 Arbeit in Sicherheitsbereichen 1.6 Anlieferungs- und Ladezonen Beschreibung der Controls / Steuerungsziele / Anforderungen Zum Schutz von Bereichen, in denen sich entweder vertrauliche oder betriebswichtige Informationen oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitszonen festzulegen und zu verwenden. Es sind physische Schutzvorkehrungen gegen Naturkatastrophen, vorsätzliche Angriffe oder Unfälle zu konzipieren und anzuwenden. 46

47 MATERIALIEN TOOLS: FREE ISO27K TOOLKIT mit vielen Expertisen und Vorlagen: VERINICE : Freeware-Tool Bücher: IT-Sicherheitsmanagement nach ISO und Grundschutz, Springer-Verlag, 2013 IT-Sicherheitsmanagement, mitp-verlag, 2012 Der IT Security Manager, Springer-Verlag,

48 ISO27001 VS. IT-GRUNDSCHUTZ Das IT-Grundschutz- Konzept 48

49 VERGLEICH-1 Grundschutz ISO IT-Verbund festlegen weitgehende Kompatibilität Anwendungsbereich bestimmen Leitlinie erstellen weitgehende Kompatibilität Leitlinie erstellen Strukturanalyse weitgehende Kompatibilität Assets erfassen Schutzbedarf ermitteln wesentliche Unterschiede Risiken analysieren Risiken bewerten 49

50 VERGLEICH-2 Grundschutz Modellierung durchführen ISO Risiken behandeln Basis-Sicherheits- Check durchführen wesentliche Unterschiede Optionen Maßnahmen Ergänzende Analyse Restrisiken akzeptieren Maßnahmen konsolidieren Genehmigung der Leitung geringe Unterschiede Erklärung zur Eignung (SoA) Maßnahmen umsetzen Maßnahmen umsetzen 50

51 RISIKO-MODELL IN DER ISO-NORM Risiken steuern Risikoanalyse Risikobewertung Risiken identifizieren Schwachstellen ermitteln Risiken abschätzen Auswirkungen einschätzen Ermitteln, Benennen und Beschreiben von Bedrohungen / Gefährdungen Sind Schwachstellen vorhanden? Schadenhöhe und Eintrittshäufigkeit abschätzen oder klassifizieren Welche Auswirkung hat das Risiko auf das Unternehmen? 51

52 BEISPIEL Risikoklassen zusammengesetzt aus: Häufigkeiten H1: seltener als 1 x pro Jahr H2: seltener als 1 x pro Quartal H3: seltener als 1 x pro Monat H4: häufiger als 1 x pro Monat Schadenhöhen pro Fall S1: geringfügig S2: mittel S3: hoch S4: sehr hoch Schadenhäufigkeit H1 H2 H3 H4 Bewertung (Beispiel) EXISTENZBEDROHEND / nicht tolerabel GRAVIEREND / Maßnahmen vorsehen MITTEL / Maßnahmen prüfen GERING / vernachlässigbar S1 S2 S3 S4 Priorität Schadenhöhe 52

53 BEISPIEL Vor Maßnahmenauswahl Nach Maßnahmenauswahl Identifizierte Bedrohung Häufigkeit p.a. Schadenhöhe pro Fall Maßnahme Häufigkeit p.a. Schadenhöhe pro Fall Risikobewertung Restrisikobewertung Behandlung Blitzeinschlag H2 S3 GRAVIEREND M1 H2 S1 GERING Akzeptanz Viren-Infektion H3 S1 MITTEL M2 H1 S1 GERING Akzeptanz Hacker- Einbruch H4 S4 EXISTENZ- BEDROHEND M3 H3 S2 GRAVIEREND weitere Reduktion M1: äußerer / innerer Blitzschutz M2: Zwei Anti-Viren-Systeme M3: (aktuelle) Firewall einsetzen Maßnahmen individuell wählen! 53

54 UMGANG MIT RISIKEN ISO Risiken ermitteln und priorisieren. Risikobehandlung durch individuelle Maßnahmen (Top Level Risiken zuerst). Auswahl der Optionen und Maßnahmen ist dem Analysten überlassen. Grundschutz Alle Katalogmaßnahmen aus der Modellierung umsetzen: Schutzbedarf NORMAL. Für höheren Schutzbedarf ergänzende Analyse durchführen. Hierbei Maßnahmenauswahl durch den Analysten. 54

55 VERGLEICH IT-Grundschutz ist nur eine Möglichkeit der Umsetzung der ISO- Anforderungen. Andere Verfahren bzw. Varianten sind möglich! ISO Rahmenwerk: Auswahl von Methoden ist dem Anwender überlassen, an die Belange des Anwenders anpassbar. Schwerpunkt auf den Management-Aktivitäten. Anwendungsbereich ist beliebig skalierbar. Einheitliches Vorgehen für alle Risikoklassen. Auswahl von Maßnahmen dem Anwender überlassen. Bedarf an Aktualisierung ist begrenzt, da Darstellung abstrakt ist. Zertifizierungen dezentral und weltweit anerkannt. Spezialisten-Support (z.b. bei der Risikoanalyse) Hilfsmittel noch nicht sehr zahlreich. IT-Grundschutz Detailliertes Regelwerk: Methoden im Wesentlichen festgeschrieben. Schwerpunkt auf den Sicherheitsmaßnahmen. Eher für kleine bis mittlere IT-Verbünde. Methodenbruch zwischen NORMAL und HOCH. Schutzbedarf NORMAL : Maßnahmen festgeschrieben. Maßnahmenkatalog ist regelmäßig zu aktualisieren / erweitern. Zertifizierung nur durch das BSI. Keine Anerkennung im internationalen Kontext. Auch mit wenig Erfahrung realisierbar. Viele Hilfsmittel, z.t. frei verfügbar. 55

56 TRENDS Das IT-Grundschutz- Konzept 56

57 TRENDS BEIM IT-GRUNDSCHUTZ IT-Grundschutz Maßnahmen- und Bausteinkataloge werden immer umfangreicher. Methode richtet sich stärker aus auf ISO 27001/27002: Prozess ist aber noch nicht abgeschlossen. Anwender-Kritik wird zu Anpassungen führen: Wirtschaftlichkeit und Risikoorientierung adressieren Angepasstes Sicherheitsniveau Reduktion von Dokumentationsaufwand Zertifizierung Zurzeit ca. 95 Firmen / Behörden nach IT-Grundschutz zertifiziert (mit bestimmten Anwendungen). Ein Unternehmen aus der Schweiz, keines aus Österreich. 57

58 BISHER ERTEILTE ISO27001-ZERTIFIKATE (STAND ANFANG 2013, OHNE BSI-ZERTIFIKATE) 58

59 WIR SIND AM ENDE Vielen Dank für Ihr Interesse. Haben Sie Fragen oder Kommentare? Gerne auch per an: 59

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

Information zur Revision der ISO 9001. Sehr geehrte Damen und Herren,

Information zur Revision der ISO 9001. Sehr geehrte Damen und Herren, Sehr geehrte Damen und Herren, mit diesem Dokument möchten wir Sie über die anstehende Revision der ISO 9001 und die sich auf die Zertifizierung ergebenden Auswirkungen informieren. Die folgenden Informationen

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr

SCHUTZBEDARFSFESTSTELLUNG

SCHUTZBEDARFSFESTSTELLUNG SCHUTZBEDARFSFESTSTELLUNG Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MUSTER ZUR SCHUTZBEDARFSFESTSTELLUNG Die folgenden sfeststellungen wurden von der Arbeitsgruppe Muster IT- Sicherheitskonzepte der

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Delta Audit - Fragenkatalog ISO 9001:2014 DIS QUMedia GbR Eisenbahnstraße 41 79098 Freiburg Tel. 07 61 / 29286-50 Fax 07 61 / 29286-77 E-mail info@qumedia.de www.qumedia.de Delta Audit - Fragenkatalog ISO 9001:2014 DIS Zur Handhabung des Audit - Fragenkatalogs

Mehr

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234 IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Scannen Sie schon oder blättern Sie noch?

Scannen Sie schon oder blättern Sie noch? Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg

IT- Wir machen das! Leistungskatalog. M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg IT- Wir machen das! Leistungskatalog M3B Service GmbH Alter Sportplatz Lake 1 57392 Schmallenberg Tel.: 02972 9725-0 Fax: 02972 9725-92 Email: info@m3b.de www.m3b.de www.systemhaus-sauerland.de Inhaltsverzeichnis

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen- Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis OBD Das Bundesministerium des Innern ist nicht verantwortlich für den Inhalt der

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH Ein Partner der QA CIS Certification & Information by Security CIS GmbH Services GmbH CIS Certification & Information Security Services: Akkreditierte Zertifizierungsanstalt für ISO 27001 Information Security

Mehr

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party) Allgemeine Hinweise: Es wird von den Teilnehmern erwartet, dass ausreichende Kenntnisse vorhanden sind, um die Fragen 1.1 bis 1.10 unter Verwendung der EN 9100 und ISO 19011 innerhalb von 20 Minuten zu

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Content Management System mit INTREXX 2002.

Content Management System mit INTREXX 2002. Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

----------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------- 0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche

Mehr

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MODELLIERUNGSVORSCHRIFT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 2 ÜBERGEORDNETE ASPEKTE 3 3 INFRASTRUKTUR 5 4 IT-SYSTEME 6 5 NETZE 8 6 IT-ANWENDUNGEN 8 KONTAKT

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch und der IT-Sicherheit Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch 7.1 Bausteine des IT-GSHB (1) Nach Kapitel 1.4 des IT-GSHB gibt es folgende Bausteine: 3.0 IT-Sicherheitsmanagement 3.1 Organisation

Mehr

Sicherheit - Dokumentation. Erstellt von James Schüpbach

Sicherheit - Dokumentation. Erstellt von James Schüpbach - Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09. ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1

Mehr

Lizenzen auschecken. Was ist zu tun?

Lizenzen auschecken. Was ist zu tun? Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH verinice. ISMS in der Praxis umsetzen Alexander Koderman, CISA SerNet GmbH Seite 1 / 2009 SerNet GmbH SerNet GmbH gegründet 1997 Büros in Göttingen, Berlin, Nürnberg, Menlo Park Informationssicherheit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr