DAS IT-GRUNDSCHUTZ-KONZEPT. Datenschutz und IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "DAS IT-GRUNDSCHUTZ-KONZEPT. Datenschutz und IT-Sicherheit"

Transkript

1 DAS IT-GRUNDSCHUTZ-KONZEPT Dr. Heinrich Kersten Datenschutz und IT-Sicherheit

2 PROBLEMSTELLUNG Warum IT-Sicherheit? Schutz der Werte eines Unternehmens / einer Behörde Anforderungen von Kunden und Partnern Wettbewerbsfaktor Haftungsverpflichtungen aufgrund gesetzlicher Regelungen Was wird benötigt? Eine praktikable Methode, um Risiken analysieren zu können, Maßnahmen zur Behandlung der Risiken festzulegen, verbleibende Risiken zu bestimmen. Am besten ein anerkannter Standard oder ein akzeptiertes Vorgehensmodell: Stand der Technik: Entlastung bei der Verantwortung des Sicherheitsmanagements möglich. Abdeckung der Vorsorgeverpflichtungen Vergleichsmöglichkeit: Wie weit ist man noch von den Vorgaben entfernt? Möglichkeit der Zertifizierung 2

3 IT-GRUNDSCHUTZ wurde Anfang der 90 er Jahre vom BSI entwickelt. Ursprüngliche Zielrichtung: Anwendung in Bundesbehörden durch Nicht-Experten für Anwendungsfälle mit tolerablen Risiken mittels einfacher Standard- Sicherheitsmaßnahmen (Katalog) Inzwischen: Anwendungen auch in der Industrie Methode erweitert auf höhere Risiken Maßnahmenkatalog massiv erweitert, deckt meist 80 % aller Sicherheitsaspekte ab viele Hilfsmittel und Tools verfügbar, sogar Freeware-Tool Zertifizierungsschema vorhanden 3

4 WAS IST DER IT-GRUNDSCHUTZ? Ein Vorgehensmodell, um IT-Anwendungen konzeptionell abzusichern. Etablierung eines IT-Sicherheitsmanagements Gefährdungen Schutzbedarf Anwendung standardisierter Maßnahmen Umsetzung der Maßnahmen zusätzliche Analysen Gefährdungskatalog Maßnahmenkatalog Umsetzungsplanung ergänzende (Risiko)Analyse bei hohem Schutzbedarf Schutzbedarfsfeststellung Bausteinkatalog (Maßnahmengruppen) Überprüfung individuelle Maßnahmen BSI-Standard BSI-Standard BSI-Standard

5 IT-GRUNDSCHUTZ: ARBEITSPAKETE Struktur analysieren Organisation, Personal, Infrastruktur, Anwendungen, IT-Systeme Schutzbedarf feststellen Maßnahmen wählen Modellierung nach Bausteinkatalog Basis-Sicherheitscheck Schutzbedarf NORMAL? NEIN Ergänzende Analyse Ca. 20% Ca. 80% JA Konsolidierung Realisierung 5

6 1. STRUKTURANALYSE Das IT-Grundschutz- Konzept 6

7 VORGEHENSWEISE Es sind zunächst die zu schützenden Objekte zu erfassen*. Dabei werden nur bestimmte Objekttypen betrachtet: * manuell oder Tool-gestützt IT-Anwendungen IT-Systeme IT-Räume inkl. aller Daten Server, Workstations, PC Switches, Router, Gateways, Firewalls Sonstige: Scanner, Drucker, Kopierer, Räume mit IT-Systemen, Netzwerk- und Versorgungstechnik Rechenzentren Schalt- und Schutzschränke Wer führt die Erfassung durch? Netzwerk Transportwege bzw. Verbindungsstrecken Geschäftsprozesse, Organisationsmittel, Personal / Rollen können mitgeführt werden, gehen aber in die weitere Analyse nicht ein. 7

8 IT-ANWENDUNGEN z.b. Bezeichnung von Org-Einheiten Bez. IT-Anwendungen Datenart verantwortlich Anwender Nutzer Geschäftsprozess Verwaltungsverfahren A1 Personaldaten P Z1 Z1 Personalverwaltung A2 Reisekosten P Z2 alle Personalverwaltung A3 Projekt-Controlling A P5 P1-5 Projektabwicklung A4 Nutzer-Authentisierung S IT1 alle alle A5 System-Management S IT2 IT2 alle A6 Bürokommunikation P, S, A B1 alle alle A7 Dokumentenarchiv P, S, A C3 alle alle P = personenbezogene Daten S = systemtechnische Daten A = Auftragsdaten 8

9 IT-SYSTEME Bezeichnung Status in Betrieb, im Test, geplant,... Beschreibung HW / Betriebssystem, installierte SW und Anwendungen Gruppierung Liste gruppierter IT-Systeme Lokalität z. B. Gebäude-/Raumnummer Rollen Verantwortliche, Nutzer, Admin, Betrieb, Wartung, 9

10 RÄUME Bezeichnung z. B. Raumnummer aus einem Bauplan Status in Betrieb, im Test, geplant,... Beschreibung Gruppierung Office, Technikraum (z. B. Notstromversorgung, Klimatisierung), Archivraum, Schutzschrank, Server- Raum, Rechenzentrum Liste gruppierter Räume Lokalität Standort, Liegenschaft, Gebäude Rollen Verantwortliche, Nutzer, Haustechnik, 10

11 VERKNÜPFUNGEN IT-Systeme Bez. IT-Anwendungen S1 S2 S3 C1 C2 C3 C4 A1 Personaldaten X A2 Reisekosten X A3 Projekt-Controlling X X A4 Nutzer-Authentisierung X X A5 System-Management X A6 Bürokommunikation X A7 Dokumentenarchiv X Bez. Räume S1 S2 S3 C1 C2 C3 C4 R1 Rechenzentrum X R2 Server-Raum 1 X R3 Server-Raum 2 X X R4 Standard-Office X X X 11

12 NETZWERK = SUMME DER VERBINDUNGSSTRECKEN Bezeichnung Status in Betrieb, im Test, geplant,... Beschreibung Art der Verbindung (Leitung, Funk, etc.), technische Daten, Protokolle Gruppierung Liste gruppierter Verbindungen Lokalität Übertragungsbereich, ggf. Leitungsführung Rollen Verantwortliche, Nutzer, 12

13 WIE REDUZIERT MAN DIE KOMPLEXITÄT? Gruppierung Bei der Strukturanalyse können Gruppen gleichartiger Objekte zusammengefasst und auf ein Objekt reduziert werden. Mögliche Kriterien gleiche (standardisierte) Ausstattung vergleichbare Nutzung / gleiche Anwendung vergleichbarer Arbeitsbereich vergleichbarer Sicherheitsbedarf 13

14 2. SCHUTZBEDARF FESTSTELLEN Das IT-Grundschutz- Konzept 14

15 SCHADENSSZENARIEN Mögliche Schäden werden in Kategorien einsortiert: Schadenkategorien Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung / Geschäftstätigkeit Negative Innen- und Außenwirkung (Image, Kreditwürdigkeit, ) Finanzielle Auswirkungen Ergänzung um eigene Kategorien Schäden werden einem Grundwert zugeordnet: Beispiele Grundwerte Vertraulichkeit Integrität Verfügbarkeit Beispiele: 1) Die Veröffentlichung vertraulicher Informationen zieht Regressforderungen nach sich. 2) Durch unerlaubte Weitergabe von Firmen-Knowhow entsteht ein geschäftlicher Schaden. 15

16 SCHUTZBEDARF Für alle betrachteten Schäden: Konkreter Schaden Schadenkategorie Betroffene IT- Anwendung(en) Beeinträchtigte Grundwert(e) Schadenauswirkung Bei jeder IT-Anwendung bestimmt die höchste vorkommende Schadenauswirkung den Schutzbedarf der IT-Anwendung (bezogen auf den jeweiligen Grundwert). Schutzbedarf NORMAL HOCH Auswirkung begrenzt, überschaubar beträchtlich Wer ermittelt den Schutzbedarf? SEHR HOCH existenziell bedrohlich, katastrophal 16

17 HILFE BEI DER EINSCHÄTZUNG Schutzbedarf Schadenkategorie NORMAL HOCH SEHR HOCH Verstoß gegen Gesetze/Vorschriften/Verträge Verstöße mit <..> Konsequenzen Vertragsverletzungen mit < > Konventionalstrafen <geringfügigen> <geringen> <erheblichen> <hohen> <fundamentalen> <ruinösen> Beeinträchtigung des informationellen Selbstbestimmungsrechts Personenbez. Daten, bei denen der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen < > beeinträchtigt werden kann. <nicht> <erheblich> <gravierend> Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung ist < >. <nicht möglich> <nicht absolut auszuschließen> <gravierend> Beeinträchtigung der Aufgabenerfüllung Beeinträchtigung würde als < > eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist < > Stunde(n). <tolerabel> <größer als 24> <nicht tolerabel> <zwischen 1 und 24> <nicht tolerabel> <kleiner als 1> Negative Innen-/Außenwirkung Ansehens- oder Vertrauensbeeinträchtigung ist < >. <gering bzw. nur intern> <organisationsübergreifend> <landesweit>, evtl. sogar <existenzgefährdend> Finanzielle Auswirkungen Der finanzieller Schaden ist < >. <tolerabel> <beachtlich, aber nicht existenzbedrohend> <existenzbedrohend> 17

18 SYSTEMATIK DES SCHUTZBEDARFS Vererbungsprinzip IT-Anwendung IT-Systeme IT-Räume Jede IT-Anwendung vererbt ihren Schutzbedarf auf die beteiligten IT-Systeme. Jedes in einem Raum installierte IT- System vererbt seinen Schutzbedarf auf den Raum. Vererbung Anwendung IT-System Maximumprinzip: Erbt ein IT-System von mehreren Anwendungen einen Schutzbedarf, so ist der maximale vererbte Schutzbedarf für das IT-System maßgebend. Verteilungseffekt: Durch die Verteilung einer Anwendung auf mehrere IT-Systeme kann sich deren Schutzbedarf erniedrigen. Kumulationseffekt: Durch die Ansammlung vieler Anwendungen auf einem IT-System kann sich dessen Schutzbedarf erhöhen. Vererbung IT-System Raum Alle obigen Regeln gelten sinngemäß auch hierfür. 18

19 BEISPIEL: VERERBUNG AUF SYSTEME UND RÄUME Bez. IT-Anwendung Schutzbedarf S1 S2 S3 C1 C2 C3 C4 A1 Personaldaten HOCH X A2 Reisekosten NORMAL X A3 Projekt-Controlling NORMAL X X A4 Nutzer-Authentisierung SEHR HOCH X X A5 System-Management SEHR HOCH X A6 Bürokommunikation NORMAL X A7 Dokumentenarchiv HOCH X Bez. Räume Schutzbedarf S1 S2 S3 C1 C2 C3 C4 R1 Rechenzentrum X? R2 Server-Raum 1 X R3 Server-Raum 2 X X R4 Standard-Office X X X 19

20 NETZWERK-ANALYSE Verwaltung Server S1 Entwicklung Server S2 Netzwerkverbindungen werden vollständig erfasst und kategorisiert. Switch Router Internet Client C1 Client C2 Client C3 Client C4 Kategorien Verbindungen Außenverbindung Hohe Vertraulichkeit Hohe Integrität Hohe Verfügbarkeit Keine Übertragung C1/2 S X C3/4 - S X X S1 S X S2 - S X X X S - R X X R - I X Aus dieser Tabelle leitet man (später) Anforderungen z. B. nach Kryptografie oder Redundanz ab! Gruppierte Verbindungen 20

21 3. MODELLIERUNG DES VERBUNDS Das IT-Grundschutz- Konzept 21

22 MODELLIERUNG = AUSWAHL GEEIGNETER BAUSTEINE Schicht Management Infrastruktur IT-Systeme Netze Anwendungen Bausteingruppe B1 B2 B3 B4 B5 Übergreifende Aspekte Sicherheit der Infrastruktur Sicherheit der IT-Systeme Sicherheit im Netz Sicherheit in Anwendungen Blick in den Bausteinkatalog! Die Schichten werden von oben nach unten durchlaufen. Jeden Baustein einer Gruppe ist dahingehend prüfen, ob er auf ein Schutzobjekt angewendet werden kann. Wenn ja: Alle Maßnahmen aus diesem Baustein übernehmen und zur Umsetzung vorsehen! 22

23 ÜBERBLICK BAUSTEIN-GRUPPEN 1,2,3 1 Übergreifende Aspekte 1.0 Sicherheitsmanagement 1.1 Organisation 1.2 Personal 1.3 Notfallmanagement 1.4 Datensicherungskonzept 1.5 Datenschutz 1.6 Schutz vor Schadprogrammen 1.7 Kryptokonzept 1.8 Behandlung von Sicherheitsvorfällen 1.9 Hard- und Software-Management 1.10 Standardsoftware 1.11 Outsourcing 1.12 Archivierung 1.13 Sensibilisierung und Schulung 1.14 Patch- und Änderungsmanagement 1.15 Löschen und Vernichten von Daten 1.16 Anforderungsmanagement 2 Infrastruktur 2.1 Gebäude 2.2 Elektrotechnische Verkabelung 2.3 Büroraum 2.4 Serverraum 2.5 Datenträgerarchiv 2.6 Raum für techn. Infrastruktur 2.7 Schutzschränke 2.8 Häuslicher Arbeitsplatz 2.9 Rechenzentrum 2.10 Mobiler Arbeitsplatz 2.11 Besprechungs-,Veranstaltungsund Schulungsräume 2.12 IT-Verkabelung 3 IT-Systeme Allgemeiner Server Server unter Unix S/390- und zseries-mainframe Windows Server Windows Server Allgemeiner Client Allg. nicht vernetztes IT-System Laptop Client unter Unix Internet-PC Client unter Windows XP Client unter Windows Vista Client unter Mac OS X Client unter Windows Sicherheitsgateway (Firewall) Router und Switches Speichersysteme, Speichernetze Virtualisierung Terminalserver TK-Anlage Faxgerät Mobiltelefon PDA Drucker, Kopierer, 23

24 ÜBERBLICK BAUSTEIN-GRUPPEN 4,5 4 Netze 4.1 Heterogene Netze 4.2 Netz- und Systemmanagement 4.3 Modem 4.4 VPN 4.5 LAN-Anbindung über ISDN 4.6 WLAN 4.7 VoIP 4.8 Bluetooth 5 Anwendungen 5.2 Datenträgeraustausch Webserver 5.5 Lotus Notes 5.6 Faxserver 5.7 Datenbanken 5.8 Telearbeit 5.9 Novell edirectory 5.12 Exchange 2000 / Outlook SAP System 5.14 Mobile Datenträger 5.15 Allgemeiner Verzeichnisdienst 5.16 Active Directory 5.17 Samba 5.18 DNS-Server 5.19 Internet-Nutzung 5.20 OpenLDAP 5.21 Webanwendungen 5.22 Protokollierung 24

25 EINFACHES BEISPIEL Server S1 Server S2 Verwaltung Vertrieb Entwicklung Telefon TK-Anlage Switch SW2 Telefonnetz FAX Clients C3 Router Internet Switch SW1 C1 C2 C3 S1 S2 Windows 7 Clients Unix-Client Linux-Server Clients C1 Client C2 25

26 BAUSTEINGRUPPE 3 Alle weiteren Bausteingruppen 1,2,4,5 müssen analog bearbeitet werden! B B B B B B B B B Allgemeiner Server Allgemeiner Client Allgemeines nicht vernetztes IT-System Laptop Client unter Unix Internet-PC Client unter Windows XP Client unter Windows Vista Client unter Mac OS X B Client unter Windows 7 Immer anwenden B Server unter Unix Linux fehlt: Anwendung B S/390- und zseries-mainframe eines ähnlichen B Windows Server 2003 Bausteins Immer anwenden B B B B B B B B Sicherheitsgateway (Firewall) Router und Switches Speichersysteme und Speichernetze TK-Anlage Faxgerät Mobiltelefon PDA Drucker, Kopierer und Multifunktionsgeräte Blick in einzelne Bausteine! 26

27 RESULTAT (NUR FÜR BAUSTEINGRUPPE 3) In jedem Baustein sind die dazu gehörenden Maßnahmen verzeichnet. Die Maßnahmen selbst sind verlinkt mit dem Maßnahmenkatalog und dort detailliert beschrieben. Ausgewählte Bausteine Anzahl Maßnahmen B Allgemeiner Server 33 B Server unter Unix 26 B Allgemeiner Client 19 B Client unter Unix 29 B Client unter Windows 7 45 B Router und Switches 21 B TK-Anlage 18 Wer führt die Modellierung durch? B Faxgerät 19 Summe

28 4. BASIS-SICHERHEITS-CHECK Das IT-Grundschutz- Konzept 28

29 BASIS-SICHERHEITS-CHECK Maßnahmenliste Die Maßnahmen aus allen ausgewählten Bausteinen zusammenstellen. Personalisieren Für jede Maßnahme eine auskunftsfähige Person ermitteln. Umsetzungsgrad Durch Befragung klären, ob die Maßnahme bereits umgesetzt ist, oder ganz oder in Teilen fehlt. Realisierungsplan alle umgesetzten Maßnahmen auf korrekte Umsetzung prüfen Prüfplan alle nicht bzw. nicht vollständig umgesetzten Maßnahmen Defizite beheben Wer macht das? 29

30 KONSOLIDIERUNG/ REALISIERUNG Im Realisierungsplan Dubletten entfernen, nicht anwendbare bzw. nicht mehr benötigte Maßnahmen streichen. Für jede Maßnahme aus diesem Plan ein Formblatt ausfüllen, in dem Details der Umsetzung beschrieben sind: Beschreibung der Maßnahme, Zuständigkeiten, Termine, benötigte / verfügbare Ressourcen. Diese Formblätter den für die Umsetzung Zuständigen aushändigen und nach Umsetzung der Maßnahme als Rücklauf anfordern. Im Rücklauf muss erklärt sein, dass die Maßnahme korrekt umgesetzt wurde bzw. wo ggf. Probleme bestehen. 30

31 ÜBERPRÜFUNG Jede Maßnahme im Prüfplan ist auf korrekte Umsetzung zu überprüfen: Beim ersten Mal (nach Freigabe des Sicherheitskonzeptes) ist eine vollständige Prüfung erforderlich. Dies kann später stichprobenartig über eine längere Zeit erfolgen, z. B. nach 3 Jahren vollständige Abdeckung aller Maßnahmen. Der Prüfplan wird im Laufe der Zeit länger, wenn weitere Maßnahmen aus dem Realisierungsplan umgesetzt worden sind. 31

32 WO STEHEN WIR? Schutzbedarf NORMAL? Alle zu schützenden Objekte haben Schutzbedarf NORMAL. Nach Aussage des BSI sind die Katalogmaßnahmen für den Schutzbedarf NORMAL ausreichend. Realisierungsplan umsetzen *** ENDE *** Es gibt zu schützende Objekte mit Schutzbedarf (SEHR) HOCH. Dann ist zusätzlich eine ergänzende Analyse (nach BSI 100-3) durchzuführen! Es kann sein, dass die Katalogmaßnahmen für diesen Schutzbedarf nicht ausreichend sind. Es können weitere / stärkere Maßnahmen erforderlich werden. 32

33 4. ERGÄNZENDE ANALYSE Das IT-Grundschutz- Konzept 33

34 ERWEITERTES VORGEHENSMODELL Die Phase Basis-Sicherheits-Check wird untergliedert: Weitere Gefährdungen ermitteln. Alle zusätzlichen Maßnahmen geeignet zusammenstellen. 1. Gefährdungsübersicht* Basis- Sicherheits- Check 1 2. Zusätzliche Gefährdungen 3. Gefährdungsbewertung 4. Risiken behandeln 5. Konsolidieren Basis- Sicherheits- Check 2 Die in den ausgewählten Bausteinen gelisteten Gefährdungen. Prüfen, ob die Katalogmaßnahmen ausreichend sind; andernfalls zusätzliche Maßnahmen einplanen. Prüfplan Realisierungsplan 34

35 GEFÄHRDUNGEN (1,2) Zielobjekte (IT-Anwendungen, Systeme, Räume) mit höherem Schutzbedarf identifizieren. Relevante Bausteine und Maßnahmen aus den Katalogen übernehmen. Die in den Baustein-Beschreibungen genannten Gefährdungen zusammenstellen. Relevante Gefährdungen ermitteln, die nicht im Katalog stehen. Beispiel Linux Server Vertraulichkeit: Integrität: Verfügbarkeit: NORMAL NORMAL HOCH G1.2 Ausfall des Systems G3.2 Fahrlässige Zerstörung G4.1 Ausfall Stromversorgung EG.05 Betrieb in Produktionsbereich mit extrem hoher Luftfeuchte Unrealistische / nicht relevante Gefährdungen streichen. * Gefährdungskatalog 35

36 BEWERTUNG UND RISIKEN (3,4) Sind die Maßnahmen aus den Bausteinen ausreichend, um die Gefährdung abzuwehren? Aspekt Vollständigkeit: Bieten diese Sicherheitsmaßnahmen Schutz gegen die betrachtete Gefährdung? Aspekt Stärke: Sind die Maßnahmen ausreichend stark? Aspekt Zuverlässigkeit: Können diese Sicherheitsmechanismen umgangen werden? Wenn Zweifel bestehen: individuelle Risikobehandlung erforderlich! Beispiel Linux Server Vertraulichkeit: NORMAL Integrität: NORMAL Verfügbarkeit: HOCH G1.2 Ausfall des Systems G3.2 Fahrlässige Zerstörung G4.1 Ausfall Stromversorgung EG.05 Betrieb im Produktionsbereich mit extrem hoher Luftfeuchte Maßnahmen ausreichend? J J N N J = ist ausreichend abgedeckt. N = ist nicht ausreichend abgedeckt. 36

37 RISIKOBEHANDLUNG Für nicht abgedeckte Risiken bestehen folgende Optionen: Risiko-Übernahme / -Akzeptanz. Risiko-Transfer / -Verlagerung. Risiko-Reduktion durch weitere Sicherheitsmaßnahmen. Risiko-Reduktion durch Umstrukturierung des IT-Verbunds / der Geschäftsprozesse. Entsprechende Entscheidungen sind herbeizuführen und zu dokumentieren! Validierung ausgewählter Maßnahmen auf Eignung, Zusammenwirken, Benutzerfreundlichkeit, Angemessenheit. Verbleibende Risiken abschätzen. 37

38 ISO Das IT-Grundschutz- Konzept 38

39 ISO NORMENREIHE ISO Vocabulary* Rahmenwerk für das Management der Informationssicherheit (ISMS). Eher eine Meta-Methode mit viel Spielraum für eigene Lösungen. Langjährige internationale Erfahrungen (u. a. BS7799). ISO ist die Vorgabe für eine mögliche Zertifizierung. Nationale / internationale Strukturen sind vorhanden: Auditoren, Zertifizierungsstellen, Anerkennungsabkommen. ISO ISMS Requirements* ISO Code of Practice* ISO Implementation Guidance ISO Measurement ISO Risk Management ISO Management Audit ISO Technical Audit ISO IT Security and ITIL ISO IT Security and Governance ISO IT Security and Economics * Normen in deutscher Sprache verfügbar. 39

40 WEITERE SPEZIALNORMEN Alle zumindest als Entwurf erschienen. ISO Informationsaustausch in kritischen Infrastrukturen ISO Informationssicherheit bei Telekommunikationsanbietern ISO Informationssicherheit und ITIL ISO Governance und Compliance ISO Informationssicherheit im Finanzsektor ISO Informationssicherheit und Wirtschaftlichkeit ISO 27017/27018 Cloud Computing ISO Prozesssteuerung Energiesektor ISO Business Continuity ISO Cybersecurity ISO IT Network Security ISO Application Security ISO Incident Management ISO Supplier Security ISO Digital Evidence Normen erhältlich unter ISO Digital Redaction ISO Health sector security Weitere geplante Standards dieser Reihe: Informationen unter 40

41 ISO 27001: INHALT ISMS Inhaltsverzeichnis (Auszug) Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Betrieb, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit behandelt... ISMS 4 Geschäftstätigkeit der Organisation Gegenstand des ISMS bestimmen ISMS Einrichtung 5 Leitungsaufgaben Leitung und Unterstützung, Leitlinie Rollen, Verantwortlichkeiten and Zuständigkeiten 6 Planung Risiken und Chancen adressieren Sicherheitsziele und pläne 7 Unterstützung Ressourcen, Kompetenzen, Awareness, Kommunikation Dokumentation 8 Betrieb Pläne und Kontrollen Risikoeinschätzung und behandlung 9 Bewertung der Wirksamkeit Überprüfung, Messung, Analyse und Bewertung Interne Audits Management Bewertung 10 Verbesserung Nicht-Konformität und Korrekturmaßnahmen Kontinuierliche Verbesserung Anhang A (normativ) Maßnahmenziele und Maßnahmen 41

42 PLAN-PHASE: UNTERSTÜTZUNG (KAP. 7) Ausreichende Ressourcen für das ISMS Kompetenzen (Qualifikationen) Interne Kommunikation Lenkung von Informationen Awareness Einrichtung Anforderungen an wichtige Rollen Dokumente Kenntnis der Leit- und Richtlinien Betrieb Überprüfung Entsprechende Rollenbesetzung Aus- und Fortbildung Weitergabe wichtiger Informationen persönliche Sicherheitsverantwortung Verbesserung Nachweise archivieren Aufzeichnungen Folgen bei Nichtbeachtung Leitungsaufgaben 42

43 CHECK-PHASE (KAP. 9) In 3 Ebenen: Aktivitäten Zuständigkeit Abschnitte in der Norm Überwachen Messen Bewerten Sicherheitspersonal 9.1 Interne Audits anderes Personal 9.2 Management-Bewertung Leitung

44 ANHANG A DER ISO Anhang A ist ein Katalog mit 14 Sicherheitsthemen, Thema 35 Maßnahmenzielen, Ziel 1 Ziel 2 Alle Ziele decken das Thema ab. 114 Controls. Control 1.A Control 1.B Control 2.A Control 2.B Control 2.C Jedes Control fordert die Bearbeitung eines bestimmten Sicherheitsaspekts. Alle Controls decken das Ziel ab. Anhang A ist normativ, d. h. alle Controls müssen bearbeitet werden, aber nur die für die Organisation relevanten Controls müssen umgesetzt werden! 44

45 ANHANG A: GLIEDERUNG DER CONTROLS 5 Sicherheitsleitlinien Vorgaben der Leitung zur Informationssicherheit 6 Organisation der Informationssicherheit Interne Organisation Mobilgeräte und Telearbeit 7 Sicherheit des Personals Vor der Einstellung Während der Anstellung Beendigung und Wechsel der Anstellung 8 Wertemanagement Verantwortung für Werte Klassifizierung von Informationen Umgang mit Medien 9 Zugriffskontrolle Geschäftliche Anforderungen in Bezug auf die Zugriffskontrolle Benutzerverwaltung Benutzerverantwortung Kontrolle des Zugriffs auf Systeme und Anwendungen 10 Kryptographie Kryptographische Maßnahmen 11 Schutz vor physischem Zugang und Umwelteinflüssen Sicherheitsbereiche Betriebsmittel Aus ISO 27001: (deutsche Fassung) Nummerierung in der Norm von 5 bis 18! Kommentare und Beispiele in der ISO (Leitfaden ). 12 Betriebssicherheit Betriebsverfahren und Zuständigkeiten Schutz vor Malware Datensicherungen Protokollierung und Überwachung Kontrolle von Software im Betrieb Management technischer Schwachstellen Auswirkungen von Audits auf Informationssysteme 13 Sicherheit in der Kommunikation Netzwerksicherheitsmanagement Informationsübertragung 14 Anschaffung, Entwicklung und Instandhaltung Sicherheitsanforderungen für Informationssysteme Sicherheit in Entwicklungs- und Unterstützungsprozessen Prüfdaten 15 Lieferantenbeziehungen Sicherheit in Lieferantenbeziehungen Management der Dienstleistungserbringung 16 Management von Informationssicherheitsvorfällen Management von Informationssicherheitsvorfällen und Verbesserungen 17 Informationssicherheitsaspekte des BCM Kontinuität der Informationssicherheit Redundanzen 18 Richtlinienkonformität Informationssicherheitsprüfungen Einhaltung gesetzlicher u. vertraglicher Anforderungen 45

46 BEISPIEL: A.11 Schutz vor physischem Zugang und Umwelteinflüssen 1. Sicherheitsbereiche 2. Betriebsmittel Kategorie Aufzählung der Maßnahmenziele Maßnahmenziel 1 1. Sicherheitsbereiche Zieldefinition Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Controls 1.1 Physische Sicherheitszone 1.2 Physische Zugangskontrolle 1.3 Sicherung von Zweigstellen, Räumen und Anlagen 1.4 Schutz externen und umweltbedingten Bedrohungen 1.5 Arbeit in Sicherheitsbereichen 1.6 Anlieferungs- und Ladezonen Beschreibung der Controls / Steuerungsziele / Anforderungen Zum Schutz von Bereichen, in denen sich entweder vertrauliche oder betriebswichtige Informationen oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitszonen festzulegen und zu verwenden. Es sind physische Schutzvorkehrungen gegen Naturkatastrophen, vorsätzliche Angriffe oder Unfälle zu konzipieren und anzuwenden. 46

47 MATERIALIEN TOOLS: FREE ISO27K TOOLKIT mit vielen Expertisen und Vorlagen: VERINICE : Freeware-Tool Bücher: IT-Sicherheitsmanagement nach ISO und Grundschutz, Springer-Verlag, 2013 IT-Sicherheitsmanagement, mitp-verlag, 2012 Der IT Security Manager, Springer-Verlag,

48 ISO27001 VS. IT-GRUNDSCHUTZ Das IT-Grundschutz- Konzept 48

49 VERGLEICH-1 Grundschutz ISO IT-Verbund festlegen weitgehende Kompatibilität Anwendungsbereich bestimmen Leitlinie erstellen weitgehende Kompatibilität Leitlinie erstellen Strukturanalyse weitgehende Kompatibilität Assets erfassen Schutzbedarf ermitteln wesentliche Unterschiede Risiken analysieren Risiken bewerten 49

50 VERGLEICH-2 Grundschutz Modellierung durchführen ISO Risiken behandeln Basis-Sicherheits- Check durchführen wesentliche Unterschiede Optionen Maßnahmen Ergänzende Analyse Restrisiken akzeptieren Maßnahmen konsolidieren Genehmigung der Leitung geringe Unterschiede Erklärung zur Eignung (SoA) Maßnahmen umsetzen Maßnahmen umsetzen 50

51 RISIKO-MODELL IN DER ISO-NORM Risiken steuern Risikoanalyse Risikobewertung Risiken identifizieren Schwachstellen ermitteln Risiken abschätzen Auswirkungen einschätzen Ermitteln, Benennen und Beschreiben von Bedrohungen / Gefährdungen Sind Schwachstellen vorhanden? Schadenhöhe und Eintrittshäufigkeit abschätzen oder klassifizieren Welche Auswirkung hat das Risiko auf das Unternehmen? 51

52 BEISPIEL Risikoklassen zusammengesetzt aus: Häufigkeiten H1: seltener als 1 x pro Jahr H2: seltener als 1 x pro Quartal H3: seltener als 1 x pro Monat H4: häufiger als 1 x pro Monat Schadenhöhen pro Fall S1: geringfügig S2: mittel S3: hoch S4: sehr hoch Schadenhäufigkeit H1 H2 H3 H4 Bewertung (Beispiel) EXISTENZBEDROHEND / nicht tolerabel GRAVIEREND / Maßnahmen vorsehen MITTEL / Maßnahmen prüfen GERING / vernachlässigbar S1 S2 S3 S4 Priorität Schadenhöhe 52

53 BEISPIEL Vor Maßnahmenauswahl Nach Maßnahmenauswahl Identifizierte Bedrohung Häufigkeit p.a. Schadenhöhe pro Fall Maßnahme Häufigkeit p.a. Schadenhöhe pro Fall Risikobewertung Restrisikobewertung Behandlung Blitzeinschlag H2 S3 GRAVIEREND M1 H2 S1 GERING Akzeptanz Viren-Infektion H3 S1 MITTEL M2 H1 S1 GERING Akzeptanz Hacker- Einbruch H4 S4 EXISTENZ- BEDROHEND M3 H3 S2 GRAVIEREND weitere Reduktion M1: äußerer / innerer Blitzschutz M2: Zwei Anti-Viren-Systeme M3: (aktuelle) Firewall einsetzen Maßnahmen individuell wählen! 53

54 UMGANG MIT RISIKEN ISO Risiken ermitteln und priorisieren. Risikobehandlung durch individuelle Maßnahmen (Top Level Risiken zuerst). Auswahl der Optionen und Maßnahmen ist dem Analysten überlassen. Grundschutz Alle Katalogmaßnahmen aus der Modellierung umsetzen: Schutzbedarf NORMAL. Für höheren Schutzbedarf ergänzende Analyse durchführen. Hierbei Maßnahmenauswahl durch den Analysten. 54

55 VERGLEICH IT-Grundschutz ist nur eine Möglichkeit der Umsetzung der ISO- Anforderungen. Andere Verfahren bzw. Varianten sind möglich! ISO Rahmenwerk: Auswahl von Methoden ist dem Anwender überlassen, an die Belange des Anwenders anpassbar. Schwerpunkt auf den Management-Aktivitäten. Anwendungsbereich ist beliebig skalierbar. Einheitliches Vorgehen für alle Risikoklassen. Auswahl von Maßnahmen dem Anwender überlassen. Bedarf an Aktualisierung ist begrenzt, da Darstellung abstrakt ist. Zertifizierungen dezentral und weltweit anerkannt. Spezialisten-Support (z.b. bei der Risikoanalyse) Hilfsmittel noch nicht sehr zahlreich. IT-Grundschutz Detailliertes Regelwerk: Methoden im Wesentlichen festgeschrieben. Schwerpunkt auf den Sicherheitsmaßnahmen. Eher für kleine bis mittlere IT-Verbünde. Methodenbruch zwischen NORMAL und HOCH. Schutzbedarf NORMAL : Maßnahmen festgeschrieben. Maßnahmenkatalog ist regelmäßig zu aktualisieren / erweitern. Zertifizierung nur durch das BSI. Keine Anerkennung im internationalen Kontext. Auch mit wenig Erfahrung realisierbar. Viele Hilfsmittel, z.t. frei verfügbar. 55

56 TRENDS Das IT-Grundschutz- Konzept 56

57 TRENDS BEIM IT-GRUNDSCHUTZ IT-Grundschutz Maßnahmen- und Bausteinkataloge werden immer umfangreicher. Methode richtet sich stärker aus auf ISO 27001/27002: Prozess ist aber noch nicht abgeschlossen. Anwender-Kritik wird zu Anpassungen führen: Wirtschaftlichkeit und Risikoorientierung adressieren Angepasstes Sicherheitsniveau Reduktion von Dokumentationsaufwand Zertifizierung Zurzeit ca. 95 Firmen / Behörden nach IT-Grundschutz zertifiziert (mit bestimmten Anwendungen). Ein Unternehmen aus der Schweiz, keines aus Österreich. 57

58 BISHER ERTEILTE ISO27001-ZERTIFIKATE (STAND ANFANG 2013, OHNE BSI-ZERTIFIKATE) 58

59 WIR SIND AM ENDE Vielen Dank für Ihr Interesse. Haben Sie Fragen oder Kommentare? Gerne auch per an: 59

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND

MODELLIERUNGSVORSCHRIFT. Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND MODELLIERUNGSVORSCHRIFT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 2 ÜBERGEORDNETE ASPEKTE 3 3 INFRASTRUKTUR 5 4 IT-SYSTEME 6 5 NETZE 8 6 IT-ANWENDUNGEN 8 KONTAKT

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Dr. Martin Meints, ULD 29. August 2005

Dr. Martin Meints, ULD 29. August 2005 Infobörse 2 Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Agenda Datensicherheit / Datenschutz wo liegen die Unterschiede? Welche Bedeutung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Ausblick und Diskussion

Ausblick und Diskussion Ausblick und Diskussion Isabel Münch Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 04.05.2011 Agenda Allgemeine Weiterentwicklung IT-Grundschutz

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA)

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04 Erfahrungen aus einer Zertifizierung nach ISO 27001 und nach BSI-Grundschutz Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04 Inhalt Kontext und Phasen der Zertifizierung Schritte

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN 14. DEUTSCHER IT-SICHERHEITSKONGRESS 2015, BONN, 19.05.2015 SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN SICHERHEITSMANAGEMENT MIT DER BSI IT-GRUNDSCHUTZ-VORGEHENSWEISE Andreas Floß, Dipl.-Inform.,

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

DIN ISO/IEC 27001:2005 Informationssicherheits Managementsysteme

DIN ISO/IEC 27001:2005 Informationssicherheits Managementsysteme DIN ISO/IEC 27001:2005 Informationssicherheits Managementsysteme GI Regionalgruppe Dortmund 08.06.2009 Helmut Elschner Senior Consultant Information Security www.materna.com 1 Informationssicherheit Definitionen

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Neues zum IT-Grundschutz

Neues zum IT-Grundschutz Neues zum IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz 5. IT-Grundschutz-Tag 2012 22.11.2012 Inhalte Status Weiterentwicklung

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr