DAS IT-GRUNDSCHUTZ-KONZEPT. Datenschutz und IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "DAS IT-GRUNDSCHUTZ-KONZEPT. Datenschutz und IT-Sicherheit"

Transkript

1 DAS IT-GRUNDSCHUTZ-KONZEPT Dr. Heinrich Kersten Datenschutz und IT-Sicherheit

2 PROBLEMSTELLUNG Warum IT-Sicherheit? Schutz der Werte eines Unternehmens / einer Behörde Anforderungen von Kunden und Partnern Wettbewerbsfaktor Haftungsverpflichtungen aufgrund gesetzlicher Regelungen Was wird benötigt? Eine praktikable Methode, um Risiken analysieren zu können, Maßnahmen zur Behandlung der Risiken festzulegen, verbleibende Risiken zu bestimmen. Am besten ein anerkannter Standard oder ein akzeptiertes Vorgehensmodell: Stand der Technik: Entlastung bei der Verantwortung des Sicherheitsmanagements möglich. Abdeckung der Vorsorgeverpflichtungen Vergleichsmöglichkeit: Wie weit ist man noch von den Vorgaben entfernt? Möglichkeit der Zertifizierung 2

3 IT-GRUNDSCHUTZ wurde Anfang der 90 er Jahre vom BSI entwickelt. Ursprüngliche Zielrichtung: Anwendung in Bundesbehörden durch Nicht-Experten für Anwendungsfälle mit tolerablen Risiken mittels einfacher Standard- Sicherheitsmaßnahmen (Katalog) Inzwischen: Anwendungen auch in der Industrie Methode erweitert auf höhere Risiken Maßnahmenkatalog massiv erweitert, deckt meist 80 % aller Sicherheitsaspekte ab viele Hilfsmittel und Tools verfügbar, sogar Freeware-Tool Zertifizierungsschema vorhanden 3

4 WAS IST DER IT-GRUNDSCHUTZ? Ein Vorgehensmodell, um IT-Anwendungen konzeptionell abzusichern. Etablierung eines IT-Sicherheitsmanagements Gefährdungen Schutzbedarf Anwendung standardisierter Maßnahmen Umsetzung der Maßnahmen zusätzliche Analysen Gefährdungskatalog Maßnahmenkatalog Umsetzungsplanung ergänzende (Risiko)Analyse bei hohem Schutzbedarf Schutzbedarfsfeststellung Bausteinkatalog (Maßnahmengruppen) Überprüfung individuelle Maßnahmen BSI-Standard BSI-Standard BSI-Standard

5 IT-GRUNDSCHUTZ: ARBEITSPAKETE Struktur analysieren Organisation, Personal, Infrastruktur, Anwendungen, IT-Systeme Schutzbedarf feststellen Maßnahmen wählen Modellierung nach Bausteinkatalog Basis-Sicherheitscheck Schutzbedarf NORMAL? NEIN Ergänzende Analyse Ca. 20% Ca. 80% JA Konsolidierung Realisierung 5

6 1. STRUKTURANALYSE Das IT-Grundschutz- Konzept 6

7 VORGEHENSWEISE Es sind zunächst die zu schützenden Objekte zu erfassen*. Dabei werden nur bestimmte Objekttypen betrachtet: * manuell oder Tool-gestützt IT-Anwendungen IT-Systeme IT-Räume inkl. aller Daten Server, Workstations, PC Switches, Router, Gateways, Firewalls Sonstige: Scanner, Drucker, Kopierer, Räume mit IT-Systemen, Netzwerk- und Versorgungstechnik Rechenzentren Schalt- und Schutzschränke Wer führt die Erfassung durch? Netzwerk Transportwege bzw. Verbindungsstrecken Geschäftsprozesse, Organisationsmittel, Personal / Rollen können mitgeführt werden, gehen aber in die weitere Analyse nicht ein. 7

8 IT-ANWENDUNGEN z.b. Bezeichnung von Org-Einheiten Bez. IT-Anwendungen Datenart verantwortlich Anwender Nutzer Geschäftsprozess Verwaltungsverfahren A1 Personaldaten P Z1 Z1 Personalverwaltung A2 Reisekosten P Z2 alle Personalverwaltung A3 Projekt-Controlling A P5 P1-5 Projektabwicklung A4 Nutzer-Authentisierung S IT1 alle alle A5 System-Management S IT2 IT2 alle A6 Bürokommunikation P, S, A B1 alle alle A7 Dokumentenarchiv P, S, A C3 alle alle P = personenbezogene Daten S = systemtechnische Daten A = Auftragsdaten 8

9 IT-SYSTEME Bezeichnung Status in Betrieb, im Test, geplant,... Beschreibung HW / Betriebssystem, installierte SW und Anwendungen Gruppierung Liste gruppierter IT-Systeme Lokalität z. B. Gebäude-/Raumnummer Rollen Verantwortliche, Nutzer, Admin, Betrieb, Wartung, 9

10 RÄUME Bezeichnung z. B. Raumnummer aus einem Bauplan Status in Betrieb, im Test, geplant,... Beschreibung Gruppierung Office, Technikraum (z. B. Notstromversorgung, Klimatisierung), Archivraum, Schutzschrank, Server- Raum, Rechenzentrum Liste gruppierter Räume Lokalität Standort, Liegenschaft, Gebäude Rollen Verantwortliche, Nutzer, Haustechnik, 10

11 VERKNÜPFUNGEN IT-Systeme Bez. IT-Anwendungen S1 S2 S3 C1 C2 C3 C4 A1 Personaldaten X A2 Reisekosten X A3 Projekt-Controlling X X A4 Nutzer-Authentisierung X X A5 System-Management X A6 Bürokommunikation X A7 Dokumentenarchiv X Bez. Räume S1 S2 S3 C1 C2 C3 C4 R1 Rechenzentrum X R2 Server-Raum 1 X R3 Server-Raum 2 X X R4 Standard-Office X X X 11

12 NETZWERK = SUMME DER VERBINDUNGSSTRECKEN Bezeichnung Status in Betrieb, im Test, geplant,... Beschreibung Art der Verbindung (Leitung, Funk, etc.), technische Daten, Protokolle Gruppierung Liste gruppierter Verbindungen Lokalität Übertragungsbereich, ggf. Leitungsführung Rollen Verantwortliche, Nutzer, 12

13 WIE REDUZIERT MAN DIE KOMPLEXITÄT? Gruppierung Bei der Strukturanalyse können Gruppen gleichartiger Objekte zusammengefasst und auf ein Objekt reduziert werden. Mögliche Kriterien gleiche (standardisierte) Ausstattung vergleichbare Nutzung / gleiche Anwendung vergleichbarer Arbeitsbereich vergleichbarer Sicherheitsbedarf 13

14 2. SCHUTZBEDARF FESTSTELLEN Das IT-Grundschutz- Konzept 14

15 SCHADENSSZENARIEN Mögliche Schäden werden in Kategorien einsortiert: Schadenkategorien Verstoß gegen Gesetze, Vorschriften, Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung / Geschäftstätigkeit Negative Innen- und Außenwirkung (Image, Kreditwürdigkeit, ) Finanzielle Auswirkungen Ergänzung um eigene Kategorien Schäden werden einem Grundwert zugeordnet: Beispiele Grundwerte Vertraulichkeit Integrität Verfügbarkeit Beispiele: 1) Die Veröffentlichung vertraulicher Informationen zieht Regressforderungen nach sich. 2) Durch unerlaubte Weitergabe von Firmen-Knowhow entsteht ein geschäftlicher Schaden. 15

16 SCHUTZBEDARF Für alle betrachteten Schäden: Konkreter Schaden Schadenkategorie Betroffene IT- Anwendung(en) Beeinträchtigte Grundwert(e) Schadenauswirkung Bei jeder IT-Anwendung bestimmt die höchste vorkommende Schadenauswirkung den Schutzbedarf der IT-Anwendung (bezogen auf den jeweiligen Grundwert). Schutzbedarf NORMAL HOCH Auswirkung begrenzt, überschaubar beträchtlich Wer ermittelt den Schutzbedarf? SEHR HOCH existenziell bedrohlich, katastrophal 16

17 HILFE BEI DER EINSCHÄTZUNG Schutzbedarf Schadenkategorie NORMAL HOCH SEHR HOCH Verstoß gegen Gesetze/Vorschriften/Verträge Verstöße mit <..> Konsequenzen Vertragsverletzungen mit < > Konventionalstrafen <geringfügigen> <geringen> <erheblichen> <hohen> <fundamentalen> <ruinösen> Beeinträchtigung des informationellen Selbstbestimmungsrechts Personenbez. Daten, bei denen der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen < > beeinträchtigt werden kann. <nicht> <erheblich> <gravierend> Beeinträchtigung der persönlichen Unversehrtheit Eine Beeinträchtigung ist < >. <nicht möglich> <nicht absolut auszuschließen> <gravierend> Beeinträchtigung der Aufgabenerfüllung Beeinträchtigung würde als < > eingeschätzt werden. Die maximal tolerierbare Ausfallzeit ist < > Stunde(n). <tolerabel> <größer als 24> <nicht tolerabel> <zwischen 1 und 24> <nicht tolerabel> <kleiner als 1> Negative Innen-/Außenwirkung Ansehens- oder Vertrauensbeeinträchtigung ist < >. <gering bzw. nur intern> <organisationsübergreifend> <landesweit>, evtl. sogar <existenzgefährdend> Finanzielle Auswirkungen Der finanzieller Schaden ist < >. <tolerabel> <beachtlich, aber nicht existenzbedrohend> <existenzbedrohend> 17

18 SYSTEMATIK DES SCHUTZBEDARFS Vererbungsprinzip IT-Anwendung IT-Systeme IT-Räume Jede IT-Anwendung vererbt ihren Schutzbedarf auf die beteiligten IT-Systeme. Jedes in einem Raum installierte IT- System vererbt seinen Schutzbedarf auf den Raum. Vererbung Anwendung IT-System Maximumprinzip: Erbt ein IT-System von mehreren Anwendungen einen Schutzbedarf, so ist der maximale vererbte Schutzbedarf für das IT-System maßgebend. Verteilungseffekt: Durch die Verteilung einer Anwendung auf mehrere IT-Systeme kann sich deren Schutzbedarf erniedrigen. Kumulationseffekt: Durch die Ansammlung vieler Anwendungen auf einem IT-System kann sich dessen Schutzbedarf erhöhen. Vererbung IT-System Raum Alle obigen Regeln gelten sinngemäß auch hierfür. 18

19 BEISPIEL: VERERBUNG AUF SYSTEME UND RÄUME Bez. IT-Anwendung Schutzbedarf S1 S2 S3 C1 C2 C3 C4 A1 Personaldaten HOCH X A2 Reisekosten NORMAL X A3 Projekt-Controlling NORMAL X X A4 Nutzer-Authentisierung SEHR HOCH X X A5 System-Management SEHR HOCH X A6 Bürokommunikation NORMAL X A7 Dokumentenarchiv HOCH X Bez. Räume Schutzbedarf S1 S2 S3 C1 C2 C3 C4 R1 Rechenzentrum X? R2 Server-Raum 1 X R3 Server-Raum 2 X X R4 Standard-Office X X X 19

20 NETZWERK-ANALYSE Verwaltung Server S1 Entwicklung Server S2 Netzwerkverbindungen werden vollständig erfasst und kategorisiert. Switch Router Internet Client C1 Client C2 Client C3 Client C4 Kategorien Verbindungen Außenverbindung Hohe Vertraulichkeit Hohe Integrität Hohe Verfügbarkeit Keine Übertragung C1/2 S X C3/4 - S X X S1 S X S2 - S X X X S - R X X R - I X Aus dieser Tabelle leitet man (später) Anforderungen z. B. nach Kryptografie oder Redundanz ab! Gruppierte Verbindungen 20

21 3. MODELLIERUNG DES VERBUNDS Das IT-Grundschutz- Konzept 21

22 MODELLIERUNG = AUSWAHL GEEIGNETER BAUSTEINE Schicht Management Infrastruktur IT-Systeme Netze Anwendungen Bausteingruppe B1 B2 B3 B4 B5 Übergreifende Aspekte Sicherheit der Infrastruktur Sicherheit der IT-Systeme Sicherheit im Netz Sicherheit in Anwendungen Blick in den Bausteinkatalog! Die Schichten werden von oben nach unten durchlaufen. Jeden Baustein einer Gruppe ist dahingehend prüfen, ob er auf ein Schutzobjekt angewendet werden kann. Wenn ja: Alle Maßnahmen aus diesem Baustein übernehmen und zur Umsetzung vorsehen! 22

23 ÜBERBLICK BAUSTEIN-GRUPPEN 1,2,3 1 Übergreifende Aspekte 1.0 Sicherheitsmanagement 1.1 Organisation 1.2 Personal 1.3 Notfallmanagement 1.4 Datensicherungskonzept 1.5 Datenschutz 1.6 Schutz vor Schadprogrammen 1.7 Kryptokonzept 1.8 Behandlung von Sicherheitsvorfällen 1.9 Hard- und Software-Management 1.10 Standardsoftware 1.11 Outsourcing 1.12 Archivierung 1.13 Sensibilisierung und Schulung 1.14 Patch- und Änderungsmanagement 1.15 Löschen und Vernichten von Daten 1.16 Anforderungsmanagement 2 Infrastruktur 2.1 Gebäude 2.2 Elektrotechnische Verkabelung 2.3 Büroraum 2.4 Serverraum 2.5 Datenträgerarchiv 2.6 Raum für techn. Infrastruktur 2.7 Schutzschränke 2.8 Häuslicher Arbeitsplatz 2.9 Rechenzentrum 2.10 Mobiler Arbeitsplatz 2.11 Besprechungs-,Veranstaltungsund Schulungsräume 2.12 IT-Verkabelung 3 IT-Systeme Allgemeiner Server Server unter Unix S/390- und zseries-mainframe Windows Server Windows Server Allgemeiner Client Allg. nicht vernetztes IT-System Laptop Client unter Unix Internet-PC Client unter Windows XP Client unter Windows Vista Client unter Mac OS X Client unter Windows Sicherheitsgateway (Firewall) Router und Switches Speichersysteme, Speichernetze Virtualisierung Terminalserver TK-Anlage Faxgerät Mobiltelefon PDA Drucker, Kopierer, 23

24 ÜBERBLICK BAUSTEIN-GRUPPEN 4,5 4 Netze 4.1 Heterogene Netze 4.2 Netz- und Systemmanagement 4.3 Modem 4.4 VPN 4.5 LAN-Anbindung über ISDN 4.6 WLAN 4.7 VoIP 4.8 Bluetooth 5 Anwendungen 5.2 Datenträgeraustausch Webserver 5.5 Lotus Notes 5.6 Faxserver 5.7 Datenbanken 5.8 Telearbeit 5.9 Novell edirectory 5.12 Exchange 2000 / Outlook SAP System 5.14 Mobile Datenträger 5.15 Allgemeiner Verzeichnisdienst 5.16 Active Directory 5.17 Samba 5.18 DNS-Server 5.19 Internet-Nutzung 5.20 OpenLDAP 5.21 Webanwendungen 5.22 Protokollierung 24

25 EINFACHES BEISPIEL Server S1 Server S2 Verwaltung Vertrieb Entwicklung Telefon TK-Anlage Switch SW2 Telefonnetz FAX Clients C3 Router Internet Switch SW1 C1 C2 C3 S1 S2 Windows 7 Clients Unix-Client Linux-Server Clients C1 Client C2 25

26 BAUSTEINGRUPPE 3 Alle weiteren Bausteingruppen 1,2,4,5 müssen analog bearbeitet werden! B B B B B B B B B Allgemeiner Server Allgemeiner Client Allgemeines nicht vernetztes IT-System Laptop Client unter Unix Internet-PC Client unter Windows XP Client unter Windows Vista Client unter Mac OS X B Client unter Windows 7 Immer anwenden B Server unter Unix Linux fehlt: Anwendung B S/390- und zseries-mainframe eines ähnlichen B Windows Server 2003 Bausteins Immer anwenden B B B B B B B B Sicherheitsgateway (Firewall) Router und Switches Speichersysteme und Speichernetze TK-Anlage Faxgerät Mobiltelefon PDA Drucker, Kopierer und Multifunktionsgeräte Blick in einzelne Bausteine! 26

27 RESULTAT (NUR FÜR BAUSTEINGRUPPE 3) In jedem Baustein sind die dazu gehörenden Maßnahmen verzeichnet. Die Maßnahmen selbst sind verlinkt mit dem Maßnahmenkatalog und dort detailliert beschrieben. Ausgewählte Bausteine Anzahl Maßnahmen B Allgemeiner Server 33 B Server unter Unix 26 B Allgemeiner Client 19 B Client unter Unix 29 B Client unter Windows 7 45 B Router und Switches 21 B TK-Anlage 18 Wer führt die Modellierung durch? B Faxgerät 19 Summe

28 4. BASIS-SICHERHEITS-CHECK Das IT-Grundschutz- Konzept 28

29 BASIS-SICHERHEITS-CHECK Maßnahmenliste Die Maßnahmen aus allen ausgewählten Bausteinen zusammenstellen. Personalisieren Für jede Maßnahme eine auskunftsfähige Person ermitteln. Umsetzungsgrad Durch Befragung klären, ob die Maßnahme bereits umgesetzt ist, oder ganz oder in Teilen fehlt. Realisierungsplan alle umgesetzten Maßnahmen auf korrekte Umsetzung prüfen Prüfplan alle nicht bzw. nicht vollständig umgesetzten Maßnahmen Defizite beheben Wer macht das? 29

30 KONSOLIDIERUNG/ REALISIERUNG Im Realisierungsplan Dubletten entfernen, nicht anwendbare bzw. nicht mehr benötigte Maßnahmen streichen. Für jede Maßnahme aus diesem Plan ein Formblatt ausfüllen, in dem Details der Umsetzung beschrieben sind: Beschreibung der Maßnahme, Zuständigkeiten, Termine, benötigte / verfügbare Ressourcen. Diese Formblätter den für die Umsetzung Zuständigen aushändigen und nach Umsetzung der Maßnahme als Rücklauf anfordern. Im Rücklauf muss erklärt sein, dass die Maßnahme korrekt umgesetzt wurde bzw. wo ggf. Probleme bestehen. 30

31 ÜBERPRÜFUNG Jede Maßnahme im Prüfplan ist auf korrekte Umsetzung zu überprüfen: Beim ersten Mal (nach Freigabe des Sicherheitskonzeptes) ist eine vollständige Prüfung erforderlich. Dies kann später stichprobenartig über eine längere Zeit erfolgen, z. B. nach 3 Jahren vollständige Abdeckung aller Maßnahmen. Der Prüfplan wird im Laufe der Zeit länger, wenn weitere Maßnahmen aus dem Realisierungsplan umgesetzt worden sind. 31

32 WO STEHEN WIR? Schutzbedarf NORMAL? Alle zu schützenden Objekte haben Schutzbedarf NORMAL. Nach Aussage des BSI sind die Katalogmaßnahmen für den Schutzbedarf NORMAL ausreichend. Realisierungsplan umsetzen *** ENDE *** Es gibt zu schützende Objekte mit Schutzbedarf (SEHR) HOCH. Dann ist zusätzlich eine ergänzende Analyse (nach BSI 100-3) durchzuführen! Es kann sein, dass die Katalogmaßnahmen für diesen Schutzbedarf nicht ausreichend sind. Es können weitere / stärkere Maßnahmen erforderlich werden. 32

33 4. ERGÄNZENDE ANALYSE Das IT-Grundschutz- Konzept 33

34 ERWEITERTES VORGEHENSMODELL Die Phase Basis-Sicherheits-Check wird untergliedert: Weitere Gefährdungen ermitteln. Alle zusätzlichen Maßnahmen geeignet zusammenstellen. 1. Gefährdungsübersicht* Basis- Sicherheits- Check 1 2. Zusätzliche Gefährdungen 3. Gefährdungsbewertung 4. Risiken behandeln 5. Konsolidieren Basis- Sicherheits- Check 2 Die in den ausgewählten Bausteinen gelisteten Gefährdungen. Prüfen, ob die Katalogmaßnahmen ausreichend sind; andernfalls zusätzliche Maßnahmen einplanen. Prüfplan Realisierungsplan 34

35 GEFÄHRDUNGEN (1,2) Zielobjekte (IT-Anwendungen, Systeme, Räume) mit höherem Schutzbedarf identifizieren. Relevante Bausteine und Maßnahmen aus den Katalogen übernehmen. Die in den Baustein-Beschreibungen genannten Gefährdungen zusammenstellen. Relevante Gefährdungen ermitteln, die nicht im Katalog stehen. Beispiel Linux Server Vertraulichkeit: Integrität: Verfügbarkeit: NORMAL NORMAL HOCH G1.2 Ausfall des Systems G3.2 Fahrlässige Zerstörung G4.1 Ausfall Stromversorgung EG.05 Betrieb in Produktionsbereich mit extrem hoher Luftfeuchte Unrealistische / nicht relevante Gefährdungen streichen. * Gefährdungskatalog 35

36 BEWERTUNG UND RISIKEN (3,4) Sind die Maßnahmen aus den Bausteinen ausreichend, um die Gefährdung abzuwehren? Aspekt Vollständigkeit: Bieten diese Sicherheitsmaßnahmen Schutz gegen die betrachtete Gefährdung? Aspekt Stärke: Sind die Maßnahmen ausreichend stark? Aspekt Zuverlässigkeit: Können diese Sicherheitsmechanismen umgangen werden? Wenn Zweifel bestehen: individuelle Risikobehandlung erforderlich! Beispiel Linux Server Vertraulichkeit: NORMAL Integrität: NORMAL Verfügbarkeit: HOCH G1.2 Ausfall des Systems G3.2 Fahrlässige Zerstörung G4.1 Ausfall Stromversorgung EG.05 Betrieb im Produktionsbereich mit extrem hoher Luftfeuchte Maßnahmen ausreichend? J J N N J = ist ausreichend abgedeckt. N = ist nicht ausreichend abgedeckt. 36

37 RISIKOBEHANDLUNG Für nicht abgedeckte Risiken bestehen folgende Optionen: Risiko-Übernahme / -Akzeptanz. Risiko-Transfer / -Verlagerung. Risiko-Reduktion durch weitere Sicherheitsmaßnahmen. Risiko-Reduktion durch Umstrukturierung des IT-Verbunds / der Geschäftsprozesse. Entsprechende Entscheidungen sind herbeizuführen und zu dokumentieren! Validierung ausgewählter Maßnahmen auf Eignung, Zusammenwirken, Benutzerfreundlichkeit, Angemessenheit. Verbleibende Risiken abschätzen. 37

38 ISO Das IT-Grundschutz- Konzept 38

39 ISO NORMENREIHE ISO Vocabulary* Rahmenwerk für das Management der Informationssicherheit (ISMS). Eher eine Meta-Methode mit viel Spielraum für eigene Lösungen. Langjährige internationale Erfahrungen (u. a. BS7799). ISO ist die Vorgabe für eine mögliche Zertifizierung. Nationale / internationale Strukturen sind vorhanden: Auditoren, Zertifizierungsstellen, Anerkennungsabkommen. ISO ISMS Requirements* ISO Code of Practice* ISO Implementation Guidance ISO Measurement ISO Risk Management ISO Management Audit ISO Technical Audit ISO IT Security and ITIL ISO IT Security and Governance ISO IT Security and Economics * Normen in deutscher Sprache verfügbar. 39

40 WEITERE SPEZIALNORMEN Alle zumindest als Entwurf erschienen. ISO Informationsaustausch in kritischen Infrastrukturen ISO Informationssicherheit bei Telekommunikationsanbietern ISO Informationssicherheit und ITIL ISO Governance und Compliance ISO Informationssicherheit im Finanzsektor ISO Informationssicherheit und Wirtschaftlichkeit ISO 27017/27018 Cloud Computing ISO Prozesssteuerung Energiesektor ISO Business Continuity ISO Cybersecurity ISO IT Network Security ISO Application Security ISO Incident Management ISO Supplier Security ISO Digital Evidence Normen erhältlich unter ISO Digital Redaction ISO Health sector security Weitere geplante Standards dieser Reihe: Informationen unter 40

41 ISO 27001: INHALT ISMS Inhaltsverzeichnis (Auszug) Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Betrieb, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit behandelt... ISMS 4 Geschäftstätigkeit der Organisation Gegenstand des ISMS bestimmen ISMS Einrichtung 5 Leitungsaufgaben Leitung und Unterstützung, Leitlinie Rollen, Verantwortlichkeiten and Zuständigkeiten 6 Planung Risiken und Chancen adressieren Sicherheitsziele und pläne 7 Unterstützung Ressourcen, Kompetenzen, Awareness, Kommunikation Dokumentation 8 Betrieb Pläne und Kontrollen Risikoeinschätzung und behandlung 9 Bewertung der Wirksamkeit Überprüfung, Messung, Analyse und Bewertung Interne Audits Management Bewertung 10 Verbesserung Nicht-Konformität und Korrekturmaßnahmen Kontinuierliche Verbesserung Anhang A (normativ) Maßnahmenziele und Maßnahmen 41

42 PLAN-PHASE: UNTERSTÜTZUNG (KAP. 7) Ausreichende Ressourcen für das ISMS Kompetenzen (Qualifikationen) Interne Kommunikation Lenkung von Informationen Awareness Einrichtung Anforderungen an wichtige Rollen Dokumente Kenntnis der Leit- und Richtlinien Betrieb Überprüfung Entsprechende Rollenbesetzung Aus- und Fortbildung Weitergabe wichtiger Informationen persönliche Sicherheitsverantwortung Verbesserung Nachweise archivieren Aufzeichnungen Folgen bei Nichtbeachtung Leitungsaufgaben 42

43 CHECK-PHASE (KAP. 9) In 3 Ebenen: Aktivitäten Zuständigkeit Abschnitte in der Norm Überwachen Messen Bewerten Sicherheitspersonal 9.1 Interne Audits anderes Personal 9.2 Management-Bewertung Leitung

44 ANHANG A DER ISO Anhang A ist ein Katalog mit 14 Sicherheitsthemen, Thema 35 Maßnahmenzielen, Ziel 1 Ziel 2 Alle Ziele decken das Thema ab. 114 Controls. Control 1.A Control 1.B Control 2.A Control 2.B Control 2.C Jedes Control fordert die Bearbeitung eines bestimmten Sicherheitsaspekts. Alle Controls decken das Ziel ab. Anhang A ist normativ, d. h. alle Controls müssen bearbeitet werden, aber nur die für die Organisation relevanten Controls müssen umgesetzt werden! 44

45 ANHANG A: GLIEDERUNG DER CONTROLS 5 Sicherheitsleitlinien Vorgaben der Leitung zur Informationssicherheit 6 Organisation der Informationssicherheit Interne Organisation Mobilgeräte und Telearbeit 7 Sicherheit des Personals Vor der Einstellung Während der Anstellung Beendigung und Wechsel der Anstellung 8 Wertemanagement Verantwortung für Werte Klassifizierung von Informationen Umgang mit Medien 9 Zugriffskontrolle Geschäftliche Anforderungen in Bezug auf die Zugriffskontrolle Benutzerverwaltung Benutzerverantwortung Kontrolle des Zugriffs auf Systeme und Anwendungen 10 Kryptographie Kryptographische Maßnahmen 11 Schutz vor physischem Zugang und Umwelteinflüssen Sicherheitsbereiche Betriebsmittel Aus ISO 27001: (deutsche Fassung) Nummerierung in der Norm von 5 bis 18! Kommentare und Beispiele in der ISO (Leitfaden ). 12 Betriebssicherheit Betriebsverfahren und Zuständigkeiten Schutz vor Malware Datensicherungen Protokollierung und Überwachung Kontrolle von Software im Betrieb Management technischer Schwachstellen Auswirkungen von Audits auf Informationssysteme 13 Sicherheit in der Kommunikation Netzwerksicherheitsmanagement Informationsübertragung 14 Anschaffung, Entwicklung und Instandhaltung Sicherheitsanforderungen für Informationssysteme Sicherheit in Entwicklungs- und Unterstützungsprozessen Prüfdaten 15 Lieferantenbeziehungen Sicherheit in Lieferantenbeziehungen Management der Dienstleistungserbringung 16 Management von Informationssicherheitsvorfällen Management von Informationssicherheitsvorfällen und Verbesserungen 17 Informationssicherheitsaspekte des BCM Kontinuität der Informationssicherheit Redundanzen 18 Richtlinienkonformität Informationssicherheitsprüfungen Einhaltung gesetzlicher u. vertraglicher Anforderungen 45

46 BEISPIEL: A.11 Schutz vor physischem Zugang und Umwelteinflüssen 1. Sicherheitsbereiche 2. Betriebsmittel Kategorie Aufzählung der Maßnahmenziele Maßnahmenziel 1 1. Sicherheitsbereiche Zieldefinition Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Controls 1.1 Physische Sicherheitszone 1.2 Physische Zugangskontrolle 1.3 Sicherung von Zweigstellen, Räumen und Anlagen 1.4 Schutz externen und umweltbedingten Bedrohungen 1.5 Arbeit in Sicherheitsbereichen 1.6 Anlieferungs- und Ladezonen Beschreibung der Controls / Steuerungsziele / Anforderungen Zum Schutz von Bereichen, in denen sich entweder vertrauliche oder betriebswichtige Informationen oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitszonen festzulegen und zu verwenden. Es sind physische Schutzvorkehrungen gegen Naturkatastrophen, vorsätzliche Angriffe oder Unfälle zu konzipieren und anzuwenden. 46

47 MATERIALIEN TOOLS: FREE ISO27K TOOLKIT mit vielen Expertisen und Vorlagen: VERINICE : Freeware-Tool Bücher: IT-Sicherheitsmanagement nach ISO und Grundschutz, Springer-Verlag, 2013 IT-Sicherheitsmanagement, mitp-verlag, 2012 Der IT Security Manager, Springer-Verlag,

48 ISO27001 VS. IT-GRUNDSCHUTZ Das IT-Grundschutz- Konzept 48

49 VERGLEICH-1 Grundschutz ISO IT-Verbund festlegen weitgehende Kompatibilität Anwendungsbereich bestimmen Leitlinie erstellen weitgehende Kompatibilität Leitlinie erstellen Strukturanalyse weitgehende Kompatibilität Assets erfassen Schutzbedarf ermitteln wesentliche Unterschiede Risiken analysieren Risiken bewerten 49

50 VERGLEICH-2 Grundschutz Modellierung durchführen ISO Risiken behandeln Basis-Sicherheits- Check durchführen wesentliche Unterschiede Optionen Maßnahmen Ergänzende Analyse Restrisiken akzeptieren Maßnahmen konsolidieren Genehmigung der Leitung geringe Unterschiede Erklärung zur Eignung (SoA) Maßnahmen umsetzen Maßnahmen umsetzen 50

51 RISIKO-MODELL IN DER ISO-NORM Risiken steuern Risikoanalyse Risikobewertung Risiken identifizieren Schwachstellen ermitteln Risiken abschätzen Auswirkungen einschätzen Ermitteln, Benennen und Beschreiben von Bedrohungen / Gefährdungen Sind Schwachstellen vorhanden? Schadenhöhe und Eintrittshäufigkeit abschätzen oder klassifizieren Welche Auswirkung hat das Risiko auf das Unternehmen? 51

52 BEISPIEL Risikoklassen zusammengesetzt aus: Häufigkeiten H1: seltener als 1 x pro Jahr H2: seltener als 1 x pro Quartal H3: seltener als 1 x pro Monat H4: häufiger als 1 x pro Monat Schadenhöhen pro Fall S1: geringfügig S2: mittel S3: hoch S4: sehr hoch Schadenhäufigkeit H1 H2 H3 H4 Bewertung (Beispiel) EXISTENZBEDROHEND / nicht tolerabel GRAVIEREND / Maßnahmen vorsehen MITTEL / Maßnahmen prüfen GERING / vernachlässigbar S1 S2 S3 S4 Priorität Schadenhöhe 52

53 BEISPIEL Vor Maßnahmenauswahl Nach Maßnahmenauswahl Identifizierte Bedrohung Häufigkeit p.a. Schadenhöhe pro Fall Maßnahme Häufigkeit p.a. Schadenhöhe pro Fall Risikobewertung Restrisikobewertung Behandlung Blitzeinschlag H2 S3 GRAVIEREND M1 H2 S1 GERING Akzeptanz Viren-Infektion H3 S1 MITTEL M2 H1 S1 GERING Akzeptanz Hacker- Einbruch H4 S4 EXISTENZ- BEDROHEND M3 H3 S2 GRAVIEREND weitere Reduktion M1: äußerer / innerer Blitzschutz M2: Zwei Anti-Viren-Systeme M3: (aktuelle) Firewall einsetzen Maßnahmen individuell wählen! 53

54 UMGANG MIT RISIKEN ISO Risiken ermitteln und priorisieren. Risikobehandlung durch individuelle Maßnahmen (Top Level Risiken zuerst). Auswahl der Optionen und Maßnahmen ist dem Analysten überlassen. Grundschutz Alle Katalogmaßnahmen aus der Modellierung umsetzen: Schutzbedarf NORMAL. Für höheren Schutzbedarf ergänzende Analyse durchführen. Hierbei Maßnahmenauswahl durch den Analysten. 54

55 VERGLEICH IT-Grundschutz ist nur eine Möglichkeit der Umsetzung der ISO- Anforderungen. Andere Verfahren bzw. Varianten sind möglich! ISO Rahmenwerk: Auswahl von Methoden ist dem Anwender überlassen, an die Belange des Anwenders anpassbar. Schwerpunkt auf den Management-Aktivitäten. Anwendungsbereich ist beliebig skalierbar. Einheitliches Vorgehen für alle Risikoklassen. Auswahl von Maßnahmen dem Anwender überlassen. Bedarf an Aktualisierung ist begrenzt, da Darstellung abstrakt ist. Zertifizierungen dezentral und weltweit anerkannt. Spezialisten-Support (z.b. bei der Risikoanalyse) Hilfsmittel noch nicht sehr zahlreich. IT-Grundschutz Detailliertes Regelwerk: Methoden im Wesentlichen festgeschrieben. Schwerpunkt auf den Sicherheitsmaßnahmen. Eher für kleine bis mittlere IT-Verbünde. Methodenbruch zwischen NORMAL und HOCH. Schutzbedarf NORMAL : Maßnahmen festgeschrieben. Maßnahmenkatalog ist regelmäßig zu aktualisieren / erweitern. Zertifizierung nur durch das BSI. Keine Anerkennung im internationalen Kontext. Auch mit wenig Erfahrung realisierbar. Viele Hilfsmittel, z.t. frei verfügbar. 55

56 TRENDS Das IT-Grundschutz- Konzept 56

57 TRENDS BEIM IT-GRUNDSCHUTZ IT-Grundschutz Maßnahmen- und Bausteinkataloge werden immer umfangreicher. Methode richtet sich stärker aus auf ISO 27001/27002: Prozess ist aber noch nicht abgeschlossen. Anwender-Kritik wird zu Anpassungen führen: Wirtschaftlichkeit und Risikoorientierung adressieren Angepasstes Sicherheitsniveau Reduktion von Dokumentationsaufwand Zertifizierung Zurzeit ca. 95 Firmen / Behörden nach IT-Grundschutz zertifiziert (mit bestimmten Anwendungen). Ein Unternehmen aus der Schweiz, keines aus Österreich. 57

58 BISHER ERTEILTE ISO27001-ZERTIFIKATE (STAND ANFANG 2013, OHNE BSI-ZERTIFIKATE) 58

59 WIR SIND AM ENDE Vielen Dank für Ihr Interesse. Haben Sie Fragen oder Kommentare? Gerne auch per an: 59

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04

Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04 Erfahrungen aus einer Zertifizierung nach ISO 27001 und nach BSI-Grundschutz Dr. G. Weck, INFODAS GmbH, Köln DECUS IT-Symposium, Nürnberg Vortrag 2K04 Inhalt Kontext und Phasen der Zertifizierung Schritte

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Umsetzung BSI Grundschutz

Umsetzung BSI Grundschutz Umsetzung BSI Grundschutz ISO 27001 auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.2012

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN 14. DEUTSCHER IT-SICHERHEITSKONGRESS 2015, BONN, 19.05.2015 SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN SICHERHEITSMANAGEMENT MIT DER BSI IT-GRUNDSCHUTZ-VORGEHENSWEISE Andreas Floß, Dipl.-Inform.,

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz Städtisches Klinikum Braunschweig GmbH Zertifizierung InterSystems Ensemble nach ISO 27001 auf Basis von IT-Grundschutz InterSystems Symposium 2015 Ensemble/Healthshare Enduser Meeting Vortsellung des

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen Referenznummer Titel Zielgruppe IT-SEC RL010 IT-Sicherheitsrichtlinie zur Handhabung von IT- Sicherheitsvorfällen

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

MUSTER-IT-SICHERHEITSKONZEPT FÜR MITTLERE UND GROSSE EINRICHTUNGEN

MUSTER-IT-SICHERHEITSKONZEPT FÜR MITTLERE UND GROSSE EINRICHTUNGEN MUSTER-IT-SICHERHEITSKONZEPT FÜR MITTLERE UND GROSSE EINRICHTUNGEN MANAGEMENT SUMMARY Das Muster-IT-Sicherheitskonzept gibt eine Empfehlung zur Umsetzung der Vorgaben zur IT- Sicherheit gemäß der Anforderungen

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Informationssicherheit Überblick über Standards und Zertifizierung. 07. Juni 2013, Frankfurt

Informationssicherheit Überblick über Standards und Zertifizierung. 07. Juni 2013, Frankfurt Ziele Gesellschaft für Informatik Fachgruppe Management von Informationssicherheit (SECMGT) Workshop: Der Wert von Zertifizierungen Informationssicherheit Überblick über Standards und Zertifizierung 07.

Mehr

Klausurtagung des Landesausschusses 12. April 2013. Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten

Klausurtagung des Landesausschusses 12. April 2013. Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten Klausurtagung des Landesausschusses 12. April 2013 Alles was Recht ist Dinge, die Kommunen im Netz beachten sollten VORBEREITUNG EINES KOMMUNALEN INTERNETAUFTRITTS Relevante Rechtsgebiete bei der Domainregistrierung

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen Landkreis Harburg Warum ein IT-Sicherheitsbeauftragter? Beweggründe Mike Wille Betriebsleiter IT Landkreis Harburg Vertraulichkeit Verfügbarkeit Informationssicherheit Integrität Landkreis Harburg die

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Erfahrungen aus IT-Sicherheitsaudits bei mittelständischen Unternehmen

Erfahrungen aus IT-Sicherheitsaudits bei mittelständischen Unternehmen Erfahrungen aus IT-Sicherheitsaudits bei mittelständischen Unternehmen Dr. Christian Scharff BSI-zertifizierter ISO 27001 Lead Auditr Infrmatinssicherheits-Revisr (BSI) TÜV-zertifizierter Datenschutzauditr

Mehr

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH verinice. ISMS in der Praxis umsetzen Alexander Koderman, CISA SerNet GmbH Seite 1 / 2009 SerNet GmbH SerNet GmbH gegründet 1997 Büros in Göttingen, Berlin, Nürnberg, Menlo Park Informationssicherheit

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

IT Sicherheit - Gibt es die überhaupt noch?

IT Sicherheit - Gibt es die überhaupt noch? IT Sicherheit - Gibt es die überhaupt noch? ( oder wie schützt man kritische Infrastrukturen) Christian Cichowski CIO Wupperverband CIO Wupperverband Christian Cichowski 12.03.2015 1 Der Wupperverband

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen!

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Über den Sinn von Beziehungen IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Vorstellung procilon Fakten, Historie & Vision Übersicht Kernkompetenzen Fakten, Historie & Vision Vorstellung

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr