Inhaltsverzeichnis. 1 Einleitung 3

Größe: px
Ab Seite anzeigen:

Download "Inhaltsverzeichnis. 1 Einleitung 3"

Transkript

1

2 Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach Bonn Tel:+49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik 2010

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 3 2 Rahmenbedingung des Profils Erläuterung zum Schutzbedarf Rechtliche Rahmenbedingungen Verantwortlichkeiten und Vorgehensweise 11 3 Definition und Abgrenzung des Informationsverbundes 18 4 Leitlinie zur Informationssicherheit und Sicherheitskonzept Leitlinie zur Informationssicherheit Sicherheitskonzept 28 5 Strukturanalyse Netzplan Erhebung der IT-Systeme Anwendungen Strukturanalyse mittels GSTOOL Erfassung der IT-Systeme mit dem GSTOOL Erfassung von Benutzern und Verantwortlichen Erfassung von Räumen Erfassung der Anwendungen mit dem GSTOOL Kommunikationsverbindungen mit dem GSTOOL 47 6 Schutzbedarfsfeststellung Vorarbeiten Phase 1: Definition der Schutzbedarfskategorien Phase 2: Ermittlung von Schadensszenarien Phase 3: Dokumentation der Ergebnisse Anwendungen IT-Systeme Kommunikationsverbindungen IT-Räume 62 Seite I

4 Inhaltsverzeichnis 6.6 Exkurs: Ergänzende Sicherheitsanalyse 65 7 Modellierung Übergeordnete Aspekte der Informationssicherheit Infrastruktur IT-Systeme Netze Anwendungen 78 8 Basissicherheitscheck Organisatorische Vorbereitungen Durchführung des Soll-Ist-Vergleichs Dokumentation der Ergebnisse 84 9 Realisierung Zertifizierung Beispiel: Leitlinie zur Informationssicherheit 98 Anhang A Systeme des beispielhaften Informationsverbundes Anhang B Organigramm Anhang C Glossar Anhang D Referenzen Seite II

5 Einleitung 1 Einleitung In der heutigen Geschäftswelt werden nahezu alle Prozesse durch Informationstechnologie (IT) unterstützt. Beispiele hierfür sind die Textverarbeitung am Arbeitsplatz oder die Steuerung der Produktion im produzierenden Gewerbe. Gleichzeitig führt dies auch zu Abhängigkeiten, da Fehler, die bei der Informationsverarbeitung entstehen, direkte Folgen für die Institution haben. Fällt z. B. die Produktionssteuerung aus oder werden fehlerhafte Produktionsdaten erzeugt, kann das direkte Auswirkungen auf vertraglich zugesicherte Liefertermine oder die Qualität der gelieferten Produkte haben. Gibt es Störungen z. B. bei den Arbeitsplatzsystemen der Mitarbeiter, kann wertvolle Arbeitszeit verloren gehen. Die Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten bzw. in der Informationstechnologie ist damit ein wichtiges Ziel zur Aufrechterhaltung der Geschäftsprozesse und Abwehr von Schäden. Damit dieses Ziel schnell und effektiv erreicht, Gefahren identifiziert und durch geeignete Sicherheitsmaßnahmen abgewendet werden können, wird ein Sicherheitskonzept erstellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit den IT-Grundschutz-Katalogen [GSK] und den in den BSI-Standards (Managementsysteme für Informationssicherheit ISMS), (IT-Grundschutz Vorgehensweise) und (Risikoanalyse auf der Basis von IT-Grundschutz) beschriebenen Methoden eine wirkungsvolle und einfach handhabbare Möglichkeit zur Erstellung eines Sicherheitskonzepts zur Verfügung. Die IT-Grundschutz-Kataloge und die BSI-Standards können von den Internetseiten des BSI kostenlos unter https://www.bsi.bund.de/grundschutz bzw. https://www.bsi.bund.de/contentbsi/publikationen/bsi_standard/it_grundschutzstandards.html heruntergeladen werden. Durch die softwaretechnische Unterstützung mittels verschiedener am Markt erhältlicher TOOLs, die die IT-Grundschutz-Vorgehensweise unterstützen, (vergleiche auch [GSTOOL]) kann die Erstellung eines Sicherheitskonzepts effizient durchgeführt werden. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 3

6 Einleitung Im vorliegenden Dokument wird für eine mittelgroße Institution beispielhaft ein Sicherheitskonzept nach Empfehlungen der IT-Grundschutz-Kataloge des BSI [GS-Kataloge] in Verbindung mit den BSI-Standards erstellt. Es werden konkrete Sicherheitsaspekte detailliert erläutert, die in dieser mittelgroßen Institution für die Absicherung der Informationen und Geschäftsprozesse zu beachten sind. Ausgehend von der beispielhaft dargestellten Institution wird gezeigt, wie die einzelnen Arbeitsschritte der IT- Grundschutz-Methodik unter Zuhilfenahme des GSTOOL angewendet werden. In Kapitel 2 werden zunächst die Rahmenbedingungen, unter denen das Profil angewendet werden kann, erläutert. Der in diesem Dokument als Beispiel dienende Informationsverbund wird in Kapitel 3 beschrieben. In den Kapiteln 5 bis 9 werden die einzelnen Schritte einer Sicherheitskonzeption aufgeführt. Kapitel 10 erläutert die Aspekte einer Zertifizierung mittels IT-Grundschutz Zertifikat und in Kapitel 11 ist eine exemplarische und an der Praxis orientierte Leitlinie zur Informationssicherheit für eine mittelgroße Institution dargestellt. Zur Vorbereitung wird empfohlen, den Leitfaden Informationssicherheit [LEITF] zu lesen. Das vorliegende Dokument setzt als Basiswissen die inhaltliche Kenntnis des Leitfadens voraus. Eine sehr gute Einarbeitung in die Thematik des IT-Grundschutzes ist mit den vom BSI angebotenen kostenlosen Webkursen zu den IT-Grundschutz-Katalogen (https://www.bsi.- bund.de/grundschutz) und zum GSTOOL (https://www.bsi.bund.de/gstool) möglich. Um die beispielhaft durchgeführten Schritte bei der Erstellung der Sicherheitskonzeption für die mittelgroße Institution mit dem GSTOOL nachvollziehen zu können, besteht die Möglichkeit eine kostenlose 30-Tage-Lizenz des GSTOOL zu Testzwecken von den Internetseiten des BSI herunterzuladen (https://www.bsi.bund.de/gstool/download/). Die einmal eingegebenen Test-Daten können auch nach Ablauf der Testlizenz in der erworbenen Anwendung weiterhin bequem genutzt werden. Eine erneute Eingabe der bereits erfassten Daten ist nach Erhalt des Freigabeschlüssels nicht erforderlich. Auf der genannten Seite steht ebenfalls eine Datenbank zum GSTOOL IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 4

7 Einleitung mit den im vorliegenden Dokument beschriebenen Beispielen einschließlich einer Installationsanleitung sowie das GSTOOL Handbuch zum Download zur Verfügung. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 5

8 Rahmenbedingung des Profils 2 Rahmenbedingung des Profils In den folgenden Abschnitten werden die Rahmenbedingungen beschrieben, unter denen das in diesem Dokument verwendete IT-Grundschutz-Profil auf den Informationsverbund einer mittelgroßen Institution anwendbar ist. Abschnitte, die mit der am linken Rand abgebildeten Grafik gekennzeichnet sind, weisen darauf hin, dass bei der Sicherheitskonzeption die Unterstützung durch ein Grundschutz-Tool (GSTOOL) möglich ist. Der Einsatz des GSTOOL ist zwar nicht explizit vorgeschrieben, er wird jedoch empfohlen, da hierdurch die IT-Grundschutz-Umsetzung erheblich vereinfacht wird. In diesem Dokument wird die im BSI-Standard beschriebene Vorgehensweise nach IT-Grundschutz daher an vielen Stellen durch Beispiele aus dem GSTOOL verdeutlicht. Die den Beispielen zugrunde liegende Datenbank des GSTOOL ist über die Internetseiten des BSI erhältlich. Wird IT-Grundschutz ohne GSTOOL-Unterstützung umgesetzt, ist an vielen Stellen die tabellarische Erfassung von Informationen erforderlich. Im nachfolgenden Dokument sind Punkte, die bei einer manuellen Vorgehensweise zu beachten sind, und weitergehende Hinweise durch das Tabellensymbol am linken Seitenrand gekennzeichnet. 2.1 Erläuterung zum Schutzbedarf Da die IT-Grundschutz-Kataloge nach dem Baukastenprinzip aufgebaut sind, lassen sich Sicherheitskonzepte mit dieser Unterstützung einfach erstellen. Dieses Prinzip erlaubt es den Anwendern, rasch einen Soll-Ist-Vergleich zwischen empfohlenen und bereits realisierten Maßnahmen durchzuführen. Dabei festgestellte fehlende oder noch nicht umgesetzte Maßnahmen sind ein Hinweis auf Sicherheitsdefizite, die durch die in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge empfohlenen Maßnahmen behoben werden sollten. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 6

9 Rahmenbedingung des Profils Generell ist es sinnvoll, sich bei der Auswahl von einzuführenden Schutzmaßnahmen am Wert der zu schützenden Informationen zu orientieren, so dass auch die monetären Aspekte bei der Umsetzung der Informationssicherheit berücksichtigt werden. In diesem Sinne sollen Maßnahmen, die von einer Institution für die Einrichtung und Aufrechterhaltung der Informationssicherheit ergriffen werden, stets angemessen sein. Daher werden Sicherheitsmaßnahmen erst dann eingeführt, nachdem der Schutzbedarf der geschäftsrelevanten Informationen sowie der Informationstechnologie ermittelt worden ist. Bei der Ermittlung und individuellen Bewertung des Schutzbedarfs unterstützen die IT-Grundschutz-Kataloge sowie die BSI- Standards methodisch und das GSTOOL technisch. Die in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen sind stets Standard-Sicherheitsmaßnahmen, welche die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzenden Maßnahmen zur Erreichung einer angemessenen Sicherheit beschreiben. Teilweise wird mit diesen Maßnahmen auch bereits ein höherer Schutzbedarf abgedeckt, dennoch sind sie in den jeweiligen Bereichen das Minimum dessen, was vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Ziel der in einem ersten Schritt durchzuführenden Schutzbedarfsfeststellung (vergleiche Kapitel 4.3 [BSI-Standard 100-2]) ist es daher, für jede erfasste Komponente des Informationsverbunds (Anwendung und der zugehörigen Informationen, IT-System, Raum und Übertragungsstrecke) zu entscheiden, welchen Schutzbedarf sie bezüglich der Grundwerte der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - tatsächlich besitzt. Dieser orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Komponente verbunden sind und wird in die drei Kategorien normal, hoch und sehr hoch unterteilt. Zur Einstufung in diese Kategorien werden individuell für den betrachteten Informationsverbund die Auswirkungen hinsichtlich der Schadensszenarien - Verstoß gegen Gesetze/Vorschriften/Verträge, - Beeinträchtigung des informationellen Selbstbestimmungsrechts, IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 7

10 Rahmenbedingung des Profils - Beeinträchtigung der persönlichen Unversehrtheit, - Beeinträchtigung der Aufgabenerfüllung, - negative Außenwirkung und - finanzielle Auswirkungen betrachtet und abgeschätzt. Die Methodik zur Schutzbedarfsfeststellung gemäß BSI-Standard wird detailliert in Kapitel 6 anhand eines Beispiels erläutert. 2.2 Rechtliche Rahmenbedingungen Verstöße gegen Gesetze, Richtlinien oder Vorschriften wie auch die Nichteinhaltung von Verträgen können sowohl aus dem Verlust der Verfügbarkeit, der Vertraulichkeit sowie der Integritätsverletzung resultieren. Die Bewertung eines Schadens und die Definition von Schutzmaßnahmen ist damit unter anderem von den rechtlichen Konsequenzen für die Institution abhängig. Die nachfolgenden Ausführungen stammen aus [LEITF] und geben das Thema der rechtlichen Rahmenbedingungen sehr gut wieder. Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der Informationssicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten oft nicht nur für Aktiengesellschaften sondern auch für die Rechtsform der Gesellschaft mit beschränkter Haftung (GmbH). Dies ist in der Öffentlichkeit allerdings noch nicht hinreichend bekannt. In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sogenanntes Artikelgesetz und ergänzt bzw. ändert verschiedene Gesetze wie das Handelsgesetzbuch und das Aktiengesetz. Insbesondere die Forderung nach einem Risikomanagement für Kapitalgesell- IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 8

11 Rahmenbedingung des Profils schaften (z. B. Aktiengesellschaften und GmbH) sind im KonTraG enthalten. Im Einzelnen kann eine Institution von folgenden Regelungen betroffen sein: Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt ( 91 Abs. 2 und 93 Abs. 2 AktG). Geschäftsführern einer GmbH wird im GmbH-Gesetz die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt ( 43 Abs. 1 GmbHG), welches ähnliche Folgerungen für das Risikomanagement beinhaltet wie für Vorstände nach dem Aktiengesetz. Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches ( 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind ( 317 Abs. 2 HGB). Die oben genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und unverbindlich. Hieraus lassen sich jedoch konkrete Verpflichtungen an die Gewährleistung eines angemessenen Sicherheitsniveaus in der eigenen Institution ableiten. Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und den Fortbestand einer Institution gefährden. Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne deren ausdrückliche Einwilligung öffentlich gemacht werden ( 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 9

12 Rahmenbedingung des Profils Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt. Die Verwendung von Informationstechnik, die Nutzung des Internets oder von Telekommunikationsdiensten werden zum Teil sehr genau geregelt. Einschlägig sind z. B.: Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz, Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU-Ebene. Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikation-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. Auch Banken sind verpflichtet, bei der Kreditvergabe eventuell bestehende Risiken auf der Seite des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird (Stichwort: Basel II). Die für die jeweilige Institution geltende Rechtslage muss jedoch individuell durch einen Experten geklärt werden. Die oben gemachten Angaben können daher nur als Hinweis angesehen werden! Die genannten rechtlichen Rahmenbedingungen machen es für einen Institutsleiter erforderlich, sich mit der Thematik Informationssicherheit auseinander zu setzen und zu prüfen, ob die in der Institution umgesetzten Sicherheitsmaßnahmen ausreichend sind oder gegebenenfalls neue oder ergänzende Sicherheitsmaßnahmen definiert werden müssen. Im BSI-Standard wird hierfür die Vorgehensweise beschrieben, mit der fehlende Sicherheitsmaßnahmen identifiziert und erforderliche Sicherheitsmaßnahmen nach IT-Grundschutz umgesetzt werden können. Der folgende Abschnitt beschreibt, wer in diesen Prozess eingebunden ist, welche Verantwortlichkeiten entstehen und gibt einen Überblick über die Vorgehensweise. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 10

13 Rahmenbedingung des Profils 2.3 Verantwortlichkeiten und Vorgehensweise Der BSI-Standard beschreibt die verschiedenen Aktivitäten, die innerhalb einer Institution im Zusammenhang mit der Umsetzung von Maßnahmen zur Sicherheitskonzeption durchzuführen sind (vergleiche Kapitel 4 [BSI-Standard 100-2]). Im Kapitel 3 der IT-Grundschutz-Kataloge werden verschiedene, in den Sicherheitsprozess eingebundene Rollen beschrieben. Der besondere Schwerpunkt liegt auf den Rollen des Vorgesetzten, des IT-Sicherheitsbeauftragten, des für die Informationssicherheit Verantwortlichen (Administrator) und des Benutzers. Der Institutsleiter ist für die Benennung eines Mitarbeiters als IT-Sicherheitsbeauftragten zuständig und übergeordnet für alle Belange innerhalb der Institution verantwortlich. Gemäß der Methodik nach IT-Grundschutz ist der IT-Sicherheitsbeauftragte für die Abstimmung der Leitlinie zur Informationssicherheit mit dem Institutsleiter und für die Erstellung des Informationssicherheitskonzepts verantwortlich, d. h. er koordiniert die Erstellung für die Institution. Gleichzeitig ist er Haupt-Ansprechpartner für alle Fragen der Informationssicherheit. Die für die Informationssicherheit Verantwortlichen übernehmen die Pflege und Wartung von IT-Systemen und Anwendungen und sorgen für die Umsetzung der festzulegenden technischen Maßnahmen. Die Tätigkeit der Mitarbeiter wird durch Anwendungen unterstützt. Sie liefern dem IT-Sicherheitsbeauftragten bei der Erstellung des Sicherheitskonzepts Informationen über den Schutzbedarf der einzelnen Komponenten und werden auf die Einhaltung der festgelegten Regelungen verpflichtet. Bei der tatsächlichen Durchführung der Arbeiten ist eine Zuweisung der oben genannten Rollen zu den jeweiligen Mitarbeitern erforderlich. Die bei der Erstellung eines Informationssicherheitskonzepts nach IT- Grundschutz durchzuführenden Tätigkeiten sind in Kapitel 4 [BSI-Standard 100-2] definiert und umfassen die nachfolgenden Phasen (siehe Abbil- IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 11

14 Rahmenbedingung des Profils dung 1), die zeitlich nacheinander ausgeführt werden. Ausgenommen ist Phase 2, die schon vor Beendigung der ersten Phase gestartet werden kann. Die Durchführung aller sieben Phasen nimmt erfahrungsgemäß bei einem Informationsverbund der betrachteten Größenordnung für eine mittlere Institution etwa ein Jahr in Anspruch. Der Zeitraum kann verkürzt werden, wenn beispielsweise bereits Vorbereitungen getroffen worden sind und Erfahrungen von Mitarbeitern, etwa in der Einschätzung der Schutzbedürftigkeit von Anwendungen, vorliegen. Die Dauer der einzelnen Phasen ist sehr unterschiedlich und hängt von den individuellen Gegebenheiten innerhalb der Institution ab. Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Abbildung 1: Übersicht der Umsetzungsphasen Phase 1: Initiierung des -Sicherheitsprozesses (vergleiche Kapitel 3 [BSI- Standard 100-2]) Die Institutsleitung ist für die Phase 1 verantwortlich. Phase 1 beinhaltet die Definition des betrachteten Informationsverbundes (also die Festlegung des Geltungsbereichs), die Erstellung einer Leitlinie zur Informationssicherheit (vergleiche Kapitel 3.3 BSI- Standard 100-2) und die Planung und Einrichtung einer IT-Sicherheitsorganisation (vergleiche Kapitel 3.4, BSI-Standard 100-2). Üblich ist es, diese Aufgaben an den IT-Sicherheitsbeauftragten zu delegieren. Dieser stimmt die Leitlinie zur Informationssicherheit mit der Institutsleitung ab und erstellt das Sicherheitskonzept. Als Ergebnis der 1. Phase ist der IT-Sicherheitsbeauftragte benannt und eine Leitlinie zur Informationssicherheit erstellt. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 12

15 Rahmenbedingung des Profils Phase 2: Durchführung einer Strukturanalyse (vergleiche Kapitel 4.2 [BSI- Standard 100-2]) Bei der Strukturanalyse werden alle Komponenten des Informationsverbundes (Anwendung, IT-System, Raum und Kommunikationsverbindung) erfasst. Die Strukturanalyse kann durch den IT- Sicherheitsbeauftragten auch mit der Unterstützung des GSTOOL durchgeführt werden. Die Verwendung des GSTOOL ist jedoch nicht zwingend notwendig. Wird darauf verzichtet, muss die Strukturanalyse manuell unter Verwendung von Formularen und Tabellen zu Dokumentationszwecken erfolgen. Bei der Durchführung ist der IT-Sicherheitsbeauftragte auf Informationen der Benutzer und Verantwortlichen angewiesen, da diese in die Strukturanalyse mit einzubeziehen sind. Mit der Strukturanalyse kann schon begonnen werden, bevor die Leitlinie zur Informationssicherheit erstellt ist. In Abbildung 1 ist daher die zeitliche Überlappung der Bearbeitung beider Phasen dargestellt. Als Ergebnis der 2. Phase ist die Struktur der Informationstechnologie dokumentiert, d. h. alle IT-Systeme, deren Benutzer und Verantwortliche sowie Standorte und auf ihnen laufenden Anwendungen sind bekannt und dokumentiert. Somit ist ein Überblick über die IT-Landschaft der Institution vorhanden. Phase 3: Durchführung einer Schutzbedarfsfeststellung (vergleiche Kapitel 4.3 [BSI-Standard 100-2]) Die Vorgehensweise zur Schutzbedarfsfeststellung wird in Kapitel 4.3 des BSI-Standards detailliert erläutert. Die Schutzbedarfsfeststellung wird durch den IT-Sicherheitsbeauftragten durchgeführt. Sie beginnt mit einer auf den Informationsverbund angepassten Definition der Schutzbedarfskategorien, die in der Institution abgestimmt ist. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 13

16 Rahmenbedingung des Profils Die erforderlichen Informationen zur Bestimmung des Schutzbedarfs werden durch Befragung der Benutzer ermittelt. Auch dieser Vorgang wird durch das GSTOOL unterstützt. Da insbesondere die Benutzer und Verantwortlichen den Schutzbedarf der von ihnen be- und verarbeiteten Daten und genutzten Systeme gut einschätzen können, ist der IT-Sicherheitsbeauftragte auf die Mitarbeit der Benutzer und Verantwortlichen angewiesen. Daher müssen diese unbedingt bei der Schutzbedarfsfeststellungen mit einbezogen werden. Als Ergebnis dieser Phase ist für jedes in Phase 2 aufgenommene IT-System, jede Anwendung, jeden Raum und für die Kommunikationsverbindungen der Schutzbedarf festgelegt. Phase 4: Modellierung nach IT-Grundschutz (vergleiche Kapitel 2.1 [GS- Kataloge]) Die Modellierung nach IT-Grundschutz (Phase 4) wird durch den IT-Sicherheitsbeauftragten unter Zuhilfenahme des GSTOOL durchgeführt. Dabei wird der Informationsverbund mittels der Bausteine der IT-Grundschutz-Kataloge nachgebildet. Die Modellierung sollte durch die Verantwortlichen unterstützt werden. Als Ergebnis erhält man das IT-Grundschutz-Modell des betrachteten Informationsverbunds. Phase 5: Durchführung des Basis-Sicherheitsscheck (vergleiche Kapitel 4.5 [BSI-Standard 100-2]) Die Durchführung des Basis-Sicherheitsscheck wird durch den IT-Sicherheitsbeauftragten unter Verwendung des GSTOOL durchgeführt. Hier wird ermittelt, ob die in der Modellierung beschriebenen Maßnahmen umgesetzt, teilweise, nicht umgesetzt oder entbehrlich sind. Die Erfassung der umgesetzten Maßnahmen kann an die Verantwortlichen delegiert werden. In IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 14

17 Rahmenbedingung des Profils jedem Fall ist eine enge Kooperation mit den Sicherheitsverantwortlichen nötig. Bei Anwendungen, die einen hohen oder sehr hohen Schutzbedarf besitzen, können die IT-Grundschutz-Sicherheitsmaßnahmen gegebenenfalls nicht ausreichend sein. In diesem Fall ist eine ergänzende Sicherheitsanalyse (vergleiche Kapitel 4.6 BSI-Standards 100-2) durch den IT-Sicherheitsbeauftragten durchzuführen und durch die Verantwortlichen zu unterstützen. Das Ergebnis der 5. Phase ist eine Liste, die insbesondere Auskunft über den Umsetzungsstatus der geforderten Standardsicherheitsmaßnahmen gibt. Phase 6: Realisierung von Sicherheitsmaßnahmen (vergleiche Kapitel 5 [BSI-Standard 100-2]) Anschließend werden die erforderlichen Sicherheitsmaßnahmen umgesetzt. Die Komplexität dieser Phase, die darin besteht, festzulegen, welche Maßnahmen zwingend umgesetzt werden müssen und auf welche verzichtet werden kann, macht die Organisationsform einer Arbeitsgruppe mit verschiedenen Teams sinnvoll. Der IT-Sicherheitsbeauftragte übernimmt in diesem Fall die Leitung der Arbeitsgruppe und koordiniert die einzelnen Tätigkeiten der Teams. Teilweise wird der IT-Sicherheitsbeauftragte hierbei durch das GSTOOL unterstützt. Ein Realisierungsplan (Projektplan) sowie die umgesetzten Standardsicherheitsmaßnahmen stellen das Ergebnis der 6. Phase dar. Phase 7: Aufrechterhaltung der Sicherheit und kontinuierliche Verbesserung der Informationssicherheit (vergleiche Kapitel 6 BSI-Standard 100-2) Um den Informationssicherheitsprozess aktuell zu halten und bei Bedarf stets verbessern zu können, müssen angemessene Sicherheitsmaßnahmen implementiert und der Prozess regelmäßig auf IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 15

18 Rahmenbedingung des Profils Effektivität und Effizienz überprüft werden (vergleiche Kapitel BSI-Standard 100-2). Insbesondere bei einer Häufung von Sicherheitsvorfällen oder gravierenden Änderungen der Rahmenbedingungen (z. B. Änderung an der Ausstattung) ist sofort zu handeln und alle Sicherheitsmaßnahmen an die aktuellen Vorfälle anzupassen. Grundsätzlich ist unbedingt bei allen Veränderungen des Sicherheitsprozesses das Management mit einzubinden und über den aktuellen Sachstand zu unterrichten, damit von dieser Ebene die erforderlichen Änderungen angestoßen werden können (vergleiche Kapitel 6.2.1, BSI-Standard 100-2) Phase 8: Zertifizierung (vergleiche Kapitel 7 BSI-Standard 100-2) Für die Grundschutz konforme Erstellung des Sicherheitskonzepts des definierten Informationsverbunds kann abschließend ein ISO Zertifikat auf der Basis von IT-Grundschutz- (vergleiche [GSZERT]) ausgestellt werden. Mit Hilfe dieses Zertifikats wird bestätigt, dass alle erforderlichen Maßnahmen nach den IT-Grundschutz-Katalogen realisiert wurden. Voraussetzung für die Vergabe eines ISO Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung, der festgelegten Anforderungen. Diese Überprüfung wird von einem lizenzierten IT-Grundschutz Auditor oder ISO Auditor auf der Basis von IT-Grundschutz- durchgeführt. Das Ergebnis der Überprüfung ist ein Auditreport, der der BSI Zertifizierungsstelle vorgelegt wird. Auf der Grundlage des Auditreports entscheidet die Zertifizierungsstelle über die Vergabe des ISO Zertifikats auf der Basis von IT-Grundschutz-. Diese Zertifikate werden auf der Internetseite des BSI veröffentlicht. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 16

19 Rahmenbedingung des Profils Um den Weg bis zum ISO Zertifikat auf der Basis von IT- Grundschutz durch das BSI zu erleichtern, definiert das BSI zwei Vorstufen zum eigentlichen IT-Grundschutz-Zertifikat: - das Auditor-Testat IT-Grundschutz Einstiegsstufe und - das Auditor-Testat IT-Grundschutz Aufbaustufe. Die Testate werden von einem Zeichnungsbefugten der Institution zusammen mit der Bestätigung eines lizenzierten Auditors an das BSI übergeben. Nachfolgend werden diese Testate unter namentlicher Nennung des mitwirkenden Auditors auf der entsprechenden Internetseite des BSI veröffentlicht. (vergleiche [GSZERT]). Die Durchführung der Arbeiten in den dargestellten Phasen wird vom IT- Sicherheitsbeauftragten als Projekt organisiert. Er muss daher von seinem Arbeitgeber ausreichend Arbeitszeit zur Verfügung gestellt bekommen und die Unterstützung durch weitere Mitarbeiter (z. B. Anwender, Verantwortliche) zu den erforderlichen Zeitpunkten eingeplant und gesichert sein. Im folgenden Kapitel 3 wird der Informationsverbund einer mittelgroßen Institution beispielhaft beschrieben. Dieses Beispiel wird verwendet, um die skizzierten Phasen zur Erstellung eines Sicherheitskonzepts nach der Methodik nach IT-Grundschutz und mit Unterstützung des GSTOOL detailliert zu erläutern. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 17

20 Definition und Abgrenzung des Informationsverbundes 3 Definition und Abgrenzung des Informationsverbundes Dieser Abschnitt beschreibt beispielhaft zunächst den Informationsverbund der Institution aus der Sicht des Institutsleiters also aus einer organisatorischen Sicht. Die Beschreibung des Informationsverbundes nach IT-Grundschutz erfolgt in Kapitel 5 dieses Profils (Strukturanalyse). Netzplan In der nachfolgenden Abbildung 2 sind die Systeme und deren Vernetzung in den einzelnen Abteilungen aufgeführt. Der Netzplan orientiert sich am Organigramm der Institution und beinhaltet sämtliche Komponenten der Informationstechnologie. Jedem Mitarbeiter (Nutzer) steht an seinem Arbeitsplatz ein eigenes Telefon zur Verfügung, der Übersichtlichkeit halber sind diese im Netzplan nicht gesondert aufgeführt. Ein Telefax, sofern nicht der PC des Mitarbeiters diese Funktion übernimmt und ein Anrufbeantworter stehen zentral bei der Sekretärin des Institutsleiters zur Verfügung. Drucker und Fotokopierer befinden sich in einem zentralen Kopierraum. Zusätzlich sind die Arbeitsplätze des Institutsleiters, der Sekretärinnen, sämtlicher Abteilungsleiter und des Qualitätsmanagement (QM) / Sicherheitsbeauftragten mit einem eigenen Drucker ausgestattet. Aufgrund der Abteilungsgröße steht den Mitarbeitern der Abteilung Produktion ein zusätzlicher Abteilungsdrucker zur Verfügung. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 18

21 TA L K / D A TA T A LK RS C S T R RD T D CD Definition und Abgrenzung des Informationsverbundes Telefon Internet Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Mailserver Firewall Kopierer Paketfilter File-/Printserver R210 Switch R205 Drucker R203 PC Herr Dacher R103 PC Herr Baumeister PC Herr Idt R204 PC Herr Jacobi PC Herr Albrecht R101 PC Frau Claasen R201 PC Herr Gerhart FW-Int PC Frau Ahrens R101a Fax Anrufbeantw. PC Frau Heuer R202 PCsMitarbeiter PC Frau Feist R301 R311 PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCsMitarbeiter Herr Mertens PCsMitarbeiter R312 Abt. Drucker PC Frau Eiler R301a PC Herr Kurth R302 PC Herr Lucht R303 PC Herr Mertens R304 Abbildung 2: mittlerer Informationsverbund IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 19

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland-Pfalz

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

IT-Sicherheit kompakt. Dr. Thomas Simon IT-HAUS GmbH

IT-Sicherheit kompakt. Dr. Thomas Simon IT-HAUS GmbH IT-Sicherheit kompakt Dr. Thomas Simon IT-HAUS GmbH Einleitung Der Schutz von IT-Landschaften ist im 21. Jahrhundert unverzichtbar Was ist ein angemessenes Sicherheitsniveau? Hilfestellungen Informationssicherheit

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 4 1.1 Versionshistorie 4 1.2 Zielsetzung 4 1.3

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg. BSI Grundschutz beim Brandenburgischen IT-Dienstleister Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.de Gründung des Brandenburgischen IT-Dienstleisters zum 1.1.2009 Errichtungserlass

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

ISO 27001 Zertifizierung auf der Basis IT-Grundschutz

ISO 27001 Zertifizierung auf der Basis IT-Grundschutz T.I.S.P. Community Meeting 2011 ISO 27001 Zertifizierung auf der Basis IT-Grundschutz Uwe Holle Ziel des Vortrages Ziel des Vortrages ist es, Erfahrungen darzustellen, auf dem Weg zu einer ISO 27001 Zertifizierung

Mehr

VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT

VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 1.1 Rahmenbedingungen / Ausgangslage 3 1.2 Zielsetzung und Gegenstand

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen Landkreis Harburg Warum ein IT-Sicherheitsbeauftragter? Beweggründe Mike Wille Betriebsleiter IT Landkreis Harburg Vertraulichkeit Verfügbarkeit Informationssicherheit Integrität Landkreis Harburg die

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Der "Leitfaden IT-Sicherheit" gibt einen kompakten Überblick über die wichtigsten organisatorische, infrastrukturellen und technischen IT-

Der Leitfaden IT-Sicherheit gibt einen kompakten Überblick über die wichtigsten organisatorische, infrastrukturellen und technischen IT- Der "Leitfaden IT-Sicherheit" gibt einen kompakten Überblick über die wichtigsten organisatorische, infrastrukturellen und technischen IT- Sicherheitsmaßnahmen. Er richtet sich an IT-Verantwortliche und

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel Datensicherheit und IT-Grundschutz Prof. Dr. Reinhardt Nindel Datensicherheit Datenschutz Bund Der Bundesbeauftragte für Datenschutz Schutz demokratischer Grundwerte, der Privatsphäre und des informellen

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Auditierte Institution: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt dieses Auditreports

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7.

Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens. Fachgruppe Management von Informationssicherheit. 7. Aufwand und Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens Fachgruppe Management von Informationssicherheit 7. Juni 2013 Klaus Foitzick Vorstand activemind AG Geschäftsführer

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

6 IT-Grundschutz. Einleitung. 6.1 Historie

6 IT-Grundschutz. Einleitung. 6.1 Historie Historie 6 IT-Grundschutz Einleitung Im deutschsprachigen Raum spielt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine wichtige Rolle. Ursprünglich wurden durch das

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Stand: 1. Februar 2006 Herausgeber Bundesamt für Sicherheit in der Informationstechnik Redaktion: mailto:

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0

BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz. Version 2.0 BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz Version 2.0 Inhaltsverzeichnis 1 Einleitung 3 1.1 Versionshistorie 3 1.2 Zielsetzung 3 1.3 Adressatenkreis 4 1.4 Anwendungsweise 4 1.5

Mehr

Neues vom IT-Grundschutzhandbuch

Neues vom IT-Grundschutzhandbuch Neues vom IT-Grundschutzhandbuch Angelika Jaschob Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik Überblick Das IT-Grundschutzhandbuch Der Web-Kurs - als Einstieg in den IT-Grundschutz

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr