Inhaltsverzeichnis. 1 Einleitung 3

Größe: px
Ab Seite anzeigen:

Download "Inhaltsverzeichnis. 1 Einleitung 3"

Transkript

1

2 Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach Bonn Tel:+49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik 2010

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 3 2 Rahmenbedingung des Profils Erläuterung zum Schutzbedarf Rechtliche Rahmenbedingungen Verantwortlichkeiten und Vorgehensweise 11 3 Definition und Abgrenzung des Informationsverbundes 18 4 Leitlinie zur Informationssicherheit und Sicherheitskonzept Leitlinie zur Informationssicherheit Sicherheitskonzept 28 5 Strukturanalyse Netzplan Erhebung der IT-Systeme Anwendungen Strukturanalyse mittels GSTOOL Erfassung der IT-Systeme mit dem GSTOOL Erfassung von Benutzern und Verantwortlichen Erfassung von Räumen Erfassung der Anwendungen mit dem GSTOOL Kommunikationsverbindungen mit dem GSTOOL 47 6 Schutzbedarfsfeststellung Vorarbeiten Phase 1: Definition der Schutzbedarfskategorien Phase 2: Ermittlung von Schadensszenarien Phase 3: Dokumentation der Ergebnisse Anwendungen IT-Systeme Kommunikationsverbindungen IT-Räume 62 Seite I

4 Inhaltsverzeichnis 6.6 Exkurs: Ergänzende Sicherheitsanalyse 65 7 Modellierung Übergeordnete Aspekte der Informationssicherheit Infrastruktur IT-Systeme Netze Anwendungen 78 8 Basissicherheitscheck Organisatorische Vorbereitungen Durchführung des Soll-Ist-Vergleichs Dokumentation der Ergebnisse 84 9 Realisierung Zertifizierung Beispiel: Leitlinie zur Informationssicherheit 98 Anhang A Systeme des beispielhaften Informationsverbundes Anhang B Organigramm Anhang C Glossar Anhang D Referenzen Seite II

5 Einleitung 1 Einleitung In der heutigen Geschäftswelt werden nahezu alle Prozesse durch Informationstechnologie (IT) unterstützt. Beispiele hierfür sind die Textverarbeitung am Arbeitsplatz oder die Steuerung der Produktion im produzierenden Gewerbe. Gleichzeitig führt dies auch zu Abhängigkeiten, da Fehler, die bei der Informationsverarbeitung entstehen, direkte Folgen für die Institution haben. Fällt z. B. die Produktionssteuerung aus oder werden fehlerhafte Produktionsdaten erzeugt, kann das direkte Auswirkungen auf vertraglich zugesicherte Liefertermine oder die Qualität der gelieferten Produkte haben. Gibt es Störungen z. B. bei den Arbeitsplatzsystemen der Mitarbeiter, kann wertvolle Arbeitszeit verloren gehen. Die Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten bzw. in der Informationstechnologie ist damit ein wichtiges Ziel zur Aufrechterhaltung der Geschäftsprozesse und Abwehr von Schäden. Damit dieses Ziel schnell und effektiv erreicht, Gefahren identifiziert und durch geeignete Sicherheitsmaßnahmen abgewendet werden können, wird ein Sicherheitskonzept erstellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit den IT-Grundschutz-Katalogen [GSK] und den in den BSI-Standards (Managementsysteme für Informationssicherheit ISMS), (IT-Grundschutz Vorgehensweise) und (Risikoanalyse auf der Basis von IT-Grundschutz) beschriebenen Methoden eine wirkungsvolle und einfach handhabbare Möglichkeit zur Erstellung eines Sicherheitskonzepts zur Verfügung. Die IT-Grundschutz-Kataloge und die BSI-Standards können von den Internetseiten des BSI kostenlos unter https://www.bsi.bund.de/grundschutz bzw. https://www.bsi.bund.de/contentbsi/publikationen/bsi_standard/it_grundschutzstandards.html heruntergeladen werden. Durch die softwaretechnische Unterstützung mittels verschiedener am Markt erhältlicher TOOLs, die die IT-Grundschutz-Vorgehensweise unterstützen, (vergleiche auch [GSTOOL]) kann die Erstellung eines Sicherheitskonzepts effizient durchgeführt werden. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 3

6 Einleitung Im vorliegenden Dokument wird für eine mittelgroße Institution beispielhaft ein Sicherheitskonzept nach Empfehlungen der IT-Grundschutz-Kataloge des BSI [GS-Kataloge] in Verbindung mit den BSI-Standards erstellt. Es werden konkrete Sicherheitsaspekte detailliert erläutert, die in dieser mittelgroßen Institution für die Absicherung der Informationen und Geschäftsprozesse zu beachten sind. Ausgehend von der beispielhaft dargestellten Institution wird gezeigt, wie die einzelnen Arbeitsschritte der IT- Grundschutz-Methodik unter Zuhilfenahme des GSTOOL angewendet werden. In Kapitel 2 werden zunächst die Rahmenbedingungen, unter denen das Profil angewendet werden kann, erläutert. Der in diesem Dokument als Beispiel dienende Informationsverbund wird in Kapitel 3 beschrieben. In den Kapiteln 5 bis 9 werden die einzelnen Schritte einer Sicherheitskonzeption aufgeführt. Kapitel 10 erläutert die Aspekte einer Zertifizierung mittels IT-Grundschutz Zertifikat und in Kapitel 11 ist eine exemplarische und an der Praxis orientierte Leitlinie zur Informationssicherheit für eine mittelgroße Institution dargestellt. Zur Vorbereitung wird empfohlen, den Leitfaden Informationssicherheit [LEITF] zu lesen. Das vorliegende Dokument setzt als Basiswissen die inhaltliche Kenntnis des Leitfadens voraus. Eine sehr gute Einarbeitung in die Thematik des IT-Grundschutzes ist mit den vom BSI angebotenen kostenlosen Webkursen zu den IT-Grundschutz-Katalogen (https://www.bsi.- bund.de/grundschutz) und zum GSTOOL (https://www.bsi.bund.de/gstool) möglich. Um die beispielhaft durchgeführten Schritte bei der Erstellung der Sicherheitskonzeption für die mittelgroße Institution mit dem GSTOOL nachvollziehen zu können, besteht die Möglichkeit eine kostenlose 30-Tage-Lizenz des GSTOOL zu Testzwecken von den Internetseiten des BSI herunterzuladen (https://www.bsi.bund.de/gstool/download/). Die einmal eingegebenen Test-Daten können auch nach Ablauf der Testlizenz in der erworbenen Anwendung weiterhin bequem genutzt werden. Eine erneute Eingabe der bereits erfassten Daten ist nach Erhalt des Freigabeschlüssels nicht erforderlich. Auf der genannten Seite steht ebenfalls eine Datenbank zum GSTOOL IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 4

7 Einleitung mit den im vorliegenden Dokument beschriebenen Beispielen einschließlich einer Installationsanleitung sowie das GSTOOL Handbuch zum Download zur Verfügung. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 5

8 Rahmenbedingung des Profils 2 Rahmenbedingung des Profils In den folgenden Abschnitten werden die Rahmenbedingungen beschrieben, unter denen das in diesem Dokument verwendete IT-Grundschutz-Profil auf den Informationsverbund einer mittelgroßen Institution anwendbar ist. Abschnitte, die mit der am linken Rand abgebildeten Grafik gekennzeichnet sind, weisen darauf hin, dass bei der Sicherheitskonzeption die Unterstützung durch ein Grundschutz-Tool (GSTOOL) möglich ist. Der Einsatz des GSTOOL ist zwar nicht explizit vorgeschrieben, er wird jedoch empfohlen, da hierdurch die IT-Grundschutz-Umsetzung erheblich vereinfacht wird. In diesem Dokument wird die im BSI-Standard beschriebene Vorgehensweise nach IT-Grundschutz daher an vielen Stellen durch Beispiele aus dem GSTOOL verdeutlicht. Die den Beispielen zugrunde liegende Datenbank des GSTOOL ist über die Internetseiten des BSI erhältlich. Wird IT-Grundschutz ohne GSTOOL-Unterstützung umgesetzt, ist an vielen Stellen die tabellarische Erfassung von Informationen erforderlich. Im nachfolgenden Dokument sind Punkte, die bei einer manuellen Vorgehensweise zu beachten sind, und weitergehende Hinweise durch das Tabellensymbol am linken Seitenrand gekennzeichnet. 2.1 Erläuterung zum Schutzbedarf Da die IT-Grundschutz-Kataloge nach dem Baukastenprinzip aufgebaut sind, lassen sich Sicherheitskonzepte mit dieser Unterstützung einfach erstellen. Dieses Prinzip erlaubt es den Anwendern, rasch einen Soll-Ist-Vergleich zwischen empfohlenen und bereits realisierten Maßnahmen durchzuführen. Dabei festgestellte fehlende oder noch nicht umgesetzte Maßnahmen sind ein Hinweis auf Sicherheitsdefizite, die durch die in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge empfohlenen Maßnahmen behoben werden sollten. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 6

9 Rahmenbedingung des Profils Generell ist es sinnvoll, sich bei der Auswahl von einzuführenden Schutzmaßnahmen am Wert der zu schützenden Informationen zu orientieren, so dass auch die monetären Aspekte bei der Umsetzung der Informationssicherheit berücksichtigt werden. In diesem Sinne sollen Maßnahmen, die von einer Institution für die Einrichtung und Aufrechterhaltung der Informationssicherheit ergriffen werden, stets angemessen sein. Daher werden Sicherheitsmaßnahmen erst dann eingeführt, nachdem der Schutzbedarf der geschäftsrelevanten Informationen sowie der Informationstechnologie ermittelt worden ist. Bei der Ermittlung und individuellen Bewertung des Schutzbedarfs unterstützen die IT-Grundschutz-Kataloge sowie die BSI- Standards methodisch und das GSTOOL technisch. Die in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen sind stets Standard-Sicherheitsmaßnahmen, welche die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzenden Maßnahmen zur Erreichung einer angemessenen Sicherheit beschreiben. Teilweise wird mit diesen Maßnahmen auch bereits ein höherer Schutzbedarf abgedeckt, dennoch sind sie in den jeweiligen Bereichen das Minimum dessen, was vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Ziel der in einem ersten Schritt durchzuführenden Schutzbedarfsfeststellung (vergleiche Kapitel 4.3 [BSI-Standard 100-2]) ist es daher, für jede erfasste Komponente des Informationsverbunds (Anwendung und der zugehörigen Informationen, IT-System, Raum und Übertragungsstrecke) zu entscheiden, welchen Schutzbedarf sie bezüglich der Grundwerte der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - tatsächlich besitzt. Dieser orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Komponente verbunden sind und wird in die drei Kategorien normal, hoch und sehr hoch unterteilt. Zur Einstufung in diese Kategorien werden individuell für den betrachteten Informationsverbund die Auswirkungen hinsichtlich der Schadensszenarien - Verstoß gegen Gesetze/Vorschriften/Verträge, - Beeinträchtigung des informationellen Selbstbestimmungsrechts, IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 7

10 Rahmenbedingung des Profils - Beeinträchtigung der persönlichen Unversehrtheit, - Beeinträchtigung der Aufgabenerfüllung, - negative Außenwirkung und - finanzielle Auswirkungen betrachtet und abgeschätzt. Die Methodik zur Schutzbedarfsfeststellung gemäß BSI-Standard wird detailliert in Kapitel 6 anhand eines Beispiels erläutert. 2.2 Rechtliche Rahmenbedingungen Verstöße gegen Gesetze, Richtlinien oder Vorschriften wie auch die Nichteinhaltung von Verträgen können sowohl aus dem Verlust der Verfügbarkeit, der Vertraulichkeit sowie der Integritätsverletzung resultieren. Die Bewertung eines Schadens und die Definition von Schutzmaßnahmen ist damit unter anderem von den rechtlichen Konsequenzen für die Institution abhängig. Die nachfolgenden Ausführungen stammen aus [LEITF] und geben das Thema der rechtlichen Rahmenbedingungen sehr gut wieder. Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der Informationssicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten oft nicht nur für Aktiengesellschaften sondern auch für die Rechtsform der Gesellschaft mit beschränkter Haftung (GmbH). Dies ist in der Öffentlichkeit allerdings noch nicht hinreichend bekannt. In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sogenanntes Artikelgesetz und ergänzt bzw. ändert verschiedene Gesetze wie das Handelsgesetzbuch und das Aktiengesetz. Insbesondere die Forderung nach einem Risikomanagement für Kapitalgesell- IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 8

11 Rahmenbedingung des Profils schaften (z. B. Aktiengesellschaften und GmbH) sind im KonTraG enthalten. Im Einzelnen kann eine Institution von folgenden Regelungen betroffen sein: Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt ( 91 Abs. 2 und 93 Abs. 2 AktG). Geschäftsführern einer GmbH wird im GmbH-Gesetz die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt ( 43 Abs. 1 GmbHG), welches ähnliche Folgerungen für das Risikomanagement beinhaltet wie für Vorstände nach dem Aktiengesetz. Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches ( 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind ( 317 Abs. 2 HGB). Die oben genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und unverbindlich. Hieraus lassen sich jedoch konkrete Verpflichtungen an die Gewährleistung eines angemessenen Sicherheitsniveaus in der eigenen Institution ableiten. Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und den Fortbestand einer Institution gefährden. Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne deren ausdrückliche Einwilligung öffentlich gemacht werden ( 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 9

12 Rahmenbedingung des Profils Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt. Die Verwendung von Informationstechnik, die Nutzung des Internets oder von Telekommunikationsdiensten werden zum Teil sehr genau geregelt. Einschlägig sind z. B.: Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz, Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU-Ebene. Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikation-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. Auch Banken sind verpflichtet, bei der Kreditvergabe eventuell bestehende Risiken auf der Seite des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird (Stichwort: Basel II). Die für die jeweilige Institution geltende Rechtslage muss jedoch individuell durch einen Experten geklärt werden. Die oben gemachten Angaben können daher nur als Hinweis angesehen werden! Die genannten rechtlichen Rahmenbedingungen machen es für einen Institutsleiter erforderlich, sich mit der Thematik Informationssicherheit auseinander zu setzen und zu prüfen, ob die in der Institution umgesetzten Sicherheitsmaßnahmen ausreichend sind oder gegebenenfalls neue oder ergänzende Sicherheitsmaßnahmen definiert werden müssen. Im BSI-Standard wird hierfür die Vorgehensweise beschrieben, mit der fehlende Sicherheitsmaßnahmen identifiziert und erforderliche Sicherheitsmaßnahmen nach IT-Grundschutz umgesetzt werden können. Der folgende Abschnitt beschreibt, wer in diesen Prozess eingebunden ist, welche Verantwortlichkeiten entstehen und gibt einen Überblick über die Vorgehensweise. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 10

13 Rahmenbedingung des Profils 2.3 Verantwortlichkeiten und Vorgehensweise Der BSI-Standard beschreibt die verschiedenen Aktivitäten, die innerhalb einer Institution im Zusammenhang mit der Umsetzung von Maßnahmen zur Sicherheitskonzeption durchzuführen sind (vergleiche Kapitel 4 [BSI-Standard 100-2]). Im Kapitel 3 der IT-Grundschutz-Kataloge werden verschiedene, in den Sicherheitsprozess eingebundene Rollen beschrieben. Der besondere Schwerpunkt liegt auf den Rollen des Vorgesetzten, des IT-Sicherheitsbeauftragten, des für die Informationssicherheit Verantwortlichen (Administrator) und des Benutzers. Der Institutsleiter ist für die Benennung eines Mitarbeiters als IT-Sicherheitsbeauftragten zuständig und übergeordnet für alle Belange innerhalb der Institution verantwortlich. Gemäß der Methodik nach IT-Grundschutz ist der IT-Sicherheitsbeauftragte für die Abstimmung der Leitlinie zur Informationssicherheit mit dem Institutsleiter und für die Erstellung des Informationssicherheitskonzepts verantwortlich, d. h. er koordiniert die Erstellung für die Institution. Gleichzeitig ist er Haupt-Ansprechpartner für alle Fragen der Informationssicherheit. Die für die Informationssicherheit Verantwortlichen übernehmen die Pflege und Wartung von IT-Systemen und Anwendungen und sorgen für die Umsetzung der festzulegenden technischen Maßnahmen. Die Tätigkeit der Mitarbeiter wird durch Anwendungen unterstützt. Sie liefern dem IT-Sicherheitsbeauftragten bei der Erstellung des Sicherheitskonzepts Informationen über den Schutzbedarf der einzelnen Komponenten und werden auf die Einhaltung der festgelegten Regelungen verpflichtet. Bei der tatsächlichen Durchführung der Arbeiten ist eine Zuweisung der oben genannten Rollen zu den jeweiligen Mitarbeitern erforderlich. Die bei der Erstellung eines Informationssicherheitskonzepts nach IT- Grundschutz durchzuführenden Tätigkeiten sind in Kapitel 4 [BSI-Standard 100-2] definiert und umfassen die nachfolgenden Phasen (siehe Abbil- IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 11

14 Rahmenbedingung des Profils dung 1), die zeitlich nacheinander ausgeführt werden. Ausgenommen ist Phase 2, die schon vor Beendigung der ersten Phase gestartet werden kann. Die Durchführung aller sieben Phasen nimmt erfahrungsgemäß bei einem Informationsverbund der betrachteten Größenordnung für eine mittlere Institution etwa ein Jahr in Anspruch. Der Zeitraum kann verkürzt werden, wenn beispielsweise bereits Vorbereitungen getroffen worden sind und Erfahrungen von Mitarbeitern, etwa in der Einschätzung der Schutzbedürftigkeit von Anwendungen, vorliegen. Die Dauer der einzelnen Phasen ist sehr unterschiedlich und hängt von den individuellen Gegebenheiten innerhalb der Institution ab. Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Abbildung 1: Übersicht der Umsetzungsphasen Phase 1: Initiierung des -Sicherheitsprozesses (vergleiche Kapitel 3 [BSI- Standard 100-2]) Die Institutsleitung ist für die Phase 1 verantwortlich. Phase 1 beinhaltet die Definition des betrachteten Informationsverbundes (also die Festlegung des Geltungsbereichs), die Erstellung einer Leitlinie zur Informationssicherheit (vergleiche Kapitel 3.3 BSI- Standard 100-2) und die Planung und Einrichtung einer IT-Sicherheitsorganisation (vergleiche Kapitel 3.4, BSI-Standard 100-2). Üblich ist es, diese Aufgaben an den IT-Sicherheitsbeauftragten zu delegieren. Dieser stimmt die Leitlinie zur Informationssicherheit mit der Institutsleitung ab und erstellt das Sicherheitskonzept. Als Ergebnis der 1. Phase ist der IT-Sicherheitsbeauftragte benannt und eine Leitlinie zur Informationssicherheit erstellt. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 12

15 Rahmenbedingung des Profils Phase 2: Durchführung einer Strukturanalyse (vergleiche Kapitel 4.2 [BSI- Standard 100-2]) Bei der Strukturanalyse werden alle Komponenten des Informationsverbundes (Anwendung, IT-System, Raum und Kommunikationsverbindung) erfasst. Die Strukturanalyse kann durch den IT- Sicherheitsbeauftragten auch mit der Unterstützung des GSTOOL durchgeführt werden. Die Verwendung des GSTOOL ist jedoch nicht zwingend notwendig. Wird darauf verzichtet, muss die Strukturanalyse manuell unter Verwendung von Formularen und Tabellen zu Dokumentationszwecken erfolgen. Bei der Durchführung ist der IT-Sicherheitsbeauftragte auf Informationen der Benutzer und Verantwortlichen angewiesen, da diese in die Strukturanalyse mit einzubeziehen sind. Mit der Strukturanalyse kann schon begonnen werden, bevor die Leitlinie zur Informationssicherheit erstellt ist. In Abbildung 1 ist daher die zeitliche Überlappung der Bearbeitung beider Phasen dargestellt. Als Ergebnis der 2. Phase ist die Struktur der Informationstechnologie dokumentiert, d. h. alle IT-Systeme, deren Benutzer und Verantwortliche sowie Standorte und auf ihnen laufenden Anwendungen sind bekannt und dokumentiert. Somit ist ein Überblick über die IT-Landschaft der Institution vorhanden. Phase 3: Durchführung einer Schutzbedarfsfeststellung (vergleiche Kapitel 4.3 [BSI-Standard 100-2]) Die Vorgehensweise zur Schutzbedarfsfeststellung wird in Kapitel 4.3 des BSI-Standards detailliert erläutert. Die Schutzbedarfsfeststellung wird durch den IT-Sicherheitsbeauftragten durchgeführt. Sie beginnt mit einer auf den Informationsverbund angepassten Definition der Schutzbedarfskategorien, die in der Institution abgestimmt ist. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 13

16 Rahmenbedingung des Profils Die erforderlichen Informationen zur Bestimmung des Schutzbedarfs werden durch Befragung der Benutzer ermittelt. Auch dieser Vorgang wird durch das GSTOOL unterstützt. Da insbesondere die Benutzer und Verantwortlichen den Schutzbedarf der von ihnen be- und verarbeiteten Daten und genutzten Systeme gut einschätzen können, ist der IT-Sicherheitsbeauftragte auf die Mitarbeit der Benutzer und Verantwortlichen angewiesen. Daher müssen diese unbedingt bei der Schutzbedarfsfeststellungen mit einbezogen werden. Als Ergebnis dieser Phase ist für jedes in Phase 2 aufgenommene IT-System, jede Anwendung, jeden Raum und für die Kommunikationsverbindungen der Schutzbedarf festgelegt. Phase 4: Modellierung nach IT-Grundschutz (vergleiche Kapitel 2.1 [GS- Kataloge]) Die Modellierung nach IT-Grundschutz (Phase 4) wird durch den IT-Sicherheitsbeauftragten unter Zuhilfenahme des GSTOOL durchgeführt. Dabei wird der Informationsverbund mittels der Bausteine der IT-Grundschutz-Kataloge nachgebildet. Die Modellierung sollte durch die Verantwortlichen unterstützt werden. Als Ergebnis erhält man das IT-Grundschutz-Modell des betrachteten Informationsverbunds. Phase 5: Durchführung des Basis-Sicherheitsscheck (vergleiche Kapitel 4.5 [BSI-Standard 100-2]) Die Durchführung des Basis-Sicherheitsscheck wird durch den IT-Sicherheitsbeauftragten unter Verwendung des GSTOOL durchgeführt. Hier wird ermittelt, ob die in der Modellierung beschriebenen Maßnahmen umgesetzt, teilweise, nicht umgesetzt oder entbehrlich sind. Die Erfassung der umgesetzten Maßnahmen kann an die Verantwortlichen delegiert werden. In IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 14

17 Rahmenbedingung des Profils jedem Fall ist eine enge Kooperation mit den Sicherheitsverantwortlichen nötig. Bei Anwendungen, die einen hohen oder sehr hohen Schutzbedarf besitzen, können die IT-Grundschutz-Sicherheitsmaßnahmen gegebenenfalls nicht ausreichend sein. In diesem Fall ist eine ergänzende Sicherheitsanalyse (vergleiche Kapitel 4.6 BSI-Standards 100-2) durch den IT-Sicherheitsbeauftragten durchzuführen und durch die Verantwortlichen zu unterstützen. Das Ergebnis der 5. Phase ist eine Liste, die insbesondere Auskunft über den Umsetzungsstatus der geforderten Standardsicherheitsmaßnahmen gibt. Phase 6: Realisierung von Sicherheitsmaßnahmen (vergleiche Kapitel 5 [BSI-Standard 100-2]) Anschließend werden die erforderlichen Sicherheitsmaßnahmen umgesetzt. Die Komplexität dieser Phase, die darin besteht, festzulegen, welche Maßnahmen zwingend umgesetzt werden müssen und auf welche verzichtet werden kann, macht die Organisationsform einer Arbeitsgruppe mit verschiedenen Teams sinnvoll. Der IT-Sicherheitsbeauftragte übernimmt in diesem Fall die Leitung der Arbeitsgruppe und koordiniert die einzelnen Tätigkeiten der Teams. Teilweise wird der IT-Sicherheitsbeauftragte hierbei durch das GSTOOL unterstützt. Ein Realisierungsplan (Projektplan) sowie die umgesetzten Standardsicherheitsmaßnahmen stellen das Ergebnis der 6. Phase dar. Phase 7: Aufrechterhaltung der Sicherheit und kontinuierliche Verbesserung der Informationssicherheit (vergleiche Kapitel 6 BSI-Standard 100-2) Um den Informationssicherheitsprozess aktuell zu halten und bei Bedarf stets verbessern zu können, müssen angemessene Sicherheitsmaßnahmen implementiert und der Prozess regelmäßig auf IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 15

18 Rahmenbedingung des Profils Effektivität und Effizienz überprüft werden (vergleiche Kapitel BSI-Standard 100-2). Insbesondere bei einer Häufung von Sicherheitsvorfällen oder gravierenden Änderungen der Rahmenbedingungen (z. B. Änderung an der Ausstattung) ist sofort zu handeln und alle Sicherheitsmaßnahmen an die aktuellen Vorfälle anzupassen. Grundsätzlich ist unbedingt bei allen Veränderungen des Sicherheitsprozesses das Management mit einzubinden und über den aktuellen Sachstand zu unterrichten, damit von dieser Ebene die erforderlichen Änderungen angestoßen werden können (vergleiche Kapitel 6.2.1, BSI-Standard 100-2) Phase 8: Zertifizierung (vergleiche Kapitel 7 BSI-Standard 100-2) Für die Grundschutz konforme Erstellung des Sicherheitskonzepts des definierten Informationsverbunds kann abschließend ein ISO Zertifikat auf der Basis von IT-Grundschutz- (vergleiche [GSZERT]) ausgestellt werden. Mit Hilfe dieses Zertifikats wird bestätigt, dass alle erforderlichen Maßnahmen nach den IT-Grundschutz-Katalogen realisiert wurden. Voraussetzung für die Vergabe eines ISO Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung, der festgelegten Anforderungen. Diese Überprüfung wird von einem lizenzierten IT-Grundschutz Auditor oder ISO Auditor auf der Basis von IT-Grundschutz- durchgeführt. Das Ergebnis der Überprüfung ist ein Auditreport, der der BSI Zertifizierungsstelle vorgelegt wird. Auf der Grundlage des Auditreports entscheidet die Zertifizierungsstelle über die Vergabe des ISO Zertifikats auf der Basis von IT-Grundschutz-. Diese Zertifikate werden auf der Internetseite des BSI veröffentlicht. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 16

19 Rahmenbedingung des Profils Um den Weg bis zum ISO Zertifikat auf der Basis von IT- Grundschutz durch das BSI zu erleichtern, definiert das BSI zwei Vorstufen zum eigentlichen IT-Grundschutz-Zertifikat: - das Auditor-Testat IT-Grundschutz Einstiegsstufe und - das Auditor-Testat IT-Grundschutz Aufbaustufe. Die Testate werden von einem Zeichnungsbefugten der Institution zusammen mit der Bestätigung eines lizenzierten Auditors an das BSI übergeben. Nachfolgend werden diese Testate unter namentlicher Nennung des mitwirkenden Auditors auf der entsprechenden Internetseite des BSI veröffentlicht. (vergleiche [GSZERT]). Die Durchführung der Arbeiten in den dargestellten Phasen wird vom IT- Sicherheitsbeauftragten als Projekt organisiert. Er muss daher von seinem Arbeitgeber ausreichend Arbeitszeit zur Verfügung gestellt bekommen und die Unterstützung durch weitere Mitarbeiter (z. B. Anwender, Verantwortliche) zu den erforderlichen Zeitpunkten eingeplant und gesichert sein. Im folgenden Kapitel 3 wird der Informationsverbund einer mittelgroßen Institution beispielhaft beschrieben. Dieses Beispiel wird verwendet, um die skizzierten Phasen zur Erstellung eines Sicherheitskonzepts nach der Methodik nach IT-Grundschutz und mit Unterstützung des GSTOOL detailliert zu erläutern. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 17

20 Definition und Abgrenzung des Informationsverbundes 3 Definition und Abgrenzung des Informationsverbundes Dieser Abschnitt beschreibt beispielhaft zunächst den Informationsverbund der Institution aus der Sicht des Institutsleiters also aus einer organisatorischen Sicht. Die Beschreibung des Informationsverbundes nach IT-Grundschutz erfolgt in Kapitel 5 dieses Profils (Strukturanalyse). Netzplan In der nachfolgenden Abbildung 2 sind die Systeme und deren Vernetzung in den einzelnen Abteilungen aufgeführt. Der Netzplan orientiert sich am Organigramm der Institution und beinhaltet sämtliche Komponenten der Informationstechnologie. Jedem Mitarbeiter (Nutzer) steht an seinem Arbeitsplatz ein eigenes Telefon zur Verfügung, der Übersichtlichkeit halber sind diese im Netzplan nicht gesondert aufgeführt. Ein Telefax, sofern nicht der PC des Mitarbeiters diese Funktion übernimmt und ein Anrufbeantworter stehen zentral bei der Sekretärin des Institutsleiters zur Verfügung. Drucker und Fotokopierer befinden sich in einem zentralen Kopierraum. Zusätzlich sind die Arbeitsplätze des Institutsleiters, der Sekretärinnen, sämtlicher Abteilungsleiter und des Qualitätsmanagement (QM) / Sicherheitsbeauftragten mit einem eigenen Drucker ausgestattet. Aufgrund der Abteilungsgröße steht den Mitarbeitern der Abteilung Produktion ein zusätzlicher Abteilungsdrucker zur Verfügung. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 18

21 TA L K / D A TA T A LK RS C S T R RD T D CD Definition und Abgrenzung des Informationsverbundes Telefon Internet Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Mailserver Firewall Kopierer Paketfilter File-/Printserver R210 Switch R205 Drucker R203 PC Herr Dacher R103 PC Herr Baumeister PC Herr Idt R204 PC Herr Jacobi PC Herr Albrecht R101 PC Frau Claasen R201 PC Herr Gerhart FW-Int PC Frau Ahrens R101a Fax Anrufbeantw. PC Frau Heuer R202 PCsMitarbeiter PC Frau Feist R301 R311 PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCsMitarbeiter Herr Mertens PCsMitarbeiter R312 Abt. Drucker PC Frau Eiler R301a PC Herr Kurth R302 PC Herr Lucht R303 PC Herr Mertens R304 Abbildung 2: mittlerer Informationsverbund IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 19

IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutz für mittelständische Unternehmen IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Dr. Martin Meints, ULD 29. August 2005

Dr. Martin Meints, ULD 29. August 2005 Infobörse 2 Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Agenda Datensicherheit / Datenschutz wo liegen die Unterschiede? Welche Bedeutung

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Für den unter Ziffer 3 genannten Untersuchungsgegenstand

Mehr

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements Cloud Security (Minimal-)vorgaben des BSI Kai Wittenburg, Geschäftsführer & ISO27001-Auditor (BSI) neam IT-Services GmbH Vorgehensweise Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

E-Government-Initiative für De-Mail und den neuen Personalausweis

E-Government-Initiative für De-Mail und den neuen Personalausweis E-Government-Initiative für De-Mail und den neuen Personalausweis Verbandsgemeinde Montabaur in Zusammenarbeit mit KommWis IT-Sicherheitskonzeption zum Betrieb der Online-Bürgerdienste (OBD) in Rheinland-Pfalz

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen- Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Ein IT-Grundschutzprofil für eine große Institution

Ein IT-Grundschutzprofil für eine große Institution Ein IT-Grundschutzprofil für eine große Institution Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach 200363 53133 Bonn Tel: +49 228 99

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn

2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 2008 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn 1 Einleitung Inhaltsverzeichnis 1 Einleitung 6 1.1 Versionshistorie 6 1.2 Zielsetzung 6 1.3 Adressatenkreis

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg. BSI Grundschutz beim Brandenburgischen IT-Dienstleister Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.de Gründung des Brandenburgischen IT-Dienstleisters zum 1.1.2009 Errichtungserlass

Mehr

Das IT-Verfahren TOOTSI

Das IT-Verfahren TOOTSI Das IT-Verfahren TOOTSI Toolunterstützung für IT- Sicherheit (TOOTSI) Motivation und Ziele der Nationale Plan (UP Bund) Herausforderungen Umsetzung in der Bundesfinanzverwaltung in der Bundesverwaltung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Sicherheit betrifft alle

IT-Sicherheit betrifft alle IT-Sicherheit betrifft alle Vorgehensweise nach IT-Grundschutz Angelika Jaschob Bundesamt für Sicherheit in der Informationstechnik Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

WAS VERLANGT DAS GESETZ?

WAS VERLANGT DAS GESETZ? Technischorganisatorische Maßnahmen??? Gesetzliche Grundlagen WAS VERLANGT DAS GESETZ? 1 Gesetzliche Grundlagen: 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen,

Mehr

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN anhand eines praktischen Beispiels bei der Versatel Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA)

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich. 13. 16. Januar 2014, München

Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich. 13. 16. Januar 2014, München Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich 13. 16. Januar 2014, München Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001 im Vergleich 13. 16.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr