Projekt NaLa. Konzept Sicherheit. Phase III - Umsetzungsempfehlung Version 1.0. Im Auftrag der Staatskanzlei SH erstellt durch

Größe: px
Ab Seite anzeigen:

Download "Projekt NaLa. Konzept Sicherheit. Phase III - Umsetzungsempfehlung Version 1.0. Im Auftrag der Staatskanzlei SH erstellt durch"

Transkript

1 Projekt NaLa Konzept Sicherheit Phase III - Umsetzungsempfehlung Version 1.0 Im Auftrag der Staatskanzlei SH erstellt durch

2 Verantwortliche Stelle: Staatskanzlei SH Zentrales IT-Management SH Dataport Dokumentenmanagement Version: V von 29

3 Dokumentinformationen Autoren Autoren Staatskanzlei SH Christiane Coenen (CC) 0431/ Eckhard Lübcke (EL) 0431/ Ute Schlüter (US) 0431/ Autoren Dataport Henner Bock (HB) 0431/ Ulla Dreger (UD) 0431/ Dr. Martina Jäger (MJ) 0431/ Claudia Resech (CR) 0431/ Änderungsübersicht Version Änderungsdatum Grund / Bemerkung Verantwortliche Bearbeitung Ersterstellung HB Qualitätssicherung EL, US Überarbeitung HB Qualitätssicherung CC, EL, US Überarbeitung HB Finalisierung HB von 29

4 INHALTSVERZEICHNIS 1 Einleitung IT-Sicherheitsrichtlinien IT-Strukturanalyse Bestimmung des IT-Verbundes Komponentenlisten Netzplan Schutzbedarfsfeststellung Abbildung des IT-Verbundes Bausteine Schichtenmodell Modellierung Schicht 1 - Übergreifende Aspekte Schicht 2 - Infrastruktur Schicht 3 - Infrastruktur Schicht 4 Netze Schicht 5 Anwendungen Prüfung auf Vollständigkeit Basis-Sicherheitscheck Methodik Resultierende Maßnahmen Bewertung und Dokumentation Ergänzende Sicherheits- und Risikoanalyse Gefährdungsübersicht Identifikation zusätzlicher Gefährdungen Gefährdungsbewertung Umgang mit Risiken Konsolidierung des Sicherheitskonzepts Umsetzung der IT-Grundschutz-Maßnahmen Aufrechterhaltung der Informationssicherheit...28 Quellen- und Literaturverzeichnis von 29

5 1 Einleitung Ein Sicherheitskonzept beschreibt die Methoden und resultierende Maßnahmen zum Schutz eines IT-Systems vor Gefährdungen durch böswillige Angriffe oder menschliches und technisches Versagen. Der zu erreichende, sicher zu stellende und zu steigernde Zustand ist die Informationssicherheit. Den Begriff der Informationssicherheit definiert die DIN Kriterien für vertrauenswürdige digitale Langzeitarchive wie folgt: Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit heute unter anderem an der Normenserie ISO/IEC bis aber auch zunehmend an DIN ISO/IEC bzw. gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria). ([DIN 31644, Anhang B, S. 33]) Weiter nennt die DIN ebenda die elementaren Schritte zur Erstellung eines Sicherheitskonzepts: Bestimmung des zu schützenden Objektes und der Schutzziele Analyse der Bedrohungen, Schadenszenarien, Gefahren Bewertung von Eintrittswahrscheinlichkeit und potentieller Schadensschwere Entwicklung von Maßnahmen zur Reduzierung der Schadenshöhe und Eintrittswahrscheinlichkeit Planung von Maßnahmen und Bereitstellung von Mitteln zur Schadensbekämpfung [...] Analyse der eigenen Risikotragbarkeit und Genehmigung des Restrisikos Als entsprechende Vorgehensweise werden die IT-Grundschutz-Methoden des Bundesamtes für Sicherheit in der Informationstechnik gewählt. Hier steht als Basis für Informationssicherheit der Schutz der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit der im Langzeitspeicher abgelegten Datenobjekte im Vordergrund. Aus der BSI IT-Grundschutz-Begriffswelt stammt der Begriff des IT-Verbundes. Als IT- Verbund wird eine definierte Umgebung bezeichnet, die in einem bestimmten Kontext als Einheit (mit definierten Schnittstellen) betrachtet und untersucht werden kann. Detaillierte Beschreibungen und Dokumente zum IT-Grundschutz-Verfahren, das in diesem Konzept zugrunde gelegt wird, finden sich auf der Website des BSI: von 29

6 BSI-Standards 1 (Vorgehensweise nach IT-Grundschutz, Ausführungen zum Informationssicherheitsmanagement und zur Risikoanalyse) IT-Grundschutz-Kataloge 2 (Baustein-, Maßnahmen- und Gefährdungskataloge) Basis eines IT-Grundschutzkonzepts ist der initiale Verzicht auf eine detaillierte Risikoanalyse. Es wird von pauschalen Gefährdungen ausgegangen und dabei auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit verzichtet. Es werden drei Schutzbedarfskategorien gebildet, mit deren Hilfe man den Schutzbedarf des Untersuchungsgegenstandes feststellt und darauf basierend die entsprechenden personellen, technischen, organisatorischen und infrastrukturellen Sicherheitsmaßnahmen aus den IT- Grundschutz-Katalogen auswählt. Das BSI hat zur Methodik des IT-Grundschutzes ein Software-Werkzeug namens GSTOOL entwickelt, das den Anwender bei Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten entsprechend dem IT-Grundschutz unterstützt. Das GSTOOL liegt zum Zeitpunkt der Erstellung dieses NaLa-Konzeptes in der Version 4.8 vor; eine neue Version 5.0 ist derzeit in der Entwicklung. Über die Methoden des BSI IT-Grundschutzes und die Verwendung des GSTOOLs hinaus sind zusätzliche Untersuchungen zur Verbesserung der Informationssicherheit denkbar und zulässig (z. B. Perfomance-, Last- oder Penetrationstests, mit denen das Benutzungs- oder gar Angriffsverhalten von innen- und außen simuliert wird), um das Sicherheitskonzept zu ergänzen und zu erweitern. Zu Beginn der IT-Grundschutz-Methodik in den folgenden Kapiteln ist zu unterstreichen, dass beim IT-Grundschutz-Verfahren des BSI von pauschal spezifizierten Komponenten, Gefährdungen und Maßnahmen ausgegangen wird. Bei der Komposition dieser standardisierten Faktoren sollten dennoch stets auch die Möglichkeiten einer Abbildung auf die realen Komponenten und Anwendungsfällen geprüft werden, damit die entstehenden Modelle und Konzepte nicht zu abstrakt und praxisfern werden. Dabei sollen auch nicht-technische Fragestellungen berücksichtigt werden. In [Konzeption BW, 4.2, S.15] finden sich z. B. folgende Fragestellungen: Kann das Rechenzentrum die erhöhten archivischen Sicherheitsforderungen vertraglich garantieren? Genügt eine logische Trennung der Archivverwaltungsdaten von den übrigen Daten des Rechenzentrums oder müssen die Daten physisch separiert werden? Weiter wird beispielsweise in [TR-ESOR, 5.2.3, S 30] gefordert, dass eine technische Langzeitspeicher-Lösung zudem dem gesetzlichen und bereichsspezifischen Anforderungen an den Daten- und Geheimnisschutz genügen muss, so dass Unbefugte unter keinen Umständen Zugang zu personenbezogenen oder anderweitig dem Geheimnisschutz unterliegenden Daten erhalten kataloge.html von 29

7 2 IT-Sicherheitsrichtlinien Die oberste Managementebene trägt die Verantwortung für ordnungsgemäße Funktionen und Geschäftsprozesse in einer Organisation und hat somit u.a. auch die Informationssicherheit über strategische Leitvorgaben, konzeptionelle Vorgaben und organisatorische Rahmenbedingungen sicher zu stellen. Im Rahmen des hier zugrunde gelegten IT-Grundschutz-Verfahrens sind laut BSI (für eine Zertifizierung) mindestens folgende Richtlinien zu erstellen, um die angestrebten Sicherheitsansprüche im Sinne von Zielen und Strategien zu dokumentieren: Sicherheitsleitlinie Richtlinie zur Risikoanalyse Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen Richtlinie zur internen ISMS-Auditierung (Auditierung des Managementsystems für Informationssicherheit) Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen Die einzelnen Richtlinien beschreiben die in der jeweiligen Organisation etablierten und praktizierten Vorkehrungen. In bestimmten Projekt-Situationen können weitere IT-Sicherheitsrichtlinien im Rahmen offizieller Audits gefordert oder aber aufgrund spezieller Gegebenheiten relevant und sinnvoll sein. Ergänzende Themen könnten beispielsweise sein: Infrastruktur IT-Systeme Netze Übergeordnete organisatorische Aspekte Verantwortlichkeiten für Informationssicherheit Periodische Überprüfungen der Sicherheitsmaßnahmen Diese (und ggf. weitere) Themenblöcke können in jeweils einzelnen Dokumenten behandelt werden oder aus Sammlungen verschiedener Konzepte, Handbücher, Richtlinien, Verordnungen und weiteren Dokumentationen bestehen. Für die Umsetzung des konkreten Sicherheitskonzeptes gemäß BSI IT-Grundschutz werden in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> folgende IT-Sicherheitsrichtlinien geführt: von 29

8 1. Sicherheitsleitlinie 2. Richtlinie zur Risikoanalyse 3. Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen 4. Richtlinie zur internen ISMS-Auditierung (Auditierung des Managementsystems für Informationssicherheit) 5. Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen weitere von 29

9 3 IT-Strukturanalyse Die IT-Strukturanalyse ist eine umfassende Beschreibung aller infrastrukturellen, organisatorischen, personellen und technischen Objekte des zu implementierenden IT-Verbundes, für den das IT-Sicherheitskonzept gültig sein soll. Die akkumulierten Informationen über die identifizierten Objekte und ihre Besonderheiten erlauben anschließend die Ableitung von Sicherheitsmaßnahmen im IT-Sicherheitskonzept. 3.1 Bestimmung des IT-Verbundes Die Bestimmung des IT-Verbundes ist der erste Schritt des IT-Grundschutz-Vorgehens. Der IT-Verbund ist der Geltungsbereich des Sicherheitskonzepts. Er kann die gesamte Organisation umfassen oder Teilbereiche abbilden. Um den IT-Verbund hinreichend zu erfassen, ist eine Analyse der bestehenden und zu implementierenden Geschäftsprozesse - auch und besonders aus Sicht der Fachanwender - notwendig. Daraus ergeben sich die maßgeblichen Erkenntnisse über den zu untersuchenden bzw. zukünftigen IT-Verbund: Wesentliche Anwendungen Verteilung der Anwendungen (verschiedene Standorte) Beteiligte Netze Verantwortliche und Benutzer (Rollen und Rechte) Wesentliche Informationen und Daten Geschäftsprozesse Bedarfe an Vertraulichkeit (Geheimhaltung) Bedarfe an Integrität (Korrektheit und Unverfälschtheit) Bedarfe an Verfügbarkeit (tolerierbare Ausfallzeiten) Abhängigkeiten zwischen Anwendungen Sicherheitsmaßnahmen Administrative Aufgaben Spezielle Betriebs-Erfordernisse Wichtige Datenträger und Dokumente außerhalb der Systeme Wichtige Verträge zu den Anwendungen Wichtige juristische Verpflichtungen 3.2 Komponentenlisten In den Komponentenlisten werden die identifizierten infrastrukturellen, organisatorischen, personellen und technischen Komponenten verzeichnet, charakterisiert und gruppiert, die den zu modellierenden IT-Verbund ausmachen von 29

10 Für die inventarisierten Komponenten des IT-Verbundes werden benötigte Attribute dokumentiert; Beispiele sind hier: Gruppierung (s. Kapitel 3.3 Netzplan) Servername Beschreibung Plattform/Betriebssystem Netzsegment Zielobjekt Raum/Rack Status Verantwortung Betrieb Ergänzende Informationen Die Komponentenlisten sind Voraussetzung für die Erstellung eines Netzplans. Für die Komponentenlisten in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden folgende Attribute festgelegt: 1. Gruppierung Netzplan Der Netzplan ist eine grafisch Darstellung der beteiligten IT-Komponenten (z. B. Server, Clients, Hubs, Switches, Router, Netzdrucker etc.) und ihrer Kommunikationsbeziehungen und entsprechenden Verbindungen untereinander sowie jenseits des zu modellierenden IT- Verbundes. Auf der Website des BSI 3 findet sich das folgende Beispiel für einen Netzplan: 3 WebkursITGrundschutz/strukturanalyse/Netzplan/netzplan_node.html von 29

11 Abbildung 1 Beispiel für einen Netzplan Ein solcher Netzplan spiegelt zunächst die reale Situation wider. Um nun im Rahmen des IT- Sicherheitskonzeptes zur Antizipation von Risiken in bestimmten System-Bereichen verwendet werden zu können, sollten solche Komponenten gruppiert werden, die gleichartig funktionieren und gleichartige Integrationen erfordern. Dadurch wird die Komplexität eines Netzplans reduziert. Man spricht dann von einem bereinigten Netzplan, und das BSI gibt auch hierfür ein Beispiel: von 29

12 Abbildung 2 Beispiel für einen bereinigten Netzplan Clients mit speziellen Anforderungen an die Vertraulichkeit (z. B. Rechner der Geschäftsführung, Entwicklung oder Administration) können nicht gruppiert werden und werden weiterhin separat modelliert von 29

13 4 Schutzbedarfsfeststellung Der Schutzbedarf der im Langzeitspeicher abzulegenden Fachdaten wird für die drei eingangs genannten Grundwerte bestimmt und mit den entsprechenden Schutzbedarfs- Kategorien versehen: Grundwerte Vertraulichkeit Integrität Verfügbarkeit Schutzbedarfs-Kategorien normal hoch sehr hoch Um die drei Grundwerte zu wahren, müssen beispielsweise folgende Verletzungen verhindert werden: Vertraulichkeit = Informationen werden unberechtigt veröffentlicht oder weiter gegeben. Integrität = Verfälschung der Informationen oder der Funktionsweise eines Systems. Verfügbarkeit = Autorisierte Benutzer und Systeme werden am Zugriff gehindert. Die Bestimmung der Schutzbedarfs-Kategorie für die Grundwerte wird innerhalb individueller Dimensionen speziell einer Projekt-Situation durchgeführt. Beispiele zu bewertender Schäden aufgrund o.g. Verletzungen der Grundwerte sind: Gesetzverstöße Vertragsverletzungen Persönliche Schäden (Informationelle Selbstbestimmung, Unversehrtheit) Schädliche Innen- oder Außenwirkung Finanzielle Auswirkungen Um die Ausmaße der Schäden auf die o.g. Schutzbedarfs-Kategorien abbilden zu können, können die Schadenswirkungen wie folgt umschrieben werden: normal = begrenzt, überschaubar hoch = beträchtlich sehr hoch = existentiell, katastrophal von 29

14 Für alle Arten bzw. Dokument-Typen des im Langzeitspeicher abzulegenden Verwaltungs- Schriftguts (z. B. Urkunden, Bescheide, Vermerke, Gesetzblätter, Anträge, ) muss für jeden der o. g. drei Grundwerte jeweils eine der drei Schutzbedarfs-Kategorien zugeordnet werden. Eine solche Schutzbedarfs-Feststellung ergibt innerhalb der IT-Grundschutz-Methodik dann eine Klassifizierung der im Standard zugrunde gelegten Gefährdungen sowie die ihnen entgegen zu setzenden Standard-Sicherheits-Maßnahmen. Dadurch kann ein grundlegendes Sicherheitsbedürfnis der Dokument-Typen bestimmt werden, das in ergänzenden Untersuchungen (s. Kapitel 7) noch präzisiert wird. Ist diese Charakterisierung noch nicht für alle potenziell zu verarbeitenden Typen von Fachdaten erfolgt, so ist dies im Zuge der Konzeption der Langzeitspeicher-Funktionalitäten nachzuholen. Für die Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden folgende Typen von Fachdaten mit folgenden Schutzbedarfen verzeichnet: 1. Dokument-Typ 1 (z. B. Urkunden, Bescheide, Vermerke, Gesetzblätter, Anträge, ) a. Vertraulichkeit = b. Integrität = c. Verfügbarkeit = 2. Dokument-Typ 2 (z. B. Urkunden, Bescheide, Vermerke, Gesetzblätter, Anträge, ) a. Vertraulichkeit = b. Integrität = c. Verfügbarkeit = 3. Dokument-Typ 3 (z. B. Urkunden, Bescheide, Vermerke, Gesetzblätter, Anträge, ) a. Vertraulichkeit = b. Integrität = c. Verfügbarkeit = 4. Aus der Gesamtbetrachtung der im Langzeitspeicher abzulegenden Fachdaten ergibt sich dann die Schutzbedarfsfeststellung für den Langzeitspeicher (und ggf. verschiedener benötigter Repositories) selbst von 29

15 5 Abbildung des IT-Verbundes Bei der Modellierung nach BSI IT-Grundschutz wird der zu betrachtende IT-Verbund mit Bausteinen aus den IT-Grundschutz-Katalogen, die den im Rahmen der Strukturanalyse (s. Kapitel 3) identifizierten Objekten entsprechen, nachgebildet. Diese Bausteine stehen dann beispielsweise für technische Objekte wie Server, Clients, Firewalls, Räume und Netze oder bilden organisatorische Verfahren wie beispielsweise Sicherheitsmanagement oder Notfallmanagement ab. Finden sich im Standard keine geeigneten Bausteine, können in der konkreten Projekt-Situation auch neue, individuelle Bausteine definiert werden. Bei der Auswahl der Bausteine sind zusätzlich die identifizierten Schutzbedarfe (s. Kapitel 4) bezüglich der drei Grundwerte der abzubildenden Objekte maßgeblich. Ist für ein Objekt für einen Grundwert (z. B. Vertraulichkeit) ein besonderer Schutzwert (z. B. hoch, oder sehr hoch ) identifiziert worden, sind bei der Modellierung ggf. andere Bausteine zu wählen, als für Objekte mit dem entsprechenden Schutzbedarf der Kategorie normal. Mit der Entscheidung für bestimmte Bausteine kommen implizit die dazu gehörigen standardmäßigen Gefährdungen und IT-Sicherheits-Maßnahmen ins Modell und in das Sicherheitskonzept. Ein solches Modell kann zum einen zur Entwicklung verwendet werden, und zum anderen dient es beim Basis-Sicherheitscheck (s. Kapitel 6) als Prüfplan. 5.1 Bausteine Für einen ins Modell aufgenommenen Baustein (aus den IT-Grundschutz-Katalogen oder selbst definiert) werden die folgenden Eigenschaften dokumentiert: a) Kurzbeschreibung Jeder Baustein wird nur als elementare Einheit beschrieben. b) Gefährdungslage Hier werden die potenziell für diesen Baustein möglichen Gefährdungen pauschal und ohne Eintrittswahrscheinlichkeiten aufgeführt. Sie werden nach folgenden möglichen Ursachen gegliedert: Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Genauere Beschreibungen finden sich in den Gefährdungskatalogen von 29

16 c) Maßnahmenempfehlungen Passend zu den zugeordneten potenziellen Gefährdungen gibt es in diesem Abschnitt empfohlene Maßnahmen, die ggf. zu Maßnahmenbündeln zusammen gefasst werden können, und es werden Umsetzungsreihenfolgen zur Anwendung. Die Maßnahmen werden entsprechend der Lebenszyklus-Phasen der Langzeitspeicher- Lösung kategorisiert: Planung und Konzeption Beschaffung Umsetzung Betrieb Aussonderung Notfallvorsorge Zusätzlich trägt jede Maßnahme die Angabe einer Siegelstufe zur Einstufung der Wichtigkeit ihrer Umsetzung. Maßnahmen können folgende Siegelstufen haben: A (Einstieg): unabdingbar, erforderlich für alle IT-Grundschutz-Qualifizierungen B (Aufbau): wichtig für IT-Grundschutz-Aufbaustufe und ISO Zertifikat C (Zertifikat): zusätzlich für ISO Zertifikat benötigt Z (zusätzlich): nicht obligatorisch, aber zur Steigerung der Sicherheit möglich W (Wissen): Maßnahmen zur Vermittlung von Grundlagen und Kenntnissen Ausführliche Beschreibungen finden sich in Maßnahmenkatalogen. 5.2 Schichtenmodell Um die Komplexität der Sicherheitsbetrachtungen möglichst innerhalb definierter Bereiche und somit fokussierter und überschaubarer zu behandeln, wird die Modellierung mit den o.g. Bausteinen thematisch in fünf Schichten gruppiert: Schicht 1 Übergreifende Aspekte Hier werden grundlegende organisatorische Aspekte der Informationssicherheit des gesamten IT-Verbundes betrachtet (z. B. Sicherheitsmanagement, Datensicherungskonzept). Schicht 2 Infrastruktur In dieser Schicht geht es um baulich-technische Fragen für den physischen Schutz (z. B. vor Feuer, Wasser, Diebstahl) von 29

17 Schicht 3 IT-Systeme Hier werden die Sicherheitsaspekte der eigentlichen IT-Systeme (z. B. Server, Clients) beschrieben. Schicht 4 Netze Hier werden die Belange der Netzkomponenten (z. B. VPN, W-LAN) thematisiert. Schicht 5 Anwendungen Die Sicherheit ausgewählter Anwendungen (z. B. angeschlossene Datenbanken, Remote-Zugriffe für Außendienst-Mitarbeiter) wird in dieser Schicht untersucht. Würden all diese Aspekte für jedes einzelne modellierte Objekt betrachtet werden, würde eine zu hohe Komplexität entstehen. Zusätzlich werden durch die Schicht der übergeordneten Aspekte Redundante Untersuchungen und Entscheidungen vermieden. Auch Aktualisierungen und Erweiterungen einzelner Sicherheitsaspekte werden durch die geordnete Verwaltung in Schichten begünstigt, und ebenso können für die Verantwortlichkeiten für die einzelnen Schichten klarer definiert werden. Hier gibt das BSI folgendes Beispiel: Abbildung 3 Schichtenmodell und Zuständigkeiten 5.3 Modellierung Für die einzelnen Schichten wird nun bestimmt, welche identifizierten realen Zielobjekte durch welche IT-Grundschutz-Bausteine abgebildet werden; zusätzlich können Pflicht- Bausteine innerhalb der Schichten zu berücksichtigen sein Schicht 1 - Übergreifende Aspekte In dieser Schicht werden alle Aspekte modelliert, die den technischen Komponenten übergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen Konzepten abgeleiteten Regelungen. Dies können sein: Sicherheitsmanagement Organisation Sensibilisierung und Schulung zur Informationssicherheit von 29

18 Personal Notfallvorsorgekonzept Datensicherungskonzept Virenschutzkonzept Kryptokonzept Behandlung von Sicherheitsvorfällen Hardware-/Software-Management Standart-Software Für die Modellierung in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden in der Schicht 1 folgende Bausteine gewählt: Schicht 2 - Infrastruktur Hier wird die räumliche Infrastruktur modelliert, also die wesentlichen Merkmale von Gebäuden sowie die Topologien der elektronischen Verkabelung. Mögliche Bausteine sind hier u.a: Gebäude (für Räume immer hinzu zu ziehen) Büroraum Serverraum Häuslicher Arbeitsplatz Mobiler Arbeitsplatz Für die Modellierung in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden in der Schicht 2 folgende Bausteine gewählt: von 29

19 5.3.3 Schicht 3 - Infrastruktur Sicherheitsaspekte, die sich auf IT-Systeme oder Gruppen von IT-Systemen, d. h. auf die tatsächlichen Server- und Client-Computer etc. beziehen, werden in dieser Schicht abgedeckt. Mögliche Bausteine sind hier: Allgemeiner Server Allgemeiner Client Windows Server 2008 Notebook Client unter Windows 7 Für die Modellierung in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden in der Schicht 3 folgende Bausteine gewählt: Schicht 4 Netze In dieser Schicht werden Sicherheitsaspekte in Netzen oder Teilnetzen behandelt, die nicht an bestimmten IT-Systemen (z. B. Servern) festgemacht werden können. Vielmehr geht es um Sicherheitsaspekte, die sich auf die Netzverbindungen und die Kommunikation zwischen den IT-Systemen beziehen. Hier ist u.a. der Baustein Heterogene Netze maßgeblich für z. B. für die Modellierung folgender realer Objekte: Produktionsgebäude A Verwaltungsgebäude C Teilnetz Personal Teilnetz Buchhaltung Teilnetz Geschäftsführung Teilnetz Andere Verwaltungsabteilungen Für die Modellierung in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden in der Schicht 4 folgende Bausteine gewählt: von 29

20 5.3.5 Schicht 5 Anwendungen In dieser Schicht erfolgt die Nachbildung der typischen Anwendungen, deren Sicherheit unabhängig von den IT-Systemen und Netzen betrachtet werden muss. Beispiele sind hier: Datenbanken Telearbeitsplatz Fachanwendung X Konvertierungsdienst Y Scan-Client Für die Modellierung in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden in der Schicht 5 folgende Bausteine gewählt: Prüfung auf Vollständigkeit Jeder IT-Grundschutz-Baustein soll auf die Objekte angewendet werden, für die er relevant ist. Um dies abschließend für einen IT-Verbund zu prüfen, muss die Modellierung Schicht für Schicht auf Vollständigkeit überprüft werden. Hierbei geht zum einen darum, keine Komponenten des IT-Verbundes oder wesentliche Sicherheitsaspekte zu übersehen. Zum anderen muss letztlich sichergestellt sein, dass Objekte, für die keine unmittelbar passenden Bausteine vorhanden sind, angemessen durch andere geeignete oder individuell definierte Bausteine modelliert worden sind. Für die Modellierung in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> werden folgende zusätzliche Bausteine benötigt: von 29

21 6 Basis-Sicherheitscheck In den bisherigen Schritten des Konzepts sind alle Informationen zusammengetragen worden, die notwendig sind, um die Sicherheitsbereiche des IT-Verbundes im BSI GSTOOL abzubilden. In diesem Werkzeug ist jeder Baustein mit den vom BSI zugewiesenen pauschalen, standardmäßigen Gefährdungen und entsprechenden Maßnahmen verknüpft. Das nach der IT-Grundschutz-Methodik entwickelte Modell wird nun gemäß IT-Grundschutz- Vorgehensweise als Prüfplan benutzt, um anhand eines Soll-Ist-Vergleichs herauszufinden, welche der Standard-Sicherheitsmaßnahmen ausreichend oder ggf. nur unzureichend umgesetzt sind. Die Umsetzung der Maßnahmen sowie das anschließende Selbstzertifikat werden mit dem BSI GSTOOL durchgeführt. 6.1 Methodik Beim Aufbau eines IT-Grundschutz-Modells ergibt die Auswahl der anzuwendenden Bausteine einen Prüfplan für die Zielobjekte und ihre Maßnahmen, der im Rahmen des IT- Sicherheitschecks die Untersuchung der folgenden Fragestellungen abgearbeitet werden muss: 1. Ist eine Maßnahme tatsächlich für ein Zielobjekt anzuwenden? 2. Ist die Maßnahme bereits vollständig, teilweise oder gar nicht umgesetzt? (Soll-Ist-Vergleich) Über diese standardmäßige IT-Grundschutz-Methodik hinaus können nach Lage der Dinge zusätzliche, ergänzende Sicherheitsanalysen durchgeführt werden (z. B. spezielle Lastund Penetrationstests). 6.2 Resultierende Maßnahmen Maßnahmen können konkreter, technischer Natur oder eher generisch und allgemeingültig zu verstehen sein. Erstere können in konkreten Arbeitsschritten in einem bestimmten Anwendungsfall (z. B. sicheres Löschen unter Windows 7 ) umgesetzt werden, letztere haben ihre Gültigkeit und Auswirkungen in verschiedenen Anwendungsfällen (z. B. Bildschirmsperre ). Eine Maßnahme hat drei maßgebliche Attribute: Verantwortlichkeiten (Organisationseinheit oder Person(en)) Beschreibung (und ggf. Verweise auf andere Maßnahmen) Prüffragen oder Ergänzende Kontrollfragen von 29

22 Hervorzuheben ist, dass die aus dem Modell resultierenden Maßnahmen methodisch nicht nur einen Soll-Ist-Vergleich für bestehende IT-Verbünde ermöglichen. Ebenso gibt es Maßnahmen, die ausschließlich Hintergrundwissen enthalten, z. B. geeignete Produktauswahlen unterstützen und in Planungs- und Entwicklungsprozessen Anwendung finden. Das BSI weist auf seinen Internetseiten darauf hin, stets die aktuellsten Versionen der IT- Grundschutz-Kataloge und des GSTOOLs zu verwenden. Die Maßnahmen enthalten Empfehlungen zur Umsetzung. Diese Empfehlungen erlauben eine Messung des Umsetzungsgrades, der im nächsten Schritt zu dokumentieren ist. 6.3 Bewertung und Dokumentation Für die Maßnahmen ist der Umsetzungsgrad für die verschiedenen Objekte des IT- Verbundes zu dokumentieren. Die einzelnen Maßnahmen beinhalten Empfehlungen, die sich gezielt überprüfen lassen und zur Zuordnung eines Umsetzungsstatus gemäß folgender Kategorien führen: Entbehrlich: Die Umsetzung ist nicht notwendig, gleichwerte Ersatzmaßnahmen fangen mögliche Risiken auf, oder bestimmte Empfehlungen sind für den betrachteten Einsatzzweck nicht relevant. Ja: Alle Empfehlungen in der Maßnahme sind vollständig und wirksam umgesetzt. Teilweise: Einige der Empfehlungen sind umgesetzt, andere noch nicht oder nur teilweise. Nein: Die Empfehlungen der Maßnahme sind größtenteils noch nicht umgesetzt. Zur Bestimmung des Umsetzungsstatus einer Maßnahme findet sich auf der Website des BSI 4 die folgende Grafik: 4 WebkursITGrundschutz/strukturanalyse/Netzplan/netzplan_node.html von 29

23 Abbildung 4 Umsetzungsstatus gemäß BSI Grundschutz Mittels dieser Kategorisierung werden die Ergebnisse des Basis-Sicherheitschecks nachvollziehbar und überprüfbar dokumentiert. Zusätzlich werden formale Angaben zu den Überprüfungen festgehalten (z. B. Zielobjekte, Zeitpunkte, Verantwortliche) von 29

24 7 Ergänzende Sicherheits- und Risikoanalyse Das hier beschriebene Vorgehen gemäß BSI Grundschutz (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Basis-Sicherheitscheck) liefert standardmäßig ein angemessenes Sicherheitsniveau für typische IT-Verbünde und Daten mit normalem Schutzbedarf. Werden in einer Projekt-Situation Objekte identifiziert, die einen hohen oder sehr hohen Schutzbedarf haben, nicht durch einen passenden Standard-Baustein abgebildet werden können oder entgegen einer Standard-Nutzung zum Einsatz kommen sollen, ist eine zusätzliche Sicherheits- und Risikoanalyse erforderlich. Dabei stellt sich heraus, ob die erarbeiteten Standard-Maßnahmen bereits hinreichend sind oder ob umfangreichere Maßnahmen zur Anwendung kommen müssen. Oft sind dafür bereits zusätzliche, detailliert auf das Produkt zugeschnittene Sicherheitsempfehlungen der Hersteller oder System-Integratoren hilfreich. In anderen Fällen müssen die noch nicht hinreichend berücksichtigten Faktoren in intensiveren Risikoanalysen untersucht werden, um ihre Gefährdungen und erforderlichen Gegenmaßnahmen zu bestimmen. Eine Risikoanalyse führt jeweils zu der Definition von Risiken, denen ein Objekt des IT- Verbundes ausgesetzt ist. Es werden die möglichen Bedrohungen und Schwachstellen, an denen die Bedrohungen potenziell ansetzen könnten, untersucht. Dabei werden die Eintrittswahrscheinlichkeit sowie die mögliche Schadenshöhe betrachtet und bewertet, um das Risiko für die aktuelle Projekt-Situation passend zu erfassen und entsprechenden Maßnahmen zu etablieren. Das BSI weist auf zwei Probleme bei dieser Herangehensweise hin. Zum wird eine Berechenbarkeit impliziert, die gerade im Bereich IT-Sicherheit keinesfalls als stets hinreichend gegeben und statisch angesehen werden kann. Zum anderen erfordert die Risikoanalyse ein hohes Maß an Expertenwissen und Zeit-Ressourcen. 7.1 Gefährdungsübersicht Hier werden aus der Menge der in den voran gegangenen Schritten identifizierten Objekte (samt ermitteltem Schutzbedarf in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit) diejenigen extrahiert, für die in der ergänzenden Sicherheitsanalyse entschieden wurde, eine zusätzliche Risikoanalyse durchzuführen. Für die übrig gebliebenen Objekte werden dann die Gefährdungen aus den bereits bekannten Bausteinen zusammen gestellt und jeweils nur einmal festgehalten sowie thematisch sortiert. Die Gefährdungsübersicht bildet das elementare Instrument für die weiteren Bewertungen der standardmäßig implizierten sowie zusätzlichen Gefährdungen von 29

25 7.2 Identifikation zusätzlicher Gefährdungen Die Gefährdungskataloge des BSI werden laufend aktualisiert, doch es ist stets mit neuen Bedrohungen zu rechnen. Hier empfiehlt das BSI von Sicherheitsexperten moderierte Workshops mit Sicherheitsexperten, Verantwortlichen und Nutzern, in denen auf der Grundlage des vorhandenen und ggf. auch nicht vorhandenen Produkt-Know-hows sowie der aktuellen Gefährdungskataloge ein zusätzlich abzudeckendes Delta an Bedrohungen heraus zu arbeiten. Zur Fokussierung und zur abschließenden Bewertung der identifizierten Gefährdungen empfiehlt das BSI folgendes: Konzentration auf Gefährdungen für Objekte mit einem Schutzbedarf hoch oder sehr hoch in einem relevanten Grundwert Berücksichtigung aller Gefahrenbereiche aus den Gefährdungskatalogen (höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Angriffe) und eine entsprechende Gruppierung Berücksichtigung nur relevanter und realistischer Gefährdungen Prüfung, ob eine Gefährdung bereits im Rahmen einer anderen behandelt wurde Weitestgehende Abstraktion für eine überschaubarere Zahl von Gefährdungen 7.3 Gefährdungsbewertung Sind die standardmäßigen und zusätzlichen Gefährdungen identifiziert, muss der Bedarf an evtl. zusätzlichen Schutzmaßnahmen heraus gearbeitet werden. Dazu werden die bereits umgesetzten oder als erforderlich bestimmten Sicherheitsmaßnahmen der nun vervollständigten Gefährdungsübersicht gegenüber gestellt, und für alle identifizierten Gefährdungen werden die folgenden Eigenschaften geprüft: Vollständigkeit: Schützen die Maßnahmen gegen alle Aspekte der Gefährdung? Mechanismenstärke: Ist eine Maßnahme bereits hinreichend? Zuverlässigkeit: Kann eine Maßnahme umgangen werden? In der Gefährdungsübersicht werden die Gefährdungen abschließend beurteilt. Bieten vorhandene oder bereits geplante Maßnahmen bereits hinreichenden Schutz, oder kann eine Gefährdung als nicht relevant eingestuft werden (z. B., weil ein anderer Grundwert betroffen ist), wird sie als gelöst ( OK=J )vermerkt. Gefährdungen, bei denen sich noch Handlungsbedarf für einen hinreichen Schutz herausstellt, werden entsprechend ( OK=N ) gekennzeichnet. 7.4 Umgang mit Risiken Die Gefährdungsbewertung zeigt meist auf, dass bestimmte Gefährdungen nicht durch das Sicherheitskonzept abgedeckt sind. Die verbliebenen möglichen Gefährdungen müssen als Risiken behandelt werden. Hier nennt das BSI vier Möglichkeiten: von 29

26 Risiko-Reduktion durch weitere, höherwertige Sicherheitsmaßnahmen Risiko-Reduktion durch Umstrukturierung des IT-Verbundes Risiko-Akzeptanz, weil keine Maßnahme möglich oder sehr unwahrscheinlich Risiko-Verlagerung durch Versicherungen oder externe Vergabe Das BSI weist darauf hin, dass alle Entscheidungen zum Umgang mit Risiken (z. B. die Akzeptanz eines Risikos) immer nur für einen bestimmten Zeitraum Bestand haben und regelmäßig hinterfragt werden sollten, weil sich die Rahmenbedingungen im Bereich IT- Sicherheit bereits kurz- oder mittelfristig ändern können. Die gewählte Risiko-Strategie ist nachvollziehbar zu dokumentieren und mit den Entscheidungsträgern abzustimmen. 7.5 Konsolidierung des Sicherheitskonzepts Der letzte Schritt der ergänzenden Risikoanalyse umfasst die abschließenden Arbeiten der Integration der zusätzlich beschlossenen Maßnahmen in das vorhandene Sicherheitskonzept. Dabei werden die Eignung, Angemessenheit und Benutzerfreundlichkeit der zusätzlichen Sicherheitsmaßnahmen untersucht und vor allem deren Zusammenwirken mit anderen Maßnahmen analysiert. Bei der Konsolidierung können sich Anpassungen an zusätzlich beschlossenen Sicherheitsmaßnahmen ergeben, oder sie kann zu Änderungen im bestehenden Sicherheitskonzept führen. In einem erneuten Basis-Sicherheitscheck ist dann der Umsetzungsstatus der neuen und geänderten Maßnahmen zu prüfen und zu dokumentieren (s. Kapitel 6). Eine ausführliche Erläuterung der in diesem Kapitel zusammen gefassten Methodik findet sich im Dokument Risikoanalyse auf Basis von IT-Grundschutz standard_1003_pdf.pdf von 29

27 8 Umsetzung der IT-Grundschutz-Maßnahmen Selten ergibt sich aus den vorangegangenen Schritten, dass alle notwendigen Sicherheitsmaßnahmen implementiert und alle Objekte des betrachteten IT-Verbundes hinreichend geschützt sind. In der Regel wird ein Bedarf an Sicherheitsmaßnahmen identifiziert, z. B. Lücken in den vorhandenen organisatorischen Regelungen oder mangelnde Kontrolle der geltenden Regeln, fehlende Sicherheitstechnik oder unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl. Zur hinreichenden Umsetzung der notwendigen Sicherheitsmaßnahmen empfiehlt das BSI die folgende Vorgehensweise: 1. Sichtung der Ergebnisse des Basis-Sicherheitschecks sowie eventuell durchgeführter Risikoanalysen und tabellarisches Zusammenstellen der noch nicht oder nur teilweise umgesetzten Sicherheitsmaßnahmen 2. Konsolidierung (prüfen, konkretisieren) der Maßnahmen, um die Anzahl der Maßnahmen ggf. zu reduzieren. 3. Schätzung des finanziellen und personellen Aufwands zur Umsetzung (einmalige und wiederkehrende Aufwände) 4. Festlegen der Umsetzungsreihenfolge unter Berücksichtigung von Abhängigkeiten der Maßnahmen sowie deren Wirkung auf das Sicherheitsniveau des IT-Verbundes 5. Bestimmung von Verantwortlichen und Terminen zur Umsetzung und Überwachung 6. Festlegen begleitender Maßnahmen zur Akzeptanz und Schulung aller Beteiligten Laut BSI können die Schritte 1, 3 und 4 entfallen, falls nur wenige Maßnahmen zu realisieren sind oder die Maßnahmen insgesamt nur geringe personelle und finanzielle Ressourcen benötigen von 29

28 9 Aufrechterhaltung der Informationssicherheit Wie bereits in Kapitel 7.4 erwähnt, können die durch die BSI Grundschutz-Methoden erarbeiteten Sicherheitsmaßnahmen und Konzepte nur aufgrund ihrer Parameter zum Untersuchungszeitpunkt bewertet werden. Viele dieser Parameter ändern sich im Bereich der IT- Sicherheit kurz- und mittelfristig, und hier gilt es, die Informationssicherheit dennoch zu erhalten. Dazu ist regelmäßig zu kontrollieren, ob die eingeführten organisatorischen Vorkehrungen und die umgesetzten Sicherheitsmaßnahmen noch angemessen und aktuell sind. Für die Überprüfung der im Sicherheitskonzept definierten Maßnahmen sind laut BSI zwei Schritte notwendig: 1. Sicherheitsrevision: Wurden die Maßnahmen wie geplant umgesetzt, und funktionieren sie wie beabsichtigt? 2. Vollständigkeits- oder Aktualisierungsprüfung: Bieten die Sicherheitsmaßnahmen auch unter im Laufe der Zeit veränderten Rahmenbedingungen hinreichenden Schutz? Im Sinne der o.g. Regelmäßigkeit sind feste Zeitpunkte zur Überprüfung der Sicherheitskonzepte zu definieren. Das BSI empfiehlt, dies mindestens alle zwei Jahre oder nach Sicherheitsvorfällen zu tun. Hierzu sind Verantwortliche zu benennen. Das Vorgehen bei einer Revision der Informationssicherheit kann dem Leitfaden IS- Revision 6 des BSI entnommen werden. Zur Aufrechterhaltung der Informationssicherheit in der Projekt-Situation des <der/des> <Bezeichnung der aktenführenden Stelle> wird ein Revisions-Intervall von <Zeitraum> festgelegt von 29

29 Quellen- und Literaturverzeichnis [DIN 31644] DIN Deutsches Institut für Normung e.v., August 2010, DIN 31644, Entwurf, Kriterien für vertrauenswürdige digitale Langzeitarchive [Konzeption BW] Christian Keitel, , Die Archivierung elektronischer Unterlagen in der badenwürttembergischen Archivverwaltung. Eine Konzeption [TR-ESOR] Bundesamt für Sicherheit in der Informationstechnik, , Version 1.1, BSI Technische Richtlinie Beweiswerterhaltung kryptographisch signierter Dokumente linien/tr03125/bsi_tr_03125_v1.1.pdf? blob=publicationfile von 29

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Scannen Sie schon oder blättern Sie noch?

Scannen Sie schon oder blättern Sie noch? Scannen Sie schon oder blättern Sie noch? Martin Steger Geschäftsführer intersoft certification services GmbH intersoft mc sec certification 2014 services GmbH mentana-claimsoft.de Agenda Scannen Sie schon

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170. M erkblatt Vorabkontrolle 1 Einleitung Öffentliche Organe des Kantons Zürich müssen Projekte und Vorhaben dem Datenschutzbeauftragten zur Prüfung unterbreiten, wenn diese Datenbearbeitungen beinhalten,

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Code of Conduct (CoC)

Code of Conduct (CoC) Code of Conduct (CoC) Aeiforia CoC-Check: Erkennen Sie Auswirkungen des CoC auf Ihr Unternehmen! Aeiforia hat ein auf Checklisten gestütztes Vorgehen entwickelt, mit dem Sie Klarheit erlangen, in welchen

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2

Mehr

Dok.-Nr.: Seite 1 von 6

Dok.-Nr.: Seite 1 von 6 Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung

Mehr

Dokumentenlenkung - Pflicht oder Kür-

Dokumentenlenkung - Pflicht oder Kür- Dokumentenlenkung - Pflicht oder Kür- - QM-Sprengel Württemberg - Sunhild Klöss Stabsabteilung Projekt- und Qualitätsmanagement Klinikum Heidenheim Themenübersicht Forderungen der DIN EN ISO 9001 Was muss

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers Ist Excel das richtige Tool für FMEA? Einleitung Wenn in einem Unternehmen FMEA eingeführt wird, fangen die meisten sofort damit an,

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Prozessoptimierung. und. Prozessmanagement

Prozessoptimierung. und. Prozessmanagement Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit

Mehr

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag 1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1

Mehr

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz

Mehr

statuscheck im Unternehmen

statuscheck im Unternehmen Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen

Mehr

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert. Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche

Mehr

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist

Mehr

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

ICS-Addin. Benutzerhandbuch. Version: 1.0

ICS-Addin. Benutzerhandbuch. Version: 1.0 ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...

Mehr

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09. ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

BPMN 2.0, SCOR und ISO 27001. oder anders gesagt. BPMN is sexy?

BPMN 2.0, SCOR und ISO 27001. oder anders gesagt. BPMN is sexy? BPMN 2.0, SCOR und ISO 27001 oder anders gesagt. BPMN is sexy? Seite 1 SCOR (Supply-Chain Operations Reference-model) Das SCOR-Modell ist ein Prozess- Referenzmodell für die Unternehmens- und Branchenübergreifende

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Übungsbeispiele für die mündliche Prüfung

Übungsbeispiele für die mündliche Prüfung Übungsbeispiele für die mündliche Prüfung Nr. Frage: 71-02m Welche Verantwortung und Befugnis hat der Beauftragte der Leitung? 5.5.2 Leitungsmitglied; sicherstellen, dass die für das Qualitätsmanagementsystem

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Sicherheit - Dokumentation. Erstellt von James Schüpbach

Sicherheit - Dokumentation. Erstellt von James Schüpbach - Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Managementbewertung Managementbewertung

Managementbewertung Managementbewertung Managementbewertung Grundlagen für die Erarbeitung eines Verfahrens nach DIN EN ISO 9001:2000 Inhalte des Workshops 1. Die Anforderungen der ISO 9001:2000 und ihre Interpretation 2. Die Umsetzung der Normanforderungen

Mehr

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH Vom Prozess zum Workflow - IS-Management mit Tools unterstützen Alexander Koderman SerNet GmbH Seite 1 / 2010 SerNet GmbH Informationssicherheit...Informationen sind wertvoll für eine Organisation und

Mehr

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Delta Audit - Fragenkatalog ISO 9001:2014 DIS QUMedia GbR Eisenbahnstraße 41 79098 Freiburg Tel. 07 61 / 29286-50 Fax 07 61 / 29286-77 E-mail info@qumedia.de www.qumedia.de Delta Audit - Fragenkatalog ISO 9001:2014 DIS Zur Handhabung des Audit - Fragenkatalogs

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Kirchlicher Datenschutz

Kirchlicher Datenschutz Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH verinice. ISMS in der Praxis umsetzen Alexander Koderman, CISA SerNet GmbH Seite 1 / 2009 SerNet GmbH SerNet GmbH gegründet 1997 Büros in Göttingen, Berlin, Nürnberg, Menlo Park Informationssicherheit

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 9 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Postfach- und Versanddienst IT-Sicherheit Anwendungsbereich: Kürzel: BSI De-Mail

Mehr

Information zur Revision der ISO 9001. Sehr geehrte Damen und Herren,

Information zur Revision der ISO 9001. Sehr geehrte Damen und Herren, Sehr geehrte Damen und Herren, mit diesem Dokument möchten wir Sie über die anstehende Revision der ISO 9001 und die sich auf die Zertifizierung ergebenden Auswirkungen informieren. Die folgenden Informationen

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

6 Informationsermittlung und Gefährdungsbeurteilung

6 Informationsermittlung und Gefährdungsbeurteilung Verordnung zum Schutz vor Gefahrstoffen TK Lexikon Arbeitsrecht 6 Informationsermittlung und Gefährdungsbeurteilung HI2516431 (1) 1 Im Rahmen einer Gefährdungsbeurteilung als Bestandteil der Beurteilung

Mehr