Management von Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "Management von Informationssicherheit"

Transkript

1 1 Management von Informationssicherheit

2 Gliederung Einführung IT-Security-Risiken in Zahlen Phasenmodell zur Realisierung von Sicherheit Konzepte des Sicherheitsmanagements Standards für das Sicherheitsmanagement BSI IT-Grundschutz Toolunterstützung Bezüge von IT-Governance und IT-Compliance zum IT-Sicherheitsund Datenschutzmanagement Datenschutzmanagement Strafrechtliche Aspekte 2

3 Management von Informationssicherheit Definition IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik (IT) realisierten Produktions- und Geschäftsprozesse in Unternehmen und Organisationen systematisch gegen beabsichtigte Angriffe (Security) und unbeabsichtigte Ereignisse (Safety) zu schützen. Sicherheit im Großen Ziel betrifft die an der Informationsverarbeitung beteiligten Menschen, Prozesse und IT-Systeme behandelt die übergreifenden Aspekte der Informationssicherheit betrifft sowohl organisatorische als auch technische Aspekte Schaffung unternehmensweiter Sicherheit: Enterprise Security Aufbau eines Information Security Management Systems (ISMS) Sicherheit über einen längeren Zeitraum hinweg gewährleisten 3

4 FUD-Strategie Fear, Uncertainty, Doubt Wieviel muss wirklich in Sicherheit investiert werden? vs. Furcht, Ungewissheit, Zweifel Sicherheitsbewusstsein nach: Edelbacher et al., 2000 Zeit 4

5 5 IT-Security-Risiken in Zahlen

6 Computer Crime and Security Surveys Herausgegeben vom U.S. Computer Security Institute CSI bekannteste Langzeit- Umfrage zu IT- Sicherheitsvorfällen Stichprobe über 500 IT- Sicherheitsspezialisten aus verschiedenen Branchen 6

7 Computer Crime and Security Surveys Hauptergebnisse (2003) Schäden in Unternehmen Hauptschäden entstehen durch Datendiebstahl Zweite Stelle: Schäden durch Denial-of-Servcie-Angriffe Angriffsarten 82 Prozent Virenangriffe 80 Prozent Datenmissbrauch durch Insider Reaktion auf Angriffe 93 Prozent schließen Sicherheitslöcher 50 Prozent verheimlichen Sicherheitslöcher 30 Prozent verfolgen Angreifer (law enforcement) 7

8 Computer Crime and Security Surveys Hauptergebnisse 2007 Anstieg der Verluste durch Sicherheitsprobleme von Dollar (2006) auf Dollar (2007) höchster Wert seit Prozent der Befragten waren Opfer eines gezielten Angriffs Hauptursache von Verlusten in den vergangenen sieben Jahren: Viren (Schadsoftware) nun an erster Stelle:»Financial fraud«insider-angriffe 59 Prozent der Fälle: unerlaubte Netznutzung 52 Prozent der Fälle: Verseuchung mit Viren 8

9 Computer Crime and Security Surveys Hauptergebnisse 2010/11 Malware als verbreitetste Angriffsform 67 Prozent der Teilnehmer berichten darüber Anzahl der»financial fraud«vorfälle gegenüber der Vorjahre gesunken auf 8,7 Prozent Gezielte Angriffe nehmen weiter zu Bei etwa der Hälfte der Teilnehmer trat mindestens ein Informationssicherheitsvorfall auf 46 Prozent dieser Teilnehmer berichten von mindestens einem gezielten Angriff Erhöhte Sensibilität in Sicherheitsfragen Immer weniger Teilnehmer sind bereit, genaue Angaben über monetäre Verluste preiszugeben 9

10 Gründe für mangelnde Informationssicherheit Es fehlt an Geld 55 % Es fehlt an Bewusstsein bei den Mitarbeitern 52 % Es fehlt an Bewusstsein und Unterstützung im Topmanagement 45 % Es fehlt an Bewusstsein und Unterstützung beim mittleren Management 37 % Es fehlen verfügbare und kompetente Mitarbeiter 32 % Es fehlt an Möglichkeiten zur Durchsetzung sicherheitsrelevanter Maßnahmen 31 % Es fehlen die strategischen Grundlagen/Gesamtkonzepte 29 % Die Kontrolle und Einhaltung ist unzureichend 27 % Anwendungen sind nicht für Informationssicherheitsmaßnahmen vorbereitet 25 % Die vorhandenen Konzepte werden nicht umgesetzt 22 % Es fehlen realisierbare (Teil)-Konzepte 19 % Basis: 158 Antworten Quelle: <kes>/microsoft-sicherheitsstudie 2006 aus: ZIEL:SICHER 01/2007, Microsoft 2007, S. 6 10

11 Welchen Einfluss haben Sicherheitsvorfälle auf das Image? Garg, Curtis, Halper, 2003: Messung des Börsenwerts eines Unternehmens Beeinflussung durch einen Vorfall am Tag t ist an t+1 und t+2 in einigen Fällen (signifikant) nachweisbar 11

12 12 Garg, Curtis, Halper, 2003

13 Motivation hinter Angriffen im Wandel der Zeit Hackerethik Chaos Computer Club Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein. Alle Informationen müssen frei sein. Misstraue Autoritäten fördere Dezentralisierung. Beurteile einen Hacker nach dem, was er tut und nicht nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung. Man kann mit einem Computer Kunst und Schönheit schaffen. Computer können dein Leben zum Besseren verändern. Motto von Anonymous We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us. 13

14 14 Phasenmodell zur Realisierung von Sicherheit

15 Einordnung bzgl. technischem Detaillierungsgrad Granularität der technischen Beschreibung Bedeutung organisatorischer Aspekte IT-Sicherheit im Großen: Sicherheitsmanagement - Sicherer Betrieb - Infrastruktur - Notfallmanagement - Schulung - IT-Entwurf sicherer IT-Systeme: Phasenmodell für den Entwurf IT-Sicherheitsmechanismen im Kleinen: Angreifermodell und konkreter Mechanismus - Kryptoalgorithmen - Protokolle - Mechanismen der IT-Sicherheit 15

16 Angreifermodell Ein Angreifermodell definiert die Stärke eines Angreifers, gegen den ein bestimmter Schutzmechanismus (z.b. ein ganz bestimmtes Verschlüsselungsverfahren) gerade noch sicher ist. 1. Aktive oder passive Rolle des Angreifers Was kann der Angreifer maximal passiv beobachten? Was kann der Angreifer maximal aktiv kontrollieren? Was kann der Angreifer aktiv verändern? 2. Mächtigkeit des Angreifers Wieviel Rechenkapazität besitzt der Angreifer? Wieviel finanzielle Mittel besitzt der Angreifer? Wieviel Zeit besitzt der Angreifer? Welche Verbreitung hat der Angreifer? Oder spezieller: Welche Leitungen, Kanäle, Stationen kann der Angreifer beherrschen? Ist der Angreifer ein Insider oder Outsider? 16

17 Mechanismen (Beispiele) Vertraulichkeit Verdecktheit Verschlüsselung Steganographie Anonymität Unbeobachtbarkeit Web-Anonymisierer, R er, anonyme Zahlungssysteme Integrität Message Authentication Codes Zurechenbarkeit Rechtsverbindlichkeit Digitale Signatur Verfügbarkeit Erreichbarkeit Diversität, Redundanz 17

18 Wechselwirkungen zwischen Schutzzielen Vertraulichkeit + + Anonymität Verdecktheit Unbeobachtbarkeit Integrität Zurechenbarkeit Verfügbarkeit Erreichbarkeit 18 + impliziert verstärkt schwächt Rechtsverbindlichkeit A. Pfitzmann, G. Wolf, 2000 Beobachtungen zum Monotonieverhalten: Vertraulichkeitseigenschaften können nur geringer werden. Integrität und Zurechenbarkeit können nur größer werden.

19 Abhängigkeiten zwischen Schutzzielen Integrität Inhaltsintegrität Zurechenbarkeit Inhaltsvertraulichkeit unabhängig realisierbar weitgehend unabhängig realisierbar (Dritte erfahren bei Beweis ggf. Inhalt) Vertraulichkeit Anonymität unabhängig realisierbar Pseudonymität Unbeobachtbarkeit unabhängig realisierbar Trusted Third Parties decken ggf. Kommunikationsbeziehung auf 19

20 Einordnung bzgl. technischem Detaillierungsgrad Granularität der technischen Beschreibung Bedeutung organisatorischer Aspekte IT-Sicherheit im Großen: Sicherheitsmanagement - Sicherer Betrieb - Infrastruktur - Notfallmanagement - Schulung - IT-Entwurf sicherer IT-Systeme: Phasenmodell für den Entwurf IT-Sicherheitsmechanismen im Kleinen: Angreifermodell und konkreter Mechanismus - Kryptoalgorithmen - Protokolle - Mechanismen der IT-Sicherheit 20

21 Phasenmodell für den Entwurf sicherer Systeme eignet sich sowohl für den Entwurf einzelner Mechanismen als auch für die Realisierung großer Systeme 1. Definition der Schutzziele Was sind die Schutzziele, die das System erfüllen muss? Definition von Szenarien für den sicheren Betrieb des Systems. 2. Definition des Angreifermodells Wer ist der Angreifer? Was ist dessen Stärke? 3. Analyse existierender Mechanismen und Verfahren auf Eignung für die Realisierung der eigenen Schutzziele des Stands der Technik und Wissenschaft 4. Auswahl vorhandener und ggf. Entwicklung neuer Mechanismen Definition, Bewertung und Dokumentation der Lösung 5. Einbettung in das Gesamtsystem 21

22 Konzepte des Sicherheitsmanagements (IT-Sicherheit im Großen) 22

23 Einordnung bzgl. technischem Detaillierungsgrad Granularität der technischen Beschreibung Bedeutung organisatorischer Aspekte IT-Sicherheit im Großen: Sicherheitsmanagement - Sicherer Betrieb - Infrastruktur - Notfallmanagement - Schulung - IT-Entwurf sicherer IT-Systeme: Phasenmodell für den Entwurf IT-Sicherheitsmechanismen im Kleinen: Angreifermodell und konkreter Mechanismus - Kryptoalgorithmen - Protokolle - Mechanismen der IT-Sicherheit 23

24 ISMS-Views Initiierung Si-Konzept Umsetzung Erhaltung»Operator«: Grundschutz- Vorgehensmodell (Sicherheitspolitik, Sicherheitskonzept, Umsetzung, Erhaltung im laufenden Betrieb) ISMS Information Security Management System Identifikation Plan Überwachung Bewertung Act Do Steuerung»Controller«: Risikomanagement (Identifikation, Bewertung, Steuerung, Überwachung) Check»Management«: Deming-Kreislauf (Plan, Do, Check, Act) 24

25 Von der Bedrohung zum Sicherheitsvorfall Gründe, IT-Sicherheitsmanagement zu betreiben Schutz von Unternehmenswerten (Assets) Anforderung von Handelspartnern IT-Compliance Initiierung Si-Konzept Umsetzung Erhaltung Asset 1 Asset 3 Schutzziele - Vertraulichkeit - Integrität - Verfügbarkeit Asset 2 Organisation 25

26 Von der Bedrohung zum Sicherheitsvorfall Bedrohungen, z.b. - Viren, Würmer - DoS - Hacking - Spionage - Social Engineering Verwundbarkeiten, z.b. - Konfigurationsfehler - Buffer Overflows Asset 1 Asset 3 Schutzziele - Vertraulichkeit - Integrität - Verfügbarkeit Asset 2 Organisation Maßnahmen - Präventiv - Detektiv - Reaktiv 26 vgl. Nowey, 2011

27 Sicherheitsmanagement Im Rahmen des Sicherheitsmanagements sind folgende Maßnahmen zu treffen Initiierung 1. Entwicklung einer Sicherheitspolitik 2. Erstellung eines Sicherheitskonzepts 3. Realisierung der IT-Sicherheitsmaßnahmen 4. Erhaltung der IT-Sicherheit im laufenden Betrieb Si-Konzept Umsetzung Erhaltung Sicherheit als Teil des Unternehmensmanagements auffassen explizit zum Unternehmensziel machen 27

28 Entwicklung einer Sicherheitspolitik 1. Aufstellen eines IT-Sicherheitsmanagement-Teams 2. Formulierung der Unternehmensziele aus Sicherheitssicht Es fließen ein Unternehmenspolitik und -kultur Spezifika des Unternehmens IT-Strategie Rechtliche Rahmenbedingungen Initiierung Si-Konzept Umsetzung Erhaltung Warnung keine vorformulierten Textbausteine, Policy-Vorlagen oder gar "Policy-Generatoren" verwenden 28

29 Vorgehensmodell zur Erstellung eines Sicherheitskonzepts 1. Bedrohungsmodell Erkennnen und Formulieren der relevanten potentiellen Bedrohungen 2. Risikoanalyse Bewertung der Bedrohungen Initiierung Si-Konzept Umsetzung Erhaltung 3. Definition von Schutzobjekten und konkreten Sicherheitsanforderungen 4. Sicherheitsarchitektur Erstellen eines Realisierungskonzeptes Alternativ zu 1. und 2.: Vertrauensmodell bisher eher unüblich»was ist nötig?«und nicht»was ist möglich?«29

30 Bedrohungs- vs. Vertrauensmodell Was ist bedroht? Wem kann ich vertrauen? Bedrohungsmodell Vertrauensmodell Risikoanalyse Definition von Schutzobjekten und konkreten Sicherheitsanforderungen Realisierungskonzept (Sicherheitsarchitektur) vorzugsweise für die Realisierung von Safety- Aspekten vorzugsweise für die Realisierung von Security- Aspekten 30

31 Risikomanagement Kreislauf Identifikation Überwachung Risiko = Eintrittswahrscheinlichkeit Schadenshöhe Bewertung Steuerung 31

32 Identifikation von Bedrohungen Frage»Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant?«methoden & Werkzeuge OCTAVE-Methodik, CORAS-Framework Checklisten Workshops Fehlerbäume, Attack-Trees Szenarioanalysen Herausforderungen Vollständige Erfassung aller Bedrohungen 32

33 Bewertung von Risiken Frage»Wie groß sind Eintrittswahrscheinlichkeit und Schadenshöhe eines potentiellen Schadensereignisses?«Methoden & Werkzeuge Qualitative Bewertung Quantitative Bewertung Spieltheorie Maximalwirkungsanalyse Schadenswahrscheinlichkeit low med high Herausforderungen 33 Abhängigkeit von den Assets Strategische Angreifer Korrelationen Quantifizierbarkeit Schadenshöhe low med high Risiko

34 Steuerung der Risiken Frage»Welche Risiken sollen wie behandelt werden?«methoden Risikovermeidung Risikobehandlung (z.b. nach IT-Grundschutz und ISO 27002) Risikoüberwälzung Risikoakzeptanz Herausforderungen Komplexität der Problemstellung Finden von geeigneten Musterlösungen Komposition eines sicheren Gesamtsystems aus sicheren Teillösungen 34

35 Risiko-Management für IT-Systeme Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl 35

36 Risiko-Management für IT-Systeme Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl 36

37 Notfall- bzw. Katastrophenplan zur Schadensbegrenzung IT-Sicherheitskonzept kann Risiko niemals 100-prozentig beseitigen Notfallplan sollte Teil der Maßnahmenplanung sein Methoden Back-Up-Planung (Rechenzentrum, Daten) Notlaufkonzepte Wiederbeschaffungs- und Wiederanlaufpläne Verlust von Verfügbarkeit Notfallpläne sind primär ausgerichtet auf die schnelle Beseitigung von Verlusten der Verfügbarkeit. Verlust von Integrität Schaden kann schleichend eintreten schwer umkehrbar, Backup-Konzepte können helfen Verlust von Vertraulichkeit Schaden kann schleichend eintreten nahezu nicht umkehrbar, da Löschung aller Kopien kaum herbeiführbar 37

38 Risiko-Management für IT-Systeme Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl 38

39 Risiko-Management im Datenschutz Gesamtrisiko Risikovermeidung Überwälzung nicht anwendbar auf Datenschutz (und (strafrechtliche Anforderungen) Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzung Restrisiko Versicherungen nach: Schaumüller-Bichl 39

40 Risiko-Management im Datenschutz IT-Sicherheit: Risiko = Wahrscheinlichkeit Schadenshöhe Schäden sind systematisch tolerierbar Datenschutz: Alles-Oder-Nichts-Ansatz Rechtliche Vorgaben müssen umgesetzt werden Gesamtrisiko Risikovermeidung Risikoanalyse Schutzmaßnahmen Schadensbegrenzung Sicherheitsarchitektur Katastrophenplan Überwälzu ng Restrisiko Versicherungen nach: Schaumüller-Bichl 40

41 Risiko-Management für IT-Systeme Schadenswahrscheinlichkeit low med high low Schadenshöhe med high Risiko 41

42 Risiko-Management für IT-Systeme Typische Positionen für Vermeidung, Akzeptanz und Überwälzung: Schadenswahrscheinlichkeit low med high low Akzeptanz Vermeidung Schadenshöhe med high Überwälzung Schutzmaßnahmen 42

43 Überwachung der Risiken und Maßnahmen Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«Methoden Kennzahlen- und Scorecard-Systeme Return on Security Investment (ROSI) Herausforderungen Die»richtigen«Kennzahlen verwenden Kennzahlen»richtig«ermitteln/messen Kennzahlen aktuell halten 43 nach: Loomans, 2002

44 Überwachung der Risiken und Maßnahmen Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«Viel hilft nicht unbedingt viel, es kommt auch darauf an, wie das Geld ausgegeben wird Grenznutzen Grenzkosten Investitionshöhe 44

45 Überwachung der Risiken und Maßnahmen Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«Viel hilft nicht unbedingt viel, es kommt auch darauf an, wie das Geld ausgegeben wird Effektivität = die richtigen Maßnahmen ergreifen Weniger ist manchmal mehr. Probleme Funktionen sind schwierig zu ermitteln Funktionen sind nicht stetig, häufig sind Sicherheitsmaßnahmen binäre Entscheidungen 45

46 Quantitative Daten werden als Basis benötigt Daten zur Charakterisierung von Risiken Eintrittswahrscheinlichkeit Schadenshöhe Verteilungsfunktion Anforderungen an Datenquellen Hohe Datenqualität und Aktualität Vollständigkeit und Organisationsbezogenheit Einfachheit 46

47 Mögliche Quellen für quantitative Daten Quelle Beispiel Bewertung Expertenurteile Interviews mit internen oder externen Experten CSI/FBI Survey Häufig verwendet, aber nicht messbar Subjektiv, unvollständig Simulationen Historische oder Monte Carlo Simulationen Noch kaum verbreitet Gut, wenn Ausgangsdaten vorhanden Marktmechanismen Kapitalmarktanalysen Bug Challenges Derivative Produkte Nicht für alle Bereiche anwendbar Noch nicht verfügbar Historische Daten CERTs/CSIRTs Interne Vorfallsbearbeitungssysteme In anderen Bereichen weit verbreitet Prognosequalität? Kaum verfügbar 47

48 sec-compare: Kollaboratives IT-Sicherheitsmanagement Idee Entwurf eines Systems zur Sammlung von quantitativen Daten über Sicherheitsmechanismen und -vorfälle in Organisationen. Ziel Aufbau einer Datenbasis die Informationen über Schadenshöhe, Eintrittswahrscheinlichkeit und Wahrscheinlichkeitsverteilungen von Sicherheitsvorfällen in verschiedenen Organisationen gibt. Verschiedene Möglichkeiten zur Verwendung der generierten Daten Risikobewertung, Evaluation von Investitionsentscheidungen Benchmarking zwischen Organisationen Untersuchung Korrelationen zwischen Schadensereignissen Wissenstransfer von Organisation zu Organisation 48

49 sec-compare: Basisarchitektur Teilnehmer A Teilnehmer C Vorfallsdaten Aggreg. Daten Platform Provider Zusätzl. Daten Externe Quellen CERTs Honeynets Experten Studien Teilnehmer B 49

50 sec-compare: Security Benchmarking Einfache Teilnahme Keine Anmeldung notwendig Angabe von Unternehmenseckdaten optional Schnelle Einschätzung Fragebogenbasierte Benutzerführung Dauer ca min Vergleichsmöglichkeiten Mit anderen Unternehmen (Grundgesamtheit) Mit ausgewählten Fragebögen Beantwortung durch Kollegen, Berater, Vorgesetzte... Eigene Fragebögen im Zeitverlauf vergleichen Dient einer ersten Selbsteinschätzung, ersetzt aber keine umfassende Grundschutzanalyse 50

51 Return on Security Investment (ROSI) Frage»Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?«ROSI basiert auf dem ALE-Konzept (Annual Loss Expenditure) aus den 70er Jahren soll Analogie zum klassischen Return on Investment herstellen verschiedene Darstellungsformen und Weiterentwicklungen ROSI Return on Security Investment»Ersparnis«durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen 51

52 Return on Security Investment (ROSI) R Recovery Costs Kosten der wahrsch. Schäden S Savings Reduzierung der K. der wahrsch. S. T Total Costs Kosten der Maßnahmen ALE Annual Loss Expenditure verbl. Schadenskosten nach Vorfall ALE = R S + T ROSI = R ALE ROSI = S T ROSI Return on Security Investment»Ersparnis«durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen 52 nach: Pohlmann 2006

53 Return on Security Investment (ROSI) Beispiel Webservice Savings Reduz. d. K. der wahrsch. Schäden S = EUR p.a. (Kunden- und Imageverlust) Total Costs Kosten der Maßnahmen T = EUR p.a. (Zertifikat, Firewall, Updates etc.) ROSI = S T = EUR p.a. ROSI Return on Security Investment»Ersparnis«durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen 53 nach: Pohlmann 2006

54 Return on Security Investment (ROSI) Kritik am ROSI Kosten und Nutzen schwer ermittelbar à Unterschiede zu klassischen Investitionsprojekten Es geht nicht nur um operative Entscheidungen: Sicherheitsmanagement beginnt auf der strategischen Ebene Worin liegt der Nutzen? Erfüllung gesetzlicher Anforderungen, Generierung zusätzlicher Einnahmen, Effizienzgewinne, Reduktion von Risiken Wie setzen sich die Kosten zusammen? Ausgaben für Anschaffung, Einführung, laufenden Betrieb, Kosten durch Änderung betriebl. Abläufe Risikomanagement-Ansatz auf operativer Ebene erforderlich 54

55 Risikomanagement Kreislauf Checklisten Workshops Experten Histor. Daten Identifikation Checklisten Scorecards Kennzahlen Überwachung Risiko = Eintrittswahrscheinlichkeit Schadenshöhe Bewertung Basisansatz Kategorien Quantitative Verfahren Steuerung Best Practice Scoring Quant. Verfahren 55

56 Sicherheitsmanagement beginnt auf der Strategieebene Strategieebene/ Sicherheitspolitik Business Engineering Festlegung der Unternehmensaufgaben; Strategische Planung Sicherheitsmanagement Definition strategischer Ziele, Grundsätze und Richtlinien; Formulierung der Unterneh- mensziele aus Sicherheitssicht Prozessebene/ Sicherheitskonzept Gestaltung der Abläufe in Form von Prozessen Übersetzung der Politik in Maßnahmen; Risikoanalyse Systemebene/ Mechanismen Unterstützung der Prozesse durch den Einsatz von Systemen; Analyse und Spezifikation der Anwendungssysteme Detaillierung der Maßnahmen durch konkrete Mechanismen 56

57 Sicherheitsmanagement beginnt auf der Strategieebene Aussagen für die strategische Ebene Wer nur auf vorgefertigte Lösungen setzt, verliert auf lange Sicht wertvolles Know How. Heterogene IT-Landschaften schützen vor Kumulrisiken. IT-Sicherheit ist mehr als nur Technik. Sicherheit sollte von Beginn an integraler Bestandteil der Prozesse werden und nicht hinterher hinzugebastelt werden. Die Sicherheit sollte im Einklang mit anderen Disziplinen entwickelt werden, z.b. Synergien mit dem Business Engineering nutzen. 57

58 Standards für das Sicherheitsmanagement Einordnung, ISO 27000er Reihe, BSI IT-Grundschutz, Datenschutzmanagement 58

59 Kriterienlandschaft Sicherheitsbezogene Standards existieren für Vorgehensmodelle zum Sicherheitsmanagement Spezielle Sicherheitsfunktionen (z.b. Kryptographie) Zertifizierung und Auditierung... teilweise sogar branchenspezifische Standards (z.b. Banking) Ausrichtung Bewertung Evaluierung von IT-Sicherheit Informationssicherheits- Managementsysteme Richtlinie Sicherheitsmaßnahmen Und Monitoring Quelle: BITKOM, Kompass der IT- Sicherheitsstandards Technik Kryptographische und IT-Sicherheitsverfahren Physische Sicherheit Produkt System Prozess Umgebung Architekturebene 59

60 Übersicht: Die ISO Familie ISO (2009) Vocabulary and Definitions ISO (2005) 60 ISMS Information Security Management Systems ISO (2005/2007) Code of Practice (entspricht ISO 17799:2005, seit 2007) ISO (2010) ISMS Implementation Guidance vgl. TR13335, Anhang B von BS als Grundlage ISO (2009) Information Security Management Metrics and Measurements ISO (2008) Information Security Risk Management ISO (2007) Requirements for Bodies providing Audit and Certification ISO (gepl.) Auditing Guidelines

61 Die ISO 27000er Familie Terminologie Überblick Anforderungen ISMS Anforderungen Akkreditierungs Anforderungen Leitfäden für Betrieb und Audit von ISMS Code of Practice Implementierung Messung und Metriken Risiko Management Standards zu den einzelnen Sicherheitsmaßnahmen Audit nach ISO 27000, n.v. 61

62 ISO Kurzes Basisdokument für die 27000er Reihe Gibt Gesamtüberblick über die 27000er Reihe und ordnet die einzelnen Standards ein Verweis auf OECD Guidelines for the Security of Information Systems and Networks Enthält grundlegende Begriffe und Definitionen für die Bereiche Informationssicherheit (z.b.»vertraulichkeit«) Management (z.b.»effektivität«) Sicherheitsrisiken (z.b.»verwundbarkeit«) Auditierung (z.b.»audit«) Dokumentation (z.b.»sicherheitspolicy«) 62

63 Entwicklung des BS 7799 Code of practice BS ISO 17799:2000 ISO17799:2005 ISO27002:2007 ISO27002:2013 ISMS specification BS BS :2002 ISO 27001:2005 ISO27001: t 63

64 ISO ISMS (Information Security Management System) Standard basiert auf BS beschreibt die Anforderungen an ein ISMS mit Hilfe eines Prozess-Ansatzes ist, genau wie ISO 9001, ein Management-System-Standard Grundlage für Zertifizierung Eher generische Anforderungen, keine technischen Details Definition: ISMS that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security NOTE: The management system includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources. 64

65 ISO Information technology Security techniques Code of practice for information security management «Guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization» Internationaler «Code of practice» für das Management der Informationssicherheit Umfang der 2013er Fassung 90 Seiten, 14 Gliederungspunkte (Mangementbereiche) und 114 Managementaufgaben (Controls) kontinuierliche Aktualisierung keine verbindlichen Zyklen festgelegt, aber vorgesehen prinzipiell nicht unbedingt nötig, da generische Formulierungen 66

66 Vergleich der Versionen von ISO er Fassung 2005er Fassung 2013er Fassung Security Policy Security Policy Security Policy Security Organisation Organising Information Security Organization of Information Security Asset Classification & Control Asset Management Human Resources Security Personnel Security Human Resources Security Asset Management Physical & Environmental Security Physical & Environmental Security Access Control Communications & Operations Management Communications & Operations Management Cryptography Access Control Access Control Physical and Environmental Security Systems Development & Maintenance Business Continuity Management Information Systems, Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Operations security Communications Security Information Systems Acquisition, Development, Maintenance Supplier Relationships Compliance Compliance Compliance Information Security Incident management Information Security Aspects of Business Continuity 70

67 Grundsätzlicher Aufbau der Controls Controls=Maßnahmen Control Was? + Implementation Guidance Wie? + Other Information 71

68 Beispiel für ein Control Bewusstsein, Ausbildung und Schulung für Informationssicherheit nach ISO27002: nach ISO27002:2013 Maßnahme Alle Angestellten der Organisation, und, falls relevant, Auftragnehmer und Drittbenutzer, sollten geeignete Schulungen zur Bewusstseinsbildung erhalten, und regelmäßige Aktualisierungen bei organisationseigenen Politiken und Verfahren, die für ihre Arbeit von Bedeutung sind. Anleitung zur Umsetzung Die Schulung zur Bewusstseinsbildung sollte mit einem formalen Einführungsprozess beginnen, um die Sicherheitspolitiken und Erwartungen der Organisation vorzustellen, bevor Zugang zu Informationen oder Services gestattet wird. Fortlaufende Schulungen sollten Sicherheitsanforderungen, gesetzliche Verantwortung und Geschäftsmaßnahmen beinhalten, genauso wie Schulungen in der ordnungsgemäßen Anwendung von informationsverarbeitenden Einrichtungen, z.b. Verfahren zum Einloggen, Benutzung von Programmpaketen und Informationen über Disziplinarverfahren (siehe 8.2.3); Weitere Informationen Die Aktivitäten für Sicherheitsbewusstsein, Ausbildung und Schulung sollten passend und von Bedeutung für die Aufgaben, Verantwortung und Fähigkeiten der Person sein, und sollten Informationen über bekannte Bedrohungen, wer für weiteren Rat in Sicherheitsfragen zu kontaktieren ist, und die geeigneten Kanäle für das Berichten von Informationssicherheitsvorfällen (siehe auch 13.1) enthalten. Schulungen zur Verbesserung des Bewusstseins sollten es ermöglichen, dass Personen Informationssicherheitsprobleme und Vorfälle erkennen, und dass sie im Einklang mit den Erfordernissen ihrer Arbeitsaufgabe reagieren. 72

69 Security policy Definiert die grundsätzliche Position des Unternehmens bzgl. Informationssicherheit 1. Erstellung eines Policy-Dokuments Definition von Informationssicherheit aus Unternehmenssicht Ziele und Prinzipien bzgl. Informationssicherheit Zuweisung der Zuständigkeiten für Informationssicherheit Verweise auf Dokumente, die zur Umsetzung der Policy dienen 2. regelmäßiger Review und Anpassung an neue Gegebenheiten 73

70 Organization of information security 1. Interne Organisation Managementrahmen zur Umsetzung von Informationssicherheit innerhalb der Organisation Maßnahmen Rollen und Zuständigkeiten für Informationssicherheit Aufteilung von Zuständigkeiten Kontakt mit Behörden (authorities) Kontakt mit speziellen Interessengruppen Informationssicherheit innerhalb des Projektmanagements 2. Mobiles Arbeiten und Telearbeit ursprünglich von Access Control stammend (bis 2005) Policy für mobile Geräte Telearbeit 74

71 Human Resources Security 1. Vor der Anstellung Maßnahmen Aufgaben und Verantwortlichkeiten definieren und dokumentieren Sicherheitsüberprüfung der Mitarbeiter Überprüfung der Korrektheit von Referenzen, CV, Qualifikationen, Identitätsüberprüfung, Detailprüfungen Anstellungsbedingungen Arbeitsvertrag mit Klausel versehen, die auf die Einhaltung der Sicherheitsmaßnahmen hinweist 75

72 Human Resources Security 2. Während der Anstellung Verantwortung des Managements Bewusstsein, Ausbildung und Schulung für Informationssicherheit Disziplinarverfahren z.b. Passwortregeln 3. Beendigung oder Änderung der Anstellung Verantwortlichkeiten bei der Beendigung definieren Rückgabe von Werten Aufheben von Zugangsrechten 76

73 Asset Management 1. Verantwortung für Assets Führen einer «Inventarliste» (Abschnitt 7.1.1) Information assets Datenbanken, Dateien, Systemdokumentationen, Schulungsmaterial, Notfallpläne, archivierte Daten Software assets Anwendungs- und Systemsoftware, Entwicklungswerkzeuge, Utilities Physical assets Computertechnik (inkl. deren Innenleben), Kommunikationstechnik (Router, Fax, Telefonanlage,...), Speichermedien, Services Stromversorgungsanlage, Klimaanlage, Möbel, Räume Kommunikations- und Datenverarbeitungsdienste, allgemeine Einrichtungen, z.b. Heizung, Licht, Strom, Aircondition Personen und ihre Qualifikationen, Fähigkeiten und Erfahrung Immaterielle Werte Wie der gute Ruf und Image der Organisation 77

IT-Sicherheit Kosten vs. Nutzen

IT-Sicherheit Kosten vs. Nutzen IT-Sicherheit Kosten vs. Nutzen Prof. Dr. Hannes Federrath Sicherheit in Verteilten Systemen (SVS) http://svs.informatik.uni-hamburg.de 20. Berliner Anwenderforum E- Government, Berlin, 20. Februar 2014

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Kosten- und Nutzenbetrachtungen im IT- Sicherheitsmanagement

Kosten- und Nutzenbetrachtungen im IT- Sicherheitsmanagement Kosten- und Nutzenbetrachtungen im IT- Sicherheitsmanagement Prof. Dr. Lehrstuhl Management der Informationssicherheit Universität Regensburg http://www-sec.uni-regensburg.de/ 1 Zu hohe oder zu niedrige

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung

IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung Prof. Dr. Universität Regensburg http://www-sec.uni-regensburg.de 1 Kriterienlandschaft Sicherheitsmanagement

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Management der Informationssicherheit nach ISO 17799

Management der Informationssicherheit nach ISO 17799 Management der Informationssicherheit nach ISO 17799 Prof. Dr. Lehrstuhl Management der Informationssicherheit Universität Regensburg Management der Informationssicherheit versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Grundschutz und Zertifizierung

IT-Grundschutz und Zertifizierung IT-Grundschutz und Zertifizierung Gliederung Was macht das BSI? Standardsicherheit nach IT-Grundschutz Qualifizierung nach IT-Grundschutz Zertifizierungsschema Verhältnis zu ISO 17799 in der Informationstechnik

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IT-Sicherheit und Datenschutzmanagement

IT-Sicherheit und Datenschutzmanagement IT-Sicherheit und Datenschutzmanagement Gemeinsamkeiten und Unterschiede Prof. Dr. Lehrstuhl Management der Informationssicherheit Universität Regensburg http://www-sec.uni-regensburg.de/ 1 Gliederung

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Synergien im Management von Datenschutz und Datensicherheit Annäherung der Industriestandards Prof. Dr. Hannes Federrath Universität Regensburg

Synergien im Management von Datenschutz und Datensicherheit Annäherung der Industriestandards Prof. Dr. Hannes Federrath Universität Regensburg Synergien im Management von Datenschutz und Datensicherheit Annäherung der Industriestandards Prof. Dr. Hannes Federrath Universität Regensburg Datenschutz Informationsveranstaltung Gliederung des Vortrags

Mehr

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen

Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Weitere Betriebssysteme im IT-Grundschutz Über den Tellerrand zu Alternativen Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System IT-Sicherheit mit System Stefanie Lang, Senior IT Consultant Fujitsu Technology Solutions GmbH 0 Copyright 2014 FUJITSU Inhalt Kurzvorstellung Fujitsu Grundlagen Informationssicherheit Bedrohungen, Versäumnisse,

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit

IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit IT-Grundschutz und Mindeststandards Der pragmatische Weg zur Informationssicherheit Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

DS DATA SYSTEMS GmbH Consulting is our business!

DS DATA SYSTEMS GmbH Consulting is our business! DS Anforderungen des IT-Sicherheitsgesetzes Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (Referentenentwurf) DS Referent: Dipl.-Ing. Henning Kopp Leiter Information Security 2 Externer

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel

Datensicherheit und IT-Grundschutz. Prof. Dr. Reinhardt Nindel Datensicherheit und IT-Grundschutz Prof. Dr. Reinhardt Nindel Datensicherheit Datenschutz Bund Der Bundesbeauftragte für Datenschutz Schutz demokratischer Grundwerte, der Privatsphäre und des informellen

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Informationssicherheitsmanagement jederzeit messbar und vergleichbar

Informationssicherheitsmanagement jederzeit messbar und vergleichbar Informationssicherheitsmanagement jederzeit messbar und vergleichbar 2 Praxisorientierte Anwendung ISO/IEC 27001:2013 und ISO 27001 auf Basis IT-Grundschutz des BSI Informationen sind eine kritische Ressource

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr