Informationssicherheitsmanagement und Compliance

Transkript

1 IT-Revision als Chance für das IT-Management Informationssicherheitsmanagement und Compliance Frühstück Rechtsgültige Archivierung Finance Forum November 2008 Stand 2.07

2

3 Fragen im Zusammenhang mit rechtsgültiger Archivierung Was soll archiviert werden? Wie wird die Archivierung rechtsgültig? Wie hilft einem Informationssicherheitsmanagement dabei?

4 Anforderungen gemäss GeBüV GeBüV = Geschäftsbücherverordnung ( ) Verordnung über die Führung und Aufbewahrung der Geschäftsbücher Anforderungen (Auszug) Zu dokumentieren sind (Art. 4) Organisation, Zuständigkeiten, Abläufe, Verfahren, Infrastruktur so dass die Informationen (Belege, etc.) verstanden werden können die Informationen einsehbar und prüfbar sind und bleiben die Sicherheit/Schutz der Information ersichtlich wird

5 Man muss also zeigen können Wesentliche Abläufe Ablageorte Abhängigkeiten etc. Abläufe Anwendungen PCs Server

6 Informationssicherheitsmanagement-Massnahmen IT-GSHB = IT-Grundschutzhandbuch des BSI (Bundesamt für Sicherheit in der Informationstechnik) Massnahmenauszug im Zusammenhang mit Archivierung (Auszug): Planung und Konzeption M Entwicklung des Archivierungskonzepts M Ermittlung der rechtlichen Einflussfaktoren für die elektronische Archivierung M Regelung der Nutzung von Archivsystemen M Geeigneter Einsatz digitaler Signaturen bei der Archivierung Umsetzung M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen M 3.34 Einweisung in die Administration des Archivsystems M 3.35 Einweisung der Benutzer in die Bedienung des Archivsystems Betrieb M Protokollierung der Archivzugriffe M Regelmäßige Funktions- und Recoverytests bei der Archivierung Notfallvorsorge M 6.84 Regelmäßige Datensicherung der System- und Archivdaten

7 Man muss also zeigen können dass und wie die Massnahmen auf Organisationselemente (Gegenstände) angewendet werden umgesetzt und überprüft werden (Prüfender Ablauf) verantwortet werden (Durchführend/Verantwortlich) Massnahmen-Umsetzung A) Gegenstand B) Prüfender Ablauf C) Prüfmittel D) Durchführende Rolle/Organisation E) Durchführende Person F) Verantwortliche Rolle/Organisation G Verantwortliche Person M a s s Abläufe, Ressourcen M 1.5 Galvanische Trennung von Außenleitungen (Z) B A A M 1.12 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile (A)(B) B A M 2.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz (A) B B A A M Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit (A) B A E D C Führungstätigkeit 1 Tätigkeit BAU Support-Tätigkeit 1 Firm a Mitarbeiter 1 IT-Sicherheitsbeauftragter Gebäude S Geschoss 1 R 1.01: Serverraum Standort S Standort B Anwendung

8 Man muss also zeigen können dass die GSHB-Massnahmen umgesetzt werden (mittels Sicherheitskonzept) Informationssicherheit dass damit die Anforderungen aus der GeBüV erfüllt sind Compliance Viel Arbeit? just Relax!

9 Die zentrale Informationsplattform für maximale Effizienz

10 Die zentrale Informationsplattform als universelle Plattform

11 ISMS-off-the-shelf

12 ISMS-off-the-shelf und seine auf dem Markt verfügbaren Komponenten Business Process Management (TopEase ): Modellierung und Steuerung der Organisation Informationssicherheitsmanagementsystem (ISMS): Basis- Sicherheitscheck, Definition von Prozessen und Massnahmen des ISMS. Informationssicherheitsbausteine (Library): Fertige Bausteine mit Massnahmen nach BSI-IT-Grundschutz 100 und Massnahmenzielen nach ISO Dokumente: Automatisch generierte Dokumentationen für die IT- Revision, Risikomanagement, etc. Portale: Automatisch generierte Webportale für Weisungen, Cockpits, etc. Kommunikationsmanagement & Schulung (Adobe Connect ): Validierbare Sensibilisierung, online-meetings/-classrooms, etc.

13 Beispiel am Tool: Modellieren und Dokumentieren Erfassen des Archivsystems Generieren des Sicherheitskonzepts Navigieren im Portal

14 Beispiel Massnahmenumsetzung bzgl. GeBüV Massnahme ist Teil von Baustein Massnahmen-Umsetzung (Auszug) A) Gegenstand B) Prüfender Ablauf C) Prüfmittel D) Durchführende Rolle/Organisation E) Durchführende Person F) Verantwortliche Rolle/Organisation G) Verantwortliche Person H) Regelquelle R u l e S e t B u s i n e Influence, Folder, Contract, Contract Part, Contra M 1.59 Geeignete Aufstellung von Speicher- und Archivsystemen (B)(A) H M 1.60 Geeignete Lagerung von Archivmedien (A) H M Überwachung der Speicherressourcen von Archivmedien (C) H M Konsistente Indizierung von Dokumenten bei der Archivierung (A) H M Regelmäßige Revision des Archivierungsprozesses (B) H M Regelmäßige Marktbeobachtung von Archivsystemen (B) H M Regelung der Nutzung von Archivsystemen (A) H A H C M Regelmäßige Aufbereitung von archivierten Datenbeständen (A) H M 6.74 Notfallarchiv (Z) H M 6.84 Regelmäßige Datensicherung der System- und Archivdaten (A) H M 6.90 Datensicherung und Archivierung von s (C) H B 1.12 Archivierung G E F B 2.4 Serverraum E G E D C B Allgemeiner Server C E I H B Server unter Windows 2000 C E E D H Art. 8 Archiv Modul Datensicherung und Archivierung Art. 4 Dokumentation Archivierung Server File/Print Herr Baumeister Herr Dacher Herr Jacobi Interviewpartner Systemadministration Server & Internet Archivverwalter R 210 Serverraum

15 Beispiel Abhängigkeitskaskade in der Strukturanalyse Automatisch generierte Erfassungstabellen Modellierung der Organisation - Abhängigkeitskaskade

16 Beispiel Auswirkungsanalyse in der Schutzbedarfsanalyse Automatisch generierte Risiko-Cockpits im Portal Automatisch generierte Risiko-Erfassungstabellen Risiko-Auswirkungsanalyse -> betroffene Geschäftsprozesse oder Für Geschäftsprozesse benötigte Infrastruktur

17 Beispiel Massnahmenmanagement im IT-Verbundmodell Automatischer Überblick über die der IT-Infrastruktur zugeordneten Massnahmen

18 Beispiel Massnahmenbegleitende kontrollierte Sensibilisierung Rapid Trainings auf Basis PowerPoint und Adobe Presenter Schnell erstellt Beziehen sich auf vorhandene Inhalte (generierte Dokumente, Weisungsportale, etc.) Lernzielkontrolle ist integriert über Quizzes und SCORM- / AICC-Kompatibilität

19 Beispiel Sicherheitskonzept Automatisch aus den Informationen der zentralen Plattform generiert! Enthält die benötigten Informationen für: Nachweis des ISMS Dokumentation für die IT-Revision Compliance mit GeBüV

20 Fazit: Informationssicherheitsmanagement bedeutet rechtsgültige Archivierung Eine zentrale Modellierung genügt und man erhält Eine generierte Sicherheitskonzeption und damit Den Nachweis des Informationssicherheitsmanagements Die Unterlagen für die IT-Revision Den Nachweis der Einhaltung der GeBüV Ein generiertes Weisungsportal und damit Die Grundlage für eine kontrollierte Ausbildung Cockpits

21 Vielen Dank für Ihre Aufmerksamkeit Gerne beantworten wir Ihre Fragen. Aus Gründen Ihrer Sicherheit