Informationssicherheits- Management

Transkript

1 Elektronische Zahlungssysteme und Sicherheit Informationssicherheits- Management Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 1

2 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 2

3 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 3

4 Bedeutung der Informationen Arbeit Arbeit Kapital Kapital Unternehmen Boden Boden Information Information Marktchancen Missbrauch Risikopotential Geldkanäle Geldkanäle als als Objekt Objekt der der Begierde Begierde z.b z.b Beeinträchtigung Beeinträchtigung von von Geschäftsprozessen Geschäftsprozessen Umleitung/Manipulation Umleitung/Manipulation von von Transaktionen Transaktionen Erlangen Erlangen von von Kunden- Kundenund und Unternehmensinformationen Unternehmensinformationen elektronische elektronische Vertriebskanäle Vertriebskanäle z.b. z.b. Online Online Banking, Banking, Portale, Portale, externes externes Hosting, Hosting, RAS RAS Kommunikation Kommunikation ( ) ( ) wachsende wachsende Komplexität Komplexität lokale, lokale, globale globale Vernetzung Vernetzung technologische technologische Veränderungen Veränderungen Informationen sind heute neben Arbeit, Boden, Kapital der vierte bedeutende Produktionsfaktor für Unternehmen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 4

5 Sicherer Umgang mit Informationen Wettberwerbsentscheidend Schutz finanzieller Interessen Kunde erwartet korrekte und vertrauliche Abwicklung Unternehmen hat Anspruch auf Schutz von Vermögen und Eigentum Persönlichkeitsschutz Recht jeder Person über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu entscheiden (BDSG=BundesDatenSchutzGesetz) Schutz vor Imageverlust Verlorenes Vertrauen der Kunden Ruf des Unternehmens Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 5

6 Ausgangslage Geschäftsleitung trägt die Gesamtverantwortung für die Wettbewerbs- und Funktionsfähigkeit des Unternehmens. Sie haftet bei (grober) Fahrlässigkeit auch mit dem privaten Vermögen. Abhängigkeit von funktionsfähiger IT in den meisten Unternehmen systematisch unterschätzt! IT besitzt selten den angemessenen Stellenwert, IT-Sicherheit beschränkt sich oft auf einzelne technische Schutzsysteme wie Firewalls Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 6

7 Verpflichtung des Vorstandes zum Risikomanagement Deutscher Gesetzgeber hat in 81 und 91 AktG festgehalten, dass Früherkennungsmaßnahmen einzuführen sind und ein System zur Überwachung des Risikomanagements einzurichten ist (vgl. KontraG) In Österreich: Umsetzung in das Aktiengesetz und das GmbH-Gesetz durch das IRÄG 1997 (Einrichtung eines internen Kontroll-systems) Prüfung durch Aufsichtsrat und Wirtschaftsprüfer Beurteilung dieses Frühwarnsystems ist auch vor dem Hintergrund des 273 Abs 2 HGB wichtig Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 7

8 Warum IT-Sicherheitsmanagement? Langfristige Sicherung der Geschäftsgrundlage Umsetzung eines (auch wirtschaftlich) angemessenen Sicherheitsniveaus Schutz vor Gefährdungen von außen und innen Vermeidung von Straftaten durch Mitarbeiter oder Hacker Schutz personenbezogener Daten Erfüllung weiterer Verpflichtungen: TKG, KWG (BWG) Erfüllung vertraglicher Verpflichtungen Erfüllung Verpflichtungen aus Unternehmensrecht: AktG, GmbHG, HGB ordnungsgemäße Buchführung Basel II Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 8

9 IT-Sicherheitsmanagement Wachsende Anforderungen an die Informationstechnik Komplexität ständig gewachsen angemessenes IT-Sicherheitsniveau erfordert geplantes und organisiertes Vorgehen aller Beteiligten Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen ist somit ein durchdachter und gesteuerter IT-Sicherheitsprozess. Diese Planungs- und Lenkungsaufgabe wird als IT- Sicherheitsmanagement bezeichnet. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 9

10 Struktur IT-Sicherheitsmanagement Einbettung IT-Sicherheitsmanagement in die existierenden Managementstrukturen einer jeden Organisation Unmöglich, eine für jede Organisation unmittelbar anwendbare IT-Sicherheitsmanagement-Struktur anzugeben Vielmehr werden häufig Anpassungen an organisationspezifische Gegebenheiten erforderlich sein. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 10

11 IT-Sicherheitsprozess Erstellung einer IT-Sicherheitsleitlinie Aufbau einer geeigneten Organisationsstruktur für IT- Sicherheit Erstellung einer Übersicht über vorhandene IT-Systeme Erstellung eines IT-Sicherheitskonzepts Umsetzung des IT-Sicherheitskonzepts nach einem Realisierungsplan Dokumentation des IT-Sicherheitsprozesses Erstellung eines Schulungskonzepts für IT-Sicherheit Sensibilisierung der Mitarbeiter für IT-Sicherheit Erstellung von Managementreports zur IT-Sicherheit Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 11

12 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 12

13 Gesetzliche/regulatorische Einflüsse auf Geschäftsleitungen/IT Entscheider Geschäftsleitung/ IT-Entscheider Vertragliche Regelungen KonTraG... Sicherheitsziele BGB AktG GmbHG HGB StGB DSG BAsel II Individueller Geschäftszweck Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 13

14 Externe Vorgaben BDSG GoB MaIR MaH MaK GDPdU AktG ISO ISO/TR HGB FAIT 1 Unternehmen Commerzbank AO GoBS Basel II KontraG FAIT 2 IDW PS 330 IDW PS 720 IAS KWG BSI... Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 14

15 Externe Vorgaben GoB MaIR MaH MaK GDPdU AktG Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute (MaIR) HGB BAFin, Grundlage ISO/TR 25a Abs. 1 Nr. 2 KWG und Abs. 2 AktG FAIT 1 IDW PS 330 Internes FAIT Kontrollsystem 2 Interne Revision Unterneh mung Unternehmen Internes Kontrollverfahren ( Internes Überwachungssystem ) = IDW PS 720 IAS KWG AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 15

16 Externe Vorgaben GoB MaIR MaH MaK GDPdU AktG ISO/TR Mindestanforderungen an das Kreditgeschäft (MaK) BAFin HGB Funktionstrennung FAIT 1 FAIT 2 IDW PS 330 Unterneh mung Unternehmen Dokumentation: Nachvollziehbarkeit der Geschäfte Leistungsfähigkeit der techn. org.ausstattung Funktionsfähigkeit der Datenbanken Schriftliche Notfallplanung Internes Kontrollsystem IDW PS 720 IAS KWG AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 16

17 Externe Vorgaben ISO 17799, British MaH GoB MaIRStandard 7799 MaK GDPdU Aufbau eines AktG IT-Sicherheitsmanagements + HGB Unterneh Verankerung in der Organisation mung ISO/TR FAIT 1 FAIT 2 IDW PS 330 Unternehmen Norm zur begutachtenden Wertung der Sicherheit von IT-Systemen Prüfstandard für das Management der IT-Sicherheit IDW PS 720 IAS KWG AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 17

18 Externe Vorgaben AktG ISO/TR Basel GoB II HGB FAIT 1 MaIR MaH Bedeutung der internen Kontrollsysteme für das Risikomanagement Operationelles Risiko Unterneh mung Unternehmen MaK die Gefahr von unmittelbaren oder mittelbaren Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und IDW Systemen oder PS von 330 externen Ereignisse IAS eintreten Messung FAIT 2 (Advanced IDW Measurement PS Approach) 720 Neu: explizite Eigenkapitalanforderung KWG GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 18

19 Externe Vorgaben AktG Gesetz MaH GoB zur Kontrolle und Transparenz FAIT 1 FAIT 2 MaIR im Unternehmensbereich (KontraG) 91 Abs. 2 AktG - Risikofrüherkennungssystem IDW PS 330 IAS MaK HGB Unterneh Unternehmen s.a. 317 HGB Risiken mung der zukünftigen Entwicklung zutreffend darstellen. ISO/TR s.a. 289 HGB auf die Risiken der zukünftigen Entwicklung eingehen. IDW PS 720 KWG GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 19

20 Externe Vorgaben MaH GoB Bundesamt für Sicherheit in der AktG Systeme HGB mit normalem Schutzbedarf Unternehmen ISO/TR FAIT 1 FAIT 2 MaIR Unterneh mung IDW PS 720 MaK Informationstechnik: IT-Grundschutz Standardsicherheitsmaßnahmen für typische IT- Darstellung der pauschal angenommenen Gefährdungslage Maßnahmenbeschreibungen als Umsetzungshilfe Beschreibung des Prozesses IDW zum Erreichen und PS 330 IAS Aufrechterhalten eines angemessenen IT- Sicherheitsniveaus KWG Verfahrensweise zur Ermittlung des erreichten IT- Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 20

21 Externe Vorgaben GoB In Österreich: AktG ISO/TR HGB FAIT 1 MaIR MaH MaK Bundesministerium für Inneres: Österreichisches IT-Sicherheitshandbuch IDW organisatorischer, personeller, PS 330 infrastruktureller IAS und FAIT 2 Unterneh mung Teil 1: IT-Sicherheitsmanagement Unternehmen Etablierung eines umfassenden und kontinuierlichen IT-Sicherheitsprozesses Teil 2: IT-Sicherheitsmaßnahmen Grundlegende Sicherheitsmaßnahmen auf technischer Ebene IDW PS KWG GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 21

22 Externe Vorgaben MaIR Kreditwesengesetz GoB (KWG) MaH MaK GDPdU 25 a KWG - Besondere Organisatorische Pflichten von KI AktG Regelungen HGB Unterneh Unternehmen AO mung zur Steuerung, Überwachung + Kontrolle der Risiken ISO/TR anhand derer sich die finanzielle Lage des Instituts jederzeit mit hinreichender Genauigkeit bestimmen lässt FAIT 1 FAIT 2 IDW PS 330 IDW PS 720 IAS KWG GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 22

23 Externe Vorgaben AktG ISO/TR GoB FAIT 1 FAIT 2 MaIR IDW PS 330 MaH IAS MaK IDW Prüfungsstandard 720 (IDW PS 720) Unterneh mung IDW PS 720 KWG GDPdU GoBS BSI ISO Fragenkatalog zur Prüfung der Ordnungsmäßigkeit der Geschäftsführung und der wirtschaftlichen Verhältnisse nach 53 HGB Unternehmen AO Haushaltsgrundsätzegesetz (HGrG) Fragenkatalog zum Risikomanagementsystem Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 23

24 Externe Vorgaben Grundsätze MaH GoB ordnungsmäßiger MaIR Buchführung MaK bei Einsatz von GDPdU Electronic Commerce (IDW ERS FAIT 2) Besondere AktG IT-Risiken aus der Kommunikation HGB aus der Verarbeitung ISO/TR FAIT 1 FAIT 2 IDW PS 330 Unterneh mung Unternehmen IDW PS 720 IAS KWG AO GoBS BSI ISO Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 24

25 Externe Vorgaben AktG ISO/TR GoB HGB FAIT 1 MaIR IDW PS 330 MaH Unternehmen IAS MaK ISO Technical Committee ISO/TC 68, Subcommittee SC 2 Security Management GDPdU AO ISO Technical Report ISO/TR 13569, , Banking and related financial services Basel II Beschreibt Komponenten eines Sicherheitskonzeptes KontraG GoBS mit der Umsetzung beschäftigte Tätigkeitsprofile FAIT 2 Unterneh mung Information security guidelines: IDW PS 720 KWG BSI Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 25

26 Externe Vorgaben AktG ISO/TR GoB HGB FAIT 1 FAIT 2 MaIR IDW PS 330 MaH Unternehmen IDW PS 720 IAS MaK AktG 91 Organisation. Buchführung GDPdU vom / nach dem Stand des Gesetzes vom (1) Der Vorstand hat dafür zu sorgen, daß die erforderlichen Handelsbücher geführt werden. Unterneh mung KWG AO GoBS BSI ISO (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 26

27 Externe Vorgaben AktG ISO/TR GoB HGB FAIT 1 MaIR MaH MaK GDPdU Der Vorstand hat dafür zu sorgen, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den ISO Anforderungen des Unternehmens entsprechen AktG Rechnungswesen 22 GmbHG IDW PS 330 Commerzbank Basel II Die Geschäftsführer haben dafür zu sorgen, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, KontraGdie GoBS den Anforderungen des Unternehmens entsprechen FAIT 2 Unterneh mung IDW PS 720 IAS KWG AO BSI Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 27

28 Externe Vorgaben <=> Sicherheitsziele Funktionstrennung User Access Rights, Access Control Nachvollziehbarkeit Audit Trail Authentifikation kontrollierter Zugang Nachvollziehbarkeit nachweisbar Dokumentation, Changes, PEV Internes Kontrollsystem, Risc Control Reconciliation Business Continuity, Disaster Recovery Performance Datenschutz Integrität fälschungssicher Verfügbarkeit Durchsatz Vertraulichkeit abhörsicher Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 28

29 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 29

30 Interne Umsetzung externer Vorgaben GoB MaIR MaH MaK GDPdU AktG ISO/TR HGB FAIT 1 IT-Sicherheits- Commerzbank Policy, -Richtlinien und -Verfahrensanweisungen AO GoBS ISO Basel II KontraG FAIT 2 IDW PS 330 IDW PS 720 IAS KWG BSI Gelb : Grün : bereits besprochen Beispiele für weitere Vorgaben Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 30

31 Security Policy Folgende Inhalte sollten enthalten sein: Zweck der Policy Geltungsbereich Begriffsdefinitionen Sicherheitsziele Beschreibung des Security Teams Aufgaben, Verantwortungen, Rechte und Rollen Pflichten der einzelnen Rollen Mögliche Sanktionen Mögliche Sanktionen Beschreibung der Sicherheitsniveaustufen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 31

32 Security Policy Die Security Policy ist die Verfassung und muss daher langlebig sein. Die konkreten, evtl. kurzlebigeren Gesetze (z.b. welche konkreten Maßnahmen und Produkte eingesetzt werden) werden in separaten Richtlinien definiert. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 32

33 Einordnung der Dokumente Warum (business goals and directions) Was Policy Richtlinien Ebene 1 Ebene 2 Wie Verfahrensanweisungen Ebene 3 IT Sicherheitshandbücher Leitfäden,Standards...etc. unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 33

34 Policy definiert die übergeordneten Grundlagen Verbindlicher Rahmen Kernthemen Zielgruppen Sicherheitsziele Angemessenheit Einhaltung Policy Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 34

35 IT Sicherheitsrichtlinien (1) Grundlegende Richtlinien IT Sicherheitsorganisation IT Sicherheitsmanagement Business Continuity Management Allgemeine Richtlinien IT Sicherheit am Arbeitsplatz Mobile Computing Kommunikation und physische Mediensicherheit Richtlinien Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 35

36 IT Sicherheitsrichtlinien (2) Spezielle Richtlinien für AE und Produktion Physische IT-Sicherheit IT-Benutzerverwaltung Firewall Richtlinie IT-Sicherheitsbetrieb Netzwerksicherheit Verschlüsselungsverfahren und Schlüsselmanagement IT-Sicherheitsanalyse und IT- Sicherheitsprotokollierung Virenschutz IT-Sicherheit von Software bei Entwicklung, Einsatz und Wartung Richtlinien Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 36

37 Verfahrensanweisungen IT Sicherheit (übergreifend) Sicherheitsvorgaben Windows NT Sicherheitsvorgaben Windows NT Server Sicherheit RZ Krisenmanagement UNIX Sicherheit Set of Rules Open VMS Security... Verfahrensanweisungen Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 37

38 Leitfäden, Handbücher etc. Entwicklung sicherer Web Anwendungen Leitfaden generisches Sicherheitskonzept Sicherheit Netz-WAN Erläuterungen zu Verschlüsselungsverfahren und Schlüsselmanagement Leitfaden zu den Richtlinien der IT Sicherheit... IT Sicherheitshanbücher:...Leitfäden, Standards...etc Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 38

39 IT-Security-Richtlinien: Überblick Organization and Definitions of IT Security Policy IT-Security Guideline IT-Security Organization Guideline IT- Security Management IT End User Guideline Mobile Computing Guideline Communications- and physical Media Security Guideline IT-Security at the Workplace Project Management Production Management Guideline Business Continuity Management (BCM) Guideline Physical IT Security Guideline IT User Administration Guideline IT Security of Software during Development, Installation and Maintenance Guideline IT Security Operations Guideline Network Security Guideline Firewall Guideline Encryption Methods and Key Management Guideline IT Security Analysis and Security Logging Guideline Virus Protection Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 39

40 Umsetzung der Vertraulichkeit Admission Control Guideline Physical IT-Security Zugangs- und Zugriffskontrolle (Authentifikation und Autorisation) inklusive Need to Know -Prinzip für Informationen Guideline IT-Benutzerverwaltung Vorgaben zum Umgang mit physischen Medien und zum Verhalten bei der Kommunikation Guideline Kommunikations- und physische Mediensicherheit Verschlüsselung Guideline Verschlüsselungsverfahren und Schlüsselmanagement Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 40

41 Umsetzung der Verfügbarkeit Datensicherung sowie Erstellen und Testen von IT-Notfallplänen Guideline Business Continuity Management (BCM) Sicherer und zuverlässiger Betrieb der IT-Systeme Guideline IT-Sicherheitsbetrieb Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 41

42 Umsetzung der Integrität Zugriffskontrolle inklusive 4-Augen -Prinzip Guideline IT-Benutzerverwaltung Korrekte Entwicklung, Implementierung, Inbetriebnahme und Änderung von Software und IT-Systemen Guideline IT-Sicherheit von Software bei Entwicklung, Einsatz und Wartung Einsatz elektronischer Signaturen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 42

43 Umsetzung der Authentizität Authentifikation Guideline IT-Benutzerverwaltung Erzwungener Passwortwechsel Einsatz elektronischer Signaturen und Zertifikate auf Software- auf Hardware-Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 43

44 Umsetzung der Nachvollziehbarkeit Protokollierung und Auswertung von sicherheitskritischen Ereignissen Guideline IT-Sicherheitsanalyse und IT-Sicherheitsprotokollierung Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 44

45 Weitere Technische Maßnahmen zur Umsetzung der IT- Security-Guidelines Einsatz von Firewalls und Kommunikationssicherheit Guideline Netzwerksicherheit Guideline Firewall Einsatz von Virenscannern Guideline Virenschutz Einsatz von Intrusion Detection Systemen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 45

46 Organisatorische Maßnahmen zur Umsetzung der IT- Security-Guidelines Etablierung eines Sicherheitsprozesses Guideline IT-Sicherheitsmanagement Guideline IT-Sicherheitsorganisation 4-Augen -Prinzip Unterschrift, Kontrollliste Pflicht zur Pflege der Dokumentation Sicherheitskonzept Gezielte, aufgabenbezogene Schulung von Mitarbeitern... Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 46

47 IT-Security-Guidelines: Relevanz Gültigkeit weltweit für gesamten Konzern Grundsätzlich bindend für jeden! Interne, externe Mitarbeiter Mitarbeiter externer Partner, Dienstleister Verbindlich als Prüfungsgrundlage für interne und externe Audits Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 47

48 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 48

49 IT-Sicherheitsorganisation Definition des Rahmen der internen Umsetzung Steuerung, Überwachung, Fortentwicklung, Reporting, Management Schaffung klarer Verantwortungsregelungen systematische Erfassung und Eindämmung von IT spezifischen Risiken Festlegung eines unternehmensspezifischen IT Sicherheitsniveaus Einheitliche Dokumentation der organisatorischen und technischen Schutzmaßnahmen Etablierung von Schulungs-/Sensibilisierungsmaßnahmen Sicherstellung eines laufenden Sicherheitsprozesses Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 49

50 Zentrale IT-Sicherheitsorganisation Erstellung Policy, Richtlinien und übergreifende Verfahrensanweisungen Technische Analysen Votierung von Abweichungen zu zentralen Vorgaben Beratung und Unterstützung der Projekte Themen mit MaH, BCC und Basel II Relevanz Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 50

51 Beispiel: Organisationsstruktur IT-Security Senior- Management (..., CIO) Richtlinien entscheiden IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) Richtlinien vorbereiten Central IT security organization IT Security Council Officers CISO, Z-LSO's, CSO's Richtlinien umsetzen Decentralized division Unternehmensbereich 1 (Z-LSO) Decentralized division Unternehmensbereich 2 (Z-LSO) Decentralized division' 'n' (Z-LSO 'n') Infrastructure/Technology Support... CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 51

52 Organisationsstruktur IT-Security Richtlinien entscheiden Richtlinien vorbereiten Richtlinien umsetzen übergreifende Adressierung Senior- Management IT sicherheitsrelevanter (..., CIO) Themen Bestätigung des empfohlenen IT Sicherheitsniveaus Entscheidung bei Dissensthemen Central IT security organization Decentralized Eskalationsgremium division Decentralized der division IT Unternehmensbereich 1 (Z-LSO) Unternehmensbereich 2 Sicherheitsorganisation (Z-LSO) IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) IT Security Council Officers CISO, Z-LSO's, CSO's Decentralized division' 'n' (Z-LSO 'n') Infrastructure/Technology Support... CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 52

53 Organisationsstruktur IT-Security Richtlinien entscheiden Richtlinien vorbereiten Richtlinien umsetzen Festlegung von Senior- Management Kernprozessen in (..., der CIO) IT Sicherheit Empfehlung des IT Sicherheitsniveaus an IT Security Board Festlegung des Rahmens Unternehmensbereich 1 Central IT security organization und der Inhalte des Sicherheitslageberichts Priorisierung vom Decentralized division Maßnahmen Decentralized division Unternehmensbereich 2 (Z-LSO) (Z-LSO) Inhaltliche Freigabe neuer/modifizierter Richtlinien Infrastructure/Technology Support... IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) IT Security Council Officers CISO, Z-LSO's, CSO's Decentralized division' 'n' (Z-LSO 'n') CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 53

54 Organisationsstruktur IT-Security Richtlinien entscheiden Richtlinien vorbereiten Richtlinien umsetzen Koordination und Senior- Management Unterstützung der (..., CIO) operativen Umsetzung Aktive Steuerung hinsichtlich Einhaltung und Umsetzung von Vorgaben Status IT Sicherheit an Zentrale IT- Unternehmensbereich 1 Central IT security organization Sicherheitsorganisation ständiges Mitglied im IT Decentralized Security division Council direkte Anweisung zu Decentralized division Unternehmensbereich 2 Umsetzung (Z-LSO) und Einhaltung (Z-LSO) der IT-Sicherheitsvorgaben an die Mitarbeiter in der OE Infrastructure/Technology Support... IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) IT Security Council Officers CISO, Z-LSO's, CSO's Decentralized division' 'n' (Z-LSO 'n') CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 54

55 Der IT-Sicherheitsbeauftragte als... Ansprechpartner in allen Fragen zum Thema IT-Security; Unterstützung bei der Umsetzung der Sicherheitsvorgaben im Projektablauf, beispielsweise bei der Erstellung von Sicherheitskonzepten; Koordinator und Gehmigungsinstanz, falls Ausnahmeanträge zu bestehenden IT-Sicherheitsrichtlinien notwendig sind; Vermittler in strittigen Fragen zum Thema IT-Security zwischen OE und Zentraler Sicherheitsabteilung sowie OE-interne Anlaufstelle für dessen Mitarbeiterinnen und Mitarbeiter bei sicherheitsrelevanten Beobachtungen und Vorfällen. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 55

56 In the end... If you don t write a policy, you re under risk. If you do write a policy and you don t follow it, you re under more risk Candy Security : Complex controls in operation Virus Protection Firewalls etc. Don t forget the back door! Human Error, HOAX Social Engineering Quelle: Austin Hill, Zero Knowledge Systems Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 56