Informationssicherheit

Größe: px

Ab Seite anzeigen:

Download "Informationssicherheit"

Victoria Holzmann
vor 10 Jahren
Abrufe

1 Informationssicherheit Levent Ildeniz Informationssicherheitsbeauftragter 1

2 Der erste Eindruck << Bei uns ist noch nie was passiert! >> Sind Sie sicher? Woher wissen Sie das? 2

3 Der erste Eindruck << Was soll bei uns schon zu holen sein?>> << Wir haben nichts zu verbergen!>> Wie viel Wert hat Ihr Unternehmen? Wie viel Ausfall können Sie sich leisten? 3

5 Blick Online

6 Informationspannen & Datenunfälle

7 Informationspannen & Datenunfälle Hacker greifen EDA-Computer an

9 Informationspannen & Datenunfälle Mai 2014

10 Die ESTV auf einen Blick Die Eidgenössische Steuerverwaltung (ESTV) beschafft den grössten Teil der Bundeseinnahmen. Sie trägt dazu bei, dass der Bund seine öffentlichen Aufgaben wahrnehmen kann. Personalbestand ca MA 10

11 Auf einen Blick Einnahmen 2013 Steuereinnahmen ESTV: 49,1 Mrd. CHF 12% 4% 0% Mehrwertsteuer Direkte Bundessteuer 46% Verrechnungssteuer 38% Stempelabgaben Wehrpflichtersatzabga be Gesamteinnahmen Bund: 65 Mrd. 11

12 Rechtmässigkeit in Zahlen Jährlich Verarbeitung Abrechnungen Zustellung Mahnungen (MWST) Verarbeitung Deklarationsformulare (Verrechnungssteuer/Stempelabgaben) Bearbeitung Fragebogen Steuerpflicht (MWST) Kontrollen von Betrieben Seit neue Steuerstrafuntersuchungen (Art. 190 Bundesgesetz über die direkte Bundessteuer) 12

(Verrechnungssteuer/Stempelabgaben) Bearbeitung 40 000 Fragebogen Steuerpflicht (MWST) 16

13 Kompetenz in Zahlen Jährlich Über Seitenaufrufe auf den Online- Steuerrechner. Ca. 1 Mio. Seitenaufrufe ESTV. Verarbeitung von 4,7 Mio. Datensätze von natürlichen Personen und Datensätze juristischer Personen für Steuerstatistiken. Publikation von Studien zu Steuerfragen Beantwortung Dutzender parlamentarischer Vorstösse. 13

Datensätze von natürlichen Personen und 300 000 Datensätze juristischer Personen für

14 Was ist Informationssicherheit 14

15 Was ist Informationssicherheit Schutz des Wissens und des Können (Know How) eines Unternehmens/Behörde Schutz vor Gefahren, Bedrohungen und Schäden Minimieren von Risiken Wahrung von Integrität, Vertraulichkeit, Nachvollziehbarkeit und des Datenschutzes 15

Gefahren, Bedrohungen und Schäden Minimieren von Risiken

16 Informationssicherheit als Prozess Planen Initiieren Aufbauen Implementieren Umsetzen Operativ Plan Do Act Check Wartung Verbesserung Optimierung Überprüfen Überwachen Controls 16

17 Informationssicherheit (Integraler Ansatz) Physische Sicherheit Rechtsgrundlagen Informatiksicherheit Risiko Management Datenschutz Informationsschutz Krisen Management (BCM) Arbeitssicherheit Gesundheit Personelle Sicherheit 17

Management Datenschutz Informationsschutz Krisen

18 Top Down Informationssicherheit (Sicherheit ist Chefsache) Strategische Ebene Sicherheitspolitik (GL) Ziele, Grundsätze und Verantwortung Taktische Ebene Konzepte Sicherheits- und Detailkonzepte (wie muss die Sicherheitspolitik umgesetzt werden) Operationelle Ebene Ausführungsbestimmungen Ausführungsbestimmungen (was muss gemacht werden) Die Initiative für IKT Sicherheit geht vom Management aus. 18

(wie muss die Sicherheitspolitik umgesetzt werden) Operationelle Ebene Ausführungsbestimmungen

19 Bedingungen zum erstellen eines Sicherheitskonzept ISM Phase 1 Unternehmensstrategie IKT - RISIKEN & Bedrohungslage Leistungserbringer Phase 2 IKT Strategie IKT- Sicherheitsstrategie Strategisch Taktisch Operativ Informationssicherheitspolitik [SiPo] IKT Sicherheitsorganisation [ISB / CISO] IKT Sicherheitsziele Sicherheitskonzept [SiKo] IKT Sicherheitsrichtlinie [BaSec ] Sicherheitsmassnahmen [SiKo & BaSec] IKT Weisungen / Vorgaben IKT Betrieb 19

Informationssicherheitspolitik [SiPo] IKT Sicherheitsorganisation [ISB / CISO] IKT Sicherheitsziele

20 Beispiel Ziele Informationssicherheit Ziel: Inventarisierung und Klassifizierung von Schutzobjekten Beschreigung: Die Schutzobjekte der Firma XY AG müssen im Sinne von Wert, Sensitivität und ihrer Bedrohung (z.b. Cyberrisiken) unter Berücksichtigung von gesetzlichen Grundlagen definiert, inventarisiert und klassifiziert werden. Pro Schutzobjekt existiert eine verantwortliche Person. Diese Personen werden Schutzobjekteigner genannt (Beispiel: Anwendungs-, Geschäftsprozess-, Produktverantwortliche). Die Schutzobjekteigner werden durch die Abteilungen.. gestellt. Die Abteilung z.b. Direktion führt ein Verzeichnis. 20

Cyberrisiken) unter Berücksichtigung von gesetzlichen Grundlagen definiert, inventarisiert und klassifiziert werden.

21 Informationsschutz Veröffentlicht Allgemein bekannt Nicht schutzwürdige Informationen Schutzwürdig - aber nicht klassifiziert Geschäftskritische Informationen (Landeswichtig) GEHEIM VERTRAULICH INTERN Amts-, Berufs- und Geschäftsgeheimnis (StGB) Beschaffungswesen (WTO) Privatbereich (ZGB, OR, DSG) Weitere, z.b. BPG, Steuergesetze, Bankgesetz (ISchV) Informationspolitik(BGÖ) 21

22 Klassifizieren von Informationen 22

23 Informations-Sicherheit 4 Säulen Prinzip Vertraulichkeit Datenschutz Rechtsgrundlagen Informationsschutz Ermittlung Schutzbedarf Integrität Unveränderbarkeit Datensicherheit Verfügbarkeit Vorsorge KaVor Infrastruktur Nachvollziehbarkeit nicht Abstreitbarkeit Revisionsfähigkeit 23

24 Einstufung Schutzbedarf 24

25 Einstufung Schutzbedarf 25

26 Umsetzung IKT-Sicherheit in Projekten 26

27 Massnahmen IKT-Sicherheit Administrative Massnahmen Physische Mass-nahmen Technische Massnahmen 27

28 Administrative Massnahmen 28

29 Technische Massnahmen 29

30 Physische Massnahmen 30

31 Mögliche Bedrohungen Externe Bedrohungen Interne Bedrohungen Hacker / Cracker Geheimdienste Erpresser Organisierte Kriminalität Wettbewerber Umwelt / Natur Eigene Mitarbeiter Ehemalige Mitarbeiter Externe Mitarbeiter Freaks DAUs Wichtig : Bedrohungen lassen sich nicht kontrollieren und verändern sich ständig 31

32 Erste Schritte 1 Ziele definieren Rahmenbedingung 2 3 Sicherheitsstrategie Hilfsmittel zur Umsetzung Bekenntnis, Dokumentation 32

33 Erste Schritte 1 Gefahren erkennen Gefährdungskatalog erstellen 2 3 Risiken bewerten Massnahmen einleiten Risiken tragen, Adressieren 33

34 Einige Gefahren / Risiken Technisches Versagen Vorsätzliche Handlungen Menschliches Fehlhandlungen Org. Mängel Höhere Gewalt 34

35 Fragen Herzlichen Dank für Ihre Aufmerksamkeit 35

Ähnliche Dokumente

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen