IT-Sicherheitsmanagement

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheitsmanagement"

Justus Bachmeier
vor 8 Jahren
Abrufe

1 Hagenberg Univ.-Doz.DI 1

2 Kennen Sie diese Situation? 2

3 Heute finden wir meist gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen... engagierte Einzelkämpfer... einen Schuldigen, wenn etwas passiert ist 3

4 Kritische Erfolgsfaktoren Ziele und Strategien festlegen Verantwortlichkeiten definieren potentielle Risiken und Schäden ermitteln risikogerechte und wirtschaftlich angemessene Sicherheitskonzepte erarbeiten adäquate Umsetzung in der Praxis Einhaltung und Weiterentwicklung im laufenden Betrieb Etablierung eines umfassenden und kontinuierlichen prozesses 4

Sicherheitskonzepte erarbeiten adäquate Umsetzung in der Praxis Einhaltung und

5 Welche Schritte sind notwendig? 5

6 Der IT-Sicherheitsprozess IT-Sicherheitspolitik Risikoanalyse Sicherheitskonzept Auswahl von Maßnahmen IT-Sicherheitsplan Umsetzung Realisierung der Maßnahmen Schulung und Awareness Lt. Österreichischem IT-Sicherheitshandbuch, Teil 1 Aufrechterhaltung Change Management Incident Handling 6

Realisierung der Maßnahmen Schulung und Awareness Lt.

7 Der IT-Sicherheitsprozess IT-Sicherheitspolitik Risikoanalyse Sicherheitskonzept Auswahl von Maßnahmen IT-Sicherheitsplan Umsetzung Realisierung der Maßnahmen Schulung und Awareness Ziele Strategien Rollen und Verantwortlichkeiten Klassifikation Leitlinien Aufrechterhaltung Change Management Incident Handling 7

Realisierung der Maßnahmen Schulung und Awareness Ziele Strategien Rollen und

8 Der IT-Sicherheitsprozess IT-Sicherheitspolitik Risikoanalyse Sicherheitskonzept Auswahl von Maßnahmen IT-Sicherheitsplan Umsetzung Realisierung der Maßnahmen Schulung und Awareness Grundschutz detaillierte RA kombinierter Approach Aufrechterhaltung Change Management Incident Handling 8

Realisierung der Maßnahmen Schulung und Awareness Grundschutz

9 Der IT-Sicherheitsprozess IT-Sicherheitspolitik Risikoanalyse Sicherheitskonzept Auswahl von Maßnahmen IT-Sicherheitsplan Umsetzung Realisierung der Maßnahmen Schulung und Awareness ausgewogener Mix Ressourcen Milestones Restrisiko Aufrechterhaltung Change Management Incident Handling 9

Realisierung der Maßnahmen Schulung und Awareness ausgewogener Mix

10 Der IT-Sicherheitsprozess IT-Sicherheitspolitik Risikoanalyse Sicherheitskonzept Auswahl von Maßnahmen IT-Sicherheitsplan Umsetzung Realisierung der Maßnahmen Schulung und Awareness Implementierung Akkreditierung Awareness Aufrechterhaltung Change Management Incident Handling 10

Realisierung der Maßnahmen Schulung und Awareness Implementierung

11 Der IT-Sicherheitsprozess IT-Sicherheitspolitik Risikoanalyse Sicherheitskonzept Auswahl von Maßnahmen IT-Sicherheitsplan Umsetzung Realisierung der Maßnahmen Schulung und Awareness Aufrechterhaltung Change Management Incident Handling Maintenance Change & Incident Management QM 11

Realisierung der Maßnahmen Schulung und Awareness Aufrechterhaltung

12 Sicherheit ist nicht ein einzelnes Produkt, sondern ein Prozess Bruce Schneier 12

13 Wo finde ich Hilfe bei der praktischen Umsetzung? 13

14 Leitlinien Österreichisches IT-Sicherheitshandbuch Teil Teil 1: 1: Sicherheitsmanagement Teil Teil 2: 2: Sicherheitsmaßnahmen IT-Grundschutzhandbuch (D) (D) Vorgehensweise Sicherheitsmanagement Grundschutzmaßnahmen ISO ISO Leitlinien (Code of of Practice) BS BS / A7799 Aufbau von von Sicherheitsmanagementsystemen Zertifizierung d. Sicherheit von IT-Systemen Zertifizierung von ISMS 14

ISO ISO 17799 Leitlinien (Code of of Practice) BS BS 7799-2 / A7799 Aufbau von von

15 ISO/IEC Best-Practice-Ansatz 10 Themenbereiche (control sections) 36 Sicherheitsziele (security objectives) für jedes Sicherheitsziel: ein oder mehrere Maßnahmen ("Kontrollen", security controls) insgesamt 127 Security control: Information security is achieved by implementing a suitable set of controls, which could be policies, practices, procedures, organizational structures and software functions. 15

insgesamt 127 Security control: Information security is achieved by implementing a suitable set of

16 ISO/IEC Die 10 Themenbereiche (control sections) Sicherheitspolitik Organisation der Sicherheit Klassifizierung und Kontrolle der Vermögenswerte Personelle Sicherheit Physische und umgebungsbezogene Sicherheit Management der Kommunikation und des Betriebes (communications and operations management ) Zugriffskontrollen Systementwicklung und Wartung Betriebliches Kontinuitätsmanagement (business continuity management) Einhaltung der Verpflichtungen (compliance) 16

Kommunikation und des Betriebes (communications and operations management ) Zugriffskontrollen Systementwicklung und

17 Zertifizierung eines ISMS BS : Specification for Information Security Management Systems (ISMS) Planung, Implementierung, Betrieb, Monitoring und Verbesserung eines ISMS kein internationaler Standard, aber nationaler Standard u.a. in GB, Japan, Australien, Schweden, Finnland,... und Österreich (A7799) Basis für Zertifizierung 17

Verbesserung eines ISMS kein internationaler Standard, aber nationaler Standard u.a. in GB, Japan, Australien, Schweden, Finnland,.

18 Weiterentwicklungen ISO BS ISO/IEC A BS A

19 Weiterentwicklungen ISO BS ISO/IEC ISO/IEC 17799:2005 BS ISO/IEC oder: neue Serie von Standards ISO ISO ISO ISO/IEC x:200? ISO y:200? metrics ISO z:200? risk assessment ( ) 19

Standards ISO 27001 ISO 27002 ISO 27003... ISO/IEC 17799-x:200?

20 als Grundlage für eine erfolgreiche IT-Prüfung und Wirtschaftsprüfung 20

21 Situation Buchhaltungen IT-basiert Prüfung der Ordnungsmäßigkeit der Buchhaltung umfasst auch Prüfung der Ordnungsmäßigkeit der IT KFS/DV1, KFS/DV2, IDW RS FAIT1, ISA Prüfungsanforderungen 401,... von Seiten IT ist integraler Bestandteil der Geschäftsprozesse der Wirtschaftsprüfer und Vertraulichkeit, Integrität, Verfügbarkeit der von internen Daten Revision/ und Services sind (über)lebenswichtig der Firmenleitung IT-Sicherheit und Ordnungsmäßigkeit als wichtige Voraussetzung für Bestand des Unternehmens Teil von Wirtschaftsprüfungen und Ratings Sarbanes Oxley, SAS 70, CobiT, Basel II, EU RL-Vorschlag 2004/0065, Solvency II,... 21

22 Cobit Überwachung Themen * Regelmässige Beurteilung aller IT-Prozesse *Einhaltung und Qualität der Kontrollen Themen * Effektive Ablieferung benötigter Dienstleistungen * Wirklich sicherer Betrieb inkl. Training * Aufstellung von Unterstützungsprozessen * Effektive Datenverarbeitung durch Anwendungen Betrieb & Unterstützung Informationen/Prozesse Kriterien (Ziele) Vertraulichkeit Verfügbarkeit Integrität Verlässlichkeit Effektivität Effizienz Einhaltung IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Beschaffung & Implementation Themen * Realisierung der IT-Strategie * Lösungen identifiziert, entwickelt oder beschafft und implementiert * Lösungen in den Geschäftsprozess integriert * Änderung und Unterhalt von Systemen Planung & Organisation Themen * Strategie und Taktik für die IT- Unterstützung * Erfüllung der Geschäftsanforderungen * Ausreichend geplant, kommuniziert und gemanaged * Korrekte organisatorische und technische Infrastruktur 22

23 Cobit COBIT = Control OBjectives for Information and related Technology "good-practices" im Rahmen eines Prozess-Modells Ein "Werkzeugkasten" für das Management Definierte Messungen (Ergebnis- und Leistungsmessungen für alle IT-Prozesse) Primär Revisions- und Controlling-Sichtweise mehrere Prozessbereiche jeweils mit definierten Kontrollzielen sowie zugeordnetem Reifegradmodell und vorgeschlagenen Messgrößen für den Prozess 23

24 Sarbanes Oxley Act (SOA, SOX) Anlässe: Firmenzusammenbrüche (Enron, Worldcom,...) Bilanzskandale : Beschluss Jänner 2003: Veröffentlichung von Erläuterungen ("Final Rules") Umsetzungsfristen ab Juni 2004 (Ablauf Geschäftsjahr) Ziele: Wiederherstellung des Vertrauens der Anleger in Rechnungslegung Schutz der Anleger Gültigkeit: direkt betroffen: alle an US-Börsen notierten Unternehmen auch für europäische Unternehmen, wenn sie an US-Börsen notieren indirekt: Tochtergesellschaften, Zulieferer 24

25 Sarbanes Oxley Act (SOA, SOX) Inhalt: Neuregelung der Verantwortlichkeiten der Unternehmensführung und der Wirtschaftsprüfer Sections : Bestimmungen für Wirtschaftsprüfer Sections 302, 404: vierteljährliche Bestätigung der Wirksamkeit der internen Kontrollen auch Kontrollen von operativen Prozessen persönliche Haftung des Managements für die Richtigkeit der Aussagen! 2004: Bericht des Managements über die internen Kontrollen ist Pflichtbestandteil des Jahresabschlusses Prüfung und Testat durch Wirtschaftsprüfer im Rahmen der jährlichen Abschlussprüfung erforderlich! 25

26 SAS 70 Reports Aufgrund von SOA müssen auch IT-Systeme der Service-Provider betrachtet werden peer-to-peer Review der internen Kontrollsysteme bei Service-Organisationen für viele Kunden ist kaum möglich Lösungsansatz: SAS 70 Reports (SAS... Statement of Accounting Standards) Einsatz: wenn Systeme oder Prozesse zu anderen Unternehmen oder Organisationen ausgelagert sind (Oursourcing) grundsätzlich gültig für USA Anwendung häufig auch außerhalb der USA 26

27 SAS 70 definiert Standards für die Prüfung des internen Kontrollsystems durch Auditoren Ziel: unabhängiger Prüfbericht, der Kunden einer Dienstleistungs-Organisation zur Verfügung gestellt wird. 2 Arten von Prüfungsberichten: Typ A: Reports on controls placed in operation Beschreibung der eingesetzten Controls Überblick, aber keine Prüfung und Bewertung Typ B: Reports on controls placed in operation and tests of operating effectiveness Beschreibung, Prüfung und Bewertung der Controls kritische Würdigung durch Prüfer des Kundenunternehmens 27

28 Zusammenhänge IT-Basis-Prozessmodelle Quelle: IT Security Lab 28

29 Resümee zunehmende Integration der IT in Unternehmensprozesse zunehmende Sicherheitsanforderungen Bedarf an definierten Vorgehensmodellen Sicherheitsmanagement-Prozess Basis für interne und externe Prüfungen Erhöhung von Qualität und Sicherheit 29

30 Warum haben wir eigentlich nie Zeit, die Sache richtig zu machen, aber immer Zeit, sie nochmal zu machen? Weinberg Danke für Ihre Aufmerksamkeit! 30

Ähnliche Dokumente

C R I S A M im Vergleich

C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799