Über den Sinn von Beziehungen

Transkript

1 Über den Sinn von Beziehungen IT-Dokumentation und IT-Sicherheit passen und gehören zusammen! Uwe Franz

2 Vorstellung procilon 1 Fakten, Historie & Vision 2 Übersicht Kernkompetenzen

3 Fakten, Historie & Vision Vorstellung procilon Gründung: 2001 Mitarbeiter: 54+ Zentrale: Taucha bei Leipzig Leipziger Straße Taucha bei Leipzig Telefon: Telefax: Niederlassung: Dortmund Londoner Bogen Dortmund Telefon:

4 Übersicht Kernkompetenzen ID Security Signaturkarten, neuer Personalausweis, Security-Sticks, NFC Konsolidierung von Benutzerverwaltungen, SingleSignOn Sicheres Identity Management Portal Technologies Integration von Applikationen Informationsbereitstellung Web 2.0 Technologien Communication Security , AS2, EGVP/OSCI D , EDI, HL7, XÖV Smartcard, FastnSave, Security-Appliance Integration in Fachapplikationen Archive Solutions Beweiswerterhaltung von Dokumenten u. Signaturen ArchiSIG, ArchiSafe TR / TR-ESOR TR / TR-RESISCAN Standardisierte - u. Dokumentenarchivierung

5 Übersicht Kernkompetenzen IT-Compliance Beachtung und Anwendung der Datenschutzgesetze Fragen des elektronischen Rechts- und Geschäftsverkehrs Spezielle arbeitsrechtliche Bezüge Externer Datenschutzbeauftragter IT Security Beratung zu IT-Sicherheit u. Sicherheitstechnologien IT-Sicherheits-Analysen, Schutzbedarfsanalysen, Risikoanalysen IT-Sicherheits Workshops BSI-Grundschutz Zertifizierungsvorbereitung nach ISO/IEC 27001

6 Unsere Angebote zur Umsetzung von IT-Sicherheitsstandards

7 Die heutigen Themen 1 Gesichertes Wissen ist die Voraussetzung für guten Schutz 2 Überschaubarkeit bei der Verwaltung von Infrastrukturen 3 Übernahme von Dokumentations-Daten 4 Stets aktueller Informationsstand auch bei Änderungen 5 Einfach und schnell Notfallpläne oder Statusberichte erstellen

8 Ausgangssituation Durch den komplexen Einsatz von IT zur Abbildung von Geschäftsprozesse entstehen Gefahren für das Unternehmen durch: unerkannte oder unbewusste Verstöße gegen gesetzliche Bestimmungen oder spezifischer Richtlinien und Regeln, unerlaubte externe und interne Zugriffe auf das Netzwerk und Daten, Missbrauch oder Verlust schützenswerter Daten auch durch Unwissenheit und Bedienfehler, die Behinderung oder Unterbrechung der Geschäftstätigkeit. Um sich vor strafrechtlicher Verfolgung, wirtschaftlichen Schäden sowie Verlust von Image und Wettbewerbsvorteilen zu schützen ist ein bestimmtes Maß an Informationssicherheit erforderlich.

9 Schutzziele Verfügbarkeit Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet werden. Integrität Daten dürfen nicht unbemerkt verändert werden, resp. es müssen alle Änderungen nachvollziehbar sein. Vertraulichkeit Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. Authentizität Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.

10 IT-Sicherheitsmanagement Präventive administrative Maßnahmen Compliance Check Monitoring Awareness Change Management Security Policy System Documentation Business Continuity Management IT-Service Continuity Management Desaster Recovery Management Clustering Virtualization Firewall Backup Alarmsystem Standby Equipment Raid Präventive Standby Site Access Control System technische Fire Suppressions Maßnahmen Antivirus Server Redundancy Snapschots Korrigierende administrative Maßnahmen Korrigierende technische Maßnahmen

11 Wie kann man sich schützen? Konzepte an denen sich ein Unternehmen orientieren und zertifizieren lassen kann: ISO ISO Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. IT-Grundschutz Als IT-Grundschutz bezeichnet man eine vom BSI entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheits-maßnahmen der unternehmenseigenen Informationstechnik (IT). Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme.

12 Einführung eines ISMS Die wichtigsten Fragen: Welche Ziele verfolgt die Organisation mit dem Betreiben eines ISMS? Welchen Bedarf an Informationssicherheit hat die Organisation? Welche Anforderungen stellt die Organisation an ein funktionierendes ISMS? Welchen Anwendungsbereich soll das ISMS anfänglich umfassen? Welcher Geschäftsplan liegt der ISMS-Einführung zugrunde? Die wichtigsten Einflüsse: gesetzlicher oder regulativer Randbedingungen, Vertraglicher Verpflichtungen, Geschäftsanforderungen, Sicherheitsanforderungen, Geschäftsprozessen, Maßnahmen, die sich nicht bewährt haben, Neue Risikoklassen, Neue Kriterien zur Akzeptanz von Risiken, Neue Maßnahmen, zur Vermeidung von Vorfälle

13 Erfassung und Darstellung von Objekten Definition der Ziele Was soll durch Informationssicherheit erreicht werden? Definition Informationsverbund Welche Bereiche sind dabei zu betrachten? Strukturanalyse Was für Objekte sind vorhanden und welche Merkmale haben sie? Übernahme von Daten aus unterschiedlichen Datenquellen: Abbildung der Objekte mit den notwendigen Merkmalen Editieren individueller Objekte aus den Standardobjekten Abbildung der Beziehungen zwischen den Objekten (CMDB) Automatische Anpassung bei Veränderungen Automatische Benachrichtigung bei Änderungen Aktueller Überblick über die Umsetzung

14 Schutzbedarfsanalyse und Modellierung Schutzbedarfsfeststellung Welche Gefährdungen gibt es und wie wahrscheinlich ist ein Schadensfall? Modellierung Welche Maßnahmen sind in den gebildeten Gruppen umzusetzen? Basissicherheitscheck Ist das geforderte Sicherheitsniveau erreicht, ist eine ergänzende Sicherheitsanalyse erforderlich und welche Maßnahmen sind noch nicht umgesetzt?

15 Definition und Umsetzung von Maßnahmen Ergänzende Sicherheitsanalyse Gibt es Objekte mit erhöhten Schutzbedarf und müssen diese besonders analysiert werden? Risikoanalyse Gibt es Objekte für die Maßnahmen lt. Standardkatalog zur Abwendung von Schäden nicht reichen und wurde dafür eine Risikoanalyse angeordnet?

16 Darstellung und Nachweis Realisierung Welche Maßnahmen wurden ausgewählt und wurden diese priorisiert? Wurde ein Zeitplan aufgestellt und stehen die notwendigen Ressourcen zur Verfügung? Überprüfung Welcher Stand der Umsetzung wurde erreicht? Gibt es neue Anforderungen an die Informationssicherheit? Wurden Maßnahmen abgesetzt und neue festgelegt?

17 Erfüllung der Anforderungen bei Veränderungen Änderung der IT-Struktur Müssen neue Objekte den vorhandenen Gruppen zugeordnet werden, welche Objekte wurden geändert? Änderung der Anforderungen Sind neue Maßnahmen erforderlich, sind neue Gruppen zu schaffen, ist eine Reorganisation der Gruppen erforderlich?

18 Womit arbeitet procilon

19 i-doit Das Werkzeug zur Dokumentation und Erfüllung der Sicherheitsanforderungen nach BSI-Grundschutz Mit der Nutzung von i-doit können Sie sich einen umfassenden Überblick über die IT-Sicherheit verschaffen und bei der Lösung der folgenden Aufgaben unterstützen: Dokumentation von gängigen und frei editierbaren IT-Geräten Dokumentation aller Konfigurationsdaten zu den Geräten Darstellung von Abhängigkeiten zwischen IT-Systemen und Diensten Modellierung von IT-Services Schaffen einer ITIL-konformen CMDB Konsolidieren der technischen Betriebsdokumentation Übernahme von Daten aus verschiedenen Quellen Konsolidieren der Daten für das IT-Servicemanagement Nutzen des BSI Grundschutzes zur Bewertung der IT-Sicherheit Darstellung der Ergebnisse der Analyse

20 Grundsätzlicher Aufbau i-doit pro Dokumentations- und CMDB-Lösung für kleine und große IT-Umgebungen VIVA-Modul (Sicherheit) Dokumente-Modul JEDI-Modul (Discovery) RfC-Modul (Change) Analyse-Modul i-doit und VIVA sind essentieller Teil eines Information Security Management System (ISMS)

21 Zum Schluss Résumé

22 Positive Nebeneffekte durch Informationssicherheit Mit Hilfe der Informationssicherheit werden gesetzliche, vertragliche und andere Anforderungen umgesetzt und damit Governance und Compliance unterstützt. Durch ein nachgewiesenes Informationssicherheitsmanagement ergeben sich Wettbewerbsvorteile, denn es schafft mehr Vertrauen bei Kunden, Geschäftspartnern und Mitarbeitern. Da sich Informationssicherheit an den Geschäftsprozessen orientiert, werden durch Erfolgskontrollen häufig Verbesserungspotentiale für interne Abläufe und Prozesse aufgezeigt, die sich auf den effizienten Einsatz von Ressourcen auswirken. Durch das Informationssicherheitsmanagement werden regelmäßig organisatorische und technische Änderungen überprüft und dokumentiert, wodurch die permanente Einhaltung und Gewährleistung eines effizienten und hohen Sicherheitsniveaus nachgewiesen werden kann. Mit einem Informationssicherheitsmanagement auf der Basis anerkannter Standards werden die grundlegenden Voraussetzungen für eine mögliche Zertifizierung nach DIN ISO/IEC 2700x oder BSI-Grundschutz geschaffen.

23 Warum mit der procilon GROUP? Über Kunden setzen Lösungen der procilon GROUP zum sicheren Datenaustausch und zur Aufbewahrung von Dokumenten ein. Langjährige Erfahrungen bei der Abbildung branchenspezifischer Prozesse in der Informationssicherheit, Nutzung der Synergie aus Lösungsentwicklung, Prozessberatung und Infrastrukturprojekten, Durchführung der Projekte zur Einführung von IT- Sicherheitsstandards auf der Basis anerkannter Standards, Hohe Flexibilität in der Leistungserbringung

24 Vielen Dank für Ihre Aufmerksamkeit! procilon GROUP Leipziger Straße Taucha bei Leipzig Tel: Fax: Londoner Bogen Dortmund info@procilon.de