Praktizierter Grundschutz in einem mittelständigen Unternehmen

Größe: px

Ab Seite anzeigen:

Download "Praktizierter Grundschutz in einem mittelständigen Unternehmen"

Fabian Pfeiffer
vor 8 Jahren
Abrufe

1 Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag,

2 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz

3 Die BoGeStra Verkehrsunter- nehmen im östlichen Ruhrgebiet Kooperation (KÖR) mit DSW, HCR, Vestische ca Mitarbeiter 135 Mio. Fahrgäste 364 Fahrzeuge (Bus & Bahn) 2 Rechenzentren 70 Server, 700 Clients, 8 Standorte ca km LWL-Fasern Ethernet-Lan mit ATM-Backbone Server auf Win2000 Oracle als strategische Datenplattform

Fahrgäste 364 Fahrzeuge (Bus & Bahn) 2 Rechenzentren 70 Server, 700 Clients, 8

4 IT-Sicherheit ist... Sicherheit ist kein Produkt Sicherheit kann man nicht kaufen, Sicherheit muss man schaffen! Natürlich muss man zum Schaffen von Sicherheit auch auf vorhandene Produkte zurückgreifen. Sicherheit ist kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheit muss aufrecht erhalten werden! Natürlich kann man Aufbau und Aufrechterhaltung von Sicherheit auch teilweise in Projekten abwickeln. Sicherheit ist ein Prozess

Sicherheit ist kein Projekt Es genügt nicht, Sicherheit einmal zu schaffen, sondern Sicherheit muss aufrecht

5 Übersicht über den IT-Sicherheitsprozess Initiative der Geschäftsführung Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation Analyse der Rahmenbedingungen Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) Sicherheitscheck Sicherheitsmaßnahmen Identifikation von Sicherheitslücken

IT-Sicherheitsorganisation Analyse der Rahmenbedingungen Informationen, IT-Systeme,

6 Übersicht über den IT-Sicherheitsprozess 4 Planung von Maßnahmen Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos 5 6 Umsetzung von Maßnahmen Sicherheit im laufenden Betrieb Implementierung Test Notfallvorsorge Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge

Restrisikos 5 6 Umsetzung von Maßnahmen Sicherheit im laufenden Betrieb Implementierung

7 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz

8 Auswahl eines Standards Aller Anfang ist schwer... Gibt es das passende Kochbuch für uns? Gibt es nur Vorschläge oder auch Umsetzungshilfen? Ist nicht meine Welt ganz spezifisch? Welcher Standard ist der richtige? Gibt es Vorgaben übergeordneter Stellen? Orientiere ich mich eher national oder international? Sind die Vorgaben aktuell? Wie viel Arbeit ist zu investieren? Schaffe ich das alleine? Betreibe ich einmaligen Aufwand oder nützt es auch für später?

Welcher Standard ist der richtige? Gibt es Vorgaben übergeordneter Stellen?

9 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz

10 Auswahl des IT-Grundschutzverfahrens Standardisierte und anerkannte Vorgehensweise Empfehlungen/Vorgaben für die Bundesverwaltung Ökonomische Vorgehensweise Überprüfung der IT-Sicherheit durch einen Soll/Ist- Vergleich Berücksichtigung des Bundesdatenschutzgesetzes Innerhalb der Maßnahmenempfehlung Durch Erweiterung des verwendeten Tools

Überprüfung der IT-Sicherheit durch einen Soll/Ist- Vergleich Berücksichtigung des

11 IT-Grundschutzhandbuch Bausteine (Auswahl) Übergreifende Aspekte Sicherheitsmanagement Organisation Personal Notfall-Vorsorgekonzept Datensicherungskonzept Virenschutzkonzept Hard- und Software- Management Outsourcing Infrastruktur Gebäude Verkabelung Büroraum Serverraum häuslicher Arbeitsplatz Rechenzentr. IT-Systeme Unix-Server Novell Netw. Windows 2k TK-Anlage Telearbeit Netze Netz-,Systemmanagement Firewall Remote Access Router u. Switches Anwendungen WWW-Server Datenbanken IIS/ Apache Exchange/ Outlook Archivierung IT-Verbund

Serverraum häuslicher Arbeitsplatz Rechenzentr. IT-Systeme Unix-Server Novell Netw.

12 Vorgehensweise im Projekt Projektbegleitung durch eine externe Beratungsfirma Einsatz eines Unterstützungstools IT-Sicherheitsdatenbank SAVe (INFODAS GmbH) Durchführung von Interviews mit den Verantwortlichen Rechenzentrum Fachverantwortliche Projektlaufzeit Zertifizierung ca. 9 Monate Konsolidierung der bisherigen Ergebnisse / Audit Aufwand (intern/extern) ca. 40 / 20 PT

mit den Verantwortlichen Rechenzentrum Fachverantwortliche Projektlaufzeit Zertifizierung ca.

13 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz

14 Ergebnis des Projekts Feststellung des Status Quo der IT-Sicherheit Praxiserprobte Empfehlungen für die Abstellung von erkannten Mängeln/Defiziten Dokumentation des IT-Sicherheitsniveaus Einsatz eines Tools zur Fortschreibung der Ergebnisse Initiierung eines IT-Sicherheitsprozesses 2002 Initialstand 2003 Datenschutzaudit 2005 Wiederholungsaudit 2006 Zertifizierungsverfahren nach ISO / IT-Grundschutz

Tools zur Fortschreibung der Ergebnisse Initiierung eines IT-Sicherheitsprozesses 2002 Initialstand

15 Erreichtes IT-Sicherheitsniveau Darstellung mittels

16 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz

17 Folgen des IT-Sicherheitsprojekts IT-Sicherheit wird wahrgenommen Einsicht in die Notwendigkeit Auch die Nutzen-Seite wird gesehen, nicht nur Kosten IT-Sicherheit ist nicht mehr nur notwendiges Übel Viele Prozesse wie z.b. Bestandsführung oder Lizenzmanagement profitieren IT-Sicherheit rückt in das Bewusstsein der Mitarbeiter IT-Sicherheit wird als Aufgabe gesehen Neue Projekte/Prozesse beginnen die IT-Sicherheit zu beteiligen Eine Zertifizierung soll dies nach Außen dokumentieren

18 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz

19 Phasen der GS-Vorgehensweise Erläuterung der GSHB-Vorgehensweise anhand von 7 Phasen Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Phase 1: Initiierung des IT-Sicherheitsprozesses Phase 2: Durchführung einer IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach IT-Grundschutz Phase 5: Durchführung des Basis-Sicherheitsscheck Phase 6: Realisierung von IT-Sicherheitsmaßnahmen Phase 7: Zertifizierung

IT-Strukturanalyse Phase 3: Durchführung einer Schutzbedarfsfeststellung Phase 4: Modellierung nach

20 Vorgehen zur Zertifizierung Identifikation des Untersuchungsgegenstands Kaufmännisches Netz der BOGESTRA Abgrenzung des IT-Verbunds Technisches Netz (Verkehrssteuerung, etc.) wird nicht betrachtet Internet-Router wird durch einen Provider betrieben Abstimmung mit dem BSI hinsichtlich einer Zertifizierung Prüfung des bereinigten Netzplans Prüfung, ob alle relevanten Grundschutzbausteine betrachtet wurden Durchführung des Audits (ISO Auditor) Erstellung des Auditreports Prüfung durch die Zertifizierungsstelle

) wird nicht betrachtet Internet-Router wird durch einen Provider betrieben Abstimmung mit dem BSI hinsichtlich einer

21 Überblick Situation des Unternehmens Motivation zur IT-Sicherheit Auswahl eines Standards Vorgehensweise (Methodik, Beratung & Tools) Erreichtes IT-Sicherheitsniveau Benefiz für das Unternehmen Weitere Ziele Ausblick IT-Grundschutz Neuerungen Zertifizierung 2006

22 27001-Zertifizierung und Testate Testat Einstiegsstufe Testat Aufbaustufe Zertifikat IT-Grundschutz GS-Auditor GS-Auditor Auditor

23 ISO / IT-Grundschutz Grundschutz-Zertifizierung ISO Zertifikat / IT-Grundschutz-Zertifikat Selbsterklärung IT-Grundschutz Aufbaustufe mit Testat Selbsterklärung IT-Grundschutz Einstiegsstufe mit Testat +

24 Erfahrungsbericht Praktizierter Grundschutz Vielen Dank für Ihre Aufmerksamkeit! Kontakt:

Ähnliche Dokumente

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,