Fachstelle für Datenschutz. Das Datensicherheits-Assessment IT-Sicherheit für den Mittelstand

Transkript

1 Fachstelle für Datenschutz Das Datensicherheits-Assessment IT-Sicherheit für den Mittelstand

2 Inhalt 1 Einleitung 1 2 Ablauf des Datensicherheits-Assessment Vorbereitungsphase Vor-Ort-Phase Eröffnung Erstbegehung Prüfplan Abstimmung Begehung und Interviews nach Themenkreisen Bericht Abschluss 6 3 Leistungsstufen des Datensicherheits- Assessment Datensicherheits-Assessment BUSINESS Datensicherheits-Assessment PLUS Datensicherheits-Assessment PREMIUM 7 4 Über TÜViT 8 5 Ansprechpartner 12

3 1 Einleitung Mit einem Anteil von über 99% sind die kleinen und mittleren Unternehmen (KMU) ein wesentlicher Erfolgsfaktor der deutschen Wirtschaft. Aber gerade die kleinen und mittleren Unternehmen unterliegen einem stetig wachsenden Angriffsrisiko auf ihre IT und geraten in das Visier von Cyber-Kriminellen. Um die Unternehmenswerte wie z.b. Spezial Know-how gegen Ausspähen und Diebstahl zu schützen, ist eine optimale Nutzung von geeigneten Sicherheitsmaßnahmen und Informationsquellen unabdingbar. An dieser Stelle setzt das Datensicherheits-Assessment an. Das Datensicherheits-Assessment unterstützt Unternehmen, die den Bedarf erkannt haben, ihren IT-Betrieb und insbesondere ihre IT-Sicherheit vor dem Hintergrund der aktuellen Bedrohungslage optimal zu organisieren. Hierzu gehört neben anderen Maßnahmen die Etablierung eines wirksamen IT-Sicherheits- bzw. IT-Servicemanagement. Das Datensicherheits-Assessment ist eine unabhängige Einschätzung der Sicherheit und Effektivität des IT-Einsatzes bei kleinen und mittelständischen Unternehmen, dem Handwerk sowie den Freien Berufen. Das Datensicherheits-Assessment basiert auf etablierten Best Practices und Standards des IT-Sicherheits- bzw. IT-Servicemanagements: IT-Grundschutz, BSI Standard Informationssicherheits-Managementsysteme, ISO/IEC 27001, ISO/IEC IT Service Management, ISO/IEC Datensicherheits-Assessment Seite 1 12

4 Die Prüfungspraxis nach o.g. Standards hat gezeigt, dass oftmals weniger aufwendige, dafür aber koordinierte Maßnahmen einen höheren Sicherheits- bzw. Effektivitätsgewinn bringen, als eher technisch orientierte und häufig teure Einzelmaßnahmen. Das Datensicherheits-Assessment konzentriert sich deshalb auf die für KMU besonders relevanten Maßnahmen, die bereits mit begrenztem Ressourceneinsatz wirksam umsetzbar sind und somit rasch einen hohen Nutzen erreichen. 2 Ablauf des Datensicherheits-Assessment Der Ablauf des Datensicherheits-Assessment teilt sich in eine Vorbereitungs- sowie eine Vor-Ort-Phase auf. Abbildung 1: Phasen des Datensicherheits-Assessments Datensicherheits- Assessment Seite 2 12

5 2.1 Vorbereitungsphase Grundlage für die Durchführung des Datensicherheits-Assessment ist ein Fragebogen, der als Vorbereitung des Unternehmens auf das Assessment dient. Der Fragebogen beinhaltet unternehmensspezifische Daten wie Unternehmensgröße, Anzahl der Standorte, Angaben zu organisatorischen Abläufen sowie die eingesetzte Automation durch Maschinen oder IT. Des Weiteren ermöglicht der Fragebogen dem IT-Assessor den Einstieg in die konkreten Gegebenheiten des Unternehmens und seiner Abläufe. 2.2 Vor-Ort-Phase Das Datensicherheits-Assessment beginnt ca. zwei Wochen nach Vorliegen des Fragebogens. Die konkrete Gestaltung des Ablaufes vor Ort übernimmt der IT-Assessor in Abstimmung mit dem Unternehmen. Das Unternehmen hat im Vorfeld des Datensicherheits-Assessment dafür Sorge zu tragen, dass notwendige Ansprechpartner der verschiedenen Organisationseinheiten in ausreichendem Maße verfügbar sind. Zutritte zu gegebenenfalls zutrittsgeschützten Räumlichkeiten sollten frühzeitig vorbereitet werden, so dass im Verlauf des Assessment keine unnötigen Verzögerungen auftreten. Die Vor-Ort-Phase setzt folgende Schwerpunkte (Themenkreise), die einen effektiven und sicheren IT-Betrieb ausmachen: Organisation: umfasst die Aufbau- und Ablauforganisation und rechtliche Aspekte Infrastruktur: umfasst die Gebäudeinfrastruktur IT-Systeme: umfasst die eingesetzten IT-Plattformen Netzwerk: umfasst das IT-Netzwerk Anwendungen: umfasst Aspekte wie Konfiguration und Administration der eingesetzten Anwendungen Datensicherheits-Assessment Seite 3 12

6 2.2.1 Eröffnung Das Eröffnungsgespräch dient dem Kennenlernen der Unternehmung, ihrer Abläufe, der eingesetzten Automation bzw. IT sowie der zugehörigen Risiken. Dabei werden die wichtigsten Geschäfts- und Kundendaten identifiziert, welche den Betrieb der Automation bzw. IT ermöglichen, um den Sicherheitsbedarf der zugrundeliegenden IT abzuschätzen. Dies ermöglicht dem IT-Assessor, im weiteren Verlauf die Eignung der bereits getroffenen Schutzmaßnahmen zu bewerten und dient als Grundlage für eine Einschätzung der Effektivität des IT-Einsatzes im Unternehmen Erstbegehung Das Ziel der Erstbegehung ist es, einen Eindruck der physischen Gegebenheiten zu bekommen sowie die in der Eröffnung identifizierten Abläufe und ihre Automation bzw. IT auf Plausibilität zu prüfen. Dabei sollen nach Möglichkeit alle Bereiche des Standorts, die für die Leistungserbringung wesentlich sind oder an denen IT in besonderem Maße zum Einsatz kommt, betrachtet werden Prüfplan Abstimmung Das Ziel der Abstimmung des Prüfplans ist es, den weiteren Verlauf des Datensicherheits-Assessment zwischen Unternehmen und IT-Assessor gemeinsam festzulegen. Der Prüfplan legt die Aktivitäten und ihre Abfolgen, den Ort sowie Beginn und Ende der jeweiligen Aktivität und die Beteiligten des Unternehmens fest. Bei der Erstellung des Prüfplans berücksichtigt der IT-Assessor die zeitliche Verfügbarkeit der jeweiligen Ansprechpartner. Datensicherheits- Assessment Seite 4 12

7 2.2.4 Begehung und Interviews nach Themenkreisen Das Ziel der Begehung und Interviews nach Themenkreisen ist das systematische Erschließen der Vor-Ort Gegebenheiten, der Abgleich mit den Angaben des Fragebogens sowie das Spiegeln zu erwartender Maßnahmen mit den tatsächlich getroffenen Maßnahmen und ihrer Wirksamkeit. Die Begehung dauert ca. zwei Stunden je Themenkreis. Zur Durchführung des Assessments greift der IT-Assessor auf folgende Methoden zurück: Dokumentensichtung (inkl. elektronischer Dokumente) Mündliche Befragung der Führungskräfte und Mitarbeiter des Unternehmens Beobachtung, z. B. während der Erstbegehung aufgefallener individueller Umgang mit Sicherheitsregeln Inaugenscheinnahme von z. B. IT-Systemen und Räumen technische und organisatorische Erprobung, z. B. Überprüfung von Alarmanlagen mittels Gehtest oder Prüfung von Zutrittskontrollen Datenanalyse Bericht Nach Abschluss der Begehungen erstellt der IT-Assessor einen Bericht, wofür er ca. eineinhalb Stunden benötigt. Der Bericht enthält neben einer kurzen Ergebnisübersicht auch eine zusammenfassende Übersicht der Erfüllung einzelner Aspekte der Themenkreise sowie ein Kapitel mit konkreten Handlungsempfehlungen zur Verbesserung der Effektivität und Sicherheit der IT. Die im Assessment gemachten Feststellungen werden in konsolidierter Form tabellarisch aufgelistet und durch ein Management Summary ergänzt. Datensicherheits-Assessment Seite 5 12

8 2.2.6 Abschluss Der IT-Assessor stellt in einer einstündigen Präsentation der Unternehmensleitung die Ergebnisse des Datensicherheits-Assessment vor und übergibt im Anschluss den Assessment Bericht. Das Ziel des Abschlusses ist die verständliche Vermittlung der Ergebnisse des Assessments. Zugleich soll er der Unternehmensleitung aufzeigen, in welcher Hinsicht gegebenenfalls Handlungsbedarf besteht und wie erforderliche nächste Schritte aussehen können. Datensicherheits- Assessment Seite 6 12

9 3 Leistungsstufen des Datensicherheits-Assessment Die Leistungsstufen des Datensicherheits-Assessment sind gegliedert in die Module Datensicherheits-Assessment BUSINESS, Datensicherheits- Assessment PLUS, Datensicherheits-Assessment PREMIUM. 3.1 Datensicherheits-Assessment BUSINESS bestehend aus einem 1,5- bis 2-tägigem Assessment vor Ort inkl. Statusermittlung mittels Fragebogen inkl. fach-kompetenter Auswertung Erstbegehung vor Ort Abstimmung Prüfverlauf Sicherheitsbegehung und Interviews nach festgelegten Themenkreisen Abschlussbericht 3.2 Datensicherheits-Assessment PLUS bestehend aus einem 2- bis 3-tägigem Assessment vor Ort mit den Inhalten aus dem Datensicherheits-Assessment BUSINESS sowie Konfigurationsanalyse Port-Analyse bestehender IT-Infrastruktursysteme Management-Summary mit konkreten Handlungsempfehlungen 3.3 Datensicherheits-Assessment PREMIUM bestehend aus einem unternehmensspezifisch angepassten Assessment vor Ort mit den Inhalten aus dem Datensicherheits- Assessment PLUS sowie bedarfsorientierter Prüfung unternehmensspezifischer IuK- Einrichtungen Managementpräsentation mit konkreten Handlungsempfehlungen Vermittlung der Assessment-Ergebnisse in den beteiligten Fachbereichen Datensicherheits-Assessment Seite 7 12

10 4 Über TÜViT Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT- Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre Unternehmenswerte zu bewahren. Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf Themen wie Common Criteria Evaluationen, Cyber Security, Mobile Security, Industrial Security, Penetrationstests, Bewertung von Informationssicherheits-Managementsystemen nach ISO/IEC sowie Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen. Unsere Dienstleistungen werden stets nach dem Stand der Technik ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche. Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und internationale Organisationen und Behörden weisen unsere Kompetenzen auf dem Gebiet der IT-Sicherheit und IT-Qualität nach. Bundesamt für Sicherheit in der Informationstechnik Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach ITSEC/ITSEM/CC/CEM sowie BSI-TR , BSI-TR , BSI-TR 03132, BSI TR und BSI TR Teil 3 und Teil 5 IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich IS-Revision und IS-Beratung und Penetrationstests Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC Lizenzierte Auditoren für D Datensicherheits- Assessment Seite 8 12

11 Deutsche Akkreditierungsstelle Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC 17025:2005 Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach ITSEC/ITSEM/CC/ISO 15408/CEM Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN EN ISO , DIN EN ISO , ISO/IEC 25051, DIN EN ISO und ISO Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN / / / , ETSI TS / / , DIN EN :2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC 17065:2013 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013 und ETSI EN V2.2.2 im Bereich qualifizierte Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste im Anwendungsbereich der VERORDNUNG (EU) Nr. 910/2014 (eidas) Bundesnetzagentur Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung von Sicherheitskonzepten für Zertifizierungsdiensteanbieter Die Deutsche Kreditwirtschaft Gelistete Prüfstelle für elektronischen Zahlungsverkehr Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch) EuroPriSe Gutachter (rechtlich/technisch) Datensicherheits-Assessment Seite 9 12

12 Information-technology Promotion Agency, Japan Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM National Institute of Technology and Evaluation, Japan Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC in dem Bereich der IT / Common Criteria Evaluationen (Lab Code: ASNITE0019T) National Institute of Standards and Technology National Voluntary Laboratory Accreditation Program, USA Prüfstelle IT-Sicherheit (NVLAP Lab Code: ) für Cryptographic Module Testing (Scopes 17BCS, 17CAV/01, 17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01, 17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing Europay, MasterCard and Visa, USA/Großbritannien/Japan Full Service Laboratory für Prüfungen von ICs und Chipkarten nach EMVCo Sicherheitsrichtlinien Modular Label Auditor Visa, USA Test House zur Durchführung von Visa Chip Product Sicherheitsevaluationen MasterCard, Großbritannien Akkreditiert zur Durchführung von CAST (Compliance Assessment and Security Testing) Evaluationen Betaalvereniging Nederland, Niederlande Evaluation Laboratory Datensicherheits- Assessment Seite 10 12

13 In nationalen und internationalen Forschungsprojekten und Gremien gestaltet TÜViT den Stand der Technik aktiv mit. TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und Umweltmanagement, welche nach ISO 9001:2008 bzw. ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche und Erwartungen ihrer Kunden. TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV NORD beschäftigt über Mitarbeiter weltweit und ist neben dem nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten. Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische Tests und Prüfungen in zahlreichen Bereichen durchgeführt und entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten und durchzuführen. Datensicherheits-Assessment Seite 11 12

14 5 Ansprechpartner Peter Kattner, LL.M. Leiter der Fachstelle für Datenschutz TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße Essen Tel.: Fax: Jörg Schlißke, LL.B. Produktmanager Datenschutzqualifizierung TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße Essen Tel.: Fax: Version: 1.9 Datensicherheits- Assessment Seite 12 12