Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Transkript

1 ISMS Auditor & IT-System-Manager

2 IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit 3 ISO/IEC Reihe Inhalt und Aufbau

3 IT-Sicherheit Inhaltsverzeichnis Vortrag 2 IT-Sicherheit Risikomanagement Vortrag 3 Matthias Mühlhaus Datenschutz Mindestanforderungen Dr. Marion Herrmann Abschluss Fazit, Fragerunde, IT-Sicherheitsspiel Imbiss und Networking

4 IT-Sicherheit Ziel des Workshops Ziel der heutigen Schulung ist es, einen Blick auf die Bereiche " IT-Sicherheit und Datenschutz zu werfen. Dabei sollten am Ende " des Workshops folgende Fragen beantwortet werden können:! Was ist IT-Sicherheit und Datenschutz?! Was sind die Mindestanforderungen?! Welche gesetzlichen Auflagen müssen eingehalten werden? 1/14! Was sind typische Schwachstellen und Bedrohungen und wie kann ich ihnen begegnen?

5 IT-Sicherheit Werte des Unternehmens Asset (Wert) Informationen Prozesse Mitarbeiterdaten Kundendaten Technologiedaten Produktdaten Einkauf Vertrieb Produktion Infrastruktur Personen 2/14 Gebäude Räume Technologie Mitarbeiter Lieferanten Software Hardware

6 IT-Sicherheit Werte des Unternehmens Was ist zu inventarisieren? Vertrieb Personal Hardware Software Kundendaten 3/14 Server APCs Telefon

7 IT-Sicherheit Was ist was? 4/14 Datenschutz Der Datenschutz basiert auf dem Grundrecht zur informationellen Selbstbestimmung. Hierdurch wird jeder Person die Möglichkeit gegeben, über die Verwendung und Weitergabe der persönlichen Daten selbst zu entscheiden. Zweck: Schutz personenbezogener Daten Regelungen: im Bundesdatenschutzgesetz IT-Sicherheit Die IT-Sicherheit befasst sich mit dem Schutz aller Daten und Informationen. Ziel der IT-Sicherheit ist es, mögliche Schwachstellen und Bedrohungen zu identifizieren, um im Anschluss durch entsprechende Maßnahmen die Auswirkung und die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen zu minimieren. Zweck: Schutz aller Daten und Werte des Unternehmens Regelungen: in int. Standards und Normen (z.b. )

8 IT-Sicherheit Werte des Unternehmens Asset (Wert) Informationen Mitarbeiterdaten Kundendaten Technologiedaten Prozesse Einkauf Vertrieb Produktion Infrastruktur Personen 5/14 Gebäude Räume Technologie Mitarbeiter Lieferanten Software Hardware

9 IT-Sicherheit Schnittmenge Was hat Datenschutz und IT-Sicherheit gemeinsam? IT-Sicherheit 6/14 Datenschutz Datenschutz und IT-Sicherheit eine unzertrennliche Einheit

10 IT-Sicherheit Weitere Gesetze 7/14 Welche Gesetze müssen beachtet werden?! Bundesdatenschutzgesetz (BDSG)! Telekommunikationsgesetz (TKG)! Telemediengesetz (TMG)! Strafgesetzbuch (StGB)! Betriebsverfassungsgesetz (BetrVG)! Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG)! Safe Harbor Abkommen (USA)! Landesdatenschutzgesetz (LDSG)! Allgemeines Gleichbehandlungsgesetz (AGG)

11 IT-Sicherheit Mindestanforderungen IT-Sicherheit 8/14 Wer schreibt mit vor, was ich zu tun habe?! Gesetzgeber! Personenbezogene Daten werden verarbeitet (vgl. BDSG)! Mein Unternehmen ist Provider (vgl. TKG)! Kunden und Lieferanten! Kunden und Lieferanten arbeiten nur mit Ihnen zusammen, " wenn Sie für den Schutz ihrer Daten garantieren können! Eigene Unternehmen! Schutz vor Notfällen! Schutz interner Dokumente

12 IT-Sicherheit Mindestanforderungen IT-Sicherheit 9/14 Unternehmenseigene und gesetzliche Auflagen:! Einhaltung technischer Maßnahmen! Firewall und co.! Zugangsschutz! Einhaltung organisatorischer Maßnahmen! - und Internetnutzung! Private IT im Unternehmen! Heimarbeit! Nutzung der Diensthandys! Aufbewahrungsfristen! Sicheres Löschen von Daten! WLAN im Unternehmen! Zutritts-, Zugangs-, Zugriffsregelungen

13 IT-Sicherheit Mindestanforderungen IT-Sicherheit 10/14 Unternehmenseigene und gesetzliche Auflagen:! Bestellung eines IT-Sicherheitsbeauftragten! Verantwortlicher für IT-Sicherheit im Unternehmen! Erstellung eines IT-Sicherheitskonzeptes! Zur Vorlage für Aufsichtsbehörden! Zur Vorlage für Kunden und Lieferanten! Mit dem Nachweis von eingehaltenen Standards können Sie " bei Haftungsfragen Ihre Sorgfaltspflicht belegen

14 IT-Sicherheit Die ISO/IEC Reihe Die ISO/IEC Reihe ist eine Reihe von Standards der IT-Sicherheit. Die ISO/IEC ist eine internationale Norm für die Errichtung und Aufrechterhaltung eines Informations-Sicherheits-Management-Systems " (ISMS) in Organisationen. Herausgeber: International Organization for Standardization (ISO) International Electrotechnical Commission (IEC) 11/14 Betrachtet werden: Alle Gesichtspunkte der Informationssicherheit, die zum erfolgreichen Führen eines Unternehmens oder einer Behörde erforderlich sind. Es werden sowohl technische, als auch organisatorischen und personelle Maßnahmen berücksichtig.

15 IT-Sicherheit Die ISO/IEC Reihe Aufbau des Standards Der Standard enthält mehrere Normen zur IT-Sicherheit ISO/IEC 27000: Enthält Begriffe und Definitionen ISO/IEC 27001: Enthält die Anforderungen an ein ISMS Unternehmen und Behörden können sich nach ISO/IEC zertifizieren lassen 12/14 ISO/IEC 27002: Enthält Empfehlungen für Maßnahmen ISO/IEC 27005: Behandelt das Risikomanagement

16 IT-Sicherheit Aufbau der ISO/IEC ISMS Leitlinie Asset- Inventar Risiken Sicherheitsrichtlinien ISMS nach 13/14 Sicherheits -prozess Maßnahmen

17 IT-Sicherheit Was ist zu tun? Die Unternehmensleitung muss den Datenschutz und die Datensicherheit sicherstellen. Die verantwortlichen Personen für das Unternehmen sind in der Pflicht für den Datenschutz und die IT-Sicherheit im Unternehmen zu sorgen. Sie müssen also sämtliche gesetzlichen Bestimmungen kennen und diese einhalten. 14/14 Risikomanagement Matthias Mühlhaus