BSI IT-Grundschutz, ISO & Datenschutz

Ähnliche Dokumente
Risikomanagement kri.scher Geschä3sprozesse

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Der neue IT-Grundschutz im Kontext der ISO 27001

EU-Datenschutz-Grundverordnung (DSGVO)

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

1. IT-Grundschutz-Tag 2014

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Agenda INTELLIGENT. EINFACH. PREMIUM.

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

DS-GVO und IT-Grundschutz

Glücklich mit Grundschutz Isabel Münch

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

BSI Grundschutz & ISMS nach ISO 27001

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Einführung. Erreichen und Aufrechterhaltung eines angemessenen IT-Sicherheitsniveaus. IT-Sicherheitsmanagement ist Planungs- und Lenkungsaufgabe

Die Modernisierung des IT-Grundschutzes

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Informationssicherheit

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Informationssicherheit an der RWTH

1 Grundlagen. Stand: 13. März 2015

ENTSPANNT LERNEN CYBER AKADEMIE- SUMMER SCHOOL. Lead-Auditor nach ISO/IEC Juli IT-Grundschutz-Experte

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Zieleinlauf: Die neuen Standards, Bausteine und Profile

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

[15-1] e.html

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Aktueller Stand der Modernisierung des IT-Grundschutzes

IT-Grundschutz heute und morgen

VdS 3473 Informationssicherheit für KMU

Aktueller Stand der Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes - Modernisierung, Zertifizierung & Migration - Birger Klein, BSI

3-2. Wie kann sich ein Staat bzw. eine Gruppe von. Staaten auf Information-Warfare vorbereiten? Sicherheit in Netzen u. verteilten Systemen

Informationssicherheit - Nachhaltig und prozessoptimierend

ISO / ISO Vorgehen und Anwendung

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick

Werkzeugunterstützung für sichere Software SS Security Engineering. Stephen Wienkamp

Vorgehensweisen des neuen IT-Grundschutzes

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

secunet Security Networks AG

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Toolgestützte Umsetzung des neuen IT-Grundschutzes ibi systems iris

Genesis Consulting. ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse Oliver Tagisade- Ralf Wildvang

ISIS 12. Informations SIcherheitsmanagement System in 12 Schritten

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

IT-Grundschutz Einführung und Anwendung auf Datenbanken

Amtliche Bekanntmachung der Universität Konstanz

IT-Grundschutz-Methodik im Kontext von Outsourcing

Brandschutzbeauftragter (TÜV )

Datenschutzmanagement ohne Kosten- und Stolperfallen

Cyber-Sicherheitstag Niedersachsen 2018

Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen

Informationssicherheit erhöhen mit dem modernisierten IT-Grundschutz: Ein Überblick. Christoph Wiemers IT-Grundschutz

15 Jahre IT-Grundschutz

Management von Informationssicherheit und Informationsrisiken Februar 2016

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Thomas W. Harich. IT-Sicherheit im Unternehmen

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

Modernisierung des IT-Grundschutzes. Isabel Münch / Holger Schildt / Birger Klein

_isis12_de_sample_set01_v2, Gruppe A

Vorstellung, Status & Vision

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

DAS IT-SICHERHEITSGESETZ

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Informationssicherheit für den Mittelstand

Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

FORUM Gesellschaft für Informationssicherheit mbh. ForumISM. Informations- Sicherheits- Management. effizient risikoorientiert ganzheitlich

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Die Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

IT-Grundschutz Informationssicherheit in der Praxis. Isabel Münch Fachbereichsleiterin Präventive Cyber-Sicherheit und Kritische Infrastrukturen

Transkript:

BSI IT-Grundschutz, ISO 27001 & Datenschutz Wie identifiziere und begegne ich Risiken bei der Digitalisierung? Kai Wittenburg, Geschäftsführer Ihre IT in sicheren Händen

neam IT-Services GmbH gegründet 1996 Paderborn, Wiesbaden & Berlin ca. 80 Mitarbeiter ISO27001 Lead Auditoren ISO27001 Lead Implementer BSI-Auditoren Ihre IT in sicheren Händen

Informationssicherheit Managementsysteme (ISMS) ISO27001 BSI Grundschutz Business Continuity Notfallvorsorge Notfallbehandlung Zertifizierung & Audits Ihre IT in sicheren Händen

Informationssicherheit Penetrationstests Infrastruktur Webanwendungen Social Engineering Schulungen & Mitarbeitersensibilisierung Ihre IT in sicheren Händen

EU-DSGVO Art. 32 Sicherheit der Verarbeitung Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;

Informationssicherheitsmanagementsystem ISMS basierend auf ISO 27001 (Zertifikat) Leitlinien & allgemeine Prinzipien Maßnahmenziele & Maßnahmen (Anhang A) ISO 27002 Umsetzungsempfehlungen für Maßnahmen Ergänzend: BSI Grundschutzkataloge Unterstützt: Datenschutzmanagementsystem

Informationssicherheitsmanagementsystem ISMS basierend auf ISO 27001 (Zertifikat) Leitlinien & allgemeine Prinzipien Maßnahmenziele & Maßnahmen (Anhang A) ISO 27002 Umsetzungsempfehlungen für Maßnahmen Ergänzend: BSI Grundschutzkataloge

ISO 27002 ISO 27001 Anhang A A1 7 Informatio nssich erheitsaspekte bei m Busi ness Con ti nu it y Man agemen t A1 8 C om pl ia nc e A5 Informatio nssich erheitsrichtlin ie n 5 4 3 2 A6 O r gani s at io n der Informatio nssich erheit A7 Pe r s onal s ic h er hei t A1 6 M anage me nt vo n Informatio nssich erheitsvorfällen 1 A8 V er wa lt un g d er W e rt e 0 Sol l- Zu stan d Ist-Zustan d A1 5 L i ef er an te nbezi ehu ngen A9 Zu gangs s t eu er ung A1 4 A ns c ha f un g, Ent w i c klu ng und Instandh altu ng von Systemen A1 0 K r ypt ogr ap hie A1 3 K om m un ikat i ons s i c her h eit A1 2 B et r ieb s s ic h er hei t A1 1 P hys i s c he und um ge bung sbezoge ne Sich er hei t

BSI IT-Grundschutz Bausteine im IT-Grundschutz-Kompendium Prozessorientierte Schichten ISMS ORP (Organisation & Personal) CON (Konzepte) OPS (Betrieb) DER (Detektion & Reaktion)

BSI IT-Grundschutz Bausteine im IT-Grundschutz-Kompendium Systemorienterte Schichten: INF (Infrastruktur) NET (Netze und Kommunikation) SYS (IT-Systeme) APP (Anwendungen) IND (Industrielle IT)

BSI IT-Grundschutz

Einführung ISMS nach ISO 27001 Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzung von IS-Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

Sicherheitsprozess Der Sicherheitsprozess Initiierung des Sicherheitsprozesses: Sicherheitsleitlinie Sicherheitsmanagement Erstellen eines IT-Sicherheitskonzeptes Umsetzung fehlender Maßnahmen in den Bereichen: -Infrastruktur -Organisation -Personal -Technik -Notfallvorsorge Sensibilisierung & Schulung zur IT-Sicherheit Aufrechterhaltung im laufenden Betrieb

Vorgehensweisen nach BSI-Standard 200-2

Schritte zur Kern-Absicherung Geltungsbereich klein abgegrenzt Kronjuwelen identifiziert IT-Strukturanalyse und Modellierung Erfassen der IT und der IT-Anwendungen Gruppenbildung Schutzbedarfsfeststellung Definition der Schutzbedarfskategorien Schadenszenarien IT-Grundschutz-Check (I) Soll-Ist-Vergleich IT-Grundschutz-Kompendium ca. 80 % Risikoanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf ca. 20 % IT-Grundschutz-Check (II) Soll-Ist-Vergleich IT-Grundschutz-Kompendium Standard-Absicherung zur Verbesserung Zertifizierung als Option Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan

2 MBit/s SFV BSI IT-Grundschutz Server A Server C IT-Grundschutz- Kompendium Server B Verwaltung Drucker Notebooks Personal Geschäftsleitung Router A www Firewall Maßnahmenempfehlungen Soll-Ist- Vergleich Realisierte Maßnahmen Sicherheitskonzept: defizitäre Maßnahmen

Schutzbedarfsfeststellung Definition der Schutzbedarfskategorien Normal Schadensauswirkungen sind begrenzt und überschaubar. Hoch Schadensauswirkungen können beträchtlich sein. Sehr hoch Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Normal

Hoch: besonders schützenswerte Daten

Sehr hoch: besonders schützenswerte Daten

Planungsphase Schutzbedarfsfeststellung Typische Schadensszenarien Zuordnung der Schäden durch Verlust der Vertraulichkeit, Integrität und Verfügbarkeit anhand folgender Szenarien: Verstoß gegen Gesetze/Vorschriften/Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung, negative Außenwirkung und finanzielle Auswirkungen.

Schutzbedarfsfeststellung Nr. IT-Anwendung / Informationen Pers.- bez. Daten Grund-wert Schutzbedarf Begründung Vertraulichkeit normal Es handelt sich um frei zugängliche Daten, deren Bekanntwerden zu keinen Schaden führen würde. A1 Branchensoftware Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Wichtige Informationen können aus anderen Quellen bezogen werden. Vertraulichkeit hoch Es handelt sich um pers.-bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträchtigen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

Risikomanagement Schutzbedarf/ Sicherheitsniveau Standardmaßnahmen, IT-Grundschutz-Kompendium Standard-Absicherung Basis-Absicherung Sehr hoch Hoch Normal Prozess1 Prozess2 Prozess3

Windows 10

Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. Ermittlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

Individuelle Risikoanalyse Identifikation der Assets (CMDB) Vererbung des Schutzbedarfs Nr. IT-Anwendung / Informationen Pers.- bez. Daten IT-Systeme C1 C2 C3 C4 L1 S1 S2 N1 N2 TK1 A1 Branchensoftware X X X X X A2 Personalverwaltung X X X X A3 Onlinebanking X X X X

Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht BSI Gefährdungsliste Reduziert: 46 elementare Gefährdungen Beispiele und Beschreibungen 3. Ermittlung zusätzlicher Gefährdungen Workshop (Brainstorming) 4. Gefährdungsbewertung 5. Risikobehandlungsplan

Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. Ermittlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung Eintrittswahrscheinlichkeit Auswirkung 5. Risikobehandlungsplan

Individuelle Risikoanalyse Gefährdungsbewertung Bewertungskriterien Eintrittswahrscheinlichkeit

Individuelle Risikoanalyse Gefährdungsbewertung Bewertungskriterien Auswirkung Schutzbedarf = Summe (für Vertraulichkeit, Integrität und Verfügbarkeit)

Individuelle Risikoanalyse Risikoakzeptanz

Individuelle Risikoanalyse Bewertung

Individuelle Risikoanalyse Bewertung

Individuelle Risikoanalyse Bewertung

Individuelle Risikoanalyse Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. Ermittlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

Individuelle Risikoanalyse Gesamtrisiko 1. Risikovermeidung 2. Risikoverminderung 3. Risikoübertragung 4. Risikoübernahme Restrisiko

Projektvorgehensweise zur Einführung ISMS nach ISO 27001 Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzung von IS-Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

Umsetzungsphase Umsetzung von IS-Maßnahmen Umsetzungsplan für noch umzusetzende IS-Maßnahmen Unterstützung bei der Umsetzung von IS-Maßnahmen Schulung und Sensibilisierung Analyse des Schulungs- und Sensibilisierungsstandes Durchführung von Sensibilisierungsschulungen Incident-Management Planung, Einführung und Dokumentation einer Vorgehensweise zum Umgang mit Vorfällen innerhalb der Organisation

Projektvorgehensweise zur Einführung ISMS nach ISO 27001 Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

Projektvorgehensweise zur Einführung ISMS nach ISO 27001 Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

Projektvorgehensweise zur Einführung ISMS nach ISO 27001 Planung Kick-Off, Organisationsanalyse; Analyse der bisherigen IS-Bemühungen; Definition des Geltungsbereichs; ISMS- und IS-Leitlinie; Risikoanalyse & - behandlung; Anwendbarkeitserklärung Umsetzung IS-Organisationsstruktur; Dokumentenverwaltung; Prozess- und Verfahrensentwicklung; Kommunikationsplanung; Schulung- und Sensibilisierung; Umsetzungsplanung von Maßnahmen; Incident-Management Kontrolle Überwachung, Bewertung und Überprüfung; Interne Audits; Managementüberprüfung Anpassung Behandlung von Abweichungen; kontinuierliche Verbesserung

neam IT-Services GmbH Technologiepark 8 D-33100 Paderborn +49 5251 1652-0 +49 5251 1652-444 http://www.neam.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback