Informationssicherheit Levent Ildeniz Informationssicherheitsbeauftragter 1
Der erste Eindruck << Bei uns ist noch nie was passiert! >> Sind Sie sicher? Woher wissen Sie das? 2
Der erste Eindruck << Was soll bei uns schon zu holen sein?>> << Wir haben nichts zu verbergen!>> Wie viel Wert hat Ihr Unternehmen? Wie viel Ausfall können Sie sich leisten? 3
Blick Online 22.06.2013
05.02.2013 Informationspannen & Datenunfälle 27.09.2012
26.10.2009 Informationspannen & Datenunfälle 27.05.2012 Hacker greifen EDA-Computer an
Informationspannen & Datenunfälle Mai 2014
Die ESTV auf einen Blick Die Eidgenössische Steuerverwaltung (ESTV) beschafft den grössten Teil der Bundeseinnahmen. Sie trägt dazu bei, dass der Bund seine öffentlichen Aufgaben wahrnehmen kann. Personalbestand ca. 1 100 MA 10
Auf einen Blick Einnahmen 2013 Steuereinnahmen ESTV: 49,1 Mrd. CHF 12% 4% 0% Mehrwertsteuer Direkte Bundessteuer 46% Verrechnungssteuer 38% Stempelabgaben Wehrpflichtersatzabga be Gesamteinnahmen Bund: 65 Mrd. 11
Rechtmässigkeit in Zahlen Jährlich Verarbeitung 1 300 000 Abrechnungen Zustellung 350 000 Mahnungen (MWST) Verarbeitung 123 000 Deklarationsformulare (Verrechnungssteuer/Stempelabgaben) Bearbeitung 40 000 Fragebogen Steuerpflicht (MWST) 16 000 Kontrollen von Betrieben Seit 2008 48 neue Steuerstrafuntersuchungen (Art. 190 Bundesgesetz über die direkte Bundessteuer) 12
Kompetenz in Zahlen Jährlich Über 170 000 Seitenaufrufe auf den Online- Steuerrechner. Ca. 1 Mio. Seitenaufrufe ESTV. Verarbeitung von 4,7 Mio. Datensätze von natürlichen Personen und 300 000 Datensätze juristischer Personen für Steuerstatistiken. Publikation von Studien zu Steuerfragen Beantwortung Dutzender parlamentarischer Vorstösse. 13
Was ist Informationssicherheit 14
Was ist Informationssicherheit Schutz des Wissens und des Können (Know How) eines Unternehmens/Behörde Schutz vor Gefahren, Bedrohungen und Schäden Minimieren von Risiken Wahrung von Integrität, Vertraulichkeit, Nachvollziehbarkeit und des Datenschutzes 15
Informationssicherheit als Prozess Planen Initiieren Aufbauen Implementieren Umsetzen Operativ Plan Do Act Check Wartung Verbesserung Optimierung Überprüfen Überwachen Controls 16
Informationssicherheit (Integraler Ansatz) Physische Sicherheit Rechtsgrundlagen Informatiksicherheit Risiko Management Datenschutz Informationsschutz Krisen Management (BCM) Arbeitssicherheit Gesundheit Personelle Sicherheit 17
Top Down Informationssicherheit (Sicherheit ist Chefsache) Strategische Ebene Sicherheitspolitik (GL) Ziele, Grundsätze und Verantwortung Taktische Ebene Konzepte Sicherheits- und Detailkonzepte (wie muss die Sicherheitspolitik umgesetzt werden) Operationelle Ebene Ausführungsbestimmungen Ausführungsbestimmungen (was muss gemacht werden) Die Initiative für IKT Sicherheit geht vom Management aus. 18
Bedingungen zum erstellen eines Sicherheitskonzept ISM Phase 1 Unternehmensstrategie IKT - RISIKEN & Bedrohungslage Leistungserbringer Phase 2 IKT Strategie IKT- Sicherheitsstrategie Strategisch Taktisch Operativ Informationssicherheitspolitik [SiPo] IKT Sicherheitsorganisation [ISB / CISO] IKT Sicherheitsziele Sicherheitskonzept [SiKo] IKT Sicherheitsrichtlinie [BaSec ] Sicherheitsmassnahmen [SiKo & BaSec] IKT Weisungen / Vorgaben IKT Betrieb 19
Beispiel Ziele Informationssicherheit Ziel: Inventarisierung und Klassifizierung von Schutzobjekten Beschreigung: Die Schutzobjekte der Firma XY AG müssen im Sinne von Wert, Sensitivität und ihrer Bedrohung (z.b. Cyberrisiken) unter Berücksichtigung von gesetzlichen Grundlagen definiert, inventarisiert und klassifiziert werden. Pro Schutzobjekt existiert eine verantwortliche Person. Diese Personen werden Schutzobjekteigner genannt (Beispiel: Anwendungs-, Geschäftsprozess-, Produktverantwortliche). Die Schutzobjekteigner werden durch die Abteilungen.. gestellt. Die Abteilung z.b. Direktion führt ein Verzeichnis. 20
Informationsschutz Veröffentlicht Allgemein bekannt Nicht schutzwürdige Informationen Schutzwürdig - aber nicht klassifiziert Geschäftskritische Informationen (Landeswichtig) GEHEIM VERTRAULICH INTERN Amts-, Berufs- und Geschäftsgeheimnis (StGB) Beschaffungswesen (WTO) Privatbereich (ZGB, OR, DSG) Weitere, z.b. BPG, Steuergesetze, Bankgesetz (ISchV) Informationspolitik(BGÖ) 21
Klassifizieren von Informationen 22
Informations-Sicherheit 4 Säulen Prinzip Vertraulichkeit Datenschutz Rechtsgrundlagen Informationsschutz Ermittlung Schutzbedarf Integrität Unveränderbarkeit Datensicherheit Verfügbarkeit Vorsorge KaVor Infrastruktur Nachvollziehbarkeit nicht Abstreitbarkeit Revisionsfähigkeit 23
Einstufung Schutzbedarf 24
Einstufung Schutzbedarf 25
Umsetzung IKT-Sicherheit in Projekten 26
Massnahmen IKT-Sicherheit Administrative Massnahmen Physische Mass-nahmen Technische Massnahmen 27
Administrative Massnahmen 28
Technische Massnahmen 29
Physische Massnahmen 30
Mögliche Bedrohungen Externe Bedrohungen Interne Bedrohungen Hacker / Cracker Geheimdienste Erpresser Organisierte Kriminalität Wettbewerber Umwelt / Natur Eigene Mitarbeiter Ehemalige Mitarbeiter Externe Mitarbeiter Freaks DAUs Wichtig : Bedrohungen lassen sich nicht kontrollieren und verändern sich ständig 31
Erste Schritte 1 Ziele definieren Rahmenbedingung 2 3 Sicherheitsstrategie Hilfsmittel zur Umsetzung Bekenntnis, Dokumentation 32
Erste Schritte 1 Gefahren erkennen Gefährdungskatalog erstellen 2 3 Risiken bewerten Massnahmen einleiten Risiken tragen, Adressieren 33
Einige Gefahren / Risiken Technisches Versagen Vorsätzliche Handlungen Menschliches Fehlhandlungen Org. Mängel Höhere Gewalt 34
Fragen Herzlichen Dank für Ihre Aufmerksamkeit 35