Strukturierte Informationssicherheit

Ähnliche Dokumente
Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Avira Server Security Produktupdates. Best Practice

GPP Projekte gemeinsam zum Erfolg führen

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

ANYWHERE Zugriff von externen Arbeitsplätzen

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

SCHULUNG MIT SYSTEM: E-LEARNING VON RAUM21

Checkliste Webauftritt

Informationssicherheitsmanagement

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Installationsanleitung dateiagent Pro

statuscheck im Unternehmen

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

IKS Prozessbegleitung Konkrete Praxis wenig Theorie begleitete Umsetzung

Individualisiertes Beziehungsmanagement als Alternative zur Alumni-Community

IT Security Investments 2003

Übung - Konfigurieren einer Windows-XP-Firewall

Change-Monitor - Einführung und Anwendung.

Formular»Fragenkatalog BIM-Server«

Erfüllen wir Ihre Erwartungen?

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Gute Ideen sind einfach:

Code of Conduct (CoC)

Anleitung für die Umstellung auf das plus Verfahren mit manueller und optischer Übertragung

Das Leitbild vom Verein WIR

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Benutzerhandbuch MedHQ-App

Checkliste zum Datenschutz in Kirchengemeinden

D i e n s t e D r i t t e r a u f We b s i t e s

Lizenzen auschecken. Was ist zu tun?

Anbieter auf dem Foto-Marktplatz werden

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Mobile Arbeitsplätze Herausforderung an die Mitbestimmung

Technical Note ewon über DSL & VPN mit einander verbinden

oder ein Account einer teilnehmenden Einrichtung also

Übersicht Kompakt-Audits Vom

Vorarlberger Standardschulinstallation Anbindung von Android Mobile Devices

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Informationssicherheit als Outsourcing Kandidat

SharePoint Demonstration

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Herzlich Willkommen bei der nfon GmbH

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Adventskalender Gewinnspiel

Installationsanleitung Webserver - Datenkommunikation

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück


Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Nplate (Romiplostim) SELBSTINJEKTIONS-TAGEBUCH Zur Unterstützung der Anwendung von Nplate zu Hause

Subpostfächer und Vertretungen für Unternehmen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Passgenau schulen Bedarfsanalyse

UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Zugriff auf Unternehmensdaten über Mobilgeräte

Kurzeinweisung. WinFoto Plus

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Nachricht der Kundenbetreuung

Die PROJEN-GmbH bietet ihren Kunden einheitliche

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Kurzeinführung Excel2App. Version 1.0.0

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

Um eine fehlerfreie Installation zu gewährleisten sollte vor der Installation der Virenscanner deaktiviert werden.

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Netzwerkeinstellungen unter Mac OS X

Step by Step Webserver unter Windows Server von Christian Bartl

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Benutzerhandbuch. DNS Server Administrationstool. Für den Server: dns.firestorm.ch V

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

DER SELBST-CHECK FÜR IHR PROJEKT

Checkliste zur Planung einer Webseite

Schutz vor und für Administratoren

How-to: Webserver NAT. Securepoint Security System Version 2007nx

MARCANT - File Delivery System

Was sind Jahres- und Zielvereinbarungsgespräche?

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Erfahrungen mit Hartz IV- Empfängern

Das Handwerkszeug. Teil I

Der einfache Weg zu Sicherheit

Um eine fehlerfreie Installation zu gewährleisten sollte vor der Installation der Virenscanner deaktiviert werden.

Installation Hardlockserver-Dongle

IT-Security. Existentielle Bedrohungslage und Gegenstrategien für den Mittelstand

Transkript:

Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 1

- Einführung - Informationssicherheit braucht ein Konzept Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 2

Regelmäßig anzutreffen: Pseudo-Sicherheit Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 3

Beispiel Notebooks: Dran gedacht? Notebooks arbeiten ohne schützende Firmen-Firewall. Sie werden viel transportiert, sind sehr mobil. Sie kommunizieren mit fremden Netzwerken über unsichere Verfahren. Die Benutzer haben oft Administrator-Rechte. Können ziemlich einfach geklaut oder zerstört werden... Werden im Sicherheitskonzept oft vergessen. Sicherheitskonzept? Welches Sicherheitskonzept? Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 4

Was ist das Ziel unserer Anstrengungen? Erreichen eines angemessenen Sicherheitsniveaus mit möglichst geringem Aufwand! Effektivität aller Maßnahmen Verhältnismäßigkeit der Investitionen Unabhängigkeit von externen Dienstleistern Einfache Umsetzung Nachhaltigkeit Orientierung an Bedürfnissen und Prozessen im Unternehmen - nicht umgekehrt! Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 5

Willkommen in der Realität Informationssicherheit ist mehr als die Installation einer Firewall. Informationssicherheit betrifft alle Teile eines Unternehmens. Informationssicherheit kann nicht auf den Schultern einiger weniger Personen (den Administratoren bzw. den Sicherheitsbeauftragten) abgeladen werden. Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 6

Ziel: So wenig wie möglich, so viel wie nötig! Aufwand (Euro) Konzept umsetzen: Wie soll was geschützt werden? Firewall, Viren-Schutz, VPN, Content-Filter, Kryptografie (...) Schulung der Mitarbeiter und Administratoren (...) Bestandsaufnahme: Dokumentation Ausdünnen der Services (KISS) Strukturierung der Arbeitsabläufe (User-Policy & Admin-Handbuch) Konzept: Was wovor schützen? Pflege der persönlichen Paranoia 0% Sicherheit 100% Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 7

Ziel: Effektivität und Angemessenheit! Jede Sicherheitsmaßnahme kostet Geld: Anschaffung, Installation, Betrieb, Updates... Deshalb: So wenig wie möglich und so viel wie unbedingt nötig für Informationssicherheit tun! Zielgerichtet planen und umsetzen, überprüfen und anpassen: Ein strukturiertes Vorgehen spart Geld, Zeit und Nerven! Do Plan Check Act Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 8

- Strukturierte Sicherheit - Wie funktioniert es? Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 9

Unerlässlich: Top-Down-Vorgehen Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 10

Die Leitungsebene: Vorgaben sind gefordert Informationssicherheit hinterlässt Spuren in der Technik und der Organisation. Nicht zuletzt berührt sie Haftungsfragen (Strafund Zivilrecht). Deshalb ist Informationssicherheit Chefsache. Die Leitungsebene muss dafür Sorge tragen, dass IT-Security in der Firma verankert wird. Dafür müssen geeignete organisatorische Strukturen etabliert und angemessene Ressourcen eingeplant werden. Die Leitungsebene muss eindeutig zur Informationssicherheit Stellung nehmen. Dies geschieht in einer schriftlich fixierten Leitlinie, die das Fundament zur Etablierung einer funktionierenden Informationssicherheit ist. Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 11

IT-Sicherheitsleitlinie Dieses Papier wird vom Vorstand erarbeitet und vom Vorstand veröffentlicht. In ihm bringt der Vorstand die Notwendigkeit eines sicheren Umgangs mit Informationen zum Ausdruck, benennt die Ziele der Informationssicherheit und legt konkrete Verantwortlichkeiten fest. Inhalt: Was soll erreicht werden? Wer ist für was verantwortlich? Umfang: eine bis maximal zwei DIN-A4-Seiten Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 12

Kompetenzteam Informationssicherheit Das Kompetenzteam Informationssicherheit wird vom Vorstand berufen. Hier sind verschiedene Kompetenzen gebündelt: Vorstand, Administration, Datenschutzbeauftragter, ein Vertreter der Mitarbeiter und ggf. externe Experten Das Gremium ist dafür verantwortlich, ein angemessenes Sicherheitskonzept zu erarbeiten und dieses in regelmäßigen Abständen zu überprüfen (Informationssicherheit muss leben!). Das Konzept wird u.a. in Form von Policies verabschiedet. Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 13

Policies: Grundgesetze für die Firma! Die Policies werden vom Kompetenzteam erarbeitet und vom Vorstand gebilligt. Sie haben den Charakter eines Grundgesetzes: kurz, knapp, generell gehalten und sehr statisch. Die folgenden Policies sollten erarbeitet werden: Benutzerordnung Benutzerordnung für externe Dienstleister Administrationsordnung Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 14

Unabdingbar: die Policy Benutzerordnung In ihr wird festgelegt, was die Mitarbeiter in der IT-Infrastruktur tun dürfen und was verboten ist. Außerdem werden Vorgaben des Datenschutzes (Erhebung personenbezogener Daten durch Server, Firewall etc.!) und des Telemediengesetzes durch die hier getroffenen Regelungen erfüllt. Umfang: maximal fünf DIN-A4-Seiten Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 15

Wichtig: Policy für externe Dienstleister Da externe Dienstleister Geräte mit der IT-Infrastruktur koppeln bzw. Geräte in die IT-Infrastruktur einbringen, sollten auch hier verbindliche Vorgaben über diese Geräte und zum Verhalten der Mitarbeiter der Dienstleister getroffen werden. Auch hier gilt: kurz, knapp, generell gehalten Umfang: maximal fünf DIN-A4-Seiten Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 16

Wichtig: Administrationsordnung Die Administrationsordnung wird von den Administratoren erarbeitet und vom Kompetenzteam Informationssicherheit und dem Vorstand gebilligt. In ihr werden Vorgaben für das Administrieren der IT- Infrastruktur und der Zusammenarbeit unter den Administratoren getroffen. Genau wie die Benutzerordnung ist die Administrationsordnung mit dem Grundgesetz vergleichbar: kurz, knapp, generell gehalten Umfang: maximal fünf DIN-A4-Seiten Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 17

Administration: Umsetzen des Konzepts Die Administration muss die Vorgaben zur Informationssicherheit technisch umsetzen, indem sie den Aufbau und die Konfiguration der IT-Infrastruktur entsprechend gestaltet. U.a. muss sie für die Benutzer Handlungsanweisungen erarbeiten, die den richtigen Umgang mit der IT-Infratruktur in konkreten Fällen regelt. Diese Anweisungen sollten in einem Sicherheits-Handbuch gesammelt werden. Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 18

Flexibel & lebendig: Sicherheitshandbücher Benutzer und Administratoren benötigen konkrete Vorgaben, wie wichtige oder kritische Arbeitsschritte durchgeführt werden müssen. Diese Handlungsanweisungen werden an (virtuellen) Orten gesammelt: Sicherheitshandbuch für Benutzer Sicherheitshandbuch für Administratoren Dieses Handbuch ist sehr flexibel: Administratoren entwerfen oder aktualisieren Handlungsanweisungen bei Bedarf, das Kompetenzteam setzt sie in Kraft Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 19

- Los geht's! - Was muss getan werden? Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 20

Die Arbeitsschritte in der Übersicht Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 21

1. Phase: Aufbauen von Strukturen Analyse der Strukturen im Unternehmen und Erarbeiten eines geeigneten Vorgehens: Kennenlernphase. KP Erarbeiten der Unternehmenleitlinie zur Informationssicherheit und Einrichtung eines Kompetenzteams SL Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 22

2. Phase: Definieren von Richtlinien Erarbeiten der Benutzerordnung BO Erarbeiten der Administrationsordnung AO Erarbeiten der Benutzerordnung für externe Dienstleister BE Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 23

3. Phase: Risikobewertung Strukturierte Analyse des Unternehmens SA Identifizieren und bewerten von Risiken (Risk Assessment) RA Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 24

4. Phase: Planung und Umsetzung Identifizieren und Planen von Maßnahmen PM Umsetzen der Maßnahmen UM Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 25

5. Phase: Überprüfen und Verbessern Überprüfen und Verbessern von Maßnahmen UV Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 26

- Was können wir für Sie tun? - Kontaktieren Sie uns! Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 27

Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback