Informationssicherheit «Umsetzung in der Praxis»

Ähnliche Dokumente
Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

KES/KPMG-Sicherheitsstudie 2002 Kapitel 1: Aktuelle Risikosituation

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit Und egovernment. RA lic. iur. Christoph Storrer Datenschutzbeauftragter des Kantons Schaffhausen

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Mit ISIS12 zur DS-GVO Compliance

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Informationssicherheitsmanagement nach DIN ISO/IEC (Mehr) Aufwand für Qualitäts-und Umweltmanager, Führungskräfte und Geschäftsleitung?

Sicherheit für Ihre Geodaten

1 Schutzbedarfsanalyse Angaben zum Schutzobjekt Schutzbedarfsanalyse Teil Schutzbedarfsanalyse Teil 2...

Mobile Apps für die Gesundheitsbranche und Datenschutz

Datenschutz in der Volksschule

ISO Zertifizierung

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Management von Informationssicherheit und Informationsrisiken Februar 2016

DSGVO erfolgreich meistern

IT-Sicherheit für KMUs

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Übersicht über die IT- Sicherheitsstandards

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-Grundschutz nach BSI 100-1/-4

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

IDAG und VIDAG Was ist neu? Datenschutz-Folgenabschätzung (DSFA)

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

Informationssicherheit

Mit ISIS12 zur DS-GVO Compliance

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Bearbeitungsreglement. Umgang mit Personendaten bei der Atupri Gesundheitsversicherung

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

ISIS12 und die DS-GVO

Sicherheitsrisiko Mitarbeiter

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

ISO Schlüssel zu einem einheitlichen Managementsystem

Best Practises verinice.pro

Grundlagen des Datenschutzes und der IT-Sicherheit

Informationssicherheit für den Mittelstand

P041 - Schutzbedarfsanalyse

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

1 Schutzbedarfsanalyse... 2

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Praxisbuch ISO/IEC 27001

Zertifizierung Auditdauer und Preise

DS-GVO und IT-Grundschutz

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Datenschutz und Informationssicherheit

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Stellenwert und praktische Bedeutung der Zertifizierung von Datenschutz- Managementsystemen nach DSGVO und DSG

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

Cyber-Sicherheitstag Niedersachsen 2018

EU-Datenschutz-Grundverordnung (DSGVO)

DATENSCHUTZREGLEMENT. Branchen Versicherung Assurance des

Wissensmanagement. Thema: ITIL

Wissensmanagement. Thema: ITIL

DSGVO und DSG-Revision Datenschutz im Wandel. GVD-Anlass vom 28. Juni 2018 Zacharias Zwahlen, Rechtsanwalt

Umsetzung der EU-Datenschutz-Grundverordnung

Informationssicherheit - Nachhaltig und prozessoptimierend

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

Hand in Hand: IT- und Facility-Management

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Vorstellung, Status & Vision

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

DQS. The Audit Company.

Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

Thomas Kunz Sicherheitsberater SSI BDS AG, CH-3006 Bern

Datenschutz. Lehrstuhl für Informations- und Kommunikationsrecht Prof. Dr. Florent Thouvenin HS Rechtswissenschaftliches Institut

SWICA Datenschutzreglement

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2)

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

Verordnung über die Informationssicherheit (ISV)

IT-Sicherheit in der Energiewirtschaft

ISIS 12. Informations SIcherheitsmanagement System in 12 Schritten

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

ISO / ISO Vorgehen und Anwendung

Datenschutzgrundverordnung

Datenschutzmanagementsysteme - SDMS

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

Amtliche Bekanntmachung der Universität Konstanz

Urs Belser, Fürsprecher, Belser Datenschutz GmbH, 4500 Solothurn. Schnittpunkt Datenschutz und Arbeitsrecht 10. März 2015, Weisser Wind, Zürich

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Recht im Internet. CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management

Hauke Kästing IT-Security in der Windindustrie

Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC von BSI.

Transkript:

AMT FÜR INFORMATIK FÜRSTENTUM LIECHTENSTEIN Informationssicherheit «Umsetzung in der Praxis» Falls man glaubt, dass Technologie alle Sicherheitsprobleme lösen kann, versteht man die Probleme nicht und hat von Technologie keine Ahnung. 27. Oktober 2016 Bruce Schneier

Zu meiner Person Thoma Patrik - 1972 Information Security Manager Liechtensteinische Landesverwaltung patrik.thoma@llv.li +423 236 76 07 Aufgaben Sicherheitskonzepte & -analysen überprüfen Aufbau, Einführung & Weiterentwicklung ISMS Awareness Ausarbeitung & Anpassung von Sicherheitsvorschriften Umsetzung & Weiterentwicklung der Sicherheitsvorschriften Security-Audits Risikoeinschätzungen 2

Agenda 1. Sicherheitspyramide 2. ISMS Grundschutz ISO 27000er Familie IST-SOLL-Zustand 3. Projekt-Management ISDS-Schutzbedarfsanalyse Datenschutz-Prüffragen 4. Risikobasierter Ansatz Malware 3

1 - Sicherheitspyramide Verfassung Gesetz über die Regierungs- und Verwaltungsorganisation Datenschutzgesetz Informationsschutzverordnung IT-Strategie 2015-2018 Informations-Sicherheitspolitik... Betriebs-Konzepte Backup-Konzept Anti-Malware-Konzept.. Massnahmen ITSM Informatik-Handbuch... 4

2 - Information Security Management System «Grundschutz» Der PDCA-Zyklus, oder auch Demingkreis, beschreibt einen iterativen vierphasigen Problemlösungsprozess, der seine Ursprünge in der Qualitätssicherung hat. PDCA steht hierbei für das Englische Plan-Do-Check-Act was im Deutschen mit Planen Umsetzen-Überprüfen-Handeln übersetzt werden kann. 5

2 - ISO/IEC 27001:2015 ISO 27001:2015 Der internationale Standard ISO/IEC 27001:2015 beschreibt eine Methode, welche die Ausarbeitung, Umsetzung, Beherrschung und ständige Verbesserung der Informationssicherheit ermöglicht. international führender Standard für den Aufbau eines Information Security Management Systems seit 1993 ständig weiterentwickelt und verbessert systematisch und strukturierter Ansatz tausendfach in der Praxis erprobt weltweit anerkanntes Qualitäts- & Gütesiegel für Informationssicherheit 6

2 - ISO/IEC 27002:2013 ISO 27002:22013 Der internationale Standard ISO/IEC 27002:2013 beinhaltet diverse Empfehlungen betreffend Kontrollmechanismen für die Informationssicherheit. Der aktuelle ISO/IEC 27002:2013 Standard gliedert sich in 14 Abschnitte, welche in 35 Hauptkategorien mit 113 einzelnen Sicherheitsmassnahmen unterteilt sind. 1. Sicherheitsleitlinie 8. Betriebssicherheit 2. Organisation der Informationssicherheit 9. Sicherheit in der Kommunikation 3. Personalsicherheit 10. Anschaffung, Entwicklung & Instandhaltung 4. Management der organisationseigenen Werten 11. Lieferatenbeziehungen 5. Zugriffskontrolle 12. Management von Informationssicherheitsvorfällen 6. Kryptographie 13. Informationssicherheitsaspekte des BCM 7. Schutz vor physischem Zugang & Umwelteinflüssen 14. Richtlinienkonformität 7

2 - IST-SOLL-Zustand ISO 27002:2013 Level Beschreibung 0 Keine Prozessumsetzung geplant 1 Initial Prozess ist in Entwicklung. Teilweise bestehen einzelne Beschreibungen. Arbeiten werden grundsätzlich Ad-Hoc ausgeführt. 2 Wiederholbar Fehler in der Abwicklung gibt es regelmässig. Prozess und Umsetzung ist ansatzweise dokumentiert. 3 Definiert Prozess ist standardisiert, klar dokumentiert und es gibt eine gute Tool-Unterstützung. Prozess wird eingehalten. 4 Gemanagt Prozess wird laufend überwacht und stetig verbessert sowie regelmässig ausgebildet. 5 Optimiert Best in Class -Einführung und -Nutzung. CMMI - Maturitätsmodell 8

2 - Stärken & Schwächen ISO 2700x Stärken: Best Practices -Vorgaben, konkrete Schritte / pragmatischer Ansatz, Umsetzbarkeit / Anpassbarkeit, praxis- und massnahmebezogen, übersichtliche Struktur, Branchenunabhängigkeit, ISO-Standard (Standardisierung), Zertifizierung Schwächen: Kontrollen nicht nach Vertraulichkeit, Integrität und Verfügbarkeit gruppiert, Prozessrisiken nicht berücksichtigt, für Grundschutz ausgelegt, kein Vorgehensplan Einsatz primär für: Risiko- und Grobanalysen, Benchmarking, Grundlage für Sicherheitskonzepte Nicht unbedingt geeignet für: Erstellung eines Sicherheitshandbuches mit detaillierten Umsetzungsvorgaben 9

3 - Informationssicherheit im Projekt- Management - HERMES http://www.hermes.admin.ch/ Initialisierung / Analyse Konzept Realisierung Einführung Betrieb ISDS- Schutzbedarfsanalyse - ISDS-Konzept - Risikoanalyse - Prüffragen Datenschutz Bearbeitungs- Reglement - Review/Pen-Test - Betriebs-Handbuch Findings sind behoben strukturierte Vorgehensweise verbesserte Kommunikation zwischen Fachabteilung/Anwendern, Entwicklern und Betreibern kleinere Projektrisiken Transparenz bei den Projektphasen 10

11 3 - ISDS-Schutzbedarfsanalyse

12 3 - ISDS-Schutzbedarfsanalyse

3 - Datenschutz-Prüffragen 1 Datenberabeitung allgemein sowie Prüfung Voraussetzungen für Bearbeitungsreglement (Art. 21 Abs. 1 DSV) Ja Nein Wurde der behördliche Datenschutzverantwortliche des Dateninhabers - jenes Amt ist Dateninhaber, welches über Zweck und Inhalt entscheidet - in die Planung eingebunden? 2 Werden Daten über die religiösen, weltanschaulichen und politischen Ansichten oder Tätigkeiten einer Person bearbeitet? 3 Werden Daten über die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit einer Person bearbeitet? 4 Werden Daten über die Massnahmen der sozialen Hilfe von Personen bearbeitet? 5 Werden Daten über administrative oder strafrechtliche Verfolgungen und Sanktionen einer Person bearbeitet? Werden Daten bearbeitet, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben? 6 (Persönlichkeitsprofile) 7 Werden die bearbeiteten Daten durch mehrere Behörden benutzt? (z. B. Weitergabe auf Anfrage) Greifen Dritte (Behörden oder Private, wie bspw. Unternehmen) direkt (auch auszugsweise) auf die bearbeiteten Daten zu? 8 (vgl. Abrufverfahren; Art. 23 Abs. 3 DSG). 9 Werden Daten ausserhalb des LLV-Netzes (bspw. bei externen Dienstleistern) bearbeitet oder gespeichert? Findet eine Datenbearbeitung, wie das Beschaffen, Aufbewahren (Speichern), Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder 10 Vernichten, ausserhalb Liechtensteins statt? 11 Ist die Datenbearbeitung über das Internet abrufbar? (z. B. Webapplikation, Web-Login) 12 Werden die bearbeiteten Daten ausländischen Behörden zugänglich gemacht? 13 Werden die bearbeiteten Daten internationalen Organisationen zugänglich gemacht? 14 Werden die bearbeiteten Daten privaten Personen zugänglich gemacht? 15 Ist die Datenbearbeitung mit anderen Datensammlungen verknüpft (z. B. Schnittstellen)? 13

3 - Stärken & Schwächen Stärken frühzeitiger Einbezug der Security kontinuierliche Begleitung des Projektes aus Sicherheitssicht frühzeitige Korrekturmöglichkeiten aktive Integration der Security klare, einfach verständliche Methodenstruktur Schwächen Erstellen der Vorlagen (Initialaufwand) Schulung aller Projektleiter & -mitarbeiter 14

4 - Risikobasierter-Ansatz Rang Bedrohung (IT-Gefahrenbereich) 1 Malware (Viren, Würmer, Trojanische Pferde,...) 2 Irrtum und Nachlässigkeit eigener Mitarbeiter 3 Hacking (Vandalismus, Probing, Missbrauch,...) unbefugte Kenntnisnahme, Informationsdiebstahl, 4 Wirtschaftsspionage 5 Mängel der Dokumentation 6 Software-Mängel-/Defekte 7 Sabotage (inkl. DoS) 8 Hardware-Mängel-/Defekte 9 unbeabsichtigte Fehler von Externen 10 Manipulation zum Zweck der Bereicherung 11 höhere Gewalt (Feuer, Wasser,...) 12 Sonstiges Quelle: Sicherheitsbedrohungen nach kes Sicherheitsstudie 2016 15

4 - Malware X 16

4 - Malware Massnahme zur Risiko-Reduzierung SSL-Interception & Sandboxing 17

Fragen Besten Dank für Ihre Aufmerksamkeit 18

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback