Aktuelle Bedrohungslage Seite 1
Seite 2
Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung ist geistiges Eigentum der SCALTEL AG. Eine Weitergabe der vorgeschlagenen Konzepte und Ideen an Dritte ist vergütungspflichtig.
Der Weg zum ganzheitlichen Security-Konzept Agenda 1. Analyse-Workshop (Risikoanalyse) 2. Aufbau einer Informationssicherheitsstruktur 3. Ausarbeitung Informationssicherheitshandbuch 4. Umsetzung der Maßnahmen 5. Sensibilisierung der Mitarbeiter 6. Betrieb des Sicherheitskonzepts Seite 4
Warum ISO 27001 Was steckt dahinter und wieso bringt es Sie weiter. Weitere Schlagworte: BSI Grundschutz IDW PS 330 IT Sicherheitsgesetz Seite 5
IT Sicherheitsgesetz - KRITIS Große Panik oder die Chance für den deutschen Mittelstand? Fragen die wir Ihnen beantworten möchten: Wer könnte betroffen sein? Was könnte das Gesetzt für mich bedeuten? Ab wann gilt das Gesetz? Seite 6
IT Sicherheitsgesetz - KRITIS Große Panik oder die Chance für den deutschen Mittelstand? Unsere aktuelle Handlungsempfehlung setzen Sie sich mit Ihrem Verband in Verbindung (Klinikverband, Wasserkraftverband, Bundesnetzagentur (IT Sicherheitskatalog Regularien sind definiert)) und erfragen Sie, ob es bereits Regularien gibt, an denen Sie sich orientieren können. Seite 7
1. Analyse Workshop (Risikoanalyse) Serviceorientierte IT und die entsprechenden Mehrwerte Business Schicht / Prozess Ebene Auszug aus den Einflussfaktoren: Unternehmensstrategie (Geschäftsleitung - Zieldefinition) Services Organisationsebene für Security vorhanden? Technische Ebene Risikomanagement vorhanden? Seite 8
Infrastruktur Service Prozess 1. Analyse Workshop (Risikoanalyse) Serviceorientierte IT und die entsprechenden Mehrwerte Online Bestellung Bsp. Anforderung Verfügbarkeit: 24x7 Auszug aus den Einflussfaktoren: Unternehmensstrategie (Geschäftsleitung - Zieldefinition) E-Mail Intranet Service X Service n Organisationsebene für Security vorhanden? RZ-Infrastruktur Storage Archivierung Datenbanken Service Desk - Support Applikation Intranet Risikomanagement vorhanden? Applikation E-Mail Server Backup Monitoring Standard Software Security Seite 9
1. Analyse Workshop (Risikoanalyse) Analyse der (Security) Systeme Ziel: Aufdecken von Optimierungspotential über Ihre gesamte IT-System- Security unter Berücksichtigung der ISO 27001 Seite 10
1. Analyse Workshop (Risikoanalyse) Analyse der (Security) Systeme - Beispiel Seite 11
1. Analyse Workshop (Risikoanalyse) Penetrations Test / Schwachstellenscan Seite 12
1. Analyse Workshop (Risikoanalyse) Mitarbeiter Awareness Faktor Mensch Seite 13
2. Aufbau einer Informationssicherheits-Organisation Beispiel Organigramm Vorstand Personalabteilung CISO Datenschutzbeauftragter Arbeitssicherheitsbeauftragter Betriebsrat Security Team (Treiber ISO / Security) Seite 14
2. Aufbau einer Informationssicherheits-Organisation ISMS - Informationssicherheitsmanagementsystem Was ist denn dieses ISMS und wo kann ich es erwerben? Abgrenzung: ISMS ist kein Tool ISMS ist kein Produkt ISMS ist nie von der Stange Seite 15
2. Aufbau einer Informationssicherheits-Organisation ISMS - Informationssicherheitsmanagementsystem Was ist denn dieses ISMS und wo kann ich es erwerben? Definition: ISMS ist ein Prozess ISMS ist ein Ablageort für sämtliche Audit- und Security- Inhalte ISMS ist risikobasiert und individuell Seite 16
3. Informationssicherheitshandbuch Das zentrale Sicherheitsdokument Inhalte: Ziele (Unternehmensstrategie, Sicherheitsziele) Geltungsbereich (Abgrenzung Bsp. Zentrale / Standorte / RZ) Handbuch als Fundament Verweis auf weitere Dokumente Seite 17
4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A.17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen Maßnahme: Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz für die Einhaltung der Verfügbarkeitsanforderungen implementiert werden. Seite 18
4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A.17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen Maßnahme: Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz für die Einhaltung der Verfügbarkeitsanforderungen implementiert werden. Redundante Konzepte der SCALTEL AG Planung, Umsetzung, Dokumentation und Tests Durchgängig für alle erforderlichen Technologien Netzwerk, Datacenter, Security, Mobility, Ablage im ISMS Seite 19
4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A.12.2.1 Maßnahmen zum Schutz vor bösartiger Software Maßnahme: Es sind Erkennungs-, Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor bösartiger Software in Verbindung mit einer angemessenen Sensibilisierung der Benutzer zu implementieren. Seite 20
4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A.12.2.1 Maßnahmen zum Schutz vor bösartiger Software Maßnahme: Es sind Erkennungs-, Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor bösartiger Software in Verbindung mit einer angemessenen Sensibilisierung der Benutzer zu implementieren. Individueller gesamtheitlicher Security Ansatz der SCALTEL AG Planung, Umsetzung, Dokumentation und Tests Durchgängig für alle erforderlichen Technologien Backup und Storage Konzepte NGFW Firewall mit IPS/IDS sowie Viren und Malwarescanner Endpoint Security E-Mail und Web Security Port Security Ablage im ISMS Seite 21
4. Umsetzung der Maßnahmen Organisatorisches Beispiel: Richtlinien Clear Desk-Richtlinie Kennwort-Richtlinie Informationssicherheits- Richtlinie Social Media-Richtlinie IT-Richtlinie Datenschutz-Richtlinie Bsp. Betriebsvereinbarung Internetnutzung Seite 22
5. Mitarbeitersensibilisierung Vorstellung E-SEC 3D Security Seite 23
5. Mitarbeitersensibilisierung Vorstellung E-SEC 3D Security Planung Security Kampagnen Worauf kommt es an? Seite 24
6. Fortlaufender Betrieb Security als Prozess nicht nur eine Maßnahme Beispiele: Regelmäßiger Sicherheits-Checkup (1x pro Jahr) Security Analyse / Penetration Test Auslagerung von Zuständigkeit in Form von Managed Service Bsp.: Managed Firewall Service durch SCALTEL AG Bsp.: Monitoring / Bereitschaft Zertifizierter Unterstützungsprozesse Bsp.: Updateprozess durch Service Leitstelle Auditplan (interne Audits) (2x pro Jahr) Seite 25
Der Weg zum ganzheitlichen Security-Konzept Wie wir Sie unterstützen Begleitung bei der Einführung und Umsetzung eines ganzheitlichen Sicherheitskonzepts Praktikabler und praxisorientierter Ansatz Perfekte Basis für ISO 27001 Zertifizierung Seite 26