Das sichere Rechenzentrum Normkonform und ökonomisch sinnvoll?!

Ähnliche Dokumente
Normkonforme Informationssicherheit

Betriebliches Notfallmanagement Bericht aus der Praxis

Unternehmensweite Sicherheit messen, koordinieren, optimieren

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

DS-GVO und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN 2. Hanno Wagner

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Grundlagen des Datenschutzes und der IT-Sicherheit

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

EU-Datenschutz-Grundverordnung (DSGVO)

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Vorgaben der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis

Übersicht über die IT- Sicherheitsstandards

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Informations- / IT-Sicherheit Standards

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Locky & Co Prävention aktueller Gefahren

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Datenschutz und Informationssicherheit

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung

ISMS-Einführung in Kliniken

Datenschutz und IT-Sicherheit an der UniBi

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Informationssicherheit und Datenschutz

Checkliste Prüfung des Auftragnehmers zur Auftragsdatenverarbeitung gemäß 11 BDSG

Management von Informationssicherheit und Informationsrisiken Februar 2016

DAS IT-SICHERHEITSGESETZ

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Arbeiten Sie wirklich sicher im Internet? Online-Transaktionen sicher abwickeln. Dr. Andreas Gabriel Ethon GmbH

Technisch-organisatorische Maßnahmen

CEMA online IT.Special: Wie werden Unternehmen der DSGVO gerecht? Vortrag 4: Wie werden Unternehmen der. Andreas Swierkot CEMA Management Consultant

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Erklärung zur Datensicherheit

Sicherheit für Ihre Geodaten

IT-Sicherheit für KMUs

Leitlinie zur Informationssicherheit

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

Neues Datenschutzrecht umsetzen Stichtag

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Hauke Kästing IT-Security in der Windindustrie

Datenschutz im Client-Management Warum Made in Germany

Glücklich mit Grundschutz Isabel Münch

Bundesamt für Sicherheit in der Informationstechnik KRITIS-Büro Postfach Bonn

Cloud und Datenschutz

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Datenschutzmanagement als integraler Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) Ein Appell

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

(Gar) keine Daten in die Cloud? Was geht wirklich (nicht)?

Informations-Sicherheitsmanagement und Compliance

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar Torsten Trunkl

Sicherheit und Compliance in der Cloud: Regulatorische Anforderungen und Good-Practice Frameworks

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Spezielle Sicherheitsfragen

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Technische und organisatorische Maßnahmen

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Rechtlicher Rahmen für Lernplattformen

Vertragsanlage zur Auftragsdatenverarbeitung

Agenda Datenschutz, rechtliche Grundlagen

Datenschutzaudit. Einhaltung gesetzlicher. Datenschutz. Copyright DQS GmbH. DQS GmbH

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2)

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Die Datenschutzgruppe

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Zertifizierung von IT-Standards

IT-Sicherheit unter der DSGVO Technische, organisatorische und rechtliche Anforderungen. BvD-Verbandstage, RA Karsten U. Bartels LL.

25. November >Der sichere Pfad durch den Datensecurity Jungle Angela Espinosa, LH Systems AG

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Transkript:

Das sichere Rechenzentrum Normkonform und ökonomisch sinnvoll?! Dr. Andreas Gabriel Ethon GmbH 08. Oktober 2014

KURZE VORSTELLUNG 2

Über die Ethon GmbH Über die Ethon GmbH 2003: Gründung Ethon Technologies GmbH als IT-Dienstleister mit Schwerpunkt Automobilindustrie Bald erste IT-Sicherheits- und Voice over IP- Projekte 2009: Ausgliederung des Sicherheits- und VoIP- Geschäftes in die Ethon GmbH Struktur Größe Standorte Eigentümergeführte Gesellschaft Derzeit ca. 45 Mitarbeiter Ulm, München, Wolfsburg und Chernihiv 3

Unser Profil Informationssicherheit Sicherheitsaudits u. a. nach ISO 27001, Erstellung von Sicherheits-Konzepten, Auditvorbereitung, IT-Forensik VoIP & Crypto etasuite: Sichere (mobile) Sprachkommunikation, ZRTP- Verschlüsselung, Client- und Serverprodukte Über die Ethon GmbH 4

Notwendige Sicherheit in unserem Alltag?! Lassen Sie uns starten Chongqing (China) Washington (USA) Quellen: Facebook; www.krone.at 5

Überblick Normen/Standards Sicherheitsnormen und -standards (Auswahl) ISO 27001 (nativ) Bundesamt für Sicherheit in der Informationstechnik ISIS12 Cobit ITIL (IT Infrastructure Library) CC (Common Criteria) Basel II/III Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Bundesdatenschutzgesetz (BDSG) Vorschriften der BaFin ISAE 3402, SSAE 16 (vormals SAS 70 ) Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) 6

Einordnung der jeweiligen Räumlichkeiten Überblick IT-Räume Maschinensteuerung Lokaler Serverraum Schaltschrank Überregionaler Serverraum Verteilerraum Serverraum für Kundensysteme 7

Definition ANGEMESSEN Überblick Angemessenheit Frist Vergütung Entschädigung gerecht notwendig richtig Preis ANGE- MESSEN Verhältnis würdig ANGE- MESSEN bestimmt Reaktion Umfang Weise weise vorteilhaft einzig Quelle: http://www.duden.de/rechtschreibung/angemessen 8

Grundlegende Definitionen Informationssicherheit Die IT-Sicherheit tangiert alle technischen Maßnahmen zur Verringerung des Gefährdungspotenzials für IT-Anwendungen und -Systeme. http://www.itwissen.info/definition/lexikon/it-sicherheit-it-security.html Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. http://www.itwissen.info/definition/lexikon/risiko-risk.html Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/glossar/glossar_node.html Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. http://www.itwissen.info/definition/lexikon/bedrohung-threat.html 9

Facetten der Informationssicherheit Informationssicherheit Die Bündelung aller Sicherheitsbemühungen erfolgt in einem sogenannten Informationssicherheits-Managementsystem (ISMS) Basis bei der Ausgestaltung des RZ ist eine angemessene Umsetzung in Bezug auf Branche Unternehmensgröße Marktsituation Ökonomische Situation 10

Schutzziele der Informationssicherheit Basisziele C/I/A-Analyse Vertraulichkeit/ Confidentiality Integrität/Integrity Verfügbarkeit/Availability Erweiterung für Cloud- Anwendungen Transparenz (Revisionssicherheit) Intervenierbarkeit (Eingreifbarkeit, Abstreitbarkeit) Informationssicherheit Weitere Schutzziele Nichtverkettbarkeit Verbindlichkeit (Zweckbindung, Zwecktrennung, Nachweisbarkeit Datensparsamkeit) Authentizität Quelle: T. Weichert: Cloud-Zertifizierung aus Sicht des Datenschutzes, 17.04.2013 11

ANFORDERUNGEN FÜR EIN RECHENZENTRUM 12

Für diese Analyse wurden diese drei Regelwerke verwendet ISO 27001:2013 Anforderungen (Auswahl) BDSG Vorgaben des VDA 13

Anforderungen (Auswahl) Vorgaben des BDSG, im speziellen aus der Anlage zu 9 Satz 1 Technik Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle Verschlüsselung Organisation Betrieblicher Datenschutzbeauftragter Verfahrensverzeichnis Abnahme spezieller Umsetzungen z. B. Videoüberwachung Geheimhaltungsvereinbarung Regelung für die Weitergabe von Daten Quelle: Bundesdatenschutzgesetz Text und Erläuterung 14

Anforderungen (Auswahl) VDA Katalog für ein Information Security Assessment 6 Organization of Information Security 6.2 Wird vor Auftragsvergabe an Fremdfirmen eine Risikoanalyse der personellen u. organisatorischen Risiken durchgeführt? (A.6.2.1) 6.3 Wie wird die Geheimhaltung bei der Zusammenarbeit mit Fremdfirmen sichergestellt? (A.6.2.3) 7 Asset Management 7.2 Wie werden die Informationen im Unternehmen eingestuft / klassifiziert? (A.7.2.1) 9 Physical and Environmental Security 9.1 Wie werden Sicherheitszonen definiert und wie sind diese abgesichert? (A.9.1.1) 9.2 In wie weit ist das Unternehmen auf physikalische Bedrohungen (z. B. Feuer, Erdbeben usw.) vorbereitet? (A.9.1.4) 9.3 Wie ist das Zutrittsmanagement im Unternehmen organisiert? (A.9.1.6) 9.4 Welche Vorsichtsmaßnahmen werden zum Schutz der Waren bei Anlieferung und Versand getroffen? (A.9.1.6) 9.5 Wie ist der Prozess zum Gebrauch von Betriebsmitteln definiert (einschließlich Mitnahme, Entsorgung und Wiederverwendung)? (A.9.2.7) 10 Communications and Operations Management 10.1 In wie weit ist das Änderungs-Management an Systemen im Unternehmen etabliert und werden die Systeme auf dem aktuellsten Stand gehalten? (A.10.1.1/A.10.1.2) 10.16 Wie werden die Aktivitäten von Systemadministratoren und Operatoren auf kritischen Systemen protokolliert? (A.10.10.4) 15 Compliance Welche Regelungen und Maßnahmen sind eingeführt, um personenbezogene Informationen unter Einhaltung der gesetzlichen / vertraglichen Regelungen zu schützen (z. B. Datenschutzgesetz)? (A.15.1.4) 15

Business Continuity Management BCM Die Bündelung aller Sicherheitsbemühungen erfolgt in einem sogenannten Informationssicherheits-Managementsystem (ISMS) Basis bei der Ausgestaltung des BCM ist eine angemessene Umsetzung in Bezug auf Branche Unternehmensgröße Marktsituation Ökonomische Situation 16

Anforderungen an ein Rechenzentrum Umsetzungsbeispiel Angemessenheit der Gesamtsituation Sind die genannten Aktivitäten notwendig oder nur Aktionismus der IT-Abteilung? Welche Anforderungen haben die Fachbereiche wirklich? Welche (vertraglichen) Absprachen gibt es mit den Kunden (SLAs)? Sind die eigenen Dienstleister auf eine angemessene Zusammenarbeit verpflichtet? Business Continuity Management (BCM) auf Basis einer Risiko- bzw. Business-Impact Analyse!!! 17

FAZIT 18

Ich habe zum Abschluss zwei Bitten an Sie Fazit Sicherheitsaktivitäten müssen zusammengreifen, aber Bitte achten Sie bei der Planung Ihres Rechenzentrums auf eine angemessene und vernünftige Umsetzung, in Abhängigkeit Ihrer wirklichen Bedürfnisse. Quelle: www.goermezer.de gehen Sie einmal bewusst einen vergessen Schritt zurück Sie nicht und die.. offene Tür nebenan. 19

Vielen Dank für Ihre Aufmerksamkeit! auf Wiedersehen & bis bald Dr. Andreas Gabriel Ethon GmbH Deutschhausgasse 11-13 89073 Ulm Sie finden mich auch bei: Tel.: +49 731 140 206 121 Fax: +49 731 140 206 200 Mobil: +49 173 399 602 1 Internet: http://www.ethon.com E-Mail: a.gabriel@ethon.com 20

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback