Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Ähnliche Dokumente
Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

DS-GVO und IT-Grundschutz

Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Grundlagen des Datenschutzes und der IT-Sicherheit

ISO / ISO Vorgehen und Anwendung

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

T.I.S.P. Community Meeting 2013 Berlin, Werte- und prozessorientierte Risikoanalyse mit OCTAVE

Verbindliche Prüfthemen für die IS-Kurzrevision

Risikoanalyse mit der OCTAVE-Methode

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Informationssicherheit

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Praxisbuch ISO/IEC 27001

Thomas W. Harich. IT-Sicherheit im Unternehmen

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

IT-Sicherheit an der Freien Universität Berlin

Informationssicherheit - Nachhaltig und prozessoptimierend

1. IT-Grundschutz-Tag 2014

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

IT-SICHERHEITSMANAGEMENT: FORDERUNGEN DER ABNEHMERINDUSTRIEN

Einführung eines ISMS nach ISO 27001:2013

DE 098/2008. IT- Sicherheitsleitlinie

Umsetzung von Informationssicherheitsprozessen. DFN-Teilnehmern. Dr. Christian Paulsen DFN-CERT Services GmbH

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

Informationssicherheitsmanagement und Compliance

Informationsveranstaltung zur IT-Sicherheitsrichtlinie (ITSR)

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

VdS 3473 Informationssicherheit für KMU

Information Security Management System Informationssicherheitsrichtlinie

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Informationsrisikomanagement

DATENSCHUTZ in der Praxis

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Der Informationssicherheitsprozess in der Niedersächsischen Landesverwaltung

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

Übersicht über die IT- Sicherheitsstandards

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

[15-1] e.html

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

Recht im Internet. CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Secuda Solutions Datenschutz & Informationssicherheit. Das KMU-Projekt

Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern. IS-Leitlinie M-V

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

Vorgehensweisen des neuen IT-Grundschutzes

Regelwerk der Informationssicherheit: Ebene 1

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

BSI IT-Grundschutz, ISO & Datenschutz

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

_isms_27001_fnd_de_sample_set01_v2, Gruppe A

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Cyber Security der Brandschutz des 21. Jahrhunderts

Informationssicherheit an der RWTH

ISIS12 und die DS-GVO

Sind Ihre Informationen sicher?

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Genügt ein Schloss am PC? Informationssicherheit bei Übersetzungen

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse. III. Risikobewertung Risiko Verarbeitungsgrundsatz

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Gegenüberstellung der Normkapitel

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

Mit ISIS12 zur DS-GVO Compliance

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

ORP.5: Compliance Management (Anforderungsmanagement)

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

I SO ISO DQS DQS

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

Cybersicherheit in der Smart Factory

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

DSGVO erfolgreich meistern

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

1 Grundlagen. Stand: 13. März 2015

Matthias Hämmerle MBCI - Beraterprofil Stand:

Transkript:

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig DFN-Kanzlerforum, Berlin, 09.05.2012 Dr. Gunnar Auth, Martin Ullrich Universität Leipzig

Agenda Ausgangslage & Lösungsansatz Methode: OCTAVE Umsetzung: Kurze Projektbeschreibung Ergebnisse: Empfehlungen und Maßnahmen Fragen/Diskussion 2

Ausgangslage Untersuchungsgegenstand: Personaldezernat Motivation: Einführung Neues Verwaltungsnetz Einführung Neue Hochschulsteuerung Datenschutzfragen Anwendung der IT-Grundschutz-Methode nicht zielführend 3

Lösung: Risikoanalyse Risiko-Identifizierung Risikoabschätzung Einschätzung des IST-Zustands Eingeschränkter Untersuchungsgegenstand Identifizierung & Bewertung von Defiziten Definition & Priorisierung von geeigneten Sicherheitsmaßnahmen Ziel: akzeptables Sicherheitsniveau 4

Einführung OCTAVE (1/2) OCTAVE = Operationally Critical Threat, Asset and Vulnerability Evaluation Methode zur Risiko-basierten Beurteilung und Planung von Informationssicherheit Unterstützt den Anwender mit Techniken, Formblättern, Checklisten Entwickelt vom CERT der Carnegie Mellon University, Pennsylvania, USA Vom DFN-CERT ins Deutsche übersetzt und angepasst (u.a. ISO 27001 IT-Sicherheitsverfahren) 5

Einführung OCTAVE (2/2) Schwerpunkt: selbstgesteuerte und wertbezogene interne Analyse der Risiken und Sicherheitsprozesse Ermittlung der erforderlichen Maßnahmen zum Schutz kritischer Werte (information assets) Softwaretool von DFN-CERT angekündigt Migrationspfad in Richtung ISO 27001 und BSI- Grundschutz gangbar 6

Ablauf der OCTAVE-Methode Start 1. Workshop 2. Workshop 3. Workshop 4. 5.Workshop Präsentation Workshop 3 Wochen 3 Wochen 7 Wochen 3 Wochen 3 Wochen Gesamtzeit = 5 Monate 7

Bildung des Analyseteams Bereichsübergreifendes Team Überschaubare Größe Personaldezernat URZ / Verwaltungs-IT, Netzwerk-Admin Datenschutzbeauftragter DFN-CERT 8

Festlegung der kritischen Werte Personaldaten personenbezogene Daten zur Verwaltung des Arbeits- und Dienstverhältnisses Elektronisches Schriftgut schützenswerte elektronische Informationen, sensible Reports, Übersichten 9

Einschätzung aktueller IT- Sicherheitsmaßnahmen (Ampelstatus) Themengebiet Informationssicherheitsmanagement und Informationssicherheitspolitik Organisation Klassifizierung und Kontrolle von Werten Personal Physische Sicherheit Kommunikation und Betrieb Zugangs- und Zugriffskontrolle Entwicklung und Wartung Behandlung von Sicherheitsvorfällen Notfallplanung - Business Continuity Einhaltung von Verpflichtungen Ampelstatus 10

Arbeiten mit Bedrohungsprofilen Insider fahrlässig Vertraulichkeit Integrität Verlust Verfügbarkeit Identifizierung Identifizierung relevanter relevanter Bedrohungsbäume Bedrohungsbäume Vertraulichkeit Personaldaten Netzwerk vorsätzlich Integrität Verlust Verfügbarkeit Extern fahrlässig Vertraulichkeit Integrität Verlust Verfügbarkeit Vier Vier mögliche mögliche Bedrohungsprofile Bedrohungsprofile Personen Personen mit mit Netzzugang Netzzugang Personen Personen mit mit physischem physischem Zugang Zugang Technische Technische Probleme Probleme Weitere Weitere Problemfelder Problemfelder vorsätzlich Vertraulichkeit Integrität Verlust Verfügbarkeit 11

Ansatz zur Risikominimierung Schadenswirkung Eintrittswahrscheinlichkeit Sicherheitsmaßnahmen Ansatz 12

Sicherheitsstatus aktuell IS-Management Organisation Compliance Klassifizierung v. Werten Notfallplanung Personal Sicherheitsvorfälle Physische Sicherheit Entwicklung / Wartung Kommunikation Zugangskontrolle 13

Zu verbessernde Themenbereiche Übergeordnete Bereiche Informationssicherheitsmanagement Organisation Behandlung von Sicherheitsvorfällen Verwaltungsbezogene Bereiche Personelle Sicherheit Kommunikation und Betrieb Entwicklung und Wartung 14

Übergeordnete Bereiche: Maßnahmenempfehlungen I Initialisierung eines ISMS: Festlegung der Sicherheitsziele und -strategie Erstellung und Publikation einer Leitlinie für Informationssicherheit Benennung eines Informationssicherheits- Beauftragten (ISB) 15

Übergeordnete Bereiche: Maßnahmenempfehlungen II Organisation / Betrieb des ISMS: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Organisationsleitung und Budget bereitstellen Aufbau einer übergeordneten Organisationsstruktur für das ISMS Festlegen von Rollen und Verantwortlichkeiten im Sicherheitsprozess 16

Übergeordnete Bereiche: Maßnahmenempfehlungen III Behandlung von Sicherheitsvorfällen: Proaktiv: Schwachstellenmanagement, Informationsbeschaffung Automatische Warnmeldungen, Monitoring Reaktiv: Festlegen von Verhaltensregeln, Verantwortlichkeiten und Meldewegen bei Sicherheitsvorfällen Nachbearbeitung ( lessons learned ) 17

Wie? ISMS-Einführung und Betrieb Initiierung des Sicherheitsprozesses Verantwortung der Leitungsebene Konzeption und Planung Erstellung einer Sicherheitsleitlinie Aufbau einer IS-Organisation Bereitstellung von Ressourcen Einbindung aller Mitarbeiter Erstellung der Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung und Verbesserung Quelle: [BSI] 18

Warum? Neue Anforderungen durch Veränderungen in den Verwaltungsstrukturen Verwendung des Business Intelligence Moduls von HIS Einführung eines ReCoB-Systems (speziell gesichertes Terminalserver-System für Web-Zugang) Neues Verwaltungsnetz Veränderte Risikolage -> Neue und modifizierte Sicherheitsmaßnahmen erforderlich -> Datenschutzbetrachtung erforderlich 19

Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen I Kommunikation und Betrieb: ChangeManagement Regelmäßige interne und externe Audits Regelungen zur Nutzung von mobilen Datenträgern Regelungen zum Einsatz von E-Mail, internen und externen Informationssystemen Regelungen zur Abnahme und Freigabe von IT- Verfahren 20

Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen II Entwicklung und Wartung: Anforderungsspezifikation: Beschaffung, Konfiguration und Umsetzung von neuen IT- Anwendungen unter Berücksichtigung von Informationssicherheit und Datenschutz Abnahme- und Freigabeverfahren für Hard- und Standardsoftware Wartungsverträge mit SLAs und Berücksichtigung von Sicherheitsanforderungen 21

Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen III Personelle Sicherheit: Sensibilisierung / Schulung der Mitarbeiter bezügl. Informationssicherheit Durchsetzung disziplinarischer Maßnahmen bei Verletzung der Sicherheitspolitik Geregelte Prozesse beim Ausscheiden eines Mitarbeiters (Arbeitsmittel, Zugangsberechtigungen löschen,...) 22

Sicherheitsstatus Nach erfolgreicher Maßnahmenumsetzung IS-Management Organisation Compliance Klassifizierung v. Werten Notfallplanung Personal Sicherheitsvorfälle Physische Sicherheit Entwicklung / Wartung Kommunikation Zugangskontrolle 23

Nächste Schritte Zu verbessernde Themenbereiche Übergeordnete Bereiche Informationssicherheitsmanagement Organisation Behandlung von Sicherheitsvorfällen Verwaltungsbezogene Bereiche Personelle Sicherheit Kommunikation und Betrieb Entwicklung und Wartung Folgeauftrag DFN-CERT Untersuchung der Umsetzungsvarianten für Informationssicherheitsbeauftragten: a) ISB als Mitarbeiter der UL ausschließlich für Informationssicherheit der Universität zuständig b) ISB als Managed Service eines externen Dienstleisters für Informationssicherheit der Universität c) ISB als gemeinsam finanzierter Shared Service der Leipziger Hochschulen sowie ggf. außeruniversitärer Forschungseinrichtungen in den Varianten eigenes Personal/Shared Service 24

Vielen Dank! Fragen? Kontakt Dr. Gunnar Auth E-Mail: gunnar.auth@uni-leipzig.de Tel.: 0341 97 33301 Martin Ullrich E-Mail: martin.ullrich@uni-leipzig.de Tel.: 0341 97 33340 25

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback