Risikomanagement kri.scher Geschä3sprozesse

Ähnliche Dokumente
Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Berufsprüfung ICT System und Netzwerktechnik. Betrieb von ICT Systemen und Netzwerken planen

BSI Grundschutz & ISMS nach ISO 27001

1. IT-Grundschutz-Tag 2014

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

IT-Grundschutz Einführung und Anwendung auf Datenbanken

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Brandschutzbeauftragter (TÜV )

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

IT-Sicherheitsmanagement. Teil 15: BSI-Grundschutz

[15-1] e.html

krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz

Grenzen des quantitativen Risikomanagements

Wie gesund ist meine IT? Informationssicherheit in kleinen Unternehmen

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Neues vom IT-Grundschutz: Ausblick und Modernisierung


Sicherheitsdienste. Funktionen, die ein IT-System bereitstellen muss. Quelle: Raepple

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

12 Systemsicherheitsanalyse

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Copyright 2016 by Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee , Bonn

Zertifizierungsvorbereitung großer Informationsverbünde

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

Vorgehen bei IT-Sicherheit in der Telemedizin

IT-Grundschutz nach BSI 100-1/-4

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

IT-Sicherheit betrifft alle

IT Sicherheit: IT-Sicherheitsmanagement

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

Datenschutz & Datensicherheit

ALTERNATIVE ANSÄTZE IM SICHERHEITSMANAGEMENT

IT-Sicherheit in der Energiewirtschaft

Zentrum für Informationssicherheit

BYOD und ISO Sascha Todt. Bremen,

Die IT-Sicherheitsverordnung der EKD

IT-Sicherheit (WS 2016/17) Kapitel 5: Management für Informationssicherheit

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Compliance as a Service (CaaS) AWS Enterprise Summit

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

Erfahrungen bei der Erstellung und Umsetzung von Sicherheitskonzepten im IT-Verbund IMISE/KKSL

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Datenschutz und Informationssicherheit

Vertrag über die Beschaffung von IT-Dienstleistungen

Richtlinie für die IT-Sicherheit an der Heinrich-Heine-Universität Düsseldorf 2

Neues vom IT-Grundschutz Aktuelle Entwicklungen, Modernisierung und Diskussion

IT Sicherheitsbeauftragte in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

Zertifizierung IT-Sicherheitsbeauftragter

Der Risiko-Check IT. Stuttgart, Risiken systematisch identifizieren und bewerten. Seite 1 AXA Versicherung AG

Regelwerk der Informationssicherheit: Ebene 1

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin,

Wo stehen wir und wo wollen wir hin? Aktuelle Entwicklungen, Ausblick und Diskussion

Outsourcing des IT-Sicherheitsbeauftragten

IT-Grundschutz Systematische IT- und Internet- Sicherheit

Die Umsetzung von IT-Sicherheit in KMU

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

Klausurtagung des Landesausschusses 12. April Alles was Recht ist. Dinge, die Kommunen im Netz beachten sollten

IT-Revision als Chance für das IT- Management

Über den Sinn von Beziehungen. IT-Dokumentation und IT-Sicherheit passen und gehören zusammen!

OWASP Frankfurt, The OWASP Foundation Wirtschaftlichkeitsbetrachtungen von IT-Sicherheitsmaßnahmen

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Einführung eines ISMS nach ISO 27001:2013

Leistungsportfolio Security

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Ergänzung zum BSI-Standard 100-3, Version 2.5

DE 098/2008. IT- Sicherheitsleitlinie

Informationssicherheit in handlichen Päckchen ISIS12

Big Data, Open Data und Informationssicherheit

Zentrum für Informationssicherheit

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Sicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

BSI IT-Grundschutz reloaded: so funktioniert es auch in der Praxis. it-sa 2016 Nürnberg, den 19. Oktober

Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe

Der Weg zu mehr Sicherheit in 12 Schritten: ISIS12 Der praxistaugliche IT-Sicherheitsstandard für kleine und mittelgroße Unternehmen

BAYERISCHER IT-SICHERHEITSCLUSTER E.V. INFORMATIONSSICHERHEIT FÜR KMU MIT ISA + UND ISIS12

Unternehmensberatung Qualifizierungsprogramm 1. Halbjahr 2017

Der Landesbeauftragte für den Datenschutz Niedersachsen

Anforderungen an die IT- Sicherheit Die Welt nach Wegfall der 8

Lösungen die standhalten.

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Information Security Officer (TÜV )

Worum es geht. zertifiziert und grundlegend

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.

Vorlesung IT-Security

Transkript:

Risikomanagement kri.scher Geschä3sprozesse Kai Wi8enburg, Geschä)sführer, ISO27001- Audi9eamleiter (BSI) Ihre IT in sicheren Händen

Vorgehensweise BSI 100-2 IT- Strukturanalyse Erfassen der IT und der IT- Anwendungen Gruppenbildung Schutzbedarfsfeststellung Defini;on der Schutzbedarfskategorien Schadenszenarien IT- Grundschutzanalyse Modellierung nach IT- Grundschutz Basis- Sicherheitscheck mit Soll- Ist- Vergleich Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf ca. 80 % ca. 20 % Realisierungsplanung Konsolidierung der Maßnahmen Umsetzungsplan

Iden.fika.on kri.scher Geschä3sprozesse Defini.on der Schutzbedarfskategorien 4 SchriKe Schutzbedarfsbes.mmung für IT- Anwendungen anhand verschiedener Schadensszenarien Ableiten des Schutzbedarfs für die einzelnen Systeme Ableiten des Schutzbedarfs für die Übertragungsmedien und Räume, die IT- Anwendungen zur Verfügung stehen

Schutzbedarfsfeststellung Defini.on der Schutzbedarfs- kategorien Normal Schadensauswirkungen sind begrenzt und überschaubar. Hoch Schadensauswirkungen können beträchtlich sein. Sehr hoch Schadensauswirkungen können ein existen;ell bedrohliches, katastrophales Ausmaß erreichen.

Kategorien

Kategorien

Kategorien

Schutzbedarfsfeststellung Nr. IT- Anwendung / Informa;onen Pers.- bez. Daten Grund- wert Schutz- bedarf Begründung Vertraulic hkeit normal Es handelt sich um frei zugängliche Daten, deren Bekanntwerden zu keinen Schaden führen würde. A1 BranchensoUware Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Wich;ge Informa;onen können aus anderen Quellen bezogen werden. Vertraulic hkeit hoch Es handelt sich um pers.- bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch;gen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbar keit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

Schutzbedarfsfeststellung Schutzbedarf/ Sicherheitsniveau Standardmaßnahmen, IT- Grundschutz A, B, C sehr hoch hoch normal Prozess1 Prozess2 Prozess3

Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

Iden;fika;on der Assets (CMDB) Vererbung des Schutzbedarfs Nr. IT- Anwendung / Informa;onen Pers.- bez. Daten IT- Systeme C1 C2 C3 C4 L1 S1 S2 N1 N2 TK1 A1 BranchensoUware X X X X X A2 Personalverwaltung X X X X A3 Onlinebanking X X X X X

Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht BSI Gefährdungsliste Reduziert: 46 elementare Gefährdungen Beispiele und Beschreibungen 3. ErmiKlung zusätzlicher Gefährdungen Workshop (Brainstorming) 4. Gefährdungsbewertung 5. Risikobehandlungsplan

Zuordnung zu Assets

Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung nach 100-3 oder Häufigkeit Auswirkung 5. Risikobehandlungsplan

Bewertungskriterien

Prozesse mit (sehr) hohem Schutzbedarf 1. Assetliste des Prozesses 2. Erstellung einer Gefährdungsübersicht 3. ErmiKlung zusätzlicher Gefährdungen 4. Gefährdungsbewertung 5. Risikobehandlungsplan

Datenschutz Beispiel Personaldatenverwaltung Vertraulichkeit hoch Es handelt sich um pers.- bez. Daten, deren bekanntwerden den Betroffen erheblich beeinträch.gen kann. A2 Personalverwaltung X Integrität normal Fehler können schnell erkannt und korrigiert werden. Verfügbarkeit normal Ausfälle können mit manuellen Verfahren bis zu einer Woche überbrückt werden.

Datenschutz Beispiel Personaldatenverwaltung

Datenschutz Beispiel Personaldatenverwaltung

hoch Auswirkungen gering Flugzeugabsturz Brand Blitzschlag Stromschwankungen? Stau Erkältung Insektens;ch gering hoch Wahrscheinlichkeit

hoch Auswirkungen Schadens- besei;gung planen Akzep;eren und Versichern Höchste Priorität Vorbeugen gering gering Wahrscheinlichkeit hoch

neam IT- Services GmbH Technologiepark 8 D- 33100 Paderborn +49 5251 1652-0 +49 5251 1652-444 h8p://www.neam.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback