Cyber Security im Kontext des IT-Sicherheitsgesetz. Konformität. Angemessenheit. Technologie vs. Governance?

Ähnliche Dokumente
TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

TÜV Rheinland. Managed Cyber Defense. It-sa 2016, 18. Oktober 2016

Cloud Computing. Standortbestimmung, Sicherheit, Prüfverfahren. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

TÜV Rheinland. Ihr Partner für Informationssicherheit.

TÜV Rheinland. Ihr Partner für Informationssicherheit.

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

SAP Penetrationstest. So kommen Sie Hackern zuvor!

TÜV Rheinland. Ihr Partner für Informationssicherheit.

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Informationsrisikomanagement

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Workshop - Governance, Risk & Compliance - Integration durch RSA Archer

IT-Sicherheitsgesetz: Wen betrifft es,

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Fallbeispiele zur Kompetenz IT-Sicherheit und CyberSecurity Berlin, Leipziger Platz 15

Übersicht über die IT- Sicherheitsstandards

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

Service-Provider unter Compliance-Druck

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

Ronny Kirsch Interim Security Officer

IT-Sicherheit für KMUs

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

GRC TOOLBOX PRO Vorstellung & News

Information Security Management System Informationssicherheitsrichtlinie

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

Zertifizierung von IT-Standards

BSI IT-Grundschutz in der Praxis

IT Security Day 2017,

DAS MODELL DER DREI VERTEIDIGUNGSLINIEN ZUR STEUERUNG DES RISIKOMANAGEMENTS IM UNTERNEHMEN

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

DATENSCHUTZ in der Praxis

Integrierte und digitale Managementsysteme

Netzsicherheit. Netzsicherheit im Recht Was taugt es für die Praxis. Ing. Mag. Sylvia Mayer, MA

Inhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis

Willkommen in der ORANGEN Welt. UNSER WEG ZUR ISO ZERTIFIZIERUNG

Erfolg durch Wissen. Petershauser Straße 6, D Hohenkammer

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Digitalisierung und WEB maximal agil und trotzdem Konkurs?! Chancen nutzen, Risiken begegnen!

BearingPoint RCS Capability Statement

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

ISO / ISO Vorgehen und Anwendung

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Informationssicherheit

Krankenhaus Revitalisierung Detecon Service Offering

BTC IT Services GmbH

ds-project-consulting Deutschland GmbH

Cassini I Guiding ahead

Sicherer Datenaustausch für Unternehmen und Organisationen

Datenschutzzertifizierung Datenschutzmanagementsystem

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Konzernsteuerungssysteme Revision IKS - Compliance

PRE-SCAN KRITIS. Delivering Transformation. Together.

Der Weg zu einem ganzheitlichen GRC Management

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

ISO Zertifizierung

Cyber Security der Brandschutz des 21. Jahrhunderts

Leitlinie für die Informationssicherheit

Management- und Organisationsberatung. Business Continuity Management (BCM)

Standardisierung und Anforderungen an SMGW Administration

Inhalt. Überblick über die Normenfamilie. Struktur der ISO/IEC 27018:2014. Die Norm im Einzelnen. Schnittmenge zum Datenschutz. Kritische Würdigung

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Einführung eines ISMS nach ISO 27001:2013

UNTERNEHMENSPRÄSENTATION

ISIS12 und die DS-GVO

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

So gestalten Sie Ihr Rechenzentrum KRITIS-konform

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Matthias Hämmerle MBCI - Beraterprofil Stand:

Mit dem Upgrade der bestehenden Windows XP-Landschaft mit ca Clients

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

TÜV NORD CERT Normenkompass 2016/17

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Wissensmanagement. Thema: ITIL

Public IT Security PITS 2017

Informationssicherheit im Unternehmen effizient eingesetzt

Wissensmanagement. Thema: ITIL

Internet, Datennetze und Smartphone

Informations- / IT-Sicherheit Standards

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

Compliance as a Service (CaaS) AWS Enterprise Summit

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

Umsetzung der Anschlussbedingungen Verbindungsnetz in Hessen

ITIL V3 zwischen Anspruch und Realität

Transkript:

Cyber Security im Kontext des IT-Sicherheitsgesetz Konformität. Angemessenheit. Technologie vs. Governance?

Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio. 1.881 Auslandsanteil (in %) 50,6 EBIT (in %) 5,4 Mitarbeiter (-innen) 19.630 Auslandsanteil 11.587 Standorte: Über 500 69Ländern 2

Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 8% 7% Industrie Service Academy 27% & Life Care 10% Mobilität 24% 24% Produkte 3

Die Welt von ICT & Business Solutions. Umsatz 2015: 133 Mio. Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Weltweite Standorte 4

TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unserer Schwestergesellschaft OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO 27001 und ISO 9001 5

TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Kernbranchen und Sitz unserer Kunden Gelnhausen Saarbrücken Finanzen Automobil Fachliches Kompetenzteam 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel Deutschland Österreich Schweiz! Projekteinsatz an 25.000 Tagen in 2015 6 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz

Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Strategie Management der Informationssicherheit Datenschutz und Datensicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Betrieb (MSS) und Support von IT Security Lösungen Sicherheitsaudits Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO 31000 und 27005 ISMS, BCM und GRC Toolauswahl/ -einführung Anwendungssicherheit APT - Computer Security Incident Response Team (CSIRT) Abkürzungsverzeichnis ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung. 7 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz

Referent. Arne Helemann Funktion: Fachgebiete: Qualifikationen: Principal Consultant - TÜV Rheinland i-sec GmbH ISMS, BCM, IT-Notfallmanagement, IT-GRC Associate member of the bci (AMBCI) Certified ISO 22301:2012 BCM Lead Auditor IT Compliance Manager - ITCM (ISACA ) Zertifizierter betrieblicher Datenschutzbeauftragter Fachkundiger und geprüfter IT-Security-Manager (UDIS) Geprüfter IT-Security-Beauftragter (TÜV, TAR-Zert) Kontakt: Arne.Helemann@i-sec.tuv.com +49 174 188 02 56 8

Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 9

Update. IT-Sicherheitsgesetz I/III. Adressaten und Schwerpunkte des IT-Sicherheitsgesetzes* Allg. Betreiber Kritischer Infrastrukturen Betreiber von Webangeboten Angemessene Absicherung der IT nach Stand der Technik - sofern nicht andere Spezialregelungen bestehen Überprüfung alle zwei Jahre Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Erhöhte Anforderungen an techn. & org. Maßnahmen Schutz der Kundendaten & der genutzten IT-Systeme Telekommunikationsunternehmen Verpflichtung zur Warnung der Kunden, bei Missbrauch von Kundenanschlüssen Hinweispflicht der Provider an die Kunden, wie eine Beseitigung der Störungen erfolgen kann * In Kraft getreten am 25. Juli 2015 10

Update. IT-Sicherheitsgesetz II/III. Meldepflicht Meldepflicht betrifft aktuell Betreiber von Kernkraftwerken und TK-Unternehmen, sowie KRITIS-Betreiber der Sektoren* - Energie - Informationstechnik - Telekommunikation - Ernährung - Wasser * Gem. KRITIS-Verordnung vom 03. Mai 2016. Regelungen für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit folgen im zweiten Teil der Rechtsverordnung. 11

Update. IT-Sicherheitsgesetz III/III. Aktueller Stand KRITIS-Verordnung (Erster Teil) ist am 03. Mai 2016 in Kraft getreten - Betroffene Sektoren: - Energie, Informationstechnik, Telekommunikation sowie Ernährung und Wasser - Ziel: Messbare und nachvollziehbare Kriterien, anhand derer Betreiber prüfen können, ob sie unter den Regelungsbereich fallen - Bestimmung des Versorgungsgrades anhand von Schwellenwerten - Regelschwellenwert von 500 000 versorgten Personen Zweiter Teil der KRITIS-Verordnung wird bis Anfang 2017 erwartet - Finanzen, Transport, Verkehr und Gesundheit Es wird von insgesamt nicht mehr als 2.000 Betreibern Kritischer Infrastrukturen in den regulierten sieben Sektoren ausgegangen Spezifische Regelungen für Anforderungen und Meldewege sind über Branchenverbände möglich (aktuell z.b. IT-Sicherheitskatalog der BNetzA) 12

Herausforderung. Stand der Technik. Stand der Technik "Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO- Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben. Quelle: BSI, https://www.bsi.bund.de/de/themen/industrie_kritis/it-sig/faq/faq_it_sig_node.html 13

Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 14

Zwischenfazit. IT-Sicherheitsgesetz. Zwischenfazit Der zweite Teil der KRITIS-Verordnung steht noch aus (Erwartet bis Anfang 2017) Unruhe und Verunsicherung bei Unternehmen, - ob man direkt / indirekt unter das Gesetz fällt - in Bezug auf branchenspezifische Lösungen - bezgl. der Überprüfung der Einhaltung der Vorgaben - bezgl. der Meldung von Vorfällen Aktuelle Auswirkung: Viele Unternehmen zögern mit der Umsetzung von Maßnahmen in Bezug auf IT- und Informationssicherheit Vielfach unzureichendes Verständnis für Bedarf nach IT- und Informationssicherheit - Empfinden, dass IT- und Informationssicherheit nur als Compliance-Erfüllung notwendig ist - Notwendigkeit und Mehrwerte von gesteuerter IT- und Informationssicherheit werden vielfach nicht wahrgenommen 15

Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 16

Erfahrungen. TÜV Rheinland. Erfahrungen / Problemstellungen Hohe Unsicherheit in Bezug auf regul. und gesetztl. Anforderungen - Probleme in der Festlegung des Anwendungsbereiches ISMS als reines Werkzeug der Compliance Nachhaltige, strategisch gesteuerte Informationssicherheit oft ein Lippenbekenntnis - Historische Aufteilung von Verantwortlichkeiten (Kompetenzgerangel) - Keine gemeinsame, Unternehmensübergreifende Strategie Zielsetzung - Unzureichende Koordination von Governance, Technik und Managementsystemen Aufbau von ISMS ohne - Wandel in Kultur und Philosophie - angemessene Ausrichtung an Unternehmenszielen und -strategie Immer noch Reduktion von Informationssicherheit auf IT-Sicherheit Notfallmanagement vielfach untergeordnetes Thema 17

Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 18

Lösungsansatz. Aufbau ISMS. Definition Informationssicherheitsmanagementsystem (ISMS) Ein ISMS sichert die Wahrung der - Vertraulichkeit, - Integrität - und Verfügbarkeit - (Authentizität als zusätzliches Sicherheitsziel, gem. IT-Sicherheitsgesetz) von Informationen unter Anwendung eines Risikomanagementprozesses. Ein ISMS ist als Basis für eine gesteuerte Umsetzung der Anforderungen des IT- Sicherheitsgesetz zu sehen Das ISMS ist integraler Teil der Abläufe einer Organisation Durch das ISMS werden techn. und org. Maßnahmen risikoorientiert gesteuert Ein gutes ISMS spiegelt einen ganzheitlichen Ansatz mit max. Nutzen wider 19

Kooperationspartner Aufsichtsbehörden Angemessenheit Reputation Wirtschaftlichkeit Dienstleister Anforderungen. Nur IT-Sicherheitsgesetz? Outsourcing ISO 27001 Firmenkultur Notfallfähigkeit IT-Sicherheit Risikomanagement Wirtschaftsprüfer Branchenstandards BSI IT-Grundschutz Kunden Lieferanten Risikoorientierung Supply Chain Betriebssicherheit Geschäftsanforderungen Gesetzliche Anforderungen Interne Regularien 20

Informationssicherheit. Definition. Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen 1 Informationssicherheit beinhaltet IT-Sicherheit als Leistungsdomäne Informationssicherheit berücksichtigt zusätzlich weitere Themen, z.b. - Strategie, Compliance, Prozesse - Personal Sicherheit, Physische Sicherheit - Business Continuity Management - Risikomanagement - Techn. und org. Maßnahmen Fokus auf Schutzbedarf der Informationen - Vertraulichkeit - Verfügbarkeit - Integrität - Authentizität 1 (ISO/IEC 27001), ggf. Ergänzung der Authentizität gem. IT-Sicherheitsgesetz 21

Management der Informationssicherheit. Ein Lösungsansatz. Strategische Ausrichtung Informationssicherheits-Managementsystem (ISMS) Interaktion mit bestehenden Managementsystemen (z.b. QMS, Riskmgmt) Ausrichtung an Unternehmenszielen und -strategie Integration Top-Level Management Anpassung an Firmenkultur und -philosophie Organisatorische und betriebliche Maßnahmen ISMS Prozesse (z.b. Riskmanagement, Management Reviews, Metriken) Betriebsprozesse (standardisieren, dokumentieren) Verfahrens- und Arbeitsanweisungen Sicherheitsbewusstsein schaffen Awareness Technische Maßnahmen Netzwerk Clients Server Gebäudesicherheit! Zielsetzung: GANZHEITLICHE LÖSUNG. Steuerung durch Top-Level Management. 22

Ganzheitlicher Ansatz. Der Weg zum Ziel. Organisation Politik Umweltfaktoren IKS HR Governance ISO27001 Branchen standards ISO31000 COSO Gesellschaft BCM RMS ISMS DS CRM Risk Compliance CobiT IT-SiG BS25999 IT-Grundschutz Mensch Information Prozesse Ziele Zeit Technik Wertschöpfung 23

Informationssicherheit. Erfolgsfaktoren Top-Level Management Compliance Interaktion Governance Wandel Mind Change Informationssicherheit als Aufgabe des Top-Level Management. Strategische Einbindung. 1 Kenntnis der Anforderungen an das ISMS (Gesetzte, Regularien, Verträge, Erwartungen) 2 Interaktion mit bestehenden Managementsystemen und zwischen Geschäftsbereichen 3 Übergeordnete Koordination und Steuerung von Maßnahmen und Aktivitäten 4 Wandel bestehender Strukturen (org. und kulturell) 5 Ermutigung aller Mitarbeiter zu offenem, risikoorientierten Verhalten 6 24

Ein Beispiel. IS Management durch ein ISMS. Organisation ISMS Management Strategien, Planungen, Visionen Management Commitment Bereich Organisation Prozesse, Rollen, Strukturen Security Forum, Policies Fachbereiche Verfahren, Lösungen Technische/Organisatorische Maßnahmen Informationstechnik Prozesse, Kommunikation, Daten Technische/Organisatorische Maßnahmen Infrastruktur-Technik Gebäude, Infrastruktur Technische Maßnahmen! Ca. 80% der Maßnahmen bei der Einführung eines ISMS sind organisatorischer Art! Dienstleistung ISMS-Forderungen Betriebliche Anforderungen 25

Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 26

Praxisbeispiel. Kunde im Energiesektor I/V. Analyse Tätigkeitsfelder. Anforderungen an ein ISMS. 27

Praxisbeispiel. Kunde im Energiesektor II/V. 1. Detaillierung. Analyse relevanter Prozesse / Bereiche. 28

Praxisbeispiel. Kunde im Energiesektor III/V. 2. Detaillierung. Identifikation Informationen / Systeme. 29

Praxisbeispiel. Kunde im Energiesektor IV/V. 3. Detaillierung. Erstellung Übersicht über alle Ebenen. 30

Praxisbeispiel. Ableitung von Maßnahmen. Ableitung von techn. und org. Maßnahmen auf Basis von: Internen und externen Anforderungen - Z.B. (Konzern) Richtlinien, Kunden, Partner, Prüfer Vertragl. und regulativen Vorgaben - Z.B. Gesetze, Verträge, Verordnungen Risikomanagement - Z.B. ISMS, Corporate Risk-Management, IT-Risk-Management, BCM, IKS Incident Management - Z.B. Behandelte Vorfälle, identifizierte Schwachstellen Best-Practices - Z.B. Themen, die immer relevant sind und keiner dedizierten Anforderung bedürfen! Viele verschiedene Quellen mit Anforderungen an Maßnahmen Überschneidungen und Widersprüche sind nicht auszuschließen 31

Maßnahmenauswahl. Der Weg zum Erfolg. Ganzheitliches Maßnahmenmanagement Identifikation von Handlungsbedarf Definition von Verantwortlichkeiten Abstimmung mit relevanten Bereichen (tech. & org.) Analyse rechtlicher Rahmenbedingungen Definition von Zielen und Bewertungskriterien (Lastenheft) Marktanalyse, inkl. Bewertung gem. Bewertungskritereien Konzeption, inkl. Prozess und Dokumentation Durchführung Proof of Concept Ggf. gesteuerter Roll-Out Fortlaufende Pflege und Überwachung der Maßnahmen / Aktivitäten Optional: - Messung der Effektivität der Maßnahmen / Aktivitäten - Anpassung oder Deaktivierung der Maßnahmen / Aktivitäten 32

Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 33

Projekterfahrung. Handlungsbedarf. Top Themen aus aktuellen Projekten Identifizierung interner und externer Angriffe / Angreifer Partner vor Ort. - Verhaltensorientiert - Korrelation von Sensoren-Daten Revisionssichere Kontrolle und Monitoring - IT-Systeme, Applikationen & Aktivitäten Log Management - Zentral und plattformübergreifend Verschlüsselung & Authentifizierung - On Premise & Cloud-Umgebungen Automation des ISMS (tech. / org.) - GRC-Tools - Qualifiziertes Reporting (techn. Systeme) Vulnerability management Incident Management 34

Fragen? Arne Helemann Principal Consultant, Information Security and Application Services TÜV Rheinland i-sec GmbH Am Grauen Stein 51105 Köln Tel: +49 221 56783 275 Fax: +49 221 806 1580 Arne.helemann@i-sec.tuv.com www.tuv.com/informationssicherheit 35

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter www.tuv.com/informationssicherheit 36

Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio. 1.881 Auslandsanteil (in %) 50,6 EBIT (in %) 5,4 Mitarbeiter (-innen) 19.630 Auslandsanteil 11.587 Standorte: Über 500 69Ländern 37

Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 8% 7% Industrie Service Academy 27% & Life Care 10% Mobilität 24% 24% Produkte 38

Die Welt von ICT & Business Solutions. Umsatz 2015: 133 Mio. Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Weltweite Standorte 39

TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unserer Schwestergesellschaft OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO 27001 und ISO 9001 40

TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Kernbranchen und Sitz unserer Kunden Gelnhausen Saarbrücken Finanzen Automobil Fachliches Kompetenzteam 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel Deutschland Österreich Schweiz! Projekteinsatz an 25.000 Tagen in 2015 41 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz

Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Strategie Management der Informationssicherheit Datenschutz und Datensicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Betrieb (MSS) und Support von IT Security Lösungen Sicherheitsaudits Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO 31000 und 27005 ISMS, BCM und GRC Toolauswahl/ -einführung Anwendungssicherheit APT - Computer Security Incident Response Team (CSIRT) Abkürzungsverzeichnis ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung. 42 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback