Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Ähnliche Dokumente
Neun Jahre ISO Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Neue Funktionen in Innovator 11 R5

Checkliste zur qualitativen Nutzenbewertung

ITIL & IT-Sicherheit. Michael Storz CN8

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

User CAL Preisanhebung & CAL Suiten Änderungen

Wir organisieren Ihre Sicherheit

Dieter Brunner ISO in der betrieblichen Praxis

Automatisierung eines ISMS nach ISO mit RSA Archer

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Zugriff auf Unternehmensdaten über Mobilgeräte

Enterprise Architecture Management (EAM)

Architecture of Open Embedded Systems

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Für ein sicheres Gefühl und ein effizientes Arbeiten.

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

EAM Ein IT-Tool? MID Insight Torsten Müller, KPMG Gerhard Rempp, MID. Nürnberg, 12. November 2013

IT-Security Portfolio

Prozessorientiertes Asset Management und Mobile Workforce (unter Android)

Code of Conduct (CoC)

Business Solution Network Ltd. Ä 2008 BSN Business Solution Network Ltd

Das Versicherungskernsystem OPUS Machen Sie Ihr Business vom Back-End bis zum Front-End erfolgreich

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Multichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

IT-Revision als Chance für das IT- Management

IT-Governance und COBIT. DI Eberhard Binder

Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

IT-Security Portfolio

9001 Kontext der Organisation

Führungskräfteforum Shared Services Shared Service Center Modelle und internationale Entwicklungen

Interoperabilität und Informationssicherheit mit SGAM 2. LIESA Kongress, Saarbrücken, 30. September 2015

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Mobile Enterprise Application Platform. Die Zukunft mobiler Anwendungen bei der SBB. BAT Nr November 2013

Bundeskanzlei BK Programm GEVER Bund. als Basis für GEVER. 29. November 2012

Die neuen Dienstleistungszentren

Mitteilung zur Kenntnisnahme

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

GPP Projekte gemeinsam zum Erfolg führen

Erfassung von Umgebungskontext und Kontextmanagement

Erfolgsfaktoren der Handelslogistik. Ergebnisse der BVL-Studie Logistik im Handel Strukturen, Erfolgsfaktoren, Trends

Pressekonferenz Cloud Monitor 2015

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT Security Investments 2003

IT-Strategie zum Einsatz von Open Source Software. SenInnSport IT-Kompetenzzentrum

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

IT-Controlling in der Sparkasse Hildesheim

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Cross-Platform. Visualize. Innovate. IT-Lösungen und Services konsequent zu Ende gedacht!

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

Gesetzliche Aufbewahrungspflicht für s

E-Government-Architektur- Management: Die Grundlage für E-Government aus dem Baukasten

Risikoanalyse mit der OCTAVE-Methode

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

IDV Assessment- und Migration Factory für Banken und Versicherungen

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service

RUNDE TISCHE /World Cafe. Themen

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

Cloud Computing mit IT-Grundschutz

Modul 1 Modul 2 Modul 3

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Geschäftsprozessmanagement in der Praxis

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Content Management System mit INTREXX 2002.

Test zur Bereitschaft für die Cloud

Wie findet man das passende Dokumenten Management System?

Anforderungen an kommunale IT-Dienstleister

Point of Information. Point of Information

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Business Model Canvas

d.3 starter kit Starterpaket für den einfachen Einstieg in die digitale Dokumentenverwaltung

IT-Security Herausforderung für KMU s

IT-Dienstleistungszentrum Berlin

Bacher Integrated Management

Sitzungsmanagement. für SharePoint. Release Die Neuerungen

Free Software Strategy In the Public Administration of South Tyrol. 12. November 2010

Informationssicherheit als Outsourcing Kandidat

Service. Was ist eine Enterprise Service Architecture und wie reagiert SAP. Warum Monitoring in ZENOS, was monitort die XI?

WSO de. <work-system-organisation im Internet> Allgemeine Information

ZENITY - Die Software für Ihre Unternehmens-Releaseplanung

ITSM Executive Studie 2007

Mobile Strategien erfolgreich umsetzen

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Teamentwicklung und Projektmanagement

Sicherheits-Tipps für Cloud-Worker

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

CDC Management. Change. In Zusammenarbeit mit:

Rundum-G. Die Anforderungen durch ständig steigende

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

Bring Your Own Device welche Veränderungen kommen damit? Urs H. Häringer, Leiter Technology Management, 29. Mai 2012

MEHR INNOVATION. MIT SICHERHEIT. COMPAREX Briefing Circle 2014

Transkript:

Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Ausgangssituation Die Veränderungen in eine serviceorientierte Sicherheitslandschaft führt zu komplexen Abhängigkeiten und Anforderungen bei der Realisierung von technischen Sicherheitsmaßnahmen. Dadurch steigt die Gefahr von Versäumnissen, Fehlentwicklungen und Mehrkosten. Compliance Anforderungen Änderungen bei den rechtlichen und regulativen Vorgaben Neue Sicherheitsfunktionen und Sicherheitsservices Network Access Control, Datenträgerverschlüsselung, etc. Veränderungen der Netzwerkzugänge u. Plattformen LAN, WLAN, VPN, Portal, Offline, OS-Versionen und Releases Veränderungen bei Benutzern und Endgeräten Consultants, Wartungstechniker, Gäste, mobile Endgeräte 2

Die Analystensicht Die Sicherheitsarchitektur muss konsistente Prinzipien und Vorgaben bereitstellen, um von den individuellen Anforderungen des Unternehmens geeignete Sicherheitslösungen ableiten zu können. Prognosen Unternehmen investieren zunehmend in den Einsatz von strategischen Programmen zur Förderung der Informationssicherheit. Die Sicherheitsarchitektur ist eine wesentliche Komponente in diesen Programmen. Bis 2008 werden 80 Prozent der großen Unternehmen eine Sicherheitsarchitektur implementieren. Empfehlungen Unternehmen müssen zur Steigerung der Effektivität ihrer Sicherheitsverfahren in eine Sicherheitsarchitektur investieren. Eine Sicherheitsarchitektur erfordert einen kontinuierlichern Prozess. Quelle: Gartner (Structure and Content of an Enterprise Information Security Architecture) 3

Informationssicherheits-Management Die Etablierung eines ISMS dient dazu, die angemessene Informationssicherheit kontinuierlich zu steuern und zu kontrollieren. Durch den Einsatz eines ISMS werden die vorhandenen Risiken erkennbar sowie bewertbar und durch entsprechende Maßnahmen auch akzeptabel. Sicherheitspolitik Umfang (Scope) Risikoanalyse Maßnahmenauswahl Maßnahmenumsetzung Kontrolle Mögliche Auswirkungen Wirksamkeit 4

Motivation Bei der Planung und Umsetzung der verschiedenen Sicherheitslösungen müssen immer mehr Beziehungen berücksichtigt werden. Gesetzliche Vorgaben: DSG 2000 E-GovG InfoSiG InfoSiV SigG SigV... Regulative Vorgaben: ISO 27001 / 17799 OE-IS-HB OE-IT-SIHB IKT-Board Empfehlungen... Ziele & Werte Architekt Management Vorgaben: Management Outsourcing Vorgaben: Outsourcing Präventive Ausprägung Präventive Sicherheitsdomänen Ausprägung Sicherheitsdomänen...... Lösungs- u. Hersteller Vorgaben: Standards Strateg. Partnerschaften Technologiereife Produktsicherheit Herstellerrisiko Herstellerrisiko Open Source... Open Source... Benutzer Vorgaben: Benutzerverantwortung Vorgaben: Zugriff Benutzerverantwortung auf IT-Ressourcen Zugriff auf IT-Ressourcen Sicherheitsrichtlinien... Compliance Technologie Techn. Anforderungen Integrationsfähigkeit Kompatibilität Interoperabilität Shared Services verfügbare geeignete Technologien, Methoden und Standards 5

Bestandteil von ISMS und EA Eine Sicherheitsarchitektur ist sowohl Bestandteil einer Enterprise Architektur als logische Erweiterung des ISMS zu sehen und beschäftigt sich mit der Frage, WIE die technischen Sicherheitsmaßnahmen umzusetzen sind. Ziele Werte Ziele Werte Ziele Werte Ziele Werte Rechtliche u. regulative Vorgaben Sicherheitsrichtlinien Sicherheitsrichtlinien Anweisungen u. Verträge Anweisungen u. Verträge Sicherheitspolitik IT- Architektur Sicherheitspolitik IT- Architektur Sicherheitsarchitektur Sicherheitsarchitektur techn. Vorgaben techn. Vorgaben Verfügbare Technologien, Methoden u. Standards Betriebsdokumentation Betriebsdokumentation WELCHE Sicherheitsmaßnahmen müssen umgesetzt werden? WELCHE Sicherheitsmaßnahmen müssen umgesetzt werden? WELCHE Sicherheitsmaßnahmen müssen umgesetzt werden? Betrieb Betrieb WIE müssen technische Sicherheitsmaßnahmen umgesetzt werden? WIE müssen technische Sicherheitsmaßnahmen umgesetzt werden? WIE müssen technische Sicherheitsmaßnahmen umgesetzt werden? Betrachtung aus der Architektur Betrachtung aus der Architektur Betrachtung aus der Architektur Betrachtung aus der Informationssicherheit Betrachtung aus der Informationssicherheit Betrachtung aus der Informationssicherheit 6

Zielsetzung Die Zielsetzung der Sicherheitsarchitektur besteht in der Qualitätsund Effizienzsteigerung bei der Umsetzung der technischen Sicherheitsmaßnahmen. Sie unterstützt als zentrales und standardisiertes Regelwerk die Planung, Entwicklung, Projektleitung und Beschaffung. Berücksichtigung der Organisationsvorgaben Festlegung des Konsens und Willen der Organisation im Hinblick auf die aktuelle und zukünftige Nutzung von Sicherheitsservices Berücksichtigung der Compliance-Anforderungen Definition der Anforderungen an die jeweiligen Sicherheitsservices, die sich aus den rechtlichen und regulativen Vorgaben ergeben Berücksichtigung der Kompatibilität und Interoperabilität Identifikation von Integrationsanforderungen und Kompatibilitätsanforderungen mit anderen Sicherheitsservices 7

Integration in das ISMS Zur optimalen Umsetzung der technischen Sicherheitsmaßnahmen bedarf es eines standardisierten Regelwerks. Die Integration einer Sicherheitsarchitektur in das ISMS stellt ein solches Regelwerk dar und gewährleistet die technologische Umsetzung der erforderlichen Vorgaben in einer höchstmöglichen Qualität und Effizienz. Sicherheitspolitik Umfang (Scope) Risikoanalyse Maßnahmenauswahl Sicherheitsarchitektur Maßnahmenumsetzung Kontrolle Mögliche Auswirkungen Effektivität Effizienz Kompatibilität Wirksamkeit 8

Definition der Sicherheitsarchitektur Die Sicherheitsarchitektur ist Teil der IT-Architektur und berücksichtigt die organisationsweiten Ziele und Werte sowie rechtliche und regulative Vorgaben. Definition von Grundsätzen und Vorgaben Darstellung des Konsens und Willens der Organisation Darstellung der Compliance-Anforderungen Standardisierung von Sicherheitsaspekten Definition relevanter Sicherheitsfunktionen und Sicherheitsservices Entscheidungsgrundlage bei der Evaluierung und Konzeption Basis für ein strategisches Wachstum Förderung von Wiederverwendung (Shared Services) und Interoperabilität 9

Struktur der Sicherheitsarchitektur Die Sicherheitsarchitektur besteht in Form eines Schichtenmodells. Sie unterteilt sich in die Bereiche Prinzipien, Technische Vorgaben zu den Sicherheitsfunktionen und zu den Sicherheitsservices. Allgemein anerkannte Prinzipien DSG 2000, SigG, OE- IS-HB, ISO 17799, etc. Organisationsspezifische Prinzipien Technologiereife, Standards, Open Source, etc. Sicherheitsfunktion Sicherheitsfunktion Sicherheitsfunktion Sicherheitsfunktion Netzwerk Access Mgmt. IT Policy Management Kryptografie Logging & Auswertung Sicherheitsservice Datenverschlüsselung Sicherheitsservice Sicherheitsservice Sicherheitsservice Elektron. Dienstausweis Network Access Control E- Mail Archivierung 10

Nutzen & Vorteile Die Sicherheitsarchitektur dient als organisationsweite Kommunikations- und Informationsbasis für das Technologiemanagement und für die Weiterentwicklung der technischen Sicherheitsmaßnahmen. Strukturierte Planung und Roadmap Identifizierte Abhängigkeiten ermöglichen eine strukturierte Planung und Priorisierung der Sicherheitsservices Systemübergreifende Kompatibilität Identifizierte Abhängigkeiten fördern die systemübergreifende Kompatibilität und Definition von Schnittstellen und Funktionen Shared Service Center Standardisierung fördert die Synergienutzung und kosteneffiziente Wiederverwendung von Services Investitionsschutz Eine Steigerung in der Planungsqualität fördert den Investitionsschutz 11

Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL Stabsabteilung Sicherheit & Qualität, BRZ Februar 2008 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback