VdS-Richtlinien 3473 Workshop zur LeetCon 2017

Ähnliche Dokumente
VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

ISIS12 Tipps und Tricks

Leitlinie für die Informationssicherheit

DE 098/2008. IT- Sicherheitsleitlinie

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

Aktuelle Bedrohungslage

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Weiterentwicklung IT-Sicherheitskonzeption: Entwicklung neuer BSI-Grundschutz in den Kommunen

Infozentrum UmweltWirtschaft (IZU)

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

IT-Sicherheit in der Energiewirtschaft

Zertifizierung gemäß ISO/IEC 27001

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Ausbildung zum Compliance Officer Mittelstand

Informationssicherheitsstandards 2016

Informationssicherheit im Unternehmen effizient eingesetzt

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

ISO mit oder ohne BSI-Grundschutz? Oliver Müller


ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

IS-Revision in der Verwaltung

ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN REFERENT: ANDREAS HECKER

Stand: Juni ERDGAS.praxis. Energiemanagementsysteme und -audits

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

QM-Handbuch. der. ReJo Personalberatung

IT-Grundschutz nach BSI 100-1/-4

Informationssicherheit als Outsourcing Kandidat

Internationalisierung in Südasien Das Beispiel InfraEn Europe GmbH

Informationssicherheit in handlichen Päckchen ISIS12

Einführung eines ISMS nach ISO 27001:2013

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

zum Stand der Diskussion

1. Oktober 2013, Bonn

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

Initiative zeigen und effizient wirtschaften. Umsetzung der ISO in Ihrem Unternehmen

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Test GmbH Test Hamburg Hamburg

Business Model Workshop. Die Zukunftsfähigkeit Ihres Geschäftsmodells sichern.

Security Audits. Ihre IT beim TÜV

Der niedersächsische Weg das Beste aus zwei Welten

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

GEFMA FM-Excellence: Lösungen für Betreiberverantwortung im Facility Management

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Cloud für Verwaltung - Vertrauen braucht Sicherheit

Gemeinsam sicher - kommunale Informationssicherheit in Hessen

SC150 - ISMS Auditor/Lead Auditor ISO27001:2013 (IRCA A17608)

HR-Herausforderungen im Mittelstand

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Sach-Schaden-Service im GDV-Branchennetz Workshop am in Berlin. Einleitung und Kurzvorstellung GDV

Stolpersteine bei der Einführung von ISO und BSI IT- Grundschutz. Wilhelm Dolle Partner, Consulting Information Technology

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

Auditprogramm für die Zertifizierung. von Qualitätsmanagementsystemen. in Apotheken

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

TÄGLICHES PROJEKTMANAGEMENT MIT STANDARDISIERTER BASIS

Sicherheitsnachweise für elektronische Patientenakten

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Sicherheit entsprechend den BSI-Standards

Chancen und Grenzen toolgestützter strategischer Planung

ELHA-MASCHINENBAU Liemke KG

Leistungsportfolio Security

Informationen zum QM-System

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI.

WEISER, KUCK & COMP. Management und Personalberatung BDU

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

GPP Projekte gemeinsam zum Erfolg führen

ISO 2700 und seine Auswirkungen auf die IT oder: Die Standards kommen. Jürgen Müller Berufsakademie Gera

ALTERNATIVE ANSÄTZE IM SICHERHEITSMANAGEMENT

GDV Solvency II 2008 Internationale Konferenz

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Requirements Engineering im Customer Relationship Management: Erfahrungen in der Werkzeugauswahl

Zentrum für Informationssicherheit

Umsetzung BSI Grundschutz

Zentrum für Informationssicherheit

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

CHE-Jahresprogramm Basis III: Erfahrungen aus den Quality Audits von evalag und Hinweise zur Systemakkreditierung

Cloud Governance in deutschen Unternehmen

Städtisches Klinikum Braunschweig GmbH. Zertifizierung InterSystems Ensemble nach ISO auf Basis von IT-Grundschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

wien mags wissen Die Wissensstrategie der Stadt Wien Mag. a Anabela Horta und Mag. a Ulla Weinke

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

DIE NEUE IT-SICHERHEITSVERORDNUNG IN DER PRAXIS. Umsetzungspflichten, Standards und Best Practices für die Wasserwirtschaft

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Sicherheit mit Konzept

Transkript:

VdS-Richtlinien 3473 Workshop zur LeetCon 2017 Michael Wiesner GmbH, 18.10.2017 Der Navigator für Informationssicherheit im Mittelstand www.michael-wiesner.info

Vorstellung Michael Wiesner Der Navigator für Informationssicherheit im Mittelstand seit 1994 Berater, Auditor, Penetrationstester Co-Autor VdS-Richtlinien 3473 & 10010 Lead Auditor ISO 27001 & VdS 3473, CISM, CRISC, T.I.S.P., OSCP, VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 2

Agenda Einführung Erfahrungen Entwicklungen Q&A VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 3

Workshop: Es darf mitgearbeitet werden! VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 4

Einführung VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 5

VdS 3473 Cyber-Security für kleine und mittlere Unternehmen (KMU) 07/2015 für kleine und mittlere Unternehmen (KMU), den gehobenen Mittelstand, Verwaltungen, Verbände und sonstige Organisationen Öffentlich und kostenfrei (www.vds.de/cyber/) 38 Seiten, davon 28 Seiten Anforderungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 6

Herkunft VdS Schadenverhütung Gesamtverband der Deutschen Versicherungswirtschaft (GDV) VdS Schadenverhütung 100% Tochter Technischer Arm der Versicherungswirtschaft VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 7

Herkunft Jedes Unternehmen hat Brandschutzvorkehrungen Die meisten haben sich gegen Brandschäden versichert (Gebäudeversicherungen, Inhaltsversicherungen, Betriebsunterbrechungsversicherung, ) Warum nicht auch gegen Cyber-Gefahren (z.b. Hackerangriff) versichern? VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 8

Herkunft Wie lässt sich das Risiko einschätzen, dass ein Unternehmen Opfer eines Hackerangriffs wird? Wir lässt sich das Restrisiko auf ein akzeptables Niveau senken? Nur Restrisiken werden versichert! Wie kann der Nachweis darüber erbracht werden? VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 9

Herkunft Unternehmen müssen Mindeststandards in Bezug auf Informationssicherheit einhalten Die Einhaltung und Wirksamkeit muss nach einem standardisierten Verfahren überprüft werden können Die Umsetzung muss für möglichst viele Unternehmen mit überschaubarem Aufwand möglich sein VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 10

Herkunft VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 11

Eigenschaften Informationssicherheitsmanagementsystem (ISMS) Verantwortlichkeiten, Leitlinie und Richtlinien zur Informationssicherheit Verfahren, Risikoanalyse und -behandlung Risikobasierte organisatorische und technische Maßnahmen (kritisch, unkritisch) Kontinuierlicher Verbesserungsprozess (KVP) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 12

Eigenschaften Einfache, schnelle Implementierung Eindeutige Sprache (MUSS, DARF NICHT, SOLLTE) Minimalistischer Analyse- und Dokumentationsaufwand Definition von Zielen, Freiheit bei der Umsetzung Pareto-Prinzip (80/20) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 13

Eigenschaften Geltungsbereich: Komplette Informationsverarbeitung (am Standort) Organisatorische und technische Grundanforderungen Kritische und unkritische IT-Ressourcen Basisschutz für unkritische IT-Ressourcen Zusatzmaßnahmen für kritische IT-Ressourcen Risikoanalyse zur Kompensation VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 14

Stärken Versicherungswirtschaft als Treiber Erfahrungen aus Schäden fließen ein Minimalisierter Aufwand ( so viel wie nötig, so wenig wie möglich ) Zertifizierungsfähig VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 15

Schwächen Sehr jung wenig Praxiserfahrung Bekanntheitsgrad Geringeres Sicherheitsniveau als ISO 27001 und BSI IT-Grundschutz (?) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 16

Kompatibilität Maßnahmen sind aufwärtskompatibel zu ISO 27001 und BSI IT-Grundschutz Verfahren aus etablierten Standards werden empfohlen (z.b. ISO 9001) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 17

Kompatibilität VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 18

Zertifizierung Quelle: VdS VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 19

Erfahrungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 20

Unternehmen Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz Funktioniert auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (int.) Standorten Wird als Baseline genutzt und durch ergänzende Maßnahmen angepasst (z.b. bei Teilbereichen mit ISO 27001-Anforderung) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 21

Branchen Produzierendes Gewerbe/ Industrie Anlagen- und Maschinenbau Banken- und Versicherungswirtschaft Ver- und Entsorgungsunternehmen Stadtverwaltungen, Gemeinden, Kommunen Transport & Logistik Gesundheitswesen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 22

Aufwände Einführung 5-30 (externe) Beratertage zur Einführung 10 60 (interne) Personentage für ISB 1-18 Monate Umsetzungszeit Zusätzliche Aufwände bei größeren oder komplexen Unternehmen (z.b. zusätzliche Gremien, wie ISMT, Internationalisierung, ) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 23

Aufwände Betrieb 1-3 Personentage pro Monat für ISB 0,5-1 Personentag pro Monat für IST Zusätzliche Aufwände bei größeren oder komplexen Unternehmen (z.b. zusätzliche Gremien, wie ISMT, Internationalisierung, ) VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 24

Probleme Fähigkeiten des Unternehmens Mangelndes Engagement des Topmanagements Unzureichende Fähigkeiten im Change- bzw. Projektmanagement Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc. VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 25

Probleme Fähigkeiten der Mitarbeiter Führungsschwäche bei Topmanagement oder Personalverantwortlichen Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB) Mangelnde Fachkompetenz VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 26

Probleme Herangehensweise Initialer Reifegrad wird zu hoch angesetzt Unreflektiertes Übernehmen von Templates Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe Unzureichende Ressourcen (Tagesgeschäft) Unzureichende Beachtung interner (politischer) Gegebenheiten VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 27

Unterstützung VdS 3473 Wiki https://www.3473-wiki.de Gefährdungskataloge des BSI https://www.bsi.bund.de/de/themen/itgrundschutz /ITGrundschutzKataloge/Inhalt/Gefaehrdungskataloge /gefaehrdungskataloge_node.html Ishikawa-Diagramm https://de.wikipedia.org/wiki/ursache-wirkungs- Diagramm VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 28

Entwicklungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 29

Richtlinien Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO) Integration in Umsetzungs-Tools (z.b. DocSetMinder, verinice) Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 30

VdS Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme Mapping-Projekt mit BSI IT-Grundschutz Synopse-Projekt VdS 3473 ISO 27001 VdS 10010 zur Umsetzung der DSGVO, basierend auf 3473-Struktur VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 31

Versicherer Musterbedingungen für Cyber-Versicherungen VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 32

Ausblick Weitere Leitfäden zur Umsetzung (z.b. Gesundheitswesen, Kommunen) Revision und Überführung in 10000er-Reihe (2018?) Anerkannter Stand der Technik? VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 33

Q&A VdS-Richtlinien 3473 Workshop zur LeetCon 2017, Copyright Michael Wiesner GmbH 34

Vielen Dank! Michael Wiesner GmbH Am Eichhölzchen 22 D-35708 Haiger +49 (0) 2773 8132623 0 +49 (0) 2773 8132623 9 info@michael-wiesner.info Der Navigator für Informationssicherheit im Mittelstand www.michael-wiesner.info

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback