Industrie
eGovernment
eHealthcare
Energie
Transport
und	mehr …
Soziale Netze
eEducation
Geschäftsziele	/	Regulierungen	 /	...
Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsm...
Forderung nach effektiven Kontrollen
…
Forderung nach:
• Transparenz
• Durchsetzung von Compliance
• Prüfung von Complianc...
Risiken und Chancen von Information
Information ist neben Arbeit, Boden und Kapital der vierte Produktionsfaktor
Arbeit Bo...
Schwachstellen: Nicht nur technischem Ursprung (1/2)
BSI, Webkurs IT-Grundschutz, 2006
Schwachstellen: Nicht nur technischem Ursprung (2/2)
BSI, Webkurs IT-Grundschutz, 2006
1. Türen und Fenster stehen offen: ...
Definition von IT-Compliance
Definition nach [Fröhlich/Glasner 2007, S. 58]:
IT Compliance: IT-Prozesse und von IT-unterst...
IT-Compliance: Ein notwendiges Übel?
Compliance …
fordert:
• Einmalige Kosten, um einen
Zustand Compliance zu erreichen
• ...
IT Ziele
Geschäftsziele
IT-Compliance-Management
Business Outcome
Technical
IT-Capability
Operational
IT-Capability
IT Com...
Strategischer Fokus: IT-Compliance-Prozess
1. Identifizierung der relevanten Gesetze
und Regulierungen
2. Bewertung der Co...
Flexible Nutzung
• Nutzer
• Märkte
• Innovationen
• …
Compliance und Service Computing: „Moving Target“
Agiler Geschäftspr...
Kontrollen: Compliance + Geschäftsprozess
Access Control
Compliance
Anforderung
Geschäfts-
prozess
Kontrollen
Execute
payo...
Operativer Fokus: Internes Kontrollsystem (1/2)
Entity Level Process Level
Beham, Schatz, 2009
• Fokus auf Organisation un...
Operativer Fokus: Internes Kontrollsystem (2/2)
Entity Level Process Level
Beham, Schatz 2009
• Fokus auf Geschäftsaktivit...
Automatisierte Kontrollen
IT supported and automated control activities
allow
effect
larger volume of data process integra...
Automatisierbare Kontrollen
Kontrolle/Steuerung
Vergleich IST
mit SOLL-
Zustand
Bestimmung
des aktuellen
Zustands
1…*1
Beh...
Schritt 1: Interpretation und Entscheidbarkeit
Die Durchsetzung einer Anforderung kann nur automatisch kontrolliert werden...
Schritt 2: Formalisierung
Anforderungen
Formalisierbarkeit
Um automatische Analyse, Beweisführung und Verifikation zu ermö...
Schritt 3: Spezifikation von Kontrollen
Prozessausführung
tStart Ende
Auswahl der Kontrollmechanismen
Benutzbare Kontrollm...
Schritt 4: Nutzung von Kontrollen
Workflow
Adaptierte(r) Kontroll-
prozess(e)
Geschäftsprozess
?
Prinzip:
Kontext-spezifis...
Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsm...
Ziel: Schutz von Investoren und Zuverlässigkeit der Unternehmensinformation
• Einhaltung von SOX ist Bedingung für die Tei...
Basel
Ziel: Integrität (soundness) und Stabiliät des internationalen Bankensystem
• Basel I: Management von Markt- und Kre...
BDSG, 95/46/EC
• Schutz personenbezogener Daten bei ihrer elektronischen Verarbeitung
• Grundprinzipien des Datenschutzrec...
Datenschutzrichtlinien der OECD
Eingeschränkte
Profilbildung
Qualität der
erhobenen Daten
Eingeschränkte Nutzung
der erhob...
Fair Information Practices (1/2)
1. Eingeschränkte Profilbildung (collection limitation)
Der Umfang des erstellten Profils...
Fair Information Practices (2/2)
5. Verwendung angemessener Sicherheitsmaßnahmen (reasonable security)
Persönliche Daten s...
Datenschutz bei Service Computing?
• Allgegenwärtige und mobile Services:
– Verknüpfung von physischer und virtueller Welt...
Elektrizität und Energiewirtschaftsgesetz
• Fordert	Einhaltung	 minimaler	Sicherheitsregeln	 für	einen	individuell	angemes...
KRITIS und IT-Sicherheitsgesetz
9 Sektoren der digitalen Kritischen Infrastruktur
nicht im Bild:Sektor „Staat und Verwaltu...
KRITIS und IT-Sicherheitsgesetz
9 Sektoren der digitalen Kritischen Infrastruktur
nicht im Bild:Sektor „Staat und Verwaltu...
Beispiel: Zwischen Nutzer und Dienstanbieter
– Ausdrucksfähigkeit erlaubt Konditionen und Obligationen
(bspw. “hat zugesti...
Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsm...
IT Ziele
Geschäftsziele
IT-Sicherheitsmanagement
IT-related Business
Capability
Business Outcome
Technical
IT-Capability
O...
Information Security Management Systems (ISMS)
Definition der ISO/IEC 27000:
“An Information Security Management System (I...
Organisation
• Management/Geschäftsführung
• Zusage zu Informationssicherheit mit ISMS
• Ausrichtung durch die Security Po...
IT-Sicherheitsbeauftragter (CISO)
Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange
der I...
IT-Sicherheitsleitlinie (Security Policy)
Die IT-Sicherheitsleitlinie sollte mindestens enthalten:
• Stellenwert der IT Si...
Abstraktionsebenen
Security
Policy
Richtlinien
Verfahrensanweisungen
IT Sicherheitshandbücher
Leitfäden,Standards......etc...
Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsm...
ISO/IEC 27001: Struktur
• 14 Information Security Controls Areas
• 34 Information Security Control Objectives
• 114 Inform...
Der Kern von ISO/IEC 270xx (27k)
Standard Title Notes (Gary Hinson ISO 27K Forum)
ISO/IEC 27000
Information security manag...
ISO/IEC 270xx auf dem Weg zu Service Computing?
Cloud
FinanceInformation exchange
ISO/IEC 27001 Roadmap ISO27k Forum at www.ISO27001security.com
Information Security Management System (ISMS)
} It is important to be able to demonstrate the relationship
from the select...
ISO/IEC 27002
§ ISO27002 is a “Code of Practice” recommending a
large number of information security controls.
§ Control o...
Management Support
} Management should actively support information security by
giving clear direction (e.g. policies), de...
Definition des Anwendungsbereichs (Scope)
} Management should define the scope of the ISMS in terms
of the nature of the b...
Bestandsaufnahme der Vermögenswerte (Assets)
} An inventory of all important information assets should be
developed and ma...
Risikobewertung
} Risk assessments should identify, quantify, and prioritize
information security risks against defined cr...
Statement of Applicability (SOA)
} The Statement of Applicability (SOA) is a key ISMS
document listing the organization’s ...
Risk Treatment Plan (RTP)
} The organisation should formulate a risk treatment plan
(RTP) identifying the appropriate mana...
PDCA: Plan-Do-Check-Act
} The "Plan-Do-Check-Act" (PDCA) model
applies at different levels throughout the
ISMS (cycles wit...
Plan-DCA
Outline Step 1 ISMS scope is determined.
Step 2 ISMS basic policy is decided.
Step 3 Systematic method of risk
as...
P-Do-CA
DO
CHECK
ACT
PLAN
Outline Step 1 Decision of plan of measure
against risk
Step 2 Assignment of resources by
the ma...
PD-Check-A
DO
CHECK
ACT
PLAN
Outline Step 1 Execution of procedure for
surveillance, and management
measure
Step 2 Periodi...
PDC-Act
DO
CHECK
ACT
PLAN
Outline Step 1 Enforcement of
improvement measure
Step 2 Notification of devised
setting
In orde...
ISO Zertifizierung
【Example of needs 】
§ Want to acquire a certification of ISMS as a data center to raise
a security leve...
Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsm...
IT-Grundschutz
BSI Standards zu IT-Sicherheit
- Bereich IT-Sicherheitsmanagement -
BSI Standard 100-1
BSI Standard 100-2
B...
Ziel und Anwendungen des IT-Grundschutz
Anwendungen:
• Information Security Management System
• Vorgehensweise zur Erstell...
BSI Standard 100-1 & 100-2
BSI Standard 100-1: ISMS
• Zielgruppe: Management
• Allgemeine Anforderungen an ein ISMS
• Komp...
IT-Sicherheitskonzeption (100-2)
Muench, Compliance und IT-Sicherheit, 2007
Strukturanalyse
Ziel: Zusammenstellung der notwendigen Informationen über die
Informationstechnik, die in diesem IT-Verbun...
Netzplan
Quelle: BSI: Webkurs
IT-Grundschutz, 2006
Erfassung der IT-Systeme
Erforderliche Information
Nr. Beschreibung Plattform Anz. Standort Status Anwender/
Admin.
S1 Ser...
Erfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems,
• deren Daten und Programme den höchsten...
Erfassung der IT-Anwendungen
Diejenigen IT-Anwendungen des jeweiligen IT-Systems,
• deren Daten und Programme den höchsten...
Schutzbedarfsfeststellung
Ziel: Erfassung, Lokalisierung und Begründung der schutzbedürftigen
Komponenten eines IT-Verbund...
IT-Grundschutzanalyse
• Ziel: Möglichst vollständige Abbildung des IT-Verbundes und seiner einzelnen
Komponenten durch Bau...
IT-Grundschutz-Kataloge
Wissen zu Sicherheit von
• IT-Systemen,
• Organisation und
• Personal
Quelle: BSI: Webkurs IT-Grun...
Einordnung der Bausteine
Ziele des Schichtenmodells:
• Reduzierung der Komplexität der Darstellung des Sicherheitskonzepte...
Basis-Sicherheitscheck
Switch
Router Stand-
leitung
Router
Switch
Kommunikations
- Server
(Unix)
Exchange-
Server(Windows ...
Agenda
2. IT-Compliance und IT-Sicherheitsmanagement
2.1 IT-Compliance-Management
2.2 Externe Vorgaben
2.3 IT-Sicherheitsm...
COITT
• COBIT = Control Objectives for Information and Related Technology
• Erste Version: Ende 1995
• Ziel: Revision
• Be...
COBIT: Prozessmodell
• 4 Domains mit 34 IT Prozessen
• Über 300 Einzelaktivitäten bzw. Kontrollen
Quelle: http://www.cobit...
Industrie
eGovernment
eHealthcare
Energie
Transport
und	mehr …
Soziale Netze
eEducation
Geschäftsziele	/	Regulierungen	 /	...
Quellen und weiterführende Literatur
• Brauer, M. H. et al. Compliance Intelligence. Schäffer-Poeschel Verlag Stuttgart, 2...
Nächste SlideShare
Wird geladen in …5
×

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

553 Aufrufe

Veröffentlicht am

Lecture on IT Security and Technical Data Protection
Part 2: IT Compliance and IT Security Management
Summer term 2016

(in German: 2 IT-Compliance und IT-Sicherheitsmanagement
der Vorlesung IT-Sicherheit und Technischer Datenschutz
im Sommersemester 2016)

Veröffentlicht in: Wissenschaft
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
553
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
18
Aktionen
Geteilt
0
Downloads
9
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

  1. 1. Industrie eGovernment eHealthcare Energie Transport und mehr … Soziale Netze eEducation Geschäftsziele / Regulierungen / Nachhaltigkeit Internet of Things / Service Computing EN 6.3: IT-Sicherheit und Technischer Datenschutz Mittwoch, den 30. März 2016 Dozent: Dr. Sven Wohlgemuth <wohlgemuth@acm.org> Themen 1. IT-Sicherheit und Datenschutz 2. IT-Compliance und IT-Sicherheitsmanagement 3. Sicherheitsmodelle 4. Kryptographie 5. Netzwerksicherheit 6. Sichere Dienste 7. IT-Risikomanagement 8. Risikoidentifizierung 9. Risikoquantifizierung 10. Benutzbare Sicherheit
  2. 2. Agenda 2. IT-Compliance und IT-Sicherheitsmanagement 2.1 IT-Compliance-Management 2.2 Externe Vorgaben 2.3 IT-Sicherheitsmanagement 2.4 ISO/IEC 270xx 2.5 BSI Standard 100 2.6 COBIT
  3. 3. Forderung nach effektiven Kontrollen … Forderung nach: • Transparenz • Durchsetzung von Compliance • Prüfung von Compliance … 8. EU-Richtlinie (EURO-SOX) Müller, IT Compliance Management, 2012
  4. 4. Risiken und Chancen von Information Information ist neben Arbeit, Boden und Kapital der vierte Produktionsfaktor Arbeit Boden Kapital Information Nutzer Elektronische Vertriebskanäle Beispiele: • Online Banking, Portale, • Externes Hosting, ASP • Kommunikation (SNS, e-mail) Wachsende Komplexität • Lokale, globale Vernetzung • Technologische Veränderungen Missbrauch „Geldkanäle“ als Objekt der Begierde Beispiele: • Beeinträchtigung von Geschäftsprozessen • „Umleitung/Manipulation von Transaktionen“ • Erlangen von Kunden- und Unternehmens- informationen
  5. 5. Schwachstellen: Nicht nur technischem Ursprung (1/2) BSI, Webkurs IT-Grundschutz, 2006
  6. 6. Schwachstellen: Nicht nur technischem Ursprung (2/2) BSI, Webkurs IT-Grundschutz, 2006 1. Türen und Fenster stehen offen: Rechner und Zubehör könnten aus den Räumen gestohlen werden. 2. Der Bildschirm und damit möglicherweise auch vertrauliche Informationen können von Unbefugten eingesehen werden. 3. Ein Zettel mit Passwörtern ist sichtbar und könnte von Unbefugten missbraucht werden. 4. Eine mit "Sicherung" beschriftete CD-ROM liegt zugänglich herum. 5. Ausdrucke und Kopien mit vertraulichen Daten liegen an Druckern und Kopierern. 6. Rechner mit direkter Verbindung an das Internet können den zentralen Firewallschutz des Netzes aushebeln. 7. Durch private Datenträger (im Bild eine CD-ROM) kann Schadsoftware in das Unternehmensnetz gelangen. 8. Austretende Flüssigkeiten gefährden die Hardware. 9. Rauchen bedeutet Brandgefahr. Vielfältige Schwachstellen für Informationssicherheit eines Unternehmens
  7. 7. Definition von IT-Compliance Definition nach [Fröhlich/Glasner 2007, S. 58]: IT Compliance: IT-Prozesse und von IT-unterstützte Prozesse müssen regulativen Anforderungen erfüllen. Definition nach [Beham/Schatz 2009, S. 66]: IT-Compliance-Management beschreibt die Anstrengungen zur gesicherten Erfüllung der rechtlichen, internen und vertraglichen Regeln und Anforderungen mit der IT-Infrastruktur. IT-Compliance enthält: Einhaltung der verpflichteten Regeln: • Rechtliche Regeln (recehtliche Normen, Anordnungen, Verwaltungsvorschriften, usw.) • Verträge (mit Kunden, Zulieferern, Dienstanbieter, usw.) • Weitere externe Regeln (Normierungen, Standards, usw.) • Interne Regeln (interne Richtlinien, prozedurale Anforderungen, usw.) IT-Compliance ist Teil der IT-Governance und steht in enger Beziehung zu IT-Risikomanagement
  8. 8. IT-Compliance: Ein notwendiges Übel? Compliance … fordert: • Einmalige Kosten, um einen Zustand Compliance zu erreichen • Laufende Betriebskosten, um den Zustand Compliance nachhaltig/fortlaufend zu behalten à Relativer Wechsel der Wettbewerbsposition bietet: • (Erhebung,) Analyse und Optimierung der bestehenden Prozesse • Entwicklung von Reputation à Investition und nachhaltiger Wettbewerbsvorteil Müller, IT Compliance Management, 2012
  9. 9. IT Ziele Geschäftsziele IT-Compliance-Management Business Outcome Technical IT-Capability Operational IT-Capability IT Compliance ManagementIT-related Business Capability • Welche Anforderungen liegen vor? • Welche Maßnahmen können ergriffen werden? Müller, IT Compliance Management, 2012
  10. 10. Strategischer Fokus: IT-Compliance-Prozess 1. Identifizierung der relevanten Gesetze und Regulierungen 2. Bewertung der Compliance 3. Realisierung von Compliance 4. Steuerung und Beobachtung der Compliance Beham, Schatz 2009
  11. 11. Flexible Nutzung • Nutzer • Märkte • Innovationen • … Compliance und Service Computing: „Moving Target“ Agiler Geschäftsprozess Flexible IT-Unterstützung • Web Service und Komposition • Virtualisierung • Cloud Computing • … Compliance • Gesetze • Regulierungen • Verträge • … ? Aus z ahlung anweis en Betrag is t überprüft Ware is t geliefert V ► Beobachtung/Einhaltung von Compliance in hoch-dynamischen/ agilen Geschäftsprozessen? Service Provider d Isolation d or d´ B A Sackmann, Economics of Controls, 2011
  12. 12. Kontrollen: Compliance + Geschäftsprozess Access Control Compliance Anforderung Geschäfts- prozess Kontrollen Execute payout Amount paid is correct Product is received V Compliance Ziel Bekämpfung von Korruption 1..n 1..m „Separation of Duty (SoD)“ für Auszahlung Technische Struktur Security Policy Access conditions Obligations Sanctions t Access obligationsprovisions Execute payout Amount paid is correct Product is received V Sackmann, Economics of Controls, 2011
  13. 13. Operativer Fokus: Internes Kontrollsystem (1/2) Entity Level Process Level Beham, Schatz, 2009 • Fokus auf Organisation und Struktur des Unternehmens • Geringe Standardisierung und geringe Wiederholung à Automatisierung möglich… à …allerdings ist Effizienz fraglich • Fokus mehr auf Kontrollprinzipien als auf implementierte Kontrollen Internal Control System
  14. 14. Operativer Fokus: Internes Kontrollsystem (2/2) Entity Level Process Level Beham, Schatz 2009 • Fokus auf Geschäftsaktivität und Ausführung des Geschäftsprozesses • Doppelte Rolle der IT à Standardisierte, häufig wiederholte, automatisierte Ausführung von Geschäftsprozessen (s. Service Computing) à Potential für integrierte und automatisierte Kontrollen Internal Control System
  15. 15. Automatisierte Kontrollen IT supported and automated control activities allow effect larger volume of data process integration company wide implementation possible larger control period higher coverage through control activities identification of irregular processes elevation of further process information unlawful / wrongful behavior potential risks process inefficiencies performance figures specific analysis results in Surveillance of Business Process Execution Improvement of Enterprise Rating Identification of potentials to reduce costs Nach Brauer et al. 2009
  16. 16. Automatisierbare Kontrollen Kontrolle/Steuerung Vergleich IST mit SOLL- Zustand Bestimmung des aktuellen Zustands 1…*1 Behandlung von Abweichungen 1 Kontrollmechanismus Policy (definiert den SOLL-Zustand)
  17. 17. Schritt 1: Interpretation und Entscheidbarkeit Die Durchsetzung einer Anforderung kann nur automatisch kontrolliert werden, wenn sie entscheidbar ist (vgl. EN 6.3: 3 Sicherheitsmodelle) Sollte Entscheidbarkeit nicht gegeben sein, dann muß die Anforderung für eine automatische Kontrolle interpretiert und schrittweise verfeinert werden. Quelle: Lewis (1998) Entscheidbarkeit: Zum Zeitpunkt der Kontrolle kann eindeutig entschieden werden (ja/nein bzw. true/false), ob der IST-Wert dem SOLL-Wert entspricht. Anforderung Provision Obligation enforceable enforceable not enforceable observableQuelle:Nach Pretschner et al. (2006)
  18. 18. Schritt 2: Formalisierung Anforderungen Formalisierbarkeit Um automatische Analyse, Beweisführung und Verifikation zu ermöglichen Konformitätsprüfung und Normalisierung Um Inkonsistenzen und Konflikte zwischen den Complianceregeln zu identifizieren und aufzulösen Um Redundanzen zu identifizeiren und ggf. zu entfernen Deklaration Um den maßgeblichen Kontext auszudrücken und zu beschreiben Generisch Um den Ausdruck von Sequenzen, Kardinalitäten, zeitliche Beziehungen, erforderliches Vorkommen, Verwendungen und Obligationen auszudrücken Ausdrucksfähigkeit Um die intrensische Semantik von Anforderungen der Compliance, die aus unterschiedlichen Quellen entstehen, zu erfassen Nach Elgammal et al. 2010 Formale Spezifikation Konkreter Service Berechenbar: Gebiet der Informatik Korrektheit Komplex/Statistisch: Die physikalische Welt Gefälligkeit
  19. 19. Schritt 3: Spezifikation von Kontrollen Prozessausführung tStart Ende Auswahl der Kontrollmechanismen Benutzbare Kontrollmechanismen hängen ab von: • Attribute der Anforderungen (Enforceability vs. Observability) • Ökonomisch erforderliche Zeit der Kontrolle Observable Requirements Design Time • Process Design Patterns • Static Analysis Execution Time • Monitoring • Process Rewriting Post Execution Time • Auditing Enforceable Requirements
  20. 20. Schritt 4: Nutzung von Kontrollen Workflow Adaptierte(r) Kontroll- prozess(e) Geschäftsprozess ? Prinzip: Kontext-spezifische Integration von Kontrollprozessen in Geschäftsprozesse zum Zeitpunkt ihrer Instantiierung Technische Anforderungen: – Konzeptionell getrennte Modellierung von Kontroll- und Geschäftsprozessen – Identifikation (aller) möglicher Kontrollprozesse Wirtschaftliche Anforderungen: – Auswahl des (lokal) optimalen Kontrollprozesses – Risikobewertung der Kontrollprozesse Sackmann, Economics of Controls, 2011
  21. 21. Agenda 2. IT-Compliance und IT-Sicherheitsmanagement 2.1 IT-Compliance-Management 2.2 Externe Vorgaben 2.3 IT-Sicherheitsmanagement 2.4 ISO/IEC 270xx 2.5 BSI Standard 100 2.6 COBIT
  22. 22. Ziel: Schutz von Investoren und Zuverlässigkeit der Unternehmensinformation • Einhaltung von SOX ist Bedingung für die Teilnahme am Kapitelmarkt • Eine Regelung is die Zertifizierung der Finanzberichte durch CEO und CFO • Bezieht sich auf Vertraulichkeit von Kundeninformationen und gegen Whisteblower (Insider) • Die Signierer bestätigen ihre Verantwortung für eine Einreichung und Pflege interner Kontrollen • Regionale Variation: J-SOX (Japan) und EuroSOX (Europa) Public CompanyAccounting Oversight Board: "The nature and characteristics of a company's use of information technology in its information system affect the company's internal control over financial reporting.“ • Eine Vorgehensweise zur Umsetzung ist dieAusrichtung an CObiT • Technische Kontrolle von Informationsflüssen: Chinese-Wall Security Policy Sarbanes Oxley Act (SOX) Senate and House of Representatives of the United States of America in Congress assembled, SOX, 2002.
  23. 23. Basel Ziel: Integrität (soundness) und Stabiliät des internationalen Bankensystem • Basel I: Management von Markt- und Kreditrisiken • Basel II Management von Markt, Kredit und operationalen Risiken (u.a. Einsatz von IT) • Basel III zzgl. Resilienz zwischen Stabilität des Finanzsystems und Vermeidung einer Kreditverknappung „Operational risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.“ Definition: Operationales Risiko è IT-Risiko ist eine Teilmenge des operationalen Risikos European Commission, Regulation (EU) No 648/2012, 2013
  24. 24. BDSG, 95/46/EC • Schutz personenbezogener Daten bei ihrer elektronischen Verarbeitung • Grundprinzipien des Datenschutzrechts – Transparenz durch Unterrichtung und Benachrichtigung – Erforderlichkeit der erhobenen Daten für einen bestimmten Zweck – Begrenzung der Datenverarbeitung auf einen bestimmten Zweck – Korrekturrechte des Betroffenen auf erforderliche Daten und Verarbeitungsphasen – Kontrolle durch Datenschutzbeauftragten – Datenvermeidung und –sparsamkeit – Datenschutz durch Technik – Deklassifizierung durch Anonymisierung • Minimale Schutzprinzipien • Nutzer von IT ist verantwortlich bei Auftragsverarbeitung Cloud Geschäfts- ziele IT Ziele Geschäfts- modell Geschäfts- prozesse customer purch. provider capt ur e new r equir em ent capt ur e r ef und r equir em ent place or der or der dispos al appr oval denial goods r eciept or der denialed or der r eceived department r equir em ent place or der capt ur e new r equir em ent capt ur e r ef und r equir em ent or der denialed place or der capt ur e new r equir em ent capt ur e r ef und r equir em ent place or der or der r eceived Anwendungs- systeme Customer Relationship ManagementSystem PDB Enterprise ResourcePlaning System Supply Chain Management System ContentManagementSystem SDB CDB Infrastruktur branc h offic e A branc h offic e B Anwendungs- systeme (SaaS & PaaS) Customer Relationship ManagementSystem PDB Enterprise ResourcePlaning System Supply Chain Management System ContentManagementSystem SDB CDB Infrastruktur (IaaS) PaaS SaaS IaaS Viruses Hackers Trojans Earthquake Terrorism Vandalism Burglary (D)DoS Corruption Money Laundry Fraud Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, 2005
  25. 25. Datenschutzrichtlinien der OECD Eingeschränkte Profilbildung Qualität der erhobenen Daten Eingeschränkte Nutzung der erhobenen Daten Angabe des Verwendungszwecks Haftungsumfang Offene Profilbildung Individuelle Beteiligung des Betroffenen Angemessene Sicherheitsmaßnahmen
  26. 26. Fair Information Practices (1/2) 1. Eingeschränkte Profilbildung (collection limitation) Der Umfang des erstellten Profils sollte zu dessen Verwendungszweck angemessen sein. Die Datenerhebung sollte mit legalen Mitteln und mit dem Wissen oder dem Einverständnis der betroffenen Person, wann immer es möglich ist, erfolgen. 2. Qualität der erhobenen Daten (data quality) Die erhobenen Daten sollten für den Zweck relevant und notwendig sein. Weiterhin sollten sie korrekt, vollständig und aktuell sein. 3. Angabe des Verwendungszwecks (purpose specification) Der Zweck der Erhebung persönlicher Daten soll spätestens zum Zeitpunkt der Datenerhebung angegeben werden. Ändert sich der Verwendungszweck, so soll diese Änderung ebenfalls angegeben werden. Zusätzlich soll die weitere Nutzung der erhobenen Daten auf die Erfüllung des Zweckes oder äquivalenter Zwecke beschränkt sein. 4. Eingeschränkte Nutzung der erhobenen Daten (use limitation) Persönliche Daten dürfen nicht für andere Zwecke als unter den angegebenen Verwendungszwecken veröffentlicht, zur Verfügung gestellt oder auf andere Weisen genutzt werden. Eine Ausnahme besteht dann, wenn der Eigentümer dieser Daten dem zugestimmt hat oder im Falle eines richterlichen Amtsbefugnisses.
  27. 27. Fair Information Practices (2/2) 5. Verwendung angemessener Sicherheitsmaßnahmen (reasonable security) Persönliche Daten sollen durch angemessene Sicherheitsmaßnahmen vor unbeabsichtigten Verlust und gegen unerlaubten Zugriff, Vernichtung, Nutzung, Änderung und Veröffentlichung geschützt werden. 6. Offene Profilbildung (openess and transparency) Es sollte eine allgemeine Politik der Offenheit bestehen, die Auskunft über die Entwicklungen, Praktiken und Richtlinien der Organisation mit Bezug zu den von ihr erhobenen persönlichen Daten gibt. Es sollten dem Einzelnen Mittel zur Verfügung stehen, mit denen er die Existenz und die Motivation zur Datenerhebung, die wesentlichen Verwendungszwecke der erhobenen Daten und den Datenschutzbeauftragten dieser Organisation ermitteln kann. 7. Individuelle Beteiligung des Betroffenen (individual participation) Ein Einzelner sollte da Recht haben, (a) von einem Datenschutzbeauftragten einer Organisation zu erfahren, ob und ggf. welche persönlichen Daten über ihn von der Organisation erhoben wurden; (b) innerhalb einer angemessenen Zeit, evtl. zu einer nicht übertriebenen Gebühr, auf eine angemessene Art und Weise und in einer für ihn verständlichen Form über die erhobenen Daten in Kenntnis gesetzt zu werden; (c) eine Begründung zu erhalten, wenn einer der obigen beiden Anfragen abgelehnt wurden, und eine solche Ablehnung anfechten zu können; (d) eine Datenerhebung anzufechten und, im Erfolgsfall, die Lösung, Richtigstellung, Vervollständigung oder Änderung des Profils anzuordnen. 8. Haftungsumfang (accountability) Ein Datenschutzbeauftragter sollte für die Einhaltung der Mittel, mit denen diese Prinzipien ausgeführt werden, haften. OECD 1980: Information Security and Privacy, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.
  28. 28. Datenschutz bei Service Computing? • Allgegenwärtige und mobile Services: – Verknüpfung von physischer und virtueller Welt – Überall, jederzeit, alles (incl. grenzüberschreitend) – Hoch dynamische Vernetzung und „mixed-mode“ – Web Services haben ein „Gedächtnis“ und sind autonom • Herausforderungen für den Datenschutz: – Pers. Daten sind nicht Eigentum des Einzelnen – Fehlende Transparenz durch komplexe IT-Systeme und Fülle an Datenerhebung – Einwilligung zur Datenerhebung überfordert Betroffenen; schriftliche Einwilligung kaum umsetzbar – Erforderlichkeit und Zweckbindung durch dynamische Vernetzung nicht vorher bestimmbar – Datensparsamkeit im Widerspruch zu nutzenbringenden Geräten mit „Gedächtnis“ – Korrekturrechte des Betroffenen sind durch unklare Verantwortlichkeiten der Datenverarbeitung kaum durchsetzbar è Ziel: Nutzerkontrollierbare Herausgabe und Verwendung pers. Daten è Gegenwärtig: Überarbeitung der 95/46/EC zu General Data Protection Regulation Industrie eGovernment eHealthcare Energie Transport und mehr… Soziale Netze eEducation Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, 2005
  29. 29. Elektrizität und Energiewirtschaftsgesetz • Fordert Einhaltung minimaler Sicherheitsregeln für einen individuell angemessenen Schutz eines Energieversorgungsnetzes und Zuverlässigkeit der IKT-Unterstützung • Mindeststandard: IT-Sicherheitskatalog der Bundesnetzagentur • Geltungsbereich: Alle für einen sicheren Netzbetrieb notwendigen Anwendungen, Systeme und Komponenten • Kernanforderungen: • Netzbetreiber ist verantwortlich und ernennt Ansprechpartner • Einführung eines ISMS gemäß DIN ISO/IEC 27001 • Sicherheitskataloge DIN ISO/IEC 27002 und DIN ISO/IEC TR 27019 • Zertifizierung durch zugelassene Stelle • Netzstrukturplan (Kommunikationskanäle) • Prozess zur IT-Risikoeinschätzung • Risikobehandlung nach dem Stand der Technik • Meldung von Lageberichten und Warnmeldungen Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, 2015
  30. 30. KRITIS und IT-Sicherheitsgesetz 9 Sektoren der digitalen Kritischen Infrastruktur nicht im Bild:Sektor „Staat und Verwaltung“ IT-Sicherheitsgesetz: “Ausdruck der Schutzverantwortung des Staates gegenüber den Bürgerinnen und Bürgern, der Wirtschaft und seinen eigenen Institutionen und Verwaltungen.“ Betreiber Kritischer Infrastrukturen Betreiber von Webangeboten Telekommunikations- unternehmen • Schutz nach Stand der Technik • Prüfung jedes 2. Jahr • Meldung erheblicher Störungen an das BSI (zunächst: KKW und Telco) • Schutz von Kunden- daten und der von ihnen genutzten IT-Systeme • Warnung von Kunden bei Missbrauch seines Anschlusses • Schutz der Infrastruktur und Kundendaten nach Stand der Technik • Sofortige Meldung erheblicher Vorfälle an BSI Bundesamt für Sicherheit in der Informationstechnik (BSI) • Zentrale Meldestelle, Bewertung und Weiterleitung an Dritte • Jährlich öffentlicher Lagebericht BSI, Das IT-Sicherheitsgesetz, Kritische Infrastrukturen schützen, 2016
  31. 31. KRITIS und IT-Sicherheitsgesetz 9 Sektoren der digitalen Kritischen Infrastruktur nicht im Bild:Sektor „Staat und Verwaltung“ IT-Sicherheitsgesetz: “Ausdruck der Schutzverantwortung des Staates gegenüber den Bürgerinnen und Bürgern, der Wirtschaft und seinen eigenen Institutionen und Verwaltungen.“ Betreiber Kritischer Infrastrukturen Betreiber von Webangeboten Telekommunikations- unternehmen • Schutz nach Stand der Technik • Prüfung jedes 2. Jahr • Meldung erheblicher Störungen an das BSI (zunächst: KKW und Telco) • Schutz von Kunden- daten und der von ihnen genutzten IT-Systeme • Warnung von Kunden bei Missbrauch seines Anschlusses • Schutz der Infrastruktur und Kundendaten nach Stand der Technik • Sofortige Meldung erheblicher Vorfälle an BSI Bundesamt für Sicherheit in der Informationstechnik (BSI) • Zentrale Meldestelle, Bewertung und Weiterleitung an Dritte • Jährlich öffentlicher Lagebericht BSI, Das IT-Sicherheitsgesetz, Kritische Infrastrukturen schützen, 2016
  32. 32. Beispiel: Zwischen Nutzer und Dienstanbieter – Ausdrucksfähigkeit erlaubt Konditionen und Obligationen (bspw. “hat zugestimmt” oder “löscht Daten”) – Nutzer können ihre Sicherheitsrichtlinie (privacy policy) formulieren und integrieren – Operationen für Kombination und Analyse von Policies initial policy proposal Data modification(s) 2l milk 6 egs Allow recommender to read food shopping lists and suggest recipes based onthem, but delete data after visit ExPDT Allow the analysis of food shopping lists for customized advertisements, but delete data after visit ExPDT Allow recommender to read shopping lists and suggest recipes based onthem ExPDT Policy enforcement + policy agreed upon ExPDT: Automatisierte Konflikterkennung Sackmann und Kähmer, ExPDT: A Policy-based Approach for Automatic Compliance, 2008
  33. 33. Agenda 2. IT-Compliance und IT-Sicherheitsmanagement 2.1 IT-Compliance-Management 2.2 Externe Vorgaben 2.3 IT-Sicherheitsmanagement 2.4 ISO/IEC 270xx 2.5 BSI Standard 100 2.6 COBIT
  34. 34. IT Ziele Geschäftsziele IT-Sicherheitsmanagement IT-related Business Capability Business Outcome Technical IT-Capability Operational IT-Capability IT Sicherheitsmanagement • Welche Maßnahmen können ergriffen werden?
  35. 35. Information Security Management Systems (ISMS) Definition der ISO/IEC 27000: “An Information Security Management System (ISMS) consists of the policies, procedures, guidelines, and associated ressources and activities, collectively managed by an organization, in the pursuit of protecting its information assets. An ISMS is a systematic approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization‘s information security to achieve business objectives. It is based upon a risk assessment and the organization‘s risk acceptance levels designed to effectively treat and manage risks.“ Quelle: ISO/IEC 27000:2014(E) Definition des BSI Standard 100-1: Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert). Quelle: BSI-Standard 100-1, 2008 Fokus ist nicht (nur) auf Technik, sondern (auch) auf • Geschäftsziele • Compliance • Organisation • Prozesse • Ressourcen ISMS - ein personalisierter Dienst (?)
  36. 36. Organisation • Management/Geschäftsführung • Zusage zu Informationssicherheit mit ISMS • Ausrichtung durch die Security Policy • Allokation der Ressourcen und Rollen • Sicherheitsmanagement-Team • Leitet den Sicherheitsprozess • Sicherheitsbeauftragter (CISO) • Ansprechpartner für alle Fragen der Sicherheit • Schnittstelle Management/Führung • Datenschutzbeauftragter • Datenschutzkonzept für Einhaltung der Datenschutzregeln • Krisenmanagement • Verantwortlich für die Bewältigung von Sicherheitsvorkommnissen
  37. 37. IT-Sicherheitsbeauftragter (CISO) Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belange der IT-Sicherheit innerhalb der Organisation Aufgaben: • Koordination und Steuerung des IT-Sicherheitsprozesses • Unterstützung der Leitung bei der Erstellung der IT-Sicherheitsleitlinie • Koordination der Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien sowie Erlassen weiterer Richtlinien und Regelungen zur IT-Sicherheit • Erstellung des Realisierungsplans für IT-Sicherheitsmaßnahmen und Initiierung sowie Prüfung seiner Umsetzung • Bericht an IT-Sicherheitsmanagement-Team und Leitungsebene über den Status der IT- Sicherheit • Koordination sicherheitsrelevanter Projekte • Untersuchung sicherheitsrelevanter Vorfälle • Initiierung und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zu IT- Sicherheit
  38. 38. IT-Sicherheitsleitlinie (Security Policy) Die IT-Sicherheitsleitlinie sollte mindestens enthalten: • Stellenwert der IT Sicherheit – Bedeutung der IT für die Aufgabenerfüllung – Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation • Sicherheitsziele, Sicherheitsstrategie und Sicherheitsgrade • Geltungsbereiche und Organisationsstruktur für die Umsetzung des IT- Sicherheitsprozesses • Rollen und Verantwortlichkeiten, Obligationen und Sanktionen • Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird: Geschäftsführung Security Policy Access conditions Obligations Sanctions
  39. 39. Abstraktionsebenen Security Policy Richtlinien Verfahrensanweisungen IT Sicherheitshandbücher Leitfäden,Standards......etc. Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Warum (Geschäftsziele und Orientierung) Was Wie
  40. 40. Agenda 2. IT-Compliance und IT-Sicherheitsmanagement 2.1 IT-Compliance-Management 2.2 Externe Vorgaben 2.3 IT-Sicherheitsmanagement 2.4 ISO/IEC 270xx 2.5 BSI Standard 100 2.6 COBIT
  41. 41. ISO/IEC 27001: Struktur • 14 Information Security Controls Areas • 34 Information Security Control Objectives • 114 Information Security Controls 14 Control Areas 1. Information security policy 2. Organization of information security 3. Human resource security 4. Asset management 5. Access control 6. Cryptography 7. Physical and environmental security 8. Operations security 9. Communnications security 10. System acquisition, development and maintenance 11. Supplier relationships 12. Information security incident management 13. Information security aspects of business continuity management 14. Compliance Interested parties Information security requirements & expectations PLAN Establish ISMS CHECK Monitor & review ISMS ACT Maintain & improve Management responsibility ISMS PROCESS Interested parties Managed information security DO Implement & operate the ISMS Plan-Do-Check-Act ISO27k Forum at www.ISO27001security.com
  42. 42. Der Kern von ISO/IEC 270xx (27k) Standard Title Notes (Gary Hinson ISO 27K Forum) ISO/IEC 27000 Information security management systems - Overview and vocabulary Overview/introduction to the ISO27k standards as a whole plus the specialistvocabulary ISO/IEC 27001 Information security management systems — Requirements Formally specifies an ISMS againstwhich thousands of organizations have been certified compliant ISO/IEC 27002 Code of practice for information security controls A reasonably comprehensive suite ofinformation security control objectives and generally-accepted good practice security controls ISO/IEC 27003 Information security management system implementation guidance Basic advice on implementing ISO27k ISO/IEC 27004 Information security management― Measurement Basic (and frankly rather poor) advice on information security metrics ISO/IEC 27005 Information security risk management Discusses risk managementprinciples;does notspecify particular methods for risk analysis etc. ISO/IEC 27006 Requirements for bodies providing audit and certification of information security managementsystems Formal guidance for the certification bodies ISO/IEC 27007 Guidelines for information security managementsystems auditing Auditing the managementsystem elements of the ISMS ISO/IEC TR 27008 Guidelines for auditors on information security managementsystems controls Auditing the information security elements of the ISMS Fokus auf die interne Datenverarbeitung des Unternehmens (isoliertes System)
  43. 43. ISO/IEC 270xx auf dem Weg zu Service Computing? Cloud FinanceInformation exchange
  44. 44. ISO/IEC 27001 Roadmap ISO27k Forum at www.ISO27001security.com
  45. 45. Information Security Management System (ISMS) } It is important to be able to demonstrate the relationship from the selected controls back to the risk assessment and risk treatment process, and subsequently back to the ISMS policy and objectives. } ISMS documentation should include: ◦ Documented statements of the ISMS policy and objectives; ◦ The scope of the ISMS; ◦ Procedures and other controls in support of the ISMS; ◦ A description of the risk assessment methodology; ◦ A risk assessment report and Risk Treatment Plan (RTP); ◦ Procedures for effective planning, operation and control of the information security processes, describing how to measure the effectiveness of controls; ◦ Various records specifically required by the standard; ◦ The Statement of Applicability (SOA). Information Security Management System (ISMS) ISO27k Forum at www.ISO27001security.com
  46. 46. ISO/IEC 27002 § ISO27002 is a “Code of Practice” recommending a large number of information security controls. § Control objectives throughout the standard are generic, high-level statements of business requirements for securing or protecting information assets. § The numerous information security controls recommended by the standard are meant to be implemented in the context of an ISMS, in order to address risks and satisfy applicable control objectives systematically. § Compliance with ISO27002 implies that the organization has adopted a comprehensive, good practice approach to securing information. ISO27002 ISO27k Forum at www.ISO27001security.com
  47. 47. Management Support } Management should actively support information security by giving clear direction (e.g. policies), demonstrating the organization’s commitment, plus explicitly assigning information security responsibilities to suitable people. } Management should approve the information security policy, allocate resources, assign security roles and co-ordinate and review the implementation of security across the organization. } Overt management support makes information security more effective throughout the organization, not least by aligning it with business and strategic objectives.Management support is vital ISO27k Forum at www.ISO27001security.com
  48. 48. Definition des Anwendungsbereichs (Scope) } Management should define the scope of the ISMS in terms of the nature of the business, the organization, its location, information assets and technologies. } Any exclusions from the ISMS scope should be justified and documented. ◦ Areas outside the ISMS are inherently less trustworthy, hence additional security controls may be needed for any business processes passing information across the boundary. ◦ De-scoping usually reduces the business benefits ofthe ISMS. } If commonplace controls are deemed not applicable, this should be justified and documented in the Statement of Applicability (SOA) } The certification auditors will check the documentation. Define ISMS scope ISO27k Forum at www.ISO27001security.com
  49. 49. Bestandsaufnahme der Vermögenswerte (Assets) } An inventory of all important information assets should be developed and maintained, recording details such as: ◦ Type of asset; ◦ Format (i.e. software, physical/printed, services, people, intangibles) ◦ Location; ◦ Backup information; ◦ License information; ◦ Business value (e.g. which business processes depend on it?). Inventory information assets ISO27k Forum at www.ISO27001security.com
  50. 50. Risikobewertung } Risk assessments should identify, quantify, and prioritize information security risks against defined criteria for risk acceptance and objectives relevant to the organization. } The results should guide and determine the appropriate management action and priorities for managing information security risks and for implementing controls selected to protect against these risks. } Assessing risks and selecting controls may need to be performed repeatedly across different parts of the organization and information systems, and to respond to changes. } The process should systematically estimate the magnitude of risks (risk analysis) and compare risks against risk criteria to determine their significance (risk evaluation). } The information security risk assessment should have a clearly defined scope and complement risk assessments in other aspects of the business, where appropriate. Assess information security risks ISO27k Forum at www.ISO27001security.com
  51. 51. Statement of Applicability (SOA) } The Statement of Applicability (SOA) is a key ISMS document listing the organization’s information security control objectives and controls. } The SOA is derived from the results of the risk assessment, where: ◦ Risk treatments have been selected; ◦ All relevant legal and regulatory requirements have been identified; ◦ Contractual obligations are fully understood; ◦ A review the organization’s own business needs and requirements has been carried out. Prepare Statement of Applicability ISO27k Forum at www.ISO27001security.com
  52. 52. Risk Treatment Plan (RTP) } The organisation should formulate a risk treatment plan (RTP) identifying the appropriate management actions, resources, responsibilities and priorities for dealing with its information security risks. } The RTP should be set within the context of the organization's information security policy and should clearly identify the approach to risk and the criteria for accepting risk. } The RTP is the key document that links all four phases of the PDCAcycle for the ISMS (next 2 slides). Prepare Risk Treatment Plan ISO27k Forum at www.ISO27001security.com
  53. 53. PDCA: Plan-Do-Check-Act } The "Plan-Do-Check-Act" (PDCA) model applies at different levels throughout the ISMS (cycles within cycles). } The same approach is used for quality management in ISO9000. } The diagram illustrates how an ISMS takes as input the information security requirements and expectations and through the PDCAcycle produces managed information security outcomes that satisfy those requirements and expectations. ISO27k Forum at www.ISO27001security.com
  54. 54. Plan-DCA Outline Step 1 ISMS scope is determined. Step 2 ISMS basic policy is decided. Step 3 Systematic method of risk assessment to be tackled is decided. Step 4 Risk is identified. Step 5 Risk assessment is performed. Step 6 Measure against risk is executed. Step 7 Purpose and items of control are chosen. Step 8 Declaration for applying the PLAN is created. Step 9 Remaining risk is recognized and enforcement of ISMS is permitted. DO CHECK ACT PLAN In order to achieve the results in alignment with the overall statement of policy and overall target of an organization, it establishes basic policy of information security, target, object, process, and procedure, which relates to the improvement of risk management and an information security. Müller und Takaragi, Security Evaluation and Management, 2008
  55. 55. P-Do-CA DO CHECK ACT PLAN Outline Step 1 Decision of plan of measure against risk Step 2 Assignment of resources by the management Step 3 Enforcement of management measure Step 4 Execution of education and training Step 5 Management of operation Step 6 Management of business resources Step 7 Corresponding action to security incident and accident Basic policy of information security, a management measure, a process, and a procedure defined by PLAN are employed and executed. Müller und Takaragi, Security Evaluation and Management, 2008
  56. 56. PD-Check-A DO CHECK ACT PLAN Outline Step 1 Execution of procedure for surveillance, and management measure Step 2 Periodical reexamination of ISMS Step 3 Management review Enforcement situation of a process is evaluated in the light of basic policy of information security, target, and actual experience, if possible, this is measured, and the result is reported to the management for reexamination. Müller und Takaragi, Security Evaluation and Management, 2008
  57. 57. PDC-Act DO CHECK ACT PLAN Outline Step 1 Enforcement of improvement measure Step 2 Notification of devised setting In order to attain the continuous improvement of ISMS, correction setting and prevention setting are devised based on the result of management review. Müller und Takaragi, Security Evaluation and Management, 2008
  58. 58. ISO Zertifizierung 【Example of needs 】 § Want to acquire a certification of ISMS as a data center to raise a security level? § Want to acquire a certification of ISMS before starting a new business which treats personal information? PLAN DO CHECK ACT Re-enforcement after a fixed period. Establish- ment of organization Inspection, Certification acquisition Müller und Takaragi, Security Evaluation and Management, 2008
  59. 59. Agenda 2. IT-Compliance und IT-Sicherheitsmanagement 2.1 IT-Compliance-Management 2.2 Externe Vorgaben 2.3 IT-Sicherheitsmanagement 2.4 ISO/IEC 270xx 2.5 BSI Standard 100 2.6 COBIT
  60. 60. IT-Grundschutz BSI Standards zu IT-Sicherheit - Bereich IT-Sicherheitsmanagement - BSI Standard 100-1 BSI Standard 100-2 BSI Standard 100-3 BSI Standard 100-4 ISMS: Managementsystem für Informationssicherheit (s. ISO 2700x) IT-Grundschutz-Vorgehensweise Risikoanalyse auf der Basis von IT- Grundschutz Notfallmanagement IT-Grundschutz-Kataloge Kapitel 1: Einführung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen • Bausteinkataloge: • Kapitel B1: Übergreifende Aspekte • Kapitel B2: Infrastruktur • Kapitel B3: IT-Systeme • Kapitel B4: Netze • Kapitel B5: IT-Anwendungen • Gefährdungskataloge • Maßnahmenkataloge
  61. 61. Ziel und Anwendungen des IT-Grundschutz Anwendungen: • Information Security Management System • Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten • Sammlung von Standard-Sicherheitsmaßnahmen für typische IT-Systeme • Nachschlagewerk • Referenz und Standard für IT-Sicherheit • Basis für Zertifizierung Ziel: Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard- Sicherheitsniveau für typische Geschäftsprozesse und Informationssysteme aufzubauen, das auch für sensiblere Bereiche ausbaufähig ist. Muench, Compliance und IT-Sicherheit, 2007
  62. 62. BSI Standard 100-1 & 100-2 BSI Standard 100-1: ISMS • Zielgruppe: Management • Allgemeine Anforderungen an ein ISMS • Kompatibel mit ISO 27001 • PDCA-Modell als Lebenszyklus • Empfehlungen aus ISO 13335 und ISO 17799 BSI Standard 100-2: Vorgehensweise für Aufbau und Betrieb eines ISMS • Aufgaben des IT-Sicherheitsmanagements • Etablierung einer IT- Sicherheitsorganisation • Erstellung eines IT-Sicherheitskonzepts • Auswahl angemessener IT- Sicherheitsmaßnahmen • IT-Sicherheit aufrecht erhalten und verbessern • Pauschaler „Schutz“ statt Orientierung an individuellem Risiko Muench, Compliance und IT-Sicherheit, 2007
  63. 63. IT-Sicherheitskonzeption (100-2) Muench, Compliance und IT-Sicherheit, 2007
  64. 64. Strukturanalyse Ziel: Zusammenstellung der notwendigen Informationen über die Informationstechnik, die in diesem IT-Verbund eingesetzt wird (= IT-Strukturanalyse) Teilaufgaben: – Erstellung bzw. Aktualisierung eines Netzplans (grafische Übersicht) à Übersicht zu Kommunikationsverbindungen – Erhebung der IT-Systeme (Tabelle) – Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle) Quelle: BSI: Webkurs IT-Grundschutz, 2006
  65. 65. Netzplan Quelle: BSI: Webkurs IT-Grundschutz, 2006
  66. 66. Erfassung der IT-Systeme Erforderliche Information Nr. Beschreibung Plattform Anz. Standort Status Anwender/ Admin. S1 Server für Personal- verwaltung Windows NT Server 1 Bonn, R 1.01 in Betrieb Personal- referat S2 Primärer Domänen- Controller Windows NT Server 1 Bonn, R 3.10 in Betrieb alle IT-Anwender C6 Gruppe der Laptops für den Standort Berlin Laptop unter Windows 95 2 Berlin, R 2.01 in Betrieb alle IT-Anwender in Berlin N1 Router zum Internet-Zugang Router 1 Bonn, R 3.09 in Betrieb alle IT-Anwender T1 TK-Anlage für Bonn ISDN-TK- Anlage 1 Bonn, B.02 in Betrieb alle Mitarb. in Bonn
  67. 67. Erfassung der IT-Anwendungen Diejenigen IT-Anwendungen des jeweiligen IT-Systems, • deren Daten und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, • deren Daten und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, • die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. è Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen. Beschreibung der IT-Anwendungen IT-Systeme Anw.- Nr. IT-Anwendung/ Informationen Pers.- bez. Daten S1 S2 S3 S4 S5 S6 S7 A1 Personaldaten- verarbeitung X X A4 Benutzer- Authentisierung X X X A5 Systemmanagement X A7 zentrale Dokumentenverwaltung X Quelle: BSI: Webkurs IT-Grundschutz, 2006
  68. 68. Erfassung der IT-Anwendungen Diejenigen IT-Anwendungen des jeweiligen IT-Systems, • deren Daten und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit) besitzen, • deren Daten und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit (Integrität) besitzen, • die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben, müssen erfasst werden. è Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen. Beschreibung der IT-Anwendungen IT-Systeme Anw.- Nr. IT-Anwendung/ Informationen Pers.- bez. Daten S1 S2 S3 S4 S5 S6 S7 A1 Personaldaten- verarbeitung X X A4 Benutzer- Authentisierung X X X A5 Systemmanagement X A7 zentrale Dokumentenverwaltung X Quelle: BSI: Webkurs IT-Grundschutz, 2006 Welche sind dies im Service Computing?
  69. 69. Schutzbedarfsfeststellung Ziel: Erfassung, Lokalisierung und Begründung der schutzbedürftigen Komponenten eines IT-Verbundes Teilaufgaben • Definition der Schutzbedarfskategorien • Schutzbedarfsfeststellung für – IT-Anwendungen einschließlich ihrer Daten – IT-Systeme – Kommunikationsverbindungen – IT-Räume anhand von typischen Schadens- szenarien • Klassifizierung in mittel, hoch, sehr hoch • Dokumentation der Ergebnisse Quelle: BSI: Webkurs IT-Grundschutz, 2006
  70. 70. IT-Grundschutzanalyse • Ziel: Möglichst vollständige Abbildung des IT-Verbundes und seiner einzelnen Komponenten durch Bausteine • Ergebnis: IT-Grundschutz-Modell als – Prüfplan für bestehende Komponenten oder – Entwicklungskonzept für geplante Komponenten • Modularer Aufbau des GS-Handbuchs: „Bausteine“ Kapitel ("Bausteine") Gefährdungskataloge • Höhere Gewalt • Organisatorische Mängel • Menschliche Fehlhandlungen • Technisches Versagen • Vorsätzliche Handlungen Maßnahmenkataloge • Infrastruktur • Organisation • Personal • Hardware/Software • Kommunikation • Notfallvorsorge Quelle: BSI: Muster für eine Schulung zur Einführung in die Vorgehensweise nach IT-Grundschutz, 2006
  71. 71. IT-Grundschutz-Kataloge Wissen zu Sicherheit von • IT-Systemen, • Organisation und • Personal Quelle: BSI: Webkurs IT-Grundschutz, 2006
  72. 72. Einordnung der Bausteine Ziele des Schichtenmodells: • Reduzierung der Komplexität der Darstellung des Sicherheitskonzeptes • Vermeidung von Redundanzen • Schichten können unabhängig voneinander aktualisiert und erweitert werden • Bündelung der Zuständigkeiten Schicht 1: Schicht 2: Schicht 3: Schicht 4: Schicht 5: Übergreifende Aspekte Infrastruktur IT-Systeme Netze IT-Anwendungen Muench, Compliance und IT-Sicherheit, 2007
  73. 73. Basis-Sicherheitscheck Switch Router Stand- leitung Router Switch Kommunikations - Server (Unix) Exchange- Server(Windows NT) File-Server (Novell Netware) Primärer Domänen- Controller(Windows NT) Server für Personalverwaltun g (Windows NT) 15 Client- Computer(Windows NT) 75 Client- Computer(Windows NT) Switch Internet Router Firewall Backup Domänen- Controller(Windows NT) 40 Client- Computer(Windows NT)Liegenschaft Bonn Liegenschaft Berlin IP IP IT-Grundschutz-Modell Soll-/Ist-Vergleich Maßnahmen- empfehlungen Realisierte Maßnahmen umzusetzende Maßnahmen Ziel: Identifizierung des erreichten IT-Sicherheitsniveaus Quelle: BSI: Muster für eine Schulung zur Einführung in die Vorgehensweise nach IT-Grundschutz, 2006
  74. 74. Agenda 2. IT-Compliance und IT-Sicherheitsmanagement 2.1 IT-Compliance-Management 2.2 Externe Vorgaben 2.3 IT-Sicherheitsmanagement 2.4 ISO/IEC 270xx 2.5 BSI Standard 100 2.6 COBIT
  75. 75. COITT • COBIT = Control Objectives for Information and Related Technology • Erste Version: Ende 1995 • Ziel: Revision • Beschreibt die Kontroll-Ziele, die in einer IT-Umgebung erreicht werden müssen, damit man von einer sicheren und ordnungsgemäßen Informationsverarbeitung sprechen kann. • Definiert nicht, WIE die Anforderungen umzusetzen sind, sondern nur WAS umzusetzen ist. • COITT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt. • Definition von IT-Prozessen, die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) erlauben • Als Standard für Sarbanes Oxley Act Prüfungen für IT-Audit Quelle: http://www.cobit-isaca.de
  76. 76. COBIT: Prozessmodell • 4 Domains mit 34 IT Prozessen • Über 300 Einzelaktivitäten bzw. Kontrollen Quelle: http://www.cobit-isaca.de
  77. 77. Industrie eGovernment eHealthcare Energie Transport und mehr … Soziale Netze eEducation Geschäftsziele / Regulierungen / Nachhaltigkeit Internet of Things / Service Computing Bemerkung zur Erinnerung IT Governance: Wie kann sichergestellt werden, dass IT die Erreichung der Geschäftsziele unterstützt, so dass Ressourcen verantwortlich verwendet und Risiken beobachtet werden? ISO/IEC 2700x BSI Standard 100-2 Benutzbare Sicherheit?
  78. 78. Quellen und weiterführende Literatur • Brauer, M. H. et al. Compliance Intelligence. Schäffer-Poeschel Verlag Stuttgart, 2009. • BSI. Das IT-Sicherheitsgesetz – Kritische Infrastrukturen schützen, 2016. https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html • BSI. IT-Grundschutz-Standards. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_n ode.html • Haes, S. Enterprise Governance of Information Technology. Achieving StrategicAlignment and Value. Boston MA: Springer Science + Business Media LLC, 2009. • ISO27k forum at www.ISO27001security.com • ISO/IEC JTC1/ SC27. Introduction package to ISO/IEC JTC 1/SC 27 IT Security Techniques. 2014 http://www.jtc1sc27.din.de/en • Sackmann, S. Economics of Controls. International Workshop on Information Systems for Social Innovation 2011 (ISSI 2011), National Institute of Informatics, S. 230-236, Tachikawa, Tokyo, Japan, 2011. • Sackmann, S., Kähmer, M. ExPDT – A Polic-based Approach for Automatic Compliance. Wirtschaftsinformatik 50(5), 2008. • Von Solms, S. H. Information Security Governance – Compliance Management vs. Operational Management. Computers and Security, Vol. 24 (6), 2006.

×