SlideShare ist ein Scribd-Unternehmen logo

Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security?

H
Holliday Consulting

Erst eine systemische, ganzheitliche Herangehensweise an das Thema IT-Sicherheit sichert den Erfolg aller Bemühungen. Denn IT-Sicherheit ist kein Produkt, sondern ein permanent herausfordernder kontinuierlicher Verbesserungsprozess (KVP). Lernen Sie das und die hierzu relevanten Standards kennen bis hin zum strategisch wichtigen IT-Risikomanagement. Only a systemic, holistic approach to IT security ensures the success of all efforts. Because IT security is not a product but a constantly challenging continuous improvement process (CIP). Get to know this and the relevant standards up to the point of the strategic IT risk management. This presentation had been held in german at a meeting of the Rhine Main area IT management leaders within the year 2010.

BusinessTechnologie
1 von 32
Downloaden Sie, um offline zu lesen
Was beinhaltet der Begriff IT-Sicherheit? Dauer: 45 min (Präsentation inklusive Diskussion) IHK Darmstadt / IT-Leiter-Treff am 02. Dezember 2010 (rev.)
Unternehmensberatung Holliday Consulting - gegründet Anfang 2004 - berät und begleitet Umsetzungen zu den Themen: - IT-Sicherheit - IT-Prozessmanagement - IT-Servicemanagement nach ITIL - Internetadresse: www.holliday-consulting.com
Unternehmensberatung Holliday Consulting - kooperiert mit vielfältigen Partnerunternehmen zur Lösung komplexer Aufgabenstellungen: - zur Unternehmenssteuerung (Balanced Scorecard) - zum Business Process-Reengineering (TQM) - zur Erzielung eines IT-Sicherheitszertifikats nach ISO 27001 oder BSI IT-Grundschutz
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Der Begriff IT-Sicherheit  noch besser: Informationssicherheit (IS)  Zielsetzung der IS:  Informationen und Daten schützen vor dem Verlust von:  Vertraulichkeit  Integrität  Verfügbarkeit  Echtheit (Authentizität)  betrifft nicht nur elektronisch abgespeicherte Daten, sondern auch das gesprochene Wort, sowie materielle Dokumentationen (Papiere, Aufzeichnungen, Mikrofilme etc.)
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit (IS)  erfordert eine konzertierte systemische Handlungsweise (ein ganzheitliches Handeln) mit den Aspekten:  Organisation  Regelwerke  Personal  Bewusstheit („Awareness“)  Schulung („Skills entwickeln“)  Technologie (die „IT-Sicherheit“)  Überprüfungen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Bedrohungen der IS  55 % aller Bedrohungen kommen von Innen  Verteilung nach Art der Bedrohungen: • Datendiebstahl 78 % • Fahrlässigkeit der Mitarbeiter 65 % • Viren 50 % • Hacker 41 % • Spam 32 % • Sabotage 15 % • Fehler an HW oder SW 12 % • Finanzieller Betrug 8 %
www.holliday-consulting.com 02. Dezember 2010‹Nr.› System D - BSI IT-Grundschutz  entwickelt vom nationalen Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de)  mit der Zielsetzung:  Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise für IT-Sicherheit zu geben  um hochkomplexe Vorgehensweisen zu vermeiden  um die Einstiegshürde in einen IT-Sicherheitsprozess so niedrig wie möglich zu halten  in der neueren Ausgabe die ISO 27001 (internationale Zertifizierung für Informationssicherheit) zu integrieren
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - die Idee  Typische IT-Komponenten  Typische Gefährdungen, Schwachstellen und Risiken  Konkrete Umsetzungshinweise für das IT-Sicherheitsmanagement  Empfehlung geeigneter Bündel von Standard- IT-Sicherheitsmaßnahmen  Vorbildliche Lösungen aus der Praxis – „Best Practice“-Ansätze
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - IT-Sicherheitsprozess  Maßnahmen für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses:  die Einführung eines IT-Sicherheitsmanagements, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht  die Analyse und Dokumentation der Struktur der vorliegenden Informationstechnik (IT)  die Durchführung einer Schutzbedarfsfeststellung, um zu ermitteln, welcher Schutz für die Informationen und die eingesetzte IT ausreichend und angemessen ist  die Modellierung der Komponenten des vorliegenden IT-Verbunds durch die Bausteine der IT-Grundschutz-Kataloge  die Durchführung eines Basis-Sicherheitschecks, um einen Überblick über das vorhandene IT-Sicherheitsniveau zu erhalten  die Umsetzung der fehlenden Sicherheitsmaßnahmen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Begriffsdefinition: Ein Prozess ist  eine zeitlich logische Abfolge  miteinander verknüpfter Tätigkeiten  zur Umwandlung von Eingaben in Ergebnisse (materiell und immateriell).
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Prozess im schematischen Schaubild: und klar definierten Ergebnissen mit klar definierten Eingaben FREI gegeben FREI gegeben FREI gegebenAnfang Ende Material Informationen Entscheidungen Tätigkeiten
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  funktionalorientierte vs. prozessorientierte Organisation: Optimale Beziehungen zwischen Kunden und Lieferanten entlang der Wertschöpfung werden angestrebt Prozessorientierte Organisation Denken in Prozessen und Gesamtergebnissen Bereichsorientierte Kunden/Lieferantenbeziehungen Funktionalorientierte Organisation Denken in Bereichen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - Publikationen  der BSI IT-Grundschutz ist ursprünglich in Form eines Grundschutzhandbuchs (GSHB) in verschiedenen Auflagen publiziert worden  zwecks Harmonisierung mit dem Normenpaar ISO 27001 und 27002 wird er seit August 2006 in zwei Bestandteilen herausgebracht:  die BSI-Standardreihe zum Informationssicherheitsmanagement bestehend aus vier Bänden und einem Prüfschema:  BSI-Standard 100-1 Managementsysteme für Informationssicherheit  BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz  BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz  BSI-Standard 100-4 Notfallmanagement  Prüfschema: ISO 27001-Zertifizierung mit IT-Grundschutz  die IT-Grundschutz-Kataloge („IT-Grundschutzhandbuch“)
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – IT-Grundschutz-Kataloge  die IT-Grundschutz-Kataloge:  haben voran gestellte Kapitel zur Einführung  über die Anwendungsweise der IT-Grundschutz-Kataloge  geben Hinweise zur Modellierung  die Grundschutz-Bausteine sind gruppiert anhand eines Schichtenmodells  das Schichtenmodell dient dazu  die Bausteine des Handbuchs einfacher auf einen komplexen IT-Verbund abzubilden  Redundanzen zu vermeiden, indem übergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Themengebiete der Bausteine
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Struktur der Bausteine
www.holliday-consulting.com 02. Dezember 2010‹Nr.› System I - ISO 27000 Familie  Die aktuelle ISO 2700X Familie:  ISO 27000:2009 Überblick und Vokabular  ISO 27001:2005 die „Zertifizierungs-ISO“  Titel der ISO 27001: „ISMS - Requirements“  ISO 27002:2005  Titel der ISO 27002: „Code of Practice for ISM“  sie beinhaltet im Wesentlichen generische Best Practice Empfehlungen zur Handhabung der Informationssicherheit  ISO 27003:2010 Leitfaden zur Implementierung  ISO 27004:2009 IS-Management - Metriken und Messungen  ISO 27005:2008 ISMS – Risikomanagement  ISO 27006:2007 Anforderungen an Zertifizierstellen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 („Zertifizierungs-ISO“)  Historie:  die ISO 27001 ist aus dem British Standard BS 7799-2 (-2 steht für Teil 2) hervorgegangen  sie beinhaltet den normativen Teil für die Zertifizierbarkeit eines Informationssicherheit-Managementsystems  die aktuelle Version ISO 27001 wurde am 15. Oktober 2005 herausgegeben  sie hat den Titel: „Information Security Management System - Requirements“
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die in der ISO 27001 spezifizierten Anforderungen beschränken sich nicht nur auf die IT-Sicherheit als Technologie im engeren Sinne  die formulierten Anforderungen zwingen die Akteure im Prozessgeschehen dazu, sich gleichwertig mit allen Aspekten der Informationssicherheit (IS) zu befassen  die geforderte Einrichtung eines IS-Managementsystems (ISMS) verschafft anhand der Vorgabe eines kontinuier- lichen Verbesserungsprozesses zahlreiche systemische Vorteile um die permanent gegebene Herausforderung bei der Informationssicherheit zu bewältigen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die ISO 27001 überprüft für eine Zertifizierung, ob die IS-relevanten Themengebiete aus der ISO 27002 behandelt sind und auch tatsächlich einem PDCA-Zyklus unterliegen:  Sicherheitsleitlinie  Methodik und Durchführung des Risikomanagements  Umsetzung von Maßnahmen aus der Risikobetrachtung  Kontroll-, Bewertungs- und Reaktionsszenarien  IS-Organisation  Bewusstseinsbildung, Schulung  Ressourcenmanagement  Dokumentenmanagement  Sicherheitsvorfallmanagement  Notfallmanagement  etc.
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit PDCA-Zyklus  IS PDCA-Zyklus (kontinuierlicher Verbesserungsprozeß) festlegen Plan Check Do Act Anforderungen und Erwartungen an IS Verbesserte IS umsetzen & durchführen prüfen & messen erhalten & verbessern
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  die ISO 27002 ist nach folgendem Schema aufgebaut:  sie besteht aus einem 5-teiligen Prolog und 11 thematischen Bereichen („security control clauses“)  jeder Themenbereich umfaßt dabei Kategorien („main security categories“), die für ihn wichtige Themen formu- lieren (insg. 39 Kategorien über alle Bereiche hinweg) - für jede Kategorie werden definiert: - Sicherheitszielvorgaben („security objectives“) - Aufgaben/ Anforderungen („security controls“) - für die Anforderungen sind Umsetzungsvorschläge („security implementation guides“) zur Erfüllung der Zielvorgaben angegeben  die ISO 27002 umfasst insgesamt 133 Sicherheitsaufgaben („security controls“)
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  ein Prolog und elf Themenbereiche der ISO 27002  Prolog ohne Angabe von Aufgaben („security controls“) mit den fünf Abschnitten: „Introduction“, „Scope“, „Terms and Definitions“, „Structure of This Standard“ und „Risk Assessment & Treatment“ 1. Weisungen und Richtlinien zur Informationssicherheit / „Security Policy“ 2. Organisatorische Si-Maßnahmen und Managementprozess / „Security Organization“ 3. Verantwortung und Klassifizierung von Informationswerten / „Asset Classification and Control“ 4. Personelle Sicherheit / „Human Resources Security“ 5. Physische und umgebungsbezogene Sicherheit / „Physical and Environmental Security“
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) / „Communications & Operations Management“ 7. Zugriffskontrolle / „Access Control“ 8. Systembeschaffung, -entwicklung und -wartung / „System Acquisition, Development & Maintenance“ 9. Umgang mit Vorfällen bei der Informationssicherheit / „Information Security Incident Management“ 10.Sicherstellung des Geschäftsbetriebs – Notfallvorsorgeplanung / „Business Continuity Management“ (BCM) 11.Einhaltung von gesetzlichen & sonstigen Vorgaben - Audits / „Compliance“
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 - Zertifizierung  welchen Nutzen bringt eine Zertifizierung?  das Thema Informationssicherheit wird durch eine Zertifizierungs- entscheidung ein wichtiges Anliegen der Geschäftsführung  Chance der Organisation auf Verbesserung und Optimierung von Prozessen, nicht nur der IS-spezifischen (Mitnahmeeffekt)  deutlich gesteigertes Risikobewusstsein verankert in der Unternehmensleitung, aber auch bei den Mitarbeitern (Transparenz der Risiken)  eine günstige Gelegenheit Informationssicherheit ins Mitarbeiter- bewusstsein als Teil der Unternehmenskultur zu integrieren  Etablierung von Verbesserungs- und Präventionszyklen im Sicherheitsmanagementsystem (KVPs)  effizientere Umsetzung durch externen Druck (ein blamables Ergebnis zur Zertifizierung will unbedingt vermieden werden)  verstärkte Integration des Sicherheitsbewusstseins bei Geschäftspartnern  eine Möglichkeit sich gegenüber nicht-zertifizierten Mitbewerbern abzuheben
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  Begriffsdefinition „IT-Risikoanalyse“  Analyse von Gefährdungen, Bedrohungen & Schwachstellen - und - deren Schadensauswirkungen bei Informationen und Geräten zur Informationsverarbeitung - und – die Wahrscheinlichkeit des Auftretens dieser Risiken  Begriffsdefinition „IT-Risikomanagement“  Prozess der kostenmäßig vertretbaren Identifizierung, Beschränkung und Minimierung bzw. Elimination von Sicherheitsrisiken, die Informationen und Informations- systeme beeinträchtigen können
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  zentrale Aufgabe des IT-Risikomanagements  optimieren der Begegnung von Risiken durch Ausbalancierung von Schadenskosten versus Vorbeugekosten:  Vorbeugekosten  Schadenskosten  Risikenabdeck- kosten Kosten Grad der IS-Implementierung
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikoanalyse  die Risikoanalyse besteht in der systematischen Betrachtung der Punkte:  Schaden für das Geschäft, der unter Berücksichtigung der potentiellen Folgen des Verlusts von  Vertraulichkeit  Integrität  Verfügbarkeit  Authentizität der Informationen und anderer Werte möglicherweise durch einen Sicherheitsausfall (Gefährdungen) entstehen kann  realistische Wahrscheinlichkeit, dass ein derartiger Ausfall angesichts der existierenden Bedrohungen und Schwachstellen und der derzeit implementierten Maßnahmen auftritt
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikobewertung  metrisierte Risikobewertung: chutzbedarf betroffener Komponenten (5 - 10) edeutung der einzelnen Gefahr (1 - 10) uftretungswahrscheinlichkeit (1 - 10) S B A Risikobeurteilung KENNZAHL (RZ) = S B A 1 1000100 150 200 300 400 500 600 700 800 900 Risikobereich: zusätzliche Maßnahmen ergreifen Risikozahl (RZ) - Bewertung: Streu- Bereich Liste der Standardgefahren Risikozahl (RZ) - Ermittlung: 50 Bewertung Schadenswirkung Wahrscheinlichkeit
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Behandlungsmanagement  Optionen für die Behandlung von Risiken sind:  Risiko-Vermeidung durch Umstrukturierung von Geschäftsprozessen oder des IT-Verbunds (z.B. durch Vermindern der Komplexität)  Risiko-Reduktion durch weitere Sicherheitsmaßnahmen  Risiko-Transfer auf eine andere Institution (z.B. durch Abschluß einer Versicherung oder Outsourcing)  die verbleibende Gefährdung und damit das daraus resultierende Risiko wird akzeptiert (Risiko-Übernahme)  die getroffenen Behandlungsentscheidungen werden im Risikomanagement-Plan dokumentiert  mit dieser Art von Risikomanagement-Plan werden die Risiken transparent gemacht!
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Web-Adressen zu IT-Sicherheit  empfehlenswerte Links zum Thema IT-Sicherheit  http://www.bsi.bund.de/grundschutz (BSI IT-Grundschutz)  http://www.heise.de/security (News, Basischecks)  http://www.sicher-im-netz.de (Fundgrube für KMUs)
Holliday Consulting - Dipl.-Ing. Frank W. Holliday bedankt sich für Ihre Aufmerksamkeit und wünscht Ihnen weiterhin viel Erfolg für Ihre IT-Sicherheit! www.holliday-consulting.com

Empfohlen

Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStanislav Milanovic
 
Iso 27001 Checklist
Iso 27001 ChecklistIso 27001 Checklist
Iso 27001 ChecklistCraig Willetts ISO Expert
 
Suspicious Activity Reporting
Suspicious Activity ReportingSuspicious Activity Reporting
Suspicious Activity ReportingJeffery Martin
 
102 Information security standards and specifications
102 Information security standards and specifications102 Information security standards and specifications
102 Information security standards and specificationsSsendiSamuel
 
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]Institut Teknologi Sepuluh Nopember Surabaya
 
Planning for security and security audit process
Planning for security and security audit processPlanning for security and security audit process
Planning for security and security audit processDivya Tiwari
 
Fraud Risk Management
Fraud Risk ManagementFraud Risk Management
Fraud Risk ManagementSujatmiko Wibowo
 
Business continuity-plan-template
Business continuity-plan-templateBusiness continuity-plan-template
Business continuity-plan-templateMohamed Owaish
 

Empfohlen

Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStanislav Milanovic
 
Iso 27001 Checklist
Iso 27001 ChecklistIso 27001 Checklist
Iso 27001 ChecklistCraig Willetts ISO Expert
 
Suspicious Activity Reporting
Suspicious Activity ReportingSuspicious Activity Reporting
Suspicious Activity ReportingJeffery Martin
 
102 Information security standards and specifications
102 Information security standards and specifications102 Information security standards and specifications
102 Information security standards and specificationsSsendiSamuel
 
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]Institut Teknologi Sepuluh Nopember Surabaya
 
Planning for security and security audit process
Planning for security and security audit processPlanning for security and security audit process
Planning for security and security audit processDivya Tiwari
 
Fraud Risk Management
Fraud Risk ManagementFraud Risk Management
Fraud Risk ManagementSujatmiko Wibowo
 
Business continuity-plan-template
Business continuity-plan-templateBusiness continuity-plan-template
Business continuity-plan-templateMohamed Owaish
 
#HR and #GDPR: Preparing for 2018 Compliance
#HR and #GDPR: Preparing for 2018 Compliance #HR and #GDPR: Preparing for 2018 Compliance
#HR and #GDPR: Preparing for 2018 Compliance Dovetail Software
 
Information Security Governance and Strategy
Information Security Governance and Strategy Information Security Governance and Strategy
Information Security Governance and Strategy Dam Frank
 
Accelya Corporate Presentation
Accelya Corporate Presentation Accelya Corporate Presentation
Accelya Corporate Presentation Accelya
 
Essential elements of data center operations
Essential elements of data center operationsEssential elements of data center operations
Essential elements of data center operationsSchneider Electric
 
Risk Analysis In Business Continuity Management - Jeremy Wong
Risk Analysis In Business Continuity Management - Jeremy WongRisk Analysis In Business Continuity Management - Jeremy Wong
Risk Analysis In Business Continuity Management - Jeremy WongBCM Institute
 
Iso 27001 isms presentation
Iso 27001 isms presentationIso 27001 isms presentation
Iso 27001 isms presentationMidhun Nirmal
 
Business continuity planning and disaster recovery
Business continuity planning and disaster recoveryBusiness continuity planning and disaster recovery
Business continuity planning and disaster recoveryKrutiShah114
 
Cybersecurity 101 - Auditing Cyber Security
Cybersecurity 101 - Auditing Cyber SecurityCybersecurity 101 - Auditing Cyber Security
Cybersecurity 101 - Auditing Cyber SecurityEryk Budi Pratama
 
Data Protection Presentation
Data Protection PresentationData Protection Presentation
Data Protection PresentationIBM Business Insight
 
Business continuity overview
Business continuity overviewBusiness continuity overview
Business continuity overviewRod Davis
 
Trends in AML Compliance and Technology
Trends in AML Compliance and TechnologyTrends in AML Compliance and Technology
Trends in AML Compliance and TechnologySAS Institute India Pvt. Ltd
 
We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?PECB
 
Corporate Compliance Management (CCM) : A Systematic Approach
Corporate Compliance Management (CCM) : A Systematic Approach Corporate Compliance Management (CCM) : A Systematic Approach
Corporate Compliance Management (CCM) : A Systematic Approach Pavan Kumar Vijay
 
Fraud Risk Assessment
Fraud Risk AssessmentFraud Risk Assessment
Fraud Risk AssessmentTahir Abbas
 
9 Bcp+Drp
9 Bcp+Drp9 Bcp+Drp
9 Bcp+DrpAlfred Ouyang
 
Business continuity & Disaster recovery planing
Business continuity & Disaster recovery planingBusiness continuity & Disaster recovery planing
Business continuity & Disaster recovery planingHanaysha
 
Records Retention And Destruction Policies
Records Retention And Destruction PoliciesRecords Retention And Destruction Policies
Records Retention And Destruction PoliciesRichard Austin
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 
A compliance officer's guide to third party risk management
A compliance officer's guide to third party risk managementA compliance officer's guide to third party risk management
A compliance officer's guide to third party risk managementSALIH AHMED ISLAM
 
The linked open government data and metadata lifecycle
The linked open government data and metadata lifecycleThe linked open government data and metadata lifecycle
The linked open government data and metadata lifecycleOpen Data Support
 
10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social WebSocial Event GmbH
 
Top 5 SEO Fehler
Top 5 SEO FehlerTop 5 SEO Fehler
Top 5 SEO FehlerKnut Barth
 

Weitere ähnliche Inhalte

Was ist angesagt?

#HR and #GDPR: Preparing for 2018 Compliance
#HR and #GDPR: Preparing for 2018 Compliance #HR and #GDPR: Preparing for 2018 Compliance
#HR and #GDPR: Preparing for 2018 Compliance Dovetail Software
 
Information Security Governance and Strategy
Information Security Governance and Strategy Information Security Governance and Strategy
Information Security Governance and Strategy Dam Frank
 
Accelya Corporate Presentation
Accelya Corporate Presentation Accelya Corporate Presentation
Accelya Corporate Presentation Accelya
 
Essential elements of data center operations
Essential elements of data center operationsEssential elements of data center operations
Essential elements of data center operationsSchneider Electric
 
Risk Analysis In Business Continuity Management - Jeremy Wong
Risk Analysis In Business Continuity Management - Jeremy WongRisk Analysis In Business Continuity Management - Jeremy Wong
Risk Analysis In Business Continuity Management - Jeremy WongBCM Institute
 
Iso 27001 isms presentation
Iso 27001 isms presentationIso 27001 isms presentation
Iso 27001 isms presentationMidhun Nirmal
 
Business continuity planning and disaster recovery
Business continuity planning and disaster recoveryBusiness continuity planning and disaster recovery
Business continuity planning and disaster recoveryKrutiShah114
 
Cybersecurity 101 - Auditing Cyber Security
Cybersecurity 101 - Auditing Cyber SecurityCybersecurity 101 - Auditing Cyber Security
Cybersecurity 101 - Auditing Cyber SecurityEryk Budi Pratama
 
Business continuity overview
Business continuity overviewBusiness continuity overview
Business continuity overviewRod Davis
 
We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?PECB
 
Corporate Compliance Management (CCM) : A Systematic Approach
Corporate Compliance Management (CCM) : A Systematic Approach Corporate Compliance Management (CCM) : A Systematic Approach
Corporate Compliance Management (CCM) : A Systematic Approach Pavan Kumar Vijay
 
Fraud Risk Assessment
Fraud Risk AssessmentFraud Risk Assessment
Fraud Risk AssessmentTahir Abbas
 
Business continuity & Disaster recovery planing
Business continuity & Disaster recovery planingBusiness continuity & Disaster recovery planing
Business continuity & Disaster recovery planingHanaysha
 
Records Retention And Destruction Policies
Records Retention And Destruction PoliciesRecords Retention And Destruction Policies
Records Retention And Destruction PoliciesRichard Austin
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaFahmi Albaheth
 
A compliance officer's guide to third party risk management
A compliance officer's guide to third party risk managementA compliance officer's guide to third party risk management
A compliance officer's guide to third party risk managementSALIH AHMED ISLAM
 
The linked open government data and metadata lifecycle
The linked open government data and metadata lifecycleThe linked open government data and metadata lifecycle
The linked open government data and metadata lifecycleOpen Data Support
 

Was ist angesagt? (20)

#HR and #GDPR: Preparing for 2018 Compliance
#HR and #GDPR: Preparing for 2018 Compliance #HR and #GDPR: Preparing for 2018 Compliance
#HR and #GDPR: Preparing for 2018 Compliance
 
Information Security Governance and Strategy
Information Security Governance and Strategy Information Security Governance and Strategy
Information Security Governance and Strategy
 
Accelya Corporate Presentation
Accelya Corporate Presentation Accelya Corporate Presentation
Accelya Corporate Presentation
 
Essential elements of data center operations
Essential elements of data center operationsEssential elements of data center operations
Essential elements of data center operations
 
Risk Analysis In Business Continuity Management - Jeremy Wong
Risk Analysis In Business Continuity Management - Jeremy WongRisk Analysis In Business Continuity Management - Jeremy Wong
Risk Analysis In Business Continuity Management - Jeremy Wong
 
Iso 27001 isms presentation
Iso 27001 isms presentationIso 27001 isms presentation
Iso 27001 isms presentation
 
Business continuity planning and disaster recovery
Business continuity planning and disaster recoveryBusiness continuity planning and disaster recovery
Business continuity planning and disaster recovery
 
Cybersecurity 101 - Auditing Cyber Security
Cybersecurity 101 - Auditing Cyber SecurityCybersecurity 101 - Auditing Cyber Security
Cybersecurity 101 - Auditing Cyber Security
 
Data Protection Presentation
Data Protection PresentationData Protection Presentation
Data Protection Presentation
 
Business continuity overview
Business continuity overviewBusiness continuity overview
Business continuity overview
 
Trends in AML Compliance and Technology
Trends in AML Compliance and TechnologyTrends in AML Compliance and Technology
Trends in AML Compliance and Technology
 
We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?We've been hacked! Now, what's the BCP?
We've been hacked! Now, what's the BCP?
 
Corporate Compliance Management (CCM) : A Systematic Approach
Corporate Compliance Management (CCM) : A Systematic Approach Corporate Compliance Management (CCM) : A Systematic Approach
Corporate Compliance Management (CCM) : A Systematic Approach
 
Fraud Risk Assessment
Fraud Risk AssessmentFraud Risk Assessment
Fraud Risk Assessment
 
9 Bcp+Drp
9 Bcp+Drp9 Bcp+Drp
9 Bcp+Drp
 
Business continuity & Disaster recovery planing
Business continuity & Disaster recovery planingBusiness continuity & Disaster recovery planing
Business continuity & Disaster recovery planing
 
Records Retention And Destruction Policies
Records Retention And Destruction PoliciesRecords Retention And Destruction Policies
Records Retention And Destruction Policies
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
 
A compliance officer's guide to third party risk management
A compliance officer's guide to third party risk managementA compliance officer's guide to third party risk management
A compliance officer's guide to third party risk management
 
The linked open government data and metadata lifecycle
The linked open government data and metadata lifecycleThe linked open government data and metadata lifecycle
The linked open government data and metadata lifecycle
 

Andere mochten auch

10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social WebSocial Event GmbH
 
Top 5 SEO Fehler
Top 5 SEO FehlerTop 5 SEO Fehler
Top 5 SEO FehlerKnut Barth
 
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdfHochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdfunn | UNITED NEWS NETWORK GmbH
 
DUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSIONDUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSIONjundumaug1
 
Step 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importierenStep 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importierenHarald Bendschneider
 
Die Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und KollaborationDie Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und KollaborationStefan Kasberger
 
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921kathrinkoehler.com
 

Andere mochten auch (11)

10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web
 
Top 5 SEO Fehler
Top 5 SEO FehlerTop 5 SEO Fehler
Top 5 SEO Fehler
 
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdfHochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
 
651_AMR_201005.pdf
651_AMR_201005.pdf651_AMR_201005.pdf
651_AMR_201005.pdf
 
USP-D Dynamische Assessment Center
USP-D Dynamische Assessment CenterUSP-D Dynamische Assessment Center
USP-D Dynamische Assessment Center
 
KRASS stellt sich vor!
KRASS stellt sich vor!KRASS stellt sich vor!
KRASS stellt sich vor!
 
DUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSIONDUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSION
 
Step 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importierenStep 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importieren
 
Die Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und KollaborationDie Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und Kollaboration
 
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
 
Bewerb01_EYCUP_Opening.pdf
Bewerb01_EYCUP_Opening.pdfBewerb01_EYCUP_Opening.pdf
Bewerb01_EYCUP_Opening.pdf
 

Ähnlich wie Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security?

Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...Paul G. Huppertz
 
ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSbhoeck
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenA. Baggenstos & Co. AG
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Hans Peter Knaust
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH
 
Wikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und ErfolgsfaktorenWikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und ErfolgsfaktorenAlexander Stocker
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementbhoeck
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
SDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSmart Data Innovation Lab
 
constag ag Firmenpräsentation
constag ag Firmenpräsentationconstag ag Firmenpräsentation
constag ag FirmenpräsentationErich Stähli
 

Ähnlich wie Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security? (20)

Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
 
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
 
ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMS
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer Wegweiser
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Cobit
CobitCobit
Cobit
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
CCPP
CCPPCCPP
CCPP
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
 
Wikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und ErfolgsfaktorenWikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Management
 
Knorr, Alexander
Knorr, Alexander Knorr, Alexander
Knorr, Alexander
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
SDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data Projekte
 
Knorr, Alexander
Knorr, Alexander Knorr, Alexander
Knorr, Alexander
 
constag ag Firmenpräsentation
constag ag Firmenpräsentationconstag ag Firmenpräsentation
constag ag Firmenpräsentation
 

Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security?

  • 1. Was beinhaltet der Begriff IT-Sicherheit? Dauer: 45 min (Präsentation inklusive Diskussion) IHK Darmstadt / IT-Leiter-Treff am 02. Dezember 2010 (rev.)
  • 2. Unternehmensberatung Holliday Consulting - gegründet Anfang 2004 - berät und begleitet Umsetzungen zu den Themen: - IT-Sicherheit - IT-Prozessmanagement - IT-Servicemanagement nach ITIL - Internetadresse: www.holliday-consulting.com
  • 3. Unternehmensberatung Holliday Consulting - kooperiert mit vielfältigen Partnerunternehmen zur Lösung komplexer Aufgabenstellungen: - zur Unternehmenssteuerung (Balanced Scorecard) - zum Business Process-Reengineering (TQM) - zur Erzielung eines IT-Sicherheitszertifikats nach ISO 27001 oder BSI IT-Grundschutz
  • 4. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Der Begriff IT-Sicherheit  noch besser: Informationssicherheit (IS)  Zielsetzung der IS:  Informationen und Daten schützen vor dem Verlust von:  Vertraulichkeit  Integrität  Verfügbarkeit  Echtheit (Authentizität)  betrifft nicht nur elektronisch abgespeicherte Daten, sondern auch das gesprochene Wort, sowie materielle Dokumentationen (Papiere, Aufzeichnungen, Mikrofilme etc.)
  • 5. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit (IS)  erfordert eine konzertierte systemische Handlungsweise (ein ganzheitliches Handeln) mit den Aspekten:  Organisation  Regelwerke  Personal  Bewusstheit („Awareness“)  Schulung („Skills entwickeln“)  Technologie (die „IT-Sicherheit“)  Überprüfungen
  • 6. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Bedrohungen der IS  55 % aller Bedrohungen kommen von Innen  Verteilung nach Art der Bedrohungen: • Datendiebstahl 78 % • Fahrlässigkeit der Mitarbeiter 65 % • Viren 50 % • Hacker 41 % • Spam 32 % • Sabotage 15 % • Fehler an HW oder SW 12 % • Finanzieller Betrug 8 %
  • 7. www.holliday-consulting.com 02. Dezember 2010‹Nr.› System D - BSI IT-Grundschutz  entwickelt vom nationalen Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de)  mit der Zielsetzung:  Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise für IT-Sicherheit zu geben  um hochkomplexe Vorgehensweisen zu vermeiden  um die Einstiegshürde in einen IT-Sicherheitsprozess so niedrig wie möglich zu halten  in der neueren Ausgabe die ISO 27001 (internationale Zertifizierung für Informationssicherheit) zu integrieren
  • 8. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - die Idee  Typische IT-Komponenten  Typische Gefährdungen, Schwachstellen und Risiken  Konkrete Umsetzungshinweise für das IT-Sicherheitsmanagement  Empfehlung geeigneter Bündel von Standard- IT-Sicherheitsmaßnahmen  Vorbildliche Lösungen aus der Praxis – „Best Practice“-Ansätze
  • 9. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - IT-Sicherheitsprozess  Maßnahmen für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses:  die Einführung eines IT-Sicherheitsmanagements, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht  die Analyse und Dokumentation der Struktur der vorliegenden Informationstechnik (IT)  die Durchführung einer Schutzbedarfsfeststellung, um zu ermitteln, welcher Schutz für die Informationen und die eingesetzte IT ausreichend und angemessen ist  die Modellierung der Komponenten des vorliegenden IT-Verbunds durch die Bausteine der IT-Grundschutz-Kataloge  die Durchführung eines Basis-Sicherheitschecks, um einen Überblick über das vorhandene IT-Sicherheitsniveau zu erhalten  die Umsetzung der fehlenden Sicherheitsmaßnahmen
  • 10. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Begriffsdefinition: Ein Prozess ist  eine zeitlich logische Abfolge  miteinander verknüpfter Tätigkeiten  zur Umwandlung von Eingaben in Ergebnisse (materiell und immateriell).
  • 11. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Prozess im schematischen Schaubild: und klar definierten Ergebnissen mit klar definierten Eingaben FREI gegeben FREI gegeben FREI gegebenAnfang Ende Material Informationen Entscheidungen Tätigkeiten
  • 12. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  funktionalorientierte vs. prozessorientierte Organisation: Optimale Beziehungen zwischen Kunden und Lieferanten entlang der Wertschöpfung werden angestrebt Prozessorientierte Organisation Denken in Prozessen und Gesamtergebnissen Bereichsorientierte Kunden/Lieferantenbeziehungen Funktionalorientierte Organisation Denken in Bereichen
  • 13. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - Publikationen  der BSI IT-Grundschutz ist ursprünglich in Form eines Grundschutzhandbuchs (GSHB) in verschiedenen Auflagen publiziert worden  zwecks Harmonisierung mit dem Normenpaar ISO 27001 und 27002 wird er seit August 2006 in zwei Bestandteilen herausgebracht:  die BSI-Standardreihe zum Informationssicherheitsmanagement bestehend aus vier Bänden und einem Prüfschema:  BSI-Standard 100-1 Managementsysteme für Informationssicherheit  BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz  BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz  BSI-Standard 100-4 Notfallmanagement  Prüfschema: ISO 27001-Zertifizierung mit IT-Grundschutz  die IT-Grundschutz-Kataloge („IT-Grundschutzhandbuch“)
  • 14. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – IT-Grundschutz-Kataloge  die IT-Grundschutz-Kataloge:  haben voran gestellte Kapitel zur Einführung  über die Anwendungsweise der IT-Grundschutz-Kataloge  geben Hinweise zur Modellierung  die Grundschutz-Bausteine sind gruppiert anhand eines Schichtenmodells  das Schichtenmodell dient dazu  die Bausteine des Handbuchs einfacher auf einen komplexen IT-Verbund abzubilden  Redundanzen zu vermeiden, indem übergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden
  • 15. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Themengebiete der Bausteine
  • 16. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Struktur der Bausteine
  • 17. www.holliday-consulting.com 02. Dezember 2010‹Nr.› System I - ISO 27000 Familie  Die aktuelle ISO 2700X Familie:  ISO 27000:2009 Überblick und Vokabular  ISO 27001:2005 die „Zertifizierungs-ISO“  Titel der ISO 27001: „ISMS - Requirements“  ISO 27002:2005  Titel der ISO 27002: „Code of Practice for ISM“  sie beinhaltet im Wesentlichen generische Best Practice Empfehlungen zur Handhabung der Informationssicherheit  ISO 27003:2010 Leitfaden zur Implementierung  ISO 27004:2009 IS-Management - Metriken und Messungen  ISO 27005:2008 ISMS – Risikomanagement  ISO 27006:2007 Anforderungen an Zertifizierstellen
  • 18. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 („Zertifizierungs-ISO“)  Historie:  die ISO 27001 ist aus dem British Standard BS 7799-2 (-2 steht für Teil 2) hervorgegangen  sie beinhaltet den normativen Teil für die Zertifizierbarkeit eines Informationssicherheit-Managementsystems  die aktuelle Version ISO 27001 wurde am 15. Oktober 2005 herausgegeben  sie hat den Titel: „Information Security Management System - Requirements“
  • 19. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die in der ISO 27001 spezifizierten Anforderungen beschränken sich nicht nur auf die IT-Sicherheit als Technologie im engeren Sinne  die formulierten Anforderungen zwingen die Akteure im Prozessgeschehen dazu, sich gleichwertig mit allen Aspekten der Informationssicherheit (IS) zu befassen  die geforderte Einrichtung eines IS-Managementsystems (ISMS) verschafft anhand der Vorgabe eines kontinuier- lichen Verbesserungsprozesses zahlreiche systemische Vorteile um die permanent gegebene Herausforderung bei der Informationssicherheit zu bewältigen
  • 20. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die ISO 27001 überprüft für eine Zertifizierung, ob die IS-relevanten Themengebiete aus der ISO 27002 behandelt sind und auch tatsächlich einem PDCA-Zyklus unterliegen:  Sicherheitsleitlinie  Methodik und Durchführung des Risikomanagements  Umsetzung von Maßnahmen aus der Risikobetrachtung  Kontroll-, Bewertungs- und Reaktionsszenarien  IS-Organisation  Bewusstseinsbildung, Schulung  Ressourcenmanagement  Dokumentenmanagement  Sicherheitsvorfallmanagement  Notfallmanagement  etc.
  • 21. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit PDCA-Zyklus  IS PDCA-Zyklus (kontinuierlicher Verbesserungsprozeß) festlegen Plan Check Do Act Anforderungen und Erwartungen an IS Verbesserte IS umsetzen & durchführen prüfen & messen erhalten & verbessern
  • 22. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  die ISO 27002 ist nach folgendem Schema aufgebaut:  sie besteht aus einem 5-teiligen Prolog und 11 thematischen Bereichen („security control clauses“)  jeder Themenbereich umfaßt dabei Kategorien („main security categories“), die für ihn wichtige Themen formu- lieren (insg. 39 Kategorien über alle Bereiche hinweg) - für jede Kategorie werden definiert: - Sicherheitszielvorgaben („security objectives“) - Aufgaben/ Anforderungen („security controls“) - für die Anforderungen sind Umsetzungsvorschläge („security implementation guides“) zur Erfüllung der Zielvorgaben angegeben  die ISO 27002 umfasst insgesamt 133 Sicherheitsaufgaben („security controls“)
  • 23. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  ein Prolog und elf Themenbereiche der ISO 27002  Prolog ohne Angabe von Aufgaben („security controls“) mit den fünf Abschnitten: „Introduction“, „Scope“, „Terms and Definitions“, „Structure of This Standard“ und „Risk Assessment & Treatment“ 1. Weisungen und Richtlinien zur Informationssicherheit / „Security Policy“ 2. Organisatorische Si-Maßnahmen und Managementprozess / „Security Organization“ 3. Verantwortung und Klassifizierung von Informationswerten / „Asset Classification and Control“ 4. Personelle Sicherheit / „Human Resources Security“ 5. Physische und umgebungsbezogene Sicherheit / „Physical and Environmental Security“
  • 24. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) / „Communications & Operations Management“ 7. Zugriffskontrolle / „Access Control“ 8. Systembeschaffung, -entwicklung und -wartung / „System Acquisition, Development & Maintenance“ 9. Umgang mit Vorfällen bei der Informationssicherheit / „Information Security Incident Management“ 10.Sicherstellung des Geschäftsbetriebs – Notfallvorsorgeplanung / „Business Continuity Management“ (BCM) 11.Einhaltung von gesetzlichen & sonstigen Vorgaben - Audits / „Compliance“
  • 25. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 - Zertifizierung  welchen Nutzen bringt eine Zertifizierung?  das Thema Informationssicherheit wird durch eine Zertifizierungs- entscheidung ein wichtiges Anliegen der Geschäftsführung  Chance der Organisation auf Verbesserung und Optimierung von Prozessen, nicht nur der IS-spezifischen (Mitnahmeeffekt)  deutlich gesteigertes Risikobewusstsein verankert in der Unternehmensleitung, aber auch bei den Mitarbeitern (Transparenz der Risiken)  eine günstige Gelegenheit Informationssicherheit ins Mitarbeiter- bewusstsein als Teil der Unternehmenskultur zu integrieren  Etablierung von Verbesserungs- und Präventionszyklen im Sicherheitsmanagementsystem (KVPs)  effizientere Umsetzung durch externen Druck (ein blamables Ergebnis zur Zertifizierung will unbedingt vermieden werden)  verstärkte Integration des Sicherheitsbewusstseins bei Geschäftspartnern  eine Möglichkeit sich gegenüber nicht-zertifizierten Mitbewerbern abzuheben
  • 26. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  Begriffsdefinition „IT-Risikoanalyse“  Analyse von Gefährdungen, Bedrohungen & Schwachstellen - und - deren Schadensauswirkungen bei Informationen und Geräten zur Informationsverarbeitung - und – die Wahrscheinlichkeit des Auftretens dieser Risiken  Begriffsdefinition „IT-Risikomanagement“  Prozess der kostenmäßig vertretbaren Identifizierung, Beschränkung und Minimierung bzw. Elimination von Sicherheitsrisiken, die Informationen und Informations- systeme beeinträchtigen können
  • 27. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  zentrale Aufgabe des IT-Risikomanagements  optimieren der Begegnung von Risiken durch Ausbalancierung von Schadenskosten versus Vorbeugekosten:  Vorbeugekosten  Schadenskosten  Risikenabdeck- kosten Kosten Grad der IS-Implementierung
  • 28. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikoanalyse  die Risikoanalyse besteht in der systematischen Betrachtung der Punkte:  Schaden für das Geschäft, der unter Berücksichtigung der potentiellen Folgen des Verlusts von  Vertraulichkeit  Integrität  Verfügbarkeit  Authentizität der Informationen und anderer Werte möglicherweise durch einen Sicherheitsausfall (Gefährdungen) entstehen kann  realistische Wahrscheinlichkeit, dass ein derartiger Ausfall angesichts der existierenden Bedrohungen und Schwachstellen und der derzeit implementierten Maßnahmen auftritt
  • 29. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikobewertung  metrisierte Risikobewertung: chutzbedarf betroffener Komponenten (5 - 10) edeutung der einzelnen Gefahr (1 - 10) uftretungswahrscheinlichkeit (1 - 10) S B A Risikobeurteilung KENNZAHL (RZ) = S B A 1 1000100 150 200 300 400 500 600 700 800 900 Risikobereich: zusätzliche Maßnahmen ergreifen Risikozahl (RZ) - Bewertung: Streu- Bereich Liste der Standardgefahren Risikozahl (RZ) - Ermittlung: 50 Bewertung Schadenswirkung Wahrscheinlichkeit
  • 30. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Behandlungsmanagement  Optionen für die Behandlung von Risiken sind:  Risiko-Vermeidung durch Umstrukturierung von Geschäftsprozessen oder des IT-Verbunds (z.B. durch Vermindern der Komplexität)  Risiko-Reduktion durch weitere Sicherheitsmaßnahmen  Risiko-Transfer auf eine andere Institution (z.B. durch Abschluß einer Versicherung oder Outsourcing)  die verbleibende Gefährdung und damit das daraus resultierende Risiko wird akzeptiert (Risiko-Übernahme)  die getroffenen Behandlungsentscheidungen werden im Risikomanagement-Plan dokumentiert  mit dieser Art von Risikomanagement-Plan werden die Risiken transparent gemacht!
  • 31. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Web-Adressen zu IT-Sicherheit  empfehlenswerte Links zum Thema IT-Sicherheit  http://www.bsi.bund.de/grundschutz (BSI IT-Grundschutz)  http://www.heise.de/security (News, Basischecks)  http://www.sicher-im-netz.de (Fundgrube für KMUs)
  • 32. Holliday Consulting - Dipl.-Ing. Frank W. Holliday bedankt sich für Ihre Aufmerksamkeit und wünscht Ihnen weiterhin viel Erfolg für Ihre IT-Sicherheit! www.holliday-consulting.com