28.11.2014 1 Ihr starker IT-Partner. Heute und morgen Rainer Kretschmann Competence Center Datenschutz & Datensicherheit EINFÜHRUNG EINES „INFORMATIONS- SECURITY-MANAGEMENT-SYSTEMS“ (ISMS) 2 | IHK-Heilbronn | 25.11.2014 | Rainer Kretschmann Competence Center Datenschutz & Datensicherheit Rainer Kretschmann Geprüfter Datenschutzbeauftragter (udis, Ulmer Modell) IT-Sicherheitsbeauftragter Dozent Bechtle Competence Center „Datenschutz & Datensicherheit“ Systemhaus-Neckarsulm VORSTELLUNG
17
Embed
EINFÜHRUNG EINES „INFORMATIONS- SECURITY … · Regelwerk wird vom ISMS vorgeschlagen WAS? IT-Sicherheitsstandards Entwurf durch das IT-Sicherheitsmanagement WIE? Ausführliche
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
28.11.2014
1
Ihr starker IT-Partner.Heute und morgen
Rainer Kretschmann
Competence Center Datenschutz & Datensicherheit
EINFÜHRUNG EINES „INFORMATIONS-SECURITY-MANAGEMENT-SYSTEMS“ (ISMS)
Berührte Gesetze:KonTraGGesetz zur Kontrolle u. Transp. im UnternehmensbereichKWGKreditwesengesetzGoB / GoDVGrundsätze ordentlicherBuchhaltung/ Datenverarb.ProdHaftGGesetz über die Haftung fürfehlerhafte ProdukteBDSGBundesdatenschutzgesetzSTGBStrafgesetzbuch (§202a, §263a,§269, § 303a, ..)SOX (SOA)(Sarbanes-Oxley-Act.)Signaturgesetz
Normen u. ä.:Qualitäts-Management- ISO 9000:2000Security-Management- ISO / IEC 17799- ISO 27001- BS 7799- IT-GSHB (BSI)Modell (Prozesse)- ITIL- CobitGDPdUGrundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen mit § 146 u.§ 147 Abgabenordnung Archivierung)
Übergr. Vorschriften:BaFin, MaRisk (alt = MaH,MaK)IDW, Basel II
Haftungsrisiko der GL:KontrollverschuldenWenn keine Kontrolle im Unter-nehmen installiert wurden. (Revision, Controlling, IT-Governance etc.)
AuswahlverschuldenWenn sich der falsche Mitarbeiter an einemfalschen Ort befindet.
EinweisungsverschuldenWenn Mitarbeiter nicht ordnungsgemäß in Aufgaben eingewiesen wurden.
OrganisationsverschuldenWenn keine angemessene Organisation verarbeitet und installiert wurde (insbesondereauch Sicherheitsmanagement).
Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen
Kritische Infrastrukturen (KRITIS) sind die Lebensadern unserer Gesellschaft. Die verlässliche Bereitstellung der Dienstleistungen dieser Infrastrukturen ist eine Grundvoraussetzung für die wirtschaftliche Entwicklung in unserem Land, für das Wohlergehen unserer Gesellschaft und für politische Stabilität.
Bundesamt für Sicherheit in der Informationstechnik
Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen
Definition:Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
(Quelle: www.kritis.bund.de)
Bundesamt für Sicherheit in der Informationstechnik
Wer ist für den IT-Sicherheitsprozess verantwortlich?
Grundregel:
� Für die Einführung von IT-Sicherheit („Initiierung des IT-Sicherheitsprozesses“) ist das Management verantwortlich!
� Die Verantwortung für die Umsetzung von Informationssicherheit liegt beim Management.
� Nur wenn sich das Management um Informationssicherheit bemüht, wird die Aufgabe „IT-Sicherheit" im Unternehmen oder in einer Organisation vollumfänglich wahrgenommen.
• Auswahl einer Methode zur Risikobewertung• Klassifizierung von Risiken bzw. Schäden• Risikobewertung• Entwicklung einer Strategie zur Behandlung von Risiken• Auswahl von IT-Sicherheitsmaßnahmen
Planung und Konzeption [ PLAN ]
• Realisierungsplan für das IT-Sicherheitskonzept• Umsetzung der IT-Sicherheitsmaßnahmen• Überwachung und Steuerung der Umsetzung• Aufbau Notfallvorsorge und Behandlung von Sicherheitsvorfällen• Schulung uns Sensibilisierung der Mitarbeiter
Durchführen, Umsetzen [ DO ]
• Detektion von IT-Sicherheitsvorfällen im laufenden Betrieb• Überprüfung der Einhaltung von Vorgaben und Richtlinien• Überprüfung der Eignung und Wirksamkeit von Maßnahmen• Überprüfung der Effizienz der IT-Sicherheitsmaßnahmen• Management-Berichte
Prüfen, Überwachung [ CHECK ]
• Beseitigung von Fehlern und IT-Problemfällen• Verbesserung der IT-Sicherheitsmaßnahmen
Bechtle unterstützt Sie mit einer IST-Aufnahmeauf der Basis von BDSG/LDSG sowie denübergreifenden Aspekte (BSI IT-Grundschutz) mit einer Grobanalyse Ihres Sicherheitsniveaus.
0%10%20%30%40%50%60%70%80%90%
100%
AllgemeineAnforderungen
Personalwesen
Betriebsrat
Vertrieblicher BereichIT-Wesen
Server- / Verteilerräume
ISO 27001 PRÜFPUNKTE GESAMTAllgemeine Anforderungen 22 4 17 2 45
Audit bzw. IST-Aufnahme zur Stellung eines externen Datenschutzbeauftragten entsprechend der gesetzlichen Regelungen und Compliance.
IT-Sicherheitsaudit
Ermittlung des IT-Sicherheitsniveaus nach BSI und IT-Grundschutzrichtlinien, IT-Sicherheits-Reifegrad, Statusmitteilung und Bestandsaufnahme.
Workshop ISO/IEC 27001
Unterstützung und Beratung vor Einführung der IT-Sicherheitsorganisation nach ISO 27001 (ISMS) sowie Überprüfung der organisatorischen und konzeptionellen Informations-Sicherheits-Strategie.
Ihr starker IT-Partner.Heute und morgen
Bechtle Competence Center „Datenschutz & Datensicherheit“