Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Informationssicherheit und Informationsschutz im KMU

Veröffentlicht von:Parzival Wickman Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Informationssicherheit und Informationsschutz im KMU"—  Präsentation transkript:

1

2 Informationssicherheit und Informationsschutz im KMU
Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel Fax Informationssicherheit und Informationsschutz im KMU Informationstechnik IT-Sicherheitsverfahren Managementsystem Anforderungen nach DIN ISO/IEC 27001

3 Noch ein Managementsystem?
Stellen Sie sich vor, bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit. Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört. Oder aus Ihrem Haus werden Massen- s mit Computer- Viren verschickt. Welche Konsequenzen drohen dem Unternehmen bzw. der Behörde und den verantwortlichen Personen?

4 Warum Informationssicherheits-Management
Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann.

5 Was ist Informationssicherheit?
Informationssicherheit hat als Ziel den Schutz von Informationen jeglicher Art und Herkunft. Dabei können Informationen sowohl auf Papier, in Rechnersystemen oder auch in den Köpfen der Nutzer gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Aber auch Authentizität, Verbindlichkeit, Zuverlässigkeit und Nichtabstreitbarkeit.

6 Das Sicherheitsniveau anheben
Ein angemessenes Sicherheitsniveau ist in erster Linie abhängig vom systematischen Vorgehen und erst in zweiter Linie von einzelnen technischen Maßnahmen. Die folgenden Überlegungen verdeutlichen diese These: Die Leitungsebene trägt die Verantwortung, dass gesetzliche Regelungen und Verträge mit Dritten eingehalten werden und dass wichtige Geschäftsprozesse störungsfrei ablaufen. Informationssicherheit hat Schnittstellen zu vielen Bereichen einer Institution und betrifft wesentliche Geschäftsprozesse und Aufgaben. Nur die Leitungsebene kann daher für eine reibungslose Integration des Informationssicherheitsmanagements in bestehende Organisationsstrukturen und Prozesse sorgen. Die Leitungsebene ist zudem für den wirtschaftlichen Einsatz von Ressourcen verantwortlich.

7 Übersicht zur ISO 27000 Informationssicherheit
ISO Dieser Standard gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) ISO ist der erste internationale Standard zum Management von Informationssicherheit, der auch eine Zertifizierung ermöglicht. (Seit Februar 2014 als DIN/IEC Entwurf) ISO befasst sich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten des ISO-Standards ISO/IEC nur kurz beschrieben. ISO enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. ISO spezifiziert Anforderungen an die Akkreditierung von Zertifizierungsstellen für ISMS und behandelt auch Spezifika der ISMS-Zertifizierungsprozesse.

8 Inhalte der ISO Informationstechnik - IT-Sicherheitsverfahren – Informationssicherheits- Managementsysteme - Anforderungen 4 Informationssicherheits-Managementsystem 4.1 Allgemeine Anforderungen 4.2 Festlegung und Verwaltung des ISMS 4.2.1 Festlegen des ISMS 4.2.2 Umsetzen und Durchführen des ISMS 4.2.3 Überwachen und Überprüfen des ISMS 4.2.4 Instandhalten und Verbessern des ISMS 4.3 Dokumentationsanforderungen 4.3.1 Allgemeines 4.3.2 Lenkung von Dokumenten 4.3.3 Lenkung von Aufzeichnungen 5 Verantwortung des Managements 5.1 Verpflichtung des Management 5.2 Management von Ressourcen 5.2.1 Bereitstellung von Ressourcen 5.2.2 Schulungen, Bewusstsein und Kompetenz 6 Interne ISMS-Audits 7 Managementbewertung des ISMS 7.1 Allgemeines 7.2 Eingaben für die Bewertung 7.3 Ergebnisse der Bewertung 8 Verbesserung des ISMS 8.1 Ständige Verbesserung 8.2 Korrekturmaßnahmen 8.3 Vorbeugungsmaßnahmen

9 Praktische Hilfe? ISO gibt auf ca. 10 Seiten allgemeine Empfehlungen . Die Leser erhalten keine Hilfe für die praktische Umsetzung. ISO befasst sich hauptsächlich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Sicherheitsmaßnahmen werden auf den circa 100 Seiten nur kurz beschrieben. Die Empfehlungen sind in erster Linie für die Management-Ebene gedacht und enthalten daher kaum konkrete technische Hinweise.

10 Unterstützer? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet seit vielen Jahren Informationen und Hilfestellungen rund um das Thema Informationssicherheit: Als ganzheitliches Konzept für Informationssicherheit hat sich das Vorgehen nach IT-Grundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert. Diese vom BSI seit 1994 eingeführte und weiterentwickelte Methode bietet sowohl eine Vorgehensweise für den Aufbau einer Sicherheitsorganisation als auch eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit.

11 Ausgewählte BSI-Publikationen und Standards zur Informationssicherheit
Informationssicherheit und IT-Grundschutz

12 BSI-Standard 100-1 Managementsysteme für Informationssicherheit
Der vorliegende Standard beschreibt, wie ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut werden kann. Ein Managementsystem für Informationssicherheit legt fest, mit welchen Instrumenten und Methoden die Leitungsebene einer Institution die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Dieser BSI-Standard beantwortet unter anderem folgende Fragen: - Was sind die Erfolgsfaktoren beim Management von Informationssicherheit? - Wie kann der Sicherheitsprozess vom verantwortlichen Management gesteuert und überwacht werden? - Wie werden Sicherheitsziele und eine angemessene Sicherheitsstrategie entwickelt? - Wie werden Sicherheitsmaßnahmen ausgewählt und ein Sicherheitskonzept erstellt? - Wie kann ein einmal erreichtes Sicherheitsniveau dauerhaft erhalten und verbessert werden? Dieser Management-Standard stellt kurz und übersichtlich die wichtigsten Aufgaben des Sicherheitsmanagements dar. Bei der Umsetzung dieser Empfehlungen hilft das BSI mit der Methodik des IT-Grundschutzes. Der IT-Grundschutz gibt eine Schritt-für-Schritt-Anleitung für die Entwicklung eines Informationssicherheitsmanagements in der Praxis und nennt sehr konkrete Maßnahmen. Die Vorgehensweise nach IT-Grundschutz wird im BSI-Standard beschrieben und ist so gestaltet, dass möglichst kostengünstig ein angemessenes Sicherheitsniveau erreicht werden kann. Ergänzend dazu werden in den IT-Grundschutz-Katalogen Standard-Sicherheitsmaßnahmen für die praktische Implementierung des angemessenen Sicherheitsniveaus empfohlen.

13 ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
Das Bundesamt für Sicherheit in der Informationstechnik bietet seit Januar 2006 die ISO Zertifizierung auf der Basis von IT-Grundschutz an. Hierüber kann nachgewiesen werden, dass in einem Informationsverbund die wesentlichen Anforderungen nach ISO unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und gegebenenfalls einer ergänzenden Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Das BSI bietet weiterhin zwei Vorstufen vor dem Zertifikat an, diese dienen als Migrationspfad zur eigentlichen Zertifizierung: das „Auditor-Testat Einstiegsstufe“ und das „Audior-Testat Aufbaustufe“. Hierbei unterscheiden sich die einzelnen Stufen durch die Anzahl der umzusetzenden Maßnahmen. Jeder Maßnahme eines IT-Grundschutz-Bausteines ist eine dieser drei Stufen zugeordnet, so dass transparent ist, welche konkreten Sicherheitsempfehlungen aus den IT-Grundschutz-Katalogen umzusetzen sind.

14 ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
Einen Antrag auf ein Auditor-Testat kann die Institution nach Umsetzung aller für die jeweilige Stufe relevanten Maßnahmen und einer Überprüfung der Umsetzung von einem beim BSI lizenzierten Auditor stellen. Ein Auditor-Testat hat eine Gültigkeit von zwei Jahren und kann nicht verlängert werden, da es als Vorstufe für die Zertifizierung dient. Nach Umsetzung aller für die Zertifizierung relevanten Maßnahmen kann die Institution einen beim BSI lizenzierten ISO Auditor beauftragen, den Informationsverbund gemäß dem Prüfschema des BSI zu überprüfen. Die Ergebnisse dieser unabhängigen Prüfung werden in einem Auditreport festgehalten. Ein ISO Zertifikat auf der Basis von IT-Grundschutz kann zusammen mit der Einreichung des Auditreports beim BSI beantragt werden. Nach Prüfung des Reportes durch Experten des BSI erteilt die Zertifizierungsstelle das Zertifikat, das ebenso wie die Auditor-Testate vom BSI veröffentlicht wird. Alle zertifizierungsrelevanten Informationen wie das Zertifizierungsschema und die Namen der lizenzierten Auditoren sind öffentlich verfügbar und können unter eingesehen werden.

15 Ganzheitlicher Ansatz im Informationsverbund
Informationssicherheit ist eine grundlegende und prozessübergreifende Anforderung an Institutionen. Das Ziel von Informationssicherheit ist es, Unternehmen vor Schäden zu schützen, nicht nur einzelne Rechner. Daher ist ein ganzheitlicher Ansatz unabdingbar.

16 Organisation von Informationssicherheit
Um ein angemessenes Sicherheitsniveau nicht nur zu erreichen, sondern auch kontinuierlich aufrecht zu erhalten, muss Informationssicherheit als ein kontinuierlicher Prozess betrieben und gelebt werden.

17 Organisation von Informationssicherheit
Beim Aufbau und Betrieb des Managementsystems und der Sicherheitsprozesse müssen einige zentrale Fragen beantwortet werden. Dadurch lassen sich sowohl ein angemessenes Sicherheitsniveau als auch eine grundsätzliche Sicherheitsstrategie ableiten.

18 Fragen zur Sicherheitsstrategie
1. Welches sind die zentralen und essentiellen Werte, die für die Institution unabdingbar sind? 2. Welchen realen Risiken ist die Institution ausgesetzt und wie soll darauf reagiert werden? 3. Wie kann strukturiert ein angemessenes und prozessorientiertes Sicherheitsmanagement erreicht werden? 4. Welche technischen und organisatorischen Maßnahmen sind im Hinblick auf den Sicherheitsgewinn notwendig und wirtschaftlich sinnvoll? 5. Welchen sicherheitsrelevanten Veränderungen ist die Institution unterworfen und wie muss darauf reagiert werden?

19 Definition der Sicherheitsstrategie

20 Das Managementsystem

21 Komponenten eines Managementsystems für Informationssicherheit
• Management-Prinzipien • Ressourcen • Mitarbeiter • Sicherheitsprozess: - Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind - Sicherheitskonzept - Informationssicherheitsorganisation

22 Der Lebenszyklus in der Informationssicherheit

23 Der Weg zur Informationssicherheit

24

25 Zum Beispiel 77 Seiten Goldene Regeln

26

27 Das 5 Schichten Model der Grundschutz-Kataloge

28 Das 5 Schichten Model der Grundschutz-Kataloge
Schicht 1 umfasst sämtliche übergreifenden Aspekte der Informationssicherheit. Beispiele sind die Bausteine Personal, Datensicherungskonzept und Outsourcing (16 Bausteine). Schicht 2 befasst sich mit den baulich-technischen Gegebenheiten. Beispiele sind die Bausteine Gebäude, Serverraum und häuslicher Arbeitsplatz (12 Bausteine). Schicht 3 betrifft die einzelnen IT-Systeme. Beispiele sind die Bausteine Allgemeiner Client, Allgemeiner Server, TK-Anlage, Laptop und Mobiltelefon (24 Bausteine). Schicht 4 betrachtet die Vernetzungsaspekte der IT-Systeme. Beispiele sind die Bausteine Heterogene Netze, WLAN, VoIP sowie Netz- und Systemmanagement (8 Bausteine). Schicht 5 schließlich beschäftigt sich mit den eigentlichen Anwendungen. Beispiele sind die Bausteine , Webserver und Datenbanken (22 Bausteiene).

29 Gefährdungskataloge Dieser Bereich enthält die ausführlichen Beschreibungen der Gefährdungen, die in den einzelnen Bausteinen als Gefährdungslage genannt wurden. Die Gefährdungen sind in fünf Kataloge gruppiert: G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen

30 Beispiel Gefährtungskatalog (46 Seiten)

31 Maßnahmenkataloge Dieser Teil beschreibt die in den Bausteinen der IT-Grundschutz-Kataloge zitierten Sicherheitsmaßnahmen ausführlich. Die Maßnahmen sind in sechs Kataloge gruppiert: M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge

32 BSI Download zu den 5 Schichten
Bausteine B1 Übergreifende Aspekte B2 Infrastruktur B3 IT-Systeme B4 Netze B5 Anwendungen Gefährdungskataloge G0 Elementare Gefährdungen G1 Höhere Gewalt G2 Organisatorische Mängel G3 Menschliche Fehlhandlungen G4 Technisches Versagen G5 Vorsätzliche Handlungen Maßnahmenkataloge M1 Infrastruktur M2 Organisation M3 Personal M4 Hardware und Software M5 Kommunikation M6 Notfallvorsorge Hilfsmittel Checklisten und Formulare Muster und Beispiele Tools zur Unterstützung des Grundschutzprozesses IT-Grundschutz-Beispielprofile Dokumentationen und Studien Informationen externer Anwender Archiv

33 BSI Download weitere Beispiele
2011, 12. EL: HTML-Seiten IT-Grundschutz-Kataloge (ZIP ca. 10 MB) 2011, 12. EL:  IT-Grundschutz-Kataloge 12. Ergänzungslieferung (Dokument ist nicht barrierefrei) (PDF, ca. 52,2 MB) 2009, 11. EL: IT-Grundschutz-Kataloge Ergänzungslieferung (PDF ca. 30,0 MB) 2009, 11. EL: Die IT-Grundschutz-Kataloge im Word 2000-Format (gezippte Versionen). Unterteilt in:  Bausteine (zip, 9,02 MB)  Maßnahmen (zip, 29,78 MB)  Gefährdungen (zip, 4,24 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für eine kleine Instution (pdf, 1,11 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand (pdf, 1,63 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für eine große Instution (pdf, 2,61 MB)  IT-Grundschutz-Profil - Anwendungsbeispiel für das produzierende Gewerbe (pdf, 1,98 MB)

34 Viel Erfolg auf Ihrem Weg zur Informationssicherheit

Herunterladen ppt "Informationssicherheit und Informationsschutz im KMU"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
IT-Sicherheit macht Schule in NRW Thomas Faber Landesinitiative »secure-it.nrw« Neuss, 30. November 2005.

IT-Sicherheit macht Schule in NRW Thomas Faber Landesinitiative »secure-it.nrw« Neuss, 30. November 2005.
Einführung in die Vorgehensweise nach IT-Grundschutz

Einführung in die Vorgehensweise nach IT-Grundschutz
V-Modell XT - Ein Überblick

V-Modell XT - Ein Überblick
Integrierte Managementsysteme

Integrierte Managementsysteme
1 06.02.2003 21:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.

:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Schwachstellenanalyse in Netzen

Schwachstellenanalyse in Netzen
Verfahrensverzeichnis

Verfahrensverzeichnis
LE LM 8 - LO 3 Prozessnormen und Normen zu QM-Systemen

LE LM 8 - LO 3 Prozessnormen und Normen zu QM-Systemen
Prozessqualität: Ansätze und Ziele

Prozessqualität: Ansätze und Ziele
Prozessqualität: Ansätze und Ziele

Prozessqualität: Ansätze und Ziele
Zertifizierung von Software: CMM oder ISO 9000

Zertifizierung von Software: CMM oder ISO 9000
IT-Versorgung der Streitkräfte Notfallmanagement BWI Leistungsverbund

IT-Versorgung der Streitkräfte Notfallmanagement BWI Leistungsverbund
Dokumentationsanforderungen

Dokumentationsanforderungen
Rational Unified Process (RUP) - Definitionen

Rational Unified Process (RUP) - Definitionen
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.

Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Musterqualitätshandbuch Lehrerfortbildung

Musterqualitätshandbuch Lehrerfortbildung
QUALITÄTSMANAGEMENT IM FUNDRAISING Für Qualität in der Spendenwerbung.

QUALITÄTSMANAGEMENT IM FUNDRAISING Für Qualität in der Spendenwerbung.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Ähnliche Präsentationen

Google-Anzeigen