Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Enterprise Protection - Betriebskonzept IT Security – NUBIT 2003.

Ähnliche Präsentationen


Präsentation zum Thema: "Enterprise Protection - Betriebskonzept IT Security – NUBIT 2003."—  Präsentation transkript:

1 Enterprise Protection - Betriebskonzept IT Security – NUBIT 2003

2 Agenda Rechtliche Notwendigkeit Risikopotential Entwicklung zur Integrierten Security Management Lösung Betriebskonzept IT Security Umsetzung in einer Gesamtlösung

3 Rechtliche Notwendigkeit (1) § 91, Absatz 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann. § 317, Absatz 2 HGB: ….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind § 317, Absatz 4, HGB: ….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 des Aktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.

4 Rechtliche Notwendigkeit (2) Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützter Rechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGB Entscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte… Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab

5 Rechtliche Notwendigkeit (3) Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt

6 Risiken aus Sicht der Anwälte Ausspähen von Daten durch Dritte Eindringen Dritter in das eigene Netz Einschleusen von Viren Manipulation der Daten durch Dritte Manipulation der Daten durch Betriebsangehörige Unentdeckte Fehler der Software Crash bei Hard- und Software Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002

7 Problem Risikomanagement ist Pflicht, aber wie wird es realisiert? Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll? Wie kann man sich schützen? Wann ist man wirklich sicher? Gesetze sprechen eine eindeutige Sprache

8 Anforderung & Zielsetzung Desktop Server Netzwerk Schwachstellen – Management Schwachstellen – Management Angriffs- und Abwehr – Management Angriffs- und Abwehr – Management Security – Management Security – Management Entwicklung zu integrierte Security Management Lösungen Isolierte Produkt - Lösung Isolierte Produkt - Lösung Integrierte Security - Lösung Integrierte Security - Lösung

9 Enterprise Protection - Betriebskonzept CEO Führung CIO IT- Verantwortung Operative Security Fachverantwortung / Experte Revision / Audit Gesetze / Richtlinien KonTraG AktG HGB Basel II BSI BS 7799 ISO GSH Sind wir sicher !? Was müssen wir tun? Definition Richtlinien Umsetzung Einhaltung Abweichung Design Lösung Schutz Security - Betriebskonzept

10 Betriebskonzept Security Betriebskonzept Security Betriebskonzept CEO Informationsbedarf CEO Informationsbedarf Revision / Audit Revision / Audit CIO Definition Richtlinien Umsetzung/Einhaltung CIO Definition Richtlinien Umsetzung/Einhaltung Geografische Netzwerk- Struktur Geografische Netzwerk- Struktur Kritische Systeme Kritische Systeme Security: Design, Lösung Schutz Security: Design, Lösung Schutz Implementierung Berichtswesen Analytik Betrieb Berichtswesen Analytik Betrieb

11 CEO / Führung Informationsbedarf –Wochenbericht –Monatsbericht –Quartalsbericht –½ - Bericht –Jahresbericht –Budgetplanung Inhalt –Einfach, schnell, verständlich und umfassend –Zustand und Veränderung –Einhaltung von Gesetzten und Richtlinen –Maßnahmen –Besondere Ereignisse CEO-Bericht

12 Transparenz der vorhanden Sicherheit

13 CIO / IT- Verantwortlicher Definition der Unternehmens-Richtlinien Umsetzung in Policys Analyse der Sicherheit Aufgabenzuordnung Einhaltung und Abweichungs-Analytik Berichtserstattung Maßnahmen

14 Operative Security / Experten Überwachung der Systeme Schwachstellenanalytik Angriffs-/Erkennung Abwehr Korrelations-Analytik Kritische Systeme Automatisierung Fortlaufende Optimierung

15 Revision / Audit Unabhängige Beurteilung der Sicherheit Zugang zur Analyse mit Berechtigung Individuelle Analytik Möglichkeit Bericht Empfehlungen & Fortlaufende Optimierung

16 Implementierung Phasen-Modell Implementierung Phasen-Modell Analyse Schulung Training Schulung Training Definition Design Definition Design Einführung Support Abnahme

17 ISS Protection Solutions

18 Global Management via SiteProtector

19 Dynamic Threat Protection detect. prevent. respond. Fragen?


Herunterladen ppt "Enterprise Protection - Betriebskonzept IT Security – NUBIT 2003."

Ähnliche Präsentationen


Google-Anzeigen