Enterprise Protection Betriebskonzept IT Security –

Slides:

Advertisements

Ähnliche Präsentationen

Gerne unterbreite ich Ihnen ein konkretes Angebot

Advertisements

Umgang mit Medizinprodukten

Datenschutz im IT-Grundschutz

Juristische Aspekte der IT-Sicherheit

N © Corporate Finance Corporate Finance Basel II im Blickwinkel von Auslandsaktivitäten.

Agenda Einleitung Risiken und Gefahren Vorbeugung

Das „Vorgehensmodell“

Controlling, Analyse und Verbesserung (Teil 2)

HACCP Schulentwicklungsprojekt

Wertorientiertes BPM Christian Kuhn Vorstand HRW Consulting

Microsoft Dynamics NAV-Themenfolien

Sicherheit als Geschäftsmodell

Vorlesung Gesamtbanksteuerung Operationelle Risiken

Eine Fallstudie zur Wirtschaftsinformatik

Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive

Schwachstellenanalyse in Netzen

Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.

Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.

Controlling, Analyse und Verbesserung (Teil 1)

Aufsichtspflicht für Jugendleiter und Ferienbetreuer

Sicherheitsbestimmungen

eXtreme Programming (XP)

EINFÜHRUNG Die Ladung sowie Spannketten, Geräte und sonstige Ladeeinrichtungen sind verkehrssicher zu verstauen und gegen Herabfallen und gegen vermeidbares.

Beurteilung der Arbeitsbedingungen

Beurteilung der Wirksamkeit von Schulungen Dr. Barbara Moos

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Gesundes Führen lohnt sich !

Das Fahrlässigkeitsdelikt

Schulz & Löw Consulting GmbH

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Synergieeffekte durch softwaregestützte Prozessmodelle

Die Umsetzung der ISO/IEC 17020

Controller Leitbild 2002  2013.

Financial Expert und Corporate Governance

Microsoft Office Project & Project Server 2003 Die neuen Möglichkeiten der bereichs- und projektübergreifenden Projekt- und Ressourcensteuerung.

Fokus Führungskräfte – Gesundheit zum Thema machen

Jugendleiter und Ferienbetreuer

Gefahren und Sicherheitsmaßnahmen Vortragsteil von Franzi ;-)

© 2002 Software Beratungs-Institut AG, CH – 4153 Reinach / Basel, Christoph Merian-Ring 29, Tel , Fax ,

REACH Duty of Care & Information Flow Wien, 2. Juli 2003 Hermann Götsch.

Vorgehen Einführung einer Kostenrechnung (Phasen)

Gemeinsame Tagung Bezirksleitung und Kreiswasserwachten

Dienstordnung – Knackpunkt des Entwurfs Entwurf März 2011

Grundlagen des Praxismanagements Die QM- Richtlinie in der Praxis

„Medienentwicklungsplanung für Schulen“

IT Kosten Reduzierung und effizientere Dienstleistungen Wir optimieren Strukturen und Prozesse und reduzieren dabei Ihre IT Kosten Ihr OPTICONSULT International.

Barbara Perriard, Leiterin der Sektion Politische Rechte

Aufsichtspflicht Ausbildung zum DKV-Fahrtenleiter.

Das Unternehmen.

Baseler Richtlinien zur Bankenregulierung

Die Management-Tools von Z&H COACH beinhalten zentrale Hilfsmittel für ein Management-System. Sorgfältig angewendet führen diese Tools Ihr Unternehmen.

EnergieManagementSystem (EnMS) und EnergieAudit (EnA)

Niederrheinischer Pflegekongress 25./

„Kein Unternehmen besitzt so viel Zeit und Mittel zum Lernen aus eigenen Fehlern” James Harrington.

Datenschutz im betrieblichen Kontext – Ein praxisorientierter Ansatz in einem multinationalem Unternehmen Bachelorarbeit MIS.

Christos Mavridis ‌ WG13 ‌‌‌ Köln, Update und Patch-Management.

Rechtliche Rahmenfaktoren der Netzwerksicherheit

Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.

Rechte & Pflichten TEIL – Rechtliche Sicht.

Digitale Transformation: Zentrale Rechtsfragen von Datenschutz und IT-Sicherheit beachten! CeBIT Mittelstandslounge 5 - Stand D04 Dr. Thomas.

ISO in der betrieblichen Praxis

WP/StB Prof. Dr. Klaus-Peter Naumann

Grundkurs Strafrecht II Prof. Dr

Aktuelle Bilanzierungs- und Prüfungsfragen aus der Facharbeit des IDW

Organisation und betriebliche Informationssysteme

Abteilung ST-ESS| Januar 2013 | © Robert Bosch GmbH Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe.

Ein Service von: Aufsichtspflicht für Jugendleiter und Ferienbetreuer.

- Digitale Strategien & Digitaler Stresstest - Chancen und Risiken für das Unternehmen 4.0 Audit Challenge Fachkonferenzserie 2015 © 2015 Audit Research.

Vorstand Arbeitsgestaltung und Gesundheitsschutz Rechtsgrundlagen im Arbeits- und Gesundheitsschutz: Vom Gesetz zur Technischen Regel Manfred Scherbaum,

Präsentation transkript:

Enterprise Protection Betriebskonzept IT Security – NUBIT 2003 ISS is the pioneer and leading provider of enterprise software systems that automatically monitor, detect and respond to security risks on distributed information systems. Much like the sophisticated security systems used to protect homes and businesses, ISS enterprise software systems automatically detect and correct security weaknesses on every system on the network and monitor and terminate real time threats against those systems. Although open systems, like the internet, have many business advantages, their accessibility, and the relative anonymity of users makes these systems, and the integrity of the information stored on them, vulnerable to security threats. In fact, the internet is a criminals dream. To compare this to the physical world, just imagine if every door lock was designed to the same standard with the same combination or key, or the windows in your house had no locks at all,(this is what the open IP standards have provided) and new doors and windows appeared on seemingly random basis (in fact, every time a new user, or new computer, router or business application is added to the network). Now add to that the complication that criminals are ostensibly invisible and change their identity at will? This is the network we call the internet, it is the network that runs every critical industry today, including banking, government, transportation, telecommunications and emergency services …a network with an endless supply of doors and windows, open standards which dictate the same combination to every lock and adversaries who are inconspicuous and change identity. ISS invented the software systems that automatically find the open doors and windows and secure them, and identify and terminate the activity of these otherwise invisible adversaries automatically. This dynamic system has the ability to adapt, to adjust to the dynamic and changing risk conditions on the network and automatically respond to enforce best practice security policy.

Agenda Rechtliche Notwendigkeit Risikopotential Entwicklung zur Integrierten Security Management Lösung Betriebskonzept IT Security Umsetzung in einer Gesamtlösung

Rechtliche Notwendigkeit (1) § 91, Absatz 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann. § 317, Absatz 2 HGB: ….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind § 317, Absatz 4, HGB: ….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 des Aktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.

Rechtliche Notwendigkeit (2) Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützter Rechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGB Entscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte“… „Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab“

Rechtliche Notwendigkeit (3) Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden“ Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt

Risiken aus Sicht der Anwälte Ausspähen von Daten durch Dritte Eindringen Dritter in das eigene Netz Einschleusen von Viren Manipulation der Daten durch Dritte Manipulation der Daten durch Betriebsangehörige Unentdeckte Fehler der Software Crash bei Hard- und Software Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002

Problem Risikomanagement ist Pflicht, aber wie wird es realisiert? Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll? Wie kann man sich schützen? Wann ist man wirklich sicher? Gesetze sprechen eine eindeutige Sprache

Anforderung & Zielsetzung Security – Management Angriffs- und Abwehr – Management Schwachstellen – Management Desktop Server Netzwerk Entwicklung zu integrierte Security Management Lösungen Isolierte Produkt - Lösung Integrierte Security - Lösung

Enterprise Protection - Betriebskonzept Revision / Audit Gesetze / Richtlinien Sind wir sicher !? Was müssen wir tun? CEO Führung KonTraG AktG HGB Basel II BSI BS 7799 ISO 17799 GSH Definition Richtlinien Umsetzung Einhaltung Abweichung CIO IT- Verantwortung Design Lösung Schutz Operative Security Fachverantwortung / Experte Security - Betriebskonzept

Definition Richtlinien Umsetzung/Einhaltung Betriebskonzept CEO Informationsbedarf Revision / Audit Berichtswesen Analytik Betrieb Security Betriebskonzept CIO Definition Richtlinien Umsetzung/Einhaltung Implementierung Geografische Netzwerk- Struktur Security: Design, Lösung Schutz Kritische Systeme

CEO / Führung Informationsbedarf Inhalt Wochenbericht Monatsbericht Quartalsbericht ½ - Bericht Jahresbericht Budgetplanung Inhalt Einfach, schnell, verständlich und umfassend Zustand und Veränderung Einhaltung von Gesetzten und Richtlinen Maßnahmen Besondere Ereignisse CEO-Bericht

Transparenz der vorhanden Sicherheit

CIO / IT- Verantwortlicher Definition der Unternehmens-Richtlinien Umsetzung in Policys Analyse der Sicherheit Aufgabenzuordnung Einhaltung und Abweichungs-Analytik Berichtserstattung Maßnahmen

Operative Security / Experten Überwachung der Systeme Schwachstellenanalytik Angriffs-/Erkennung Abwehr Korrelations-Analytik Kritische Systeme Automatisierung Fortlaufende Optimierung

Revision / Audit Unabhängige Beurteilung der Sicherheit Zugang zur Analyse mit Berechtigung Individuelle Analytik Möglichkeit Bericht Empfehlungen & Fortlaufende Optimierung

Implementierung Implementierung Phasen-Modell Analyse Schulung Training Definition Design Einführung Support Abnahme

ISS’ Protection Solutions

Global Management via SiteProtector™ The last platform coverage dimension is geography. As organizations reach around the globe, so does the ability of threats to attack from anywhere around the world. The protection platform must scale to support the needs of diverse, geographically distributed, extended enterprises. RealSecure® SiteProtector™ works for multinational corporations needing global coverage from a central location. This is a proven fact. Internet Security Systems uses SiteProtector ourselves for thousands of customer for whom we manage their security operations remotely. Five security operations centers across three continents each use SiteProtector 24/7 to report back to a master SiteProtector installation in our Atlanta, GA headquarters.

Dynamic Threat Protection detect. prevent. respond. Fragen? ISS is the pioneer and leading provider of enterprise software systems that automatically monitor, detect and respond to security risks on distributed information systems. Much like the sophisticated security systems used to protect homes and businesses, ISS enterprise software systems automatically detect and correct security weaknesses on every system on the network and monitor and terminate real time threats against those systems. Although open systems, like the internet, have many business advantages, their accessibility, and the relative anonymity of users makes these systems, and the integrity of the information stored on them, vulnerable to security threats. In fact, the internet is a criminals dream. To compare this to the physical world, just imagine if every door lock was designed to the same standard with the same combination or key, or the windows in your house had no locks at all,(this is what the open IP standards have provided) and new doors and windows appeared on seemingly random basis (in fact, every time a new user, or new computer, router or business application is added to the network). Now add to that the complication that criminals are ostensibly invisible and change their identity at will? This is the network we call the internet, it is the network that runs every critical industry today, including banking, government, transportation, telecommunications and emergency services …a network with an endless supply of doors and windows, open standards which dictate the same combination to every lock and adversaries who are inconspicuous and change identity. ISS invented the software systems that automatically find the open doors and windows and secure them, and identify and terminate the activity of these otherwise invisible adversaries automatically. This dynamic system has the ability to adapt, to adjust to the dynamic and changing risk conditions on the network and automatically respond to enforce best practice security policy.