Enterprise Protection Betriebskonzept IT Security –

Präsentation zum Thema: "Enterprise Protection Betriebskonzept IT Security –"—  Präsentation transkript:

1 Enterprise Protection Betriebskonzept IT Security –
NUBIT 2003 ISS is the pioneer and leading provider of enterprise software systems that automatically monitor, detect and respond to security risks on distributed information systems. Much like the sophisticated security systems used to protect homes and businesses, ISS enterprise software systems automatically detect and correct security weaknesses on every system on the network and monitor and terminate real time threats against those systems. Although open systems, like the internet, have many business advantages, their accessibility, and the relative anonymity of users makes these systems, and the integrity of the information stored on them, vulnerable to security threats. In fact, the internet is a criminals dream. To compare this to the physical world, just imagine if every door lock was designed to the same standard with the same combination or key, or the windows in your house had no locks at all,(this is what the open IP standards have provided) and new doors and windows appeared on seemingly random basis (in fact, every time a new user, or new computer, router or business application is added to the network). Now add to that the complication that criminals are ostensibly invisible and change their identity at will? This is the network we call the internet, it is the network that runs every critical industry today, including banking, government, transportation, telecommunications and emergency services …a network with an endless supply of doors and windows, open standards which dictate the same combination to every lock and adversaries who are inconspicuous and change identity. ISS invented the software systems that automatically find the open doors and windows and secure them, and identify and terminate the activity of these otherwise invisible adversaries automatically. This dynamic system has the ability to adapt, to adjust to the dynamic and changing risk conditions on the network and automatically respond to enforce best practice security policy.

2 Agenda Rechtliche Notwendigkeit Risikopotential
Entwicklung zur Integrierten Security Management Lösung Betriebskonzept IT Security Umsetzung in einer Gesamtlösung

3 Rechtliche Notwendigkeit (1)
§ 91, Absatz 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann. § 317, Absatz 2 HGB: ….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind § 317, Absatz 4, HGB: ….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 des Aktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.

4 Rechtliche Notwendigkeit (2)
Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützter Rechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGB Entscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte“… „Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab“

5 Rechtliche Notwendigkeit (3)
Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden“ Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt

6 Risiken aus Sicht der Anwälte
Ausspähen von Daten durch Dritte Eindringen Dritter in das eigene Netz Einschleusen von Viren Manipulation der Daten durch Dritte Manipulation der Daten durch Betriebsangehörige Unentdeckte Fehler der Software Crash bei Hard- und Software Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002

7 Problem Risikomanagement ist Pflicht, aber wie wird es realisiert?
Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll? Wie kann man sich schützen? Wann ist man wirklich sicher? Gesetze sprechen eine eindeutige Sprache

8 Anforderung & Zielsetzung
Security – Management Angriffs- und Abwehr – Management Schwachstellen – Management Desktop Server Netzwerk Entwicklung zu integrierte Security Management Lösungen Isolierte Produkt - Lösung Integrierte Security - Lösung

9 Enterprise Protection - Betriebskonzept
Revision / Audit Gesetze / Richtlinien Sind wir sicher !? Was müssen wir tun? CEO Führung KonTraG AktG HGB Basel II BSI BS 7799 ISO 17799 GSH Definition Richtlinien Umsetzung Einhaltung Abweichung CIO IT- Verantwortung Design Lösung Schutz Operative Security Fachverantwortung / Experte Security - Betriebskonzept

10 Definition Richtlinien Umsetzung/Einhaltung
Betriebskonzept CEO Informationsbedarf Revision / Audit Berichtswesen Analytik Betrieb Security Betriebskonzept CIO Definition Richtlinien Umsetzung/Einhaltung Implementierung Geografische Netzwerk- Struktur Security: Design, Lösung Schutz Kritische Systeme

11 CEO / Führung Informationsbedarf Inhalt Wochenbericht Monatsbericht
Quartalsbericht ½ - Bericht Jahresbericht Budgetplanung Inhalt Einfach, schnell, verständlich und umfassend Zustand und Veränderung Einhaltung von Gesetzten und Richtlinen Maßnahmen Besondere Ereignisse CEO-Bericht

12 Transparenz der vorhanden Sicherheit

13 CIO / IT- Verantwortlicher
Definition der Unternehmens-Richtlinien Umsetzung in Policys Analyse der Sicherheit Aufgabenzuordnung Einhaltung und Abweichungs-Analytik Berichtserstattung Maßnahmen

14 Operative Security / Experten
Überwachung der Systeme Schwachstellenanalytik Angriffs-/Erkennung Abwehr Korrelations-Analytik Kritische Systeme Automatisierung Fortlaufende Optimierung

15 Revision / Audit Unabhängige Beurteilung der Sicherheit
Zugang zur Analyse mit Berechtigung Individuelle Analytik Möglichkeit Bericht Empfehlungen & Fortlaufende Optimierung

16 Implementierung Implementierung Phasen-Modell Analyse Schulung
Training Definition Design Einführung Support Abnahme

17 ISS’ Protection Solutions

18 Global Management via SiteProtector™
The last platform coverage dimension is geography. As organizations reach around the globe, so does the ability of threats to attack from anywhere around the world. The protection platform must scale to support the needs of diverse, geographically distributed, extended enterprises. RealSecure® SiteProtector™ works for multinational corporations needing global coverage from a central location. This is a proven fact. Internet Security Systems uses SiteProtector ourselves for thousands of customer for whom we manage their security operations remotely. Five security operations centers across three continents each use SiteProtector 24/7 to report back to a master SiteProtector installation in our Atlanta, GA headquarters.

19 Dynamic Threat Protection detect. prevent. respond.
Fragen? ISS is the pioneer and leading provider of enterprise software systems that automatically monitor, detect and respond to security risks on distributed information systems. Much like the sophisticated security systems used to protect homes and businesses, ISS enterprise software systems automatically detect and correct security weaknesses on every system on the network and monitor and terminate real time threats against those systems. Although open systems, like the internet, have many business advantages, their accessibility, and the relative anonymity of users makes these systems, and the integrity of the information stored on them, vulnerable to security threats. In fact, the internet is a criminals dream. To compare this to the physical world, just imagine if every door lock was designed to the same standard with the same combination or key, or the windows in your house had no locks at all,(this is what the open IP standards have provided) and new doors and windows appeared on seemingly random basis (in fact, every time a new user, or new computer, router or business application is added to the network). Now add to that the complication that criminals are ostensibly invisible and change their identity at will? This is the network we call the internet, it is the network that runs every critical industry today, including banking, government, transportation, telecommunications and emergency services …a network with an endless supply of doors and windows, open standards which dictate the same combination to every lock and adversaries who are inconspicuous and change identity. ISS invented the software systems that automatically find the open doors and windows and secure them, and identify and terminate the activity of these otherwise invisible adversaries automatically. This dynamic system has the ability to adapt, to adjust to the dynamic and changing risk conditions on the network and automatically respond to enforce best practice security policy.