IT-Sicherheit nach BSI-Standard () - Datenschutz-Guru

BSI-Standard 100-1.pdf
BSI-Standard 100-2.pdf
BSI-Standard 100-3.pdf
BSI Standard 100-4.pdf
BSI_Grundschutz-Leitfaden.pdf
profil_mittl_IT_Verbund_pdf.pdf
16_17062011_Datenschutz_Programm_mitKopf_
S1.pdf
Archivierungskonzept.doc
Datensicherungskonzept.doc
Leitlinie.doc
Notfallvorsorgekonzept.doc
Sicherheitshinweise_Administratoren.doc
Dokumente
Sicherheitshinweise_Benutzer.doc
Sicherheitsrichtlinie_Internetnutzung.doc
Sicherheitsrichtlinie_IT-Nutzung.doc
Einführung in Informationssicherheit
Standards und Einführung in die Thematik
Sicherheitsrichtlinie_Outsourcing.doc
Management-Prinzipien
Virenschutzkonzept.doc
Ressourcen
IT-Grundschutz-Profile - Anwendungsbeispiele
für den Mittelstand.pdf
Mitarbeiter
ISMS-Definition und Prozessbeschreibung
ISMS-Bestandteile
Leitlinie zur Informationssicherheit, in der die
Sicherheitsziele und die Strategie zur Umsetzung
dokumentiert sind
IT-Grundschutz-Profile - Beispiel
produzierendes Gewerbe.pdf
Sicherheitsprozess
IT-Grundschutzprofil für eine kleine
Institution.pdf
Sicherheitskonzept
Informationssicherheitsorganisation
Sicherheitsleitlinie.markdown
Management/Leitungsebene ist verantwortlich
backup01.pdf
Management-Prinzipien
it-grundschutz-kataloge_2009_EL11_de.pdf
Vorbildfunktion etc.
Integration von Informationssicherheit in die
Prozesse
Übernahme von Verantwortlichkeit durch die
Leitungsebene
Ressourcen für die Informationssicherheit
Ermittlung von Rahmenbedingungen
Formulierung von allgemeinen
Informationssicherheitszielen
Einbindung der Mitarbeiter in den
Sicherheitsprozess
Zeit und Geld müssen zur Verfügung gestellt
werden
Einarbeitung und Sensibilisierung
Konzeption und Planung des
Sicherheitsprozesses
Sehr hoch
Ermittlung von Rahmenbedingungen
Bestimmung des angemessenen
Sicherheitsniveaus der Geschäftsprozesse
Hoch
Formulierung von Sicherheitszielen und einer
Leitlinie zur Informationssicherheit
Planung des Prozesses
Initiierung des Sicherheitsprozesses
Normal
Der Informationssicherheitsprozess
Erstellung einer Leitlinie zur
Informationssicherheit
Aufbau einer Informationssicherheitsorganisation
Gremien, Kompetenzzentren etc.
Umsetzung der Leitlinie zur
Informationssicherheit
Organisation des Sicherheitsprozesses
Erfolgskontrolle im Sicherheitsprozess
Bereitstellung von Ressourcen
selten
Einbindung aller Mitarbeiter in den
Sicherheitsprozess
ggf. nur Teilbereich mit "kritischen" Daten
Eintrittswahrscheinlichkeit
Definition des Geltungsbereichs
häufig
sehr häufig
Klassifikation von Risiken bzw. Schäden
Vereinfachung durch Gruppenbildung
mittel
Erfassung der zum Geltungsbereich zugehörigen
Geschäftsprozesse, Anwendungen und
Informationen
Inhaltliche Beschränkung auf die 3 Säulen
Verfügbarkeit, Integrität, Vertraulichkeit: nur die
Systeme/Anwendungen angeben, die für diese
Säulen einschlägig sind.
potentielle Schadenshöhe
hoch
sehr hoch
Voila_Capture67.png
Beispiel
Netzplanerhebung
Die zu schützenden Informationen und
Geschäftsprozesse müssen identifiziert werden
Eindeutige Bezeichnung des IT-Systems
Alle relevanten Bedrohungen für die
Schutzobjekte müssen identifiziert werden
Beschreibung Typ und Funktion
Plattform
Schwachstellen müssen identifiziert werden!건
ߐĀ枠‫ې‬
Strukturanalyse
Aufstellungsort
IT-Sicherheit nach BSI Standards
Risikobewertung
BSI-Standard 100-1
Mögliche Schäden durch Verlust von
Vertraulichkeit, Integrität oder Verfügbarkeit
müssen identifiziert und bewertet werden.
Erhebung von IT-Systemen und ähnlichen
Objekten
Status (in Betrieb, im Test, in Planung)
Die Auswirkungen auf die Geschäftstätigkeit
müssen analysiert werden
Anwender bzw. Administratoren
Beispiel
Beispiel für Erhebung Anwendungen
Beispiel für Raumerfassung
Die Schadensauswirkungen sind begrenzt und
überschaubar
Die Schadensauswirkungen können beträchtlich
sein
Die Schadensauswirkungen können ein
existenziell bedrohliches, katastrophales Ausmaß
erreichen
Risikominderung durch adäquate
Sicherheitsmaßnahmen
Erfassung der Räume
"normal"
Sicherheitskonzept
"hoch"
Das Risiko, durch Sicherheitsvorfälle Schäden zu
erleiden, muss bewertet werden.
Erstellung eines Sicherheitskonzepts
Entwicklung einer Strategie zur Behandlung von
Risiken
Risikominderung durch Umstrukturierung der
Geschäftsprozesse
Risikoübertragung durch Outsourcing,
Versicherungen
Definition der Schutzbedarfskategorien
Risiken können akzeptiert werden
"sehr hoch"
Organisation
Verstoß gegen Gesetze, rechtliche Vorschriften,
Verträge etc.
Personal
Datensicherung
Beeinträchtigung des informationellen
Selbstbestimmungsrechts ("Datenschutz")
BSI-Standard 100-2
Datenschutz
Beeinträchtigung der persönlichen Unversehrtheit
Welche Schäden können entstehen?
Schutzbedarfsfeststellung
Auswahl von Sicherheitsmaßnahmen
Beeinträchtigung der Aufgabenerfüllung
Themenbereich, in denen Regelungen getroffen,
Richtlinien erstellt werden müssen etc
Virenschutz
Hard- und Software
negative Innen- und Außenwirkung
Verhalten bei Sicherheitsvorfällen!건ߐĀ‫ۨﻐ‬
Erstellung einer Sicherheitskonzeption nach ITGrundschutz
finanzielle Auswirkungen
Notfallvorsorge
Beispiel
Schutzbedarfsfeststellung für Anwendungen
Outsourcing
Beispiel
Schutzbedarfsfeststellung für IT-Systeme
Festlegung von Prioritäten
Beispiel
Schutzbedarfsfeststellung für Räume
Festlegung von Verantwortlichkeiten
Beispiel
Schutzbedarfsfeststellung für
Kommunikationsverbindungen
Umsetzung des Sicherheitskonzepts
Bereitstellung von Ressourcen
B 1: Übergreifende Aspekte
Umsetzungsplanung bzgl. einzelner Maßnahmen
B 2: Infrastruktur
B 3: IT-Systeme
Erfolgskontrolle und Verbesserung
Bausteinprinzip
Risikobewertung orientiert sich an
Schadensszenarien
B 4: Netze
"normaler Schutzbedarf"
B 5: Anwendungen
G 1: Höhere Gewalt
Das ISMS des BSI: IT-Grundschutz
Klassifizierung von Schäden: Definition von
Schutzbedarfskategorien
"hoher Schutzbedarf"
G 2: Organisatorische Mängel
"sehr hoher Schutzbedarf"
G 3: Menschliche Fehlhandlungen
Gefährdungskataloge
IT-Grundschutzkataloge
Risikobewertung
G 4: Technisches Versagen
Auswahl und Anpassung von Maßnahmen
G 5: Vorsätzliche Handlungen
M 1: Infrastruktur
M 2: Organisation
M 3: Personal
Maßnahmenkataloge
M 4: Hard- und Software
M 5: Kommunikation
M 6: Notfallvorsorge
Sehr komplex!
Modellierung durch Zuordnung der
Gefährdungen und Maßnahmen zu den jeweiligen
Bausteinen
Basis-Sicherheitscheck
Ergänzende Sicherheitsanalyse
Umsetzung der Sicherheitskonzeption
Aufrechterhaltung und kontinuierliche
Verbesserung der Informationssicherheit
Zertifizierung nach ISO 27001 auf Basis von ITGrundschutz
Die Schadensauswirkungen sind begrenzt und
überschaubar
Die Schadensauswirkungen können beträchtlich
sein
Die Schadensauswirkungen können ein
existenziell bedrohliches, katastrophales Ausmaß
erreichen

Download Report