View
213
Download
1
Category
Preview:
Citation preview
Informationssicherheitsleitlinie V2.1 – AEB GmbH 1
Informationssicherheits-
leitlinie
Dokumentversion: 2.1
Freigegeben am: 30.09.2013
Gültig ab: 14.10.2013
Gültig für: AEB Gesellschaft zur Entwicklung von Branchen-Software mbH
Vorname Nachname
Rolle in Bezug auf dieses Dokument
Unterschrift
Hauptverantwortlich Volkher Wegst Mitarbeiter QM Services
Mitverantwortliche Martin Setzler Leiter QM Services
Jochen Günzel Geschäftsführung
Informationssicherheitsleitlinie V2.1 – AEB GmbH 2
1 Leitlinie und Regeln zur Politik der Informationssicherheit
Die Informationssicherheitsleitlinie richtet sich an die von der Informationssicherheit Betroffenen und regelt das Management der Sicherheit.
Dieses Kapitel bedient aus der Norm der ISO 27001 den Regelungsbereich A.5.
1.1 Zweck und grundsätzlicher Anspruch
Diese Leitlinie will sich einigermaßen stabil erhalten; sie ist auch Bestandteil der Unternehmenskultur und ist Ausdruck und Willenserklärung des Managements. Sie umfasst Politikerklärungen als Obermenge zur Informationssicherheit (Rahmen zum Setzen von Zielen, Handlungsgrundsätze u.ä.). Eine wesentliche Orientierung bietet die ISO 27001, zu der wir seit Februar 2010 im Besitz eines Zertifikats sind.
Regeln ändern sich; wir leben in einer dynamischen Welt.
Security bedeutet zuerst Bewusstsein.
Security ist ein Anspruch, dessen Verwirklichung trainiert werden muss.
Daher verstehen wir Security als eine Verpflichtung, eine grundsätzliche Einstellung und einen Prozess der kontinuierlichen Verbesserung. Wir sind auf langfristige Beziehungen ausgerichtet.
1.2 Vorgaben und Anforderungen
1.2.1 Geschäftserfordernisse
Unsere Kunden stehen im Fokus unseres Qualitätsanspruchs; deren Vertrauen und Zufriedenheit mit den Lösungen der AEB hinsichtlich Unterstützung deren Geschäftsprozesse ist elementares Maß für den Erfolg.
Dabei sind wir aufgrund unserer Hosting-Lösungen auch angehalten, die Sicherheits- und Qualitäts-Ansprüche zu erfüllen, die sich z.B. aus gesetzlichen Anforderungen für unsere Kunden und deren Prozesse ergeben.
Die Einhaltung von Sicherheitsmaßstäben ist daher für die AEB in hohem Maße durch ihre Rolle und Aktivitäten als Dienstleister in ihrem Branchenumfeld gegeben. Der zunehmende Anspruch an Internationalisierung legt daher die Orientierung an international anerkannten Maßstäben nahe.
Die AEB nimmt dabei die Perspektive Sicherheit als zunehmend wichtiges Entscheidungskriterium im Markt wahr. Die Perspektive Sicherheit beschränkt sich dabei nicht allein auf die Beherrschung der Facette Technik, sondern berücksichtigt organisatorische Aufstellung und die Beachtung gesetzlicher Anforderungen gerade auch in unserem Umfeld unserer Produkte und Dienstleistungen, mit denen unsere Kunden täglich Geschäftsprozesse durchführen.
Informationssicherheitsleitlinie V2.1 – AEB GmbH 3
1.2.2 Gesetzliche Anforderungen
Mit Kurzbeschreibung in Stichworten
KonTraG (Maßgabe, ein Überwachungssystem einzurichten; Früherkennung; Aussagen über Risikostruktur; Nachweis der Nachvollziehbarkeit über die Funktion eines Kontrollsystems)
GDPdU, GOBS (Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung von Informationen, insbesondere zu rechnungsrelevanten Daten zur Buchführung und Steuerprüfung; Forderung zur Einrichtung eines internen Kontrollsystems)
BDSG (Bereitstellung eines Sicherheitskonzepts nach §9 – techn. und organisatorische Maßnahmen; Sorgfalt hinsichtlich Persönlichkeitsrechten Betroffener, Datensparsamkeit, Vertraulichkeit)
Basel II (indirekt über Vorgaben an Banken als Kreditgeber)
1.2.3 Vertragliche Anforderungen
Im Rahmen von Service Level Agreements (SLA) mit Kunden vereinbaren wir Qualitätsziele und deren Einhaltung mit quantitativen Angaben (u.a. Reaktionszeiten, Verfügbarkeiten).
Das BDSG gibt uns Vorschriften vor, die uns im Umgang mit unseren Kunden, Partnern und Subunternehmern zu besonderen Sorgfaltsplichten anleiten (s. Auftragsdatenverarbeitung nach §11 BDSG). Ein Datenschutzbeauftragter ist bestellt.
Abschluss von Vertraulichkeitserklärungen mit Geschäftspartnern (Kunden, Partner, Subunternehmer)
1.2.4 Sonstige regulative Anforderungen
Alle Mitarbeiter der Organisation sind zur Einhaltung obiger Erfordernisse und Anforderungen aufgerufen und verpflichtet. Generell ist jeder Mitarbeiter verantwortlich, zur Qualitätssicherung aktiv beizutragen.
Das Bewusstsein, die Wachsamkeit und die tatsächliche Wahrnehmung von qualitätssichernden Maßnahmen sowie das Training von Notfall-Management werden
im Rahmen von Pflicht-Bausteinen der AEB geschult,
in Meetings des IT-Security-Boards kontinuierlich überwacht
und regelmäßig im Rahmen von internen Audits geprüft
Zur Erfüllung der Nachhaltigkeit (wirksame Sicherstellung des ISMS):
ist ein PDCA-Zyklus aufgesetzt, aus dem auch Verantwortlichkeiten und Spielregeln hervorgehen
sind alle Mitarbeiter aufgerufen, das IT-Security-Board einzuschalten, wenn sich Änderungen im Umfeld ergeben, die Auswirkungen auf sicherheitsrelevante Aspekte haben
Orientierung an der ISO 27001 und unseren Spielregeln unseres ISMS (Informationssicherheitsmanagementsystem)
Informationssicherheitsleitlinie V2.1 – AEB GmbH 4
1.3 Leitsätze zur Sicherheitsstrategie
Unsere maßgeblichen Sicherheitskriterien sind Verfügbarkeit, Vertraulichkeit und Integrität.
Verfügbarkeit betrifft dabei nicht nur technische Aspekte der Erreichbarkeit unserer IT-Lösungen, sondern auch organisatorische Verfügbarkeit von Ansprechpartnern wie etwa für Support-Zwecke mit unseren Kunden. Diesbezügliche Vereinbarungen werden im Rahmen von Standard-Verträgen oder gesondert in SLAs getroffen.
Vertraulichkeit betrifft nicht nur technische Belange wie etwa Zugriffsbeschränkungen entsprechend der Aufgabengebiete, sondern die Klarstellung und verpflichtende Vereinbarung von Befugnissen unserer Mitarbeiter im Umgang mit Daten insbesondere unserer Geschäftspartner.
Integrität fordert insbesondere klare Prozesse in der Informationsverarbeitung.
In Anlehnung an COSO wurde ein Internes Kontrollsystem (IKS) eingerichtet, um grundlegende Strategien und Prinzipien zu verankern wie:
Anforderung nach Funktionstrennung
4-Augen-Prinzip für kritische Aktivitäten (Freigabe von Patches, Guides, Verträgen, Vergabe von Benutzerrechten….)
Prinzip der Transparenz (Dokumentationspflichten)
Regelungen zur Vertraulichkeit (u.a. Need-to-know-Prinzip)
Einsatz von Risikomanagement (ISMS)
Grundsätzlich wollen wir als Sicherheitsstrategie das Prinzip des outer perimeter defense verfolgen. Die zu verteidigende Grenzlinie orientiert sich an dem jeweilig gewählten Anwendungsbereich. Diese Sicherheitsstrategie betrachten wir in der Phase der Risikobewertung.
Für den Prozess der Risiko-Analyse wollen wir jedoch den Modell-Mix der ‚Sicherheit von innen nach außen’ bzw. ‚Sicherheit durch Eigentümerschaft’ befolgen. Grundsätzlich ist jede festgestellte (signifikante) Information ein schützenswertes Gut. Wir gehen daher den Weg der analytischen Vorgehensweise mit folgenden Charakteristiken:
Inventarisierung der Informationen zum Anwendungsbereich (einschließlich tangierender Bereiche)
Klare Zuordnung von Verantwortlichen zur Information; „Stellt man fest, dass für einen Informationswert keine Verantwortlichkeit festgelegt ist, so ist dies umgehend nachzuholen.“ [1]
Risikobetrachtung und Schutzmaßnahmen werden möglichst nahe zur Information entwickelt und in Einklang mit den Vorgaben dieser Policy gebracht.
Kann dem Schutzbedürfnis einer Information durch Maßnahmen auf einer höheren Modellierungsebene wirkungsvoll Genüge getan werden, so haben diese Vorrang.
Aus diesem Grunde ist die Inventarisierung so zu modellieren, dass der Betrieb des ISMS mit Sicherheitsmaßnahmen angemessen erfolgen kann.
Das ISMS soll dabei zu größerer Handlungssicherheit verhelfen und auch den Prozess der Beschäftigung mit Risiken effizienter gestalten (Recherchen vertiefen oder Risiko akzeptieren).
Das ISMS soll dabei geeignet sein, die Sicherheitsziele zu erreichen und auch für die Perspektive Sicherheit Grundlage für ein verbindliches Wertesystem sein.
Das Verhältnis von Aufwand und Risikoreduktion soll für den entsprechenden Schutzbedarf des Anwendungsbereichs angemessen sein; entsprechend ist ein strategisches Risikomanagement installiert, das Maßnahmen an den Leitlinien ausrichtet und mit ihnen konform hält.
„Ein ISMS verlangt weniger die Konstruktion einer uneinnehmbaren Festung als vielmehr die ständige Wachsamkeit, Risiken zu erkennen, mit angemessenem Aufwand auf die wichtigsten Bedrohungen zu reagieren und bislang übersehene Schwachstellen zumindest zu entschärfen.“ [1]
Informationssicherheitsleitlinie V2.1 – AEB GmbH 5
Das ISMS soll flexibel genug sein, sich ändernden Rahmenbedingungen oder Zielen anzupassen. Für die Nachhaltigkeit sorgt der kontinuierliche Betrieb.
Wir versprechen uns vom Betrieb des ISMS eine erhöhte Motivation der Mitarbeiter durch Er-kennen der Bedeutung schützenswerter Informationen (=assets) für unsere Organisation, für interne und bereichsübergreifende Abläufe. Analog zur Perspektive Qualität wird der Mitarbeiter u.a. durch Schulungsmaßnahmen gezielt sensibilisiert und zur Mitverantwortung einbezogen.
Das Management ist stark eingebunden durch
Entwickeln und Freigabe dieser Leitlinie
Durchführung von regelmäßigen Managementbewertungen
Festlegung von Grenzwerten für tolerierbare Risiken (Vorgaben)
Verantwortung/Akzeptanz zu ausgewiesenen Restrisiken
Vermittlung des Gedankenguts und der Bedeutung dieser Leitlinie
Bereitstellung von Ressourcen
Organisation von Security-Kampagnen, Notfall-Übungen u.ä.
Das Management ist insbesondere aufgerufen, da es besondere Verantwortung zur Behebung von Mängeln im organisatorischen Bereich (ungeregelte Verantwortlichkeiten, ungeeignete Prozesse oder unzureichende Ressourcen) hat. Entscheidungen und Begründungen zu Maßnahmen sind als Ausdruck unserer ISMS-Politik rückverfolgbar darzustellen; dies impliziert eine Protokollierung.
Wichtig sind uns auch intensive Bemühungen zur Problemvermeidung, z.B. durch
Diverse regelmäßige Kontrollen und interne und externe Audits. Um unsere Sicherheit zu prüfen, lassen wir uns regelmäßig intern und extern gezielt angreifen. Die Durchführung dieser Penetrationstests haben wir an einen externen Dienstleister beauftragt.
Prinzip der Früherkennung (Monitoring und Alerting der Systeme)
Nachbetrachtungen, Ursachen-Analysen bei aufgetretenen Emergencies
Betrieb eines Notfall-Konzepts und einer Emergency-Organisation
Durchführung von Notfall-Übungen (anhand simulierter Szenarien)
Reges wach halten der Security Awareness (Intranet, Schulungen u.ä.)
1.4 Sicherheit – Die wichtigsten Regeln
Die AEB legt sich mit dem Security Guide verbindliche Regeln auf, die von der Belegschaft getragen und beachtet werden. Hier nur einige Auszüge der wichtigsten Regeln als Überschriften:
Für Sicherheit ist jeder MA mitverantwortlich; Security-Vorfälle werden über ein zentrales Werkzeug administriert.
Regelungen zu Clean Desk; Sicherheit am Arbeitsplatz (u.a. Virenschutz)
Sicherstellung der Sorgfaltspflichten durch Geheimhaltungserklärung
Umgang mit Accounts und Passwörtern
Umgang mit Daten außer Haus bzw. außerhalb EU/EWR-Raum
Beachtung des Datenschutzes (intern und extern)
Regelmäßige Teilnahme an Schulungsmaßnahmen (rund um Security Awareness)
Umgang mit Personal
Sicherstellung zu Abschlüssen von Vertraulichkeitserklärungen mit unseren Geschäftspartnern bei Bedarf
Informationssicherheitsleitlinie V2.1 – AEB GmbH 6
2 Organisationsstruktur
Dieses Kapitel bedient aus der Norm der ISO 27001 den Regelungsbereich A.6. Dabei geht es um die Handhabung der Informationssicherheit innerhalb und außerhalb der Organisation.
2.1 Rollen, Verantwortlichkeiten und Ressourcen
Die Zustimmung des Managements zur ISMS-Leitlinie bedeutet auch die grundsätzliche Zustimmung des Managements dazu, welche identifizierten Risiken getragen werden.
Die Informationssicherheit wird bei der AEB in dem IS-Board aus verschiedenen Rollen wahrgenommen. In der Regel wollen wir mit Rollen arbeiten; die aktuellen Instanzen können der Organisationsstruktur gemäß gültigen Organisationsdokumentation entnommen werden.
Es gibt einen benannten Verantwortlichen des Managements für IT-Sicherheit (IT-Security Manager). In enger Abstimmung ist ein ISMS Manager für den Betrieb des ISMS verantwortlich.
Unsere Rollen rund um Sicherheit sind:
Rolle Funktion, Verantwortung Mitglied in Kommentar
Geschäftsleitung Freigabe dieser Richtlinien
Freigabe der Organisation zum ISMS
Durchführung Managementbewertung; Freigabe der Erklärung der Anwendbarkeit
Freigabe von Ressourcen und Mittel
Entscheidung über die Kriterien zur Akzeptanz von Risiken
IS-Board Höchste Instanz der Verantwortung
Leitung ISB (Sicherheits-management)
bestehend aus IT-Security Manager und ISMS Manager
Leitung dieses Boards
Controlling des ISMS gemäß unserer Vorgaben, insbesondere auch der Einhaltung regelmäßiger Aktivitäten
Veranlassung interner Audits
Kontrolle der Arbeit am Risikobehandlungsplan
Beurteilung Wirksamkeit der Maßnahmen
Erklärung der Anwendbarkeit erstellen
Dokumentation von Management-Änderungen
Sicherstellung Dokumentenlenkung
Reporting Incidents zu Sicherheitsvorfällen
Bausteine zu Sicherheitstraining und ISMS-Bewusstsein anbieten
Sicherheits-Checks veranlassen und überwachen
IS-Board, AK Security
in Gang bringen und halten des PDCA-Zyklus zum Betrieb des ISMS.
Auch Teilnehmer in Gremium und AK.
Informationssicherheitsleitlinie V2.1 – AEB GmbH 7
Rolle Funktion, Verantwortung Mitglied in Kommentar
Domänen-Sicherheitsbeauftragte
Die Domänen-Sicherheitsbeauftragten sind für die Durchsetzung der relevanten Sicherheitsvorgaben in ihrer Domäne verantwortlich.
Diese sind in der ihnen zugeordneten Domäne" verantwortlich für die Durchführung der Risikobetrachtung, einschließlich Risikobehandlung. Dazu beziehen sie für diesen Prozess bei Bedarf die jeweiligen Eigentümer der assets mit ein.
Sie sind entsprechend u.a. für den Betrieb des ISMS geschult und eingearbeitet.
IS-Board Vorzugsweise wird diese Rolle von Qualitätsmanagern übernommen
Leitung Systemmanagement
z.B. Infrastruktur
Näheres s. Orga-Guide
AK Security Nur fallweise hinzugezogen
Operations Betrieb des Rechenzentrums
Verantwortung zu BCM, Durchführung Risikobehandlung
AK Security Näheres in Service-Guide definiert.
Jeder im Board Wahrung der Kontakte zu Behörden und zu sicherheitsrelevanten Interessengruppen
IS-Board Gemäß A.6.1.6, A.6.1.7
SLA Manager Mitsprache bei Festlegung der tolerierten Risiken für Kunden-Installationen
Ist mit der Kenntnis der bestehenden SLAs und damit der vereinbarten Ansprüche der Kunden ausgestattet
AK Security Nur fallweise hinzugezogen
Datenschutzbeauftragter (DSB)
Hinwirken auf die Einhaltung des Datenschutzgesetzes (BDSG)
AK Security Nur fallweise hinzugezogen
Compliance Officer Rechtskonformität
Monitoring auch von Änderungen von relevanten gesetzlichen Vorgaben
IS-Board A.15
2.1.1 Domänen-Sicherheitsbeauftragte, Eigentümer und Verantwortung
Den Betrieb des ISMS wollen wir organisatorisch schlank halten. Personell steht daher die Rolle des Qualitätsmanagers (QM) auch für die Informationssicherheit in der Verantwortung.
Für nachfolgend gelistete Domänen, die in direktem Zusammenhang mit unseren Haupt-Geschäftsprozessen stehen, konnten die so genannten Regelungsbereiche der ISO-Norm zugeordnet und die Rolle des Domänen-Sicherheitsbeauftragten eingerichtet werden.
Die Domänen-Sicherheitsbeauftragten sind in ihrer Domäne verantwortlich für die Durchführung der Risikobetrachtung. Dazu beziehen sie für diesen Prozess die jeweiligen Eigentümer der assets mit ein.
Details und Detail-Zuordnungen regelt das ISMS-Dokument „Erklärung zur Anwendbarkeit“. Dort wird für jede Zeile (Regelungsbereich – Sicherheitskategorie – Maßnahmenziel) ein Verantwortlicher zugeordnet (dort Spalte Abschnitt). Die Domänen-Sicherheitsbeauftragten berücksichtigen daher regelmäßig diese Dokumentation für ihren Wirkungsbereich zu ihrer Zuständigkeit und Verwirklichung des Maßnahmenziels.
Informationssicherheitsleitlinie V2.1 – AEB GmbH 8
Nr. Domäne Regelungsbereich
A.x
Domänen-Sicherheitsbeauftragter
1 Verwaltung mit
Subdomäne Personal
Subdomäne Recht und Gesetz, Compliance, Datenschutz
8
13-15
Entsprechender Qualitätsmanager
2 Infrastruktur mit
Subdomäne Systemmanagement
Subdomäne Haustechnik
9-14
n.A.
Entsprechender Qualitätsmanager
3 Services mit
Subdomäne Operations (Betrieb, Kommunikation)
Sudomäne Support (Incident Management)
10-12
13
Entsprechender Qualitätsmanager
4 Produkte / Technik zur Anwendung 12 Entsprechender Qualitätsmanager
5 Lösungen (früher Kundenprojekte) n.A. Entsprechender Qualitätsmanager
6 Vertrieb/Vermarktung n.A. Entsprechender Qualitätsmanager
2.2 Regelmäßige Aktivitäten
Das Einrichten und Führen eines ISMS bedeutet die regelmäßige Durchführung gemäß eines PDCA-Zyklus; hierzu gehören mindestens folgende zu dokumentierende Aktivitäten:
Schulungen zur Aus- und Weiterbildung werden in der AEB als „Bausteine“ bezeichnet. Pflichtbausteine gehören zur Grundausbildung (GA) und müssen von jedem neuen Mitarbeiter besucht werden. Als Pflichtbausteine eingestuft sind z.B. aufgrund ihres hohen Stellenwerts Schulungen zur Sicherheit (Arbeitsschutz, Datenschutz, Datensicherheit, ISMS). Nähere Informationen findet man im Wiki in der Kategorie Weiterbildung: http://wiki/mwiki/index.php/Kategorie:Weiterbildung.
Durchführung interner Audits (gemäß unserer Vorgaben); 1 x / Jahr
Managementbewertungen (des ISMS); mindestens 1 x / Jahr
Wiederholung der Risikoeinschätzung; mindestens 1 x / Jahr
Pflege des Risikobehandlungsplans
Pflege der Korrektur- und Vorbeugemaßnahmen
Erklärung zur Anwendbarkeit (Überprüfung auf Aktualität)
Die Audits – auch die internen - werden protokolliert; die Protokolle werden abgelegt in H:\GruppeBelz\Security\ISO_27001\ISMS_Betrieb\Audits.
„Aktivitäten und Ereignisse, die einen Einfluss auf die Wirksamkeit oder Leistungsfähigkeit eines ISMS haben oder darüber Aufschluss geben können, müssen aufgezeichnet werden.“[1]
2.3 Umgang mit Änderungen von Vorgaben
Änderungen an der IT-Landschaft, den Geschäftsprozessen oder Bedrohungen oder deren Einschätzung müssen zur Neubetrachtung der ISMS-Politik führen. Neben der Verankerung einer aktiven Bringschuld sind regelmäßige Termine und Verpflichtung zur aktiven Einberufung solcher Betrachtungen vorgesehen.
Informationssicherheitsleitlinie V2.1 – AEB GmbH 9
Änderungen von Regelungen und gesetzlichen Vorgaben
In besonderer Bringschuld stehen hier unsere Rollen Compliance Officer, Datenschutzbeauftragter und das Team Recht.
Generell gilt zusätzlich:
Sollten gesetzliche Anforderungen auf anderen Wegen (z.B. IHK Bekanntmachungen oder Informationsrecherchen) einem Mitarbeiter bekannt werden, so sind diese als Servicefälle an Recht oder AK Security in den Regelprozess zu bringen. Bei Bedarf werden diese Fälle im IS-Board weiter erörtert.
Auch durch externe Vorgaben veranlasste Änderungen werden im Dokument über Korrektur- und Vorbeugemaßnahmen festgehalten.
2.4 Administration
Zur Pflege des ISMS und Wahrung aller zugehörigen Aktivitäten werden Aufgaben und Mittel (Aufwände) als Projekte im Tool ASSIST4CRM verwaltet.
Diese Projekte haben folgende Charakteristik
jeweils eine Laufzeit von 1 Jahr.
Sie weisen Rollen aus; zumindest immer Projektleiter, -manager, weitere Rollen des IS-Board
Veranschlagter Aufwand
Die benötigten Mittel werden regelmäßig ermittelt und bereitgestellt.
Als Orientierung wollen wir uns vorgeben, uns an unserem Umsatz mit 1% auszurichten.
Diese (Informationssicherheits-)Leitlinie ist als Auszug im unternehmenseigenen WIKI veröffentlicht, per NEWS vermittelt und den Teilnehmern des IS-Boards direkt zugestellt worden.
Sie ist relevante Pflichtlektüre für alle Mitarbeiter der AEB GmbH.
Zur regelmäßigen Prüfung dieser Leitlinie dienen
Die internen (regelmäßigen) Audits
Ereignisse, die das Anwendungssystem oder relevante Randbedingungen verändern.
2.5 Weitere Dokumente zur Sicherheit
Folgende weitere Dokumente regeln und vereinbaren Sicherheit in unserem Unternehmen:
ISMS Guide
als direkte Fortführung dieser Informationssicherheitsleitlinie
mit der Darstellung der Umsetzungen zum Risikomanagement
Security Guide
Fokus ist hier das konkrete Umsetzen und Erleben des Mitarbeiters im Tagesgeschäft
Zielgruppe sind hier alle Mitarbeiter
Weitere Dokumente zu Business Continuity Management (z.B. Emergency Guide)
Informationssicherheitsleitlinie V2.1 – AEB GmbH 10
3 Anwendungsbereich zur ISO 27001 - Verfahren und Prozesse
Der Anwendungsbereich ist das AEB-Kunden-Rechenzentrum in der Colocation / Stuttgart.
Örtlichkeit: Stuttgart-Vaihingen, Breitwiesenstraße
System: Gehostete Systeme (Betrieb und Services) für unsere Kunden; sie reichen über alle unsere Anwendungen der Produktserien ASSIST4, ||XPRESS, Engines, ATC.
Schnittstellen: Dies sind Zugangssysteme für remote-Zugriffe (CITRIX-Server, WebServer für Internet-Anbindungen …), Verbindungen z.B. zum Zoll. Angrenzende Systeme sind dabei
Service/Support: Prozess Changemanagement
Produkte/Kundenprojekte: Prozess Releasemanagement
Begründung für die Auswahl
Start der Zertifizierungsbestrebungen mit Konzentration auf einen Kern (ISO erlaubt und ermöglicht modulares Vorgehen)
Der Schutzbedarf zu Betrieb Rechenzentrum ist hoch
Das Kunden-Rechenzentrum nimmt einen bedeutenden Anteil unseres Business ein
wir wählen daher bewusst einen großen und bedeutsamen Anwendungsbereich als „Piloten“ aus
auch ist uns bewusst, dass diese Konzentration nur einen Beginn darstellt
Eine ausführliche Auflistung der Werte (im Zuge der Inventarisierung) und Risiken erfolgt in einem eigens hierfür vorgesehenen Werkzeug (RiscTool) zur Erfassung und Pflege für die Regelungsbereiche A.8 ff.
Übersicht über grundsätzliche Werte und typische Risiken
Information (Wert) Risiko
Wertetyp Information
Kundendaten, Systemdaten Verlust, unerlaubter Zugriff
Verträge Verlust oder Veränderung; unerlaubte Einsichtnahme
Verfahrensanleitungen (Guides, Checklisten, Prozessbeschreibungen)
Verlust oder Veränderung; unerlaubte Einsichtnahme
Systemdokumentationen Verlust oder Veränderung; unerlaubte Einsichtnahme
Wertetyp physische Werte
Gebäude, Räume Unerlaubter Zugang
Hardware im RZ Verlust; unerlaubter Zugang und Zugriff
Kommunikationsperipherie Penetration
Arbeitsplatz-Clients Verlust; unerlaubter Zugriff
Sicherheitsbereiche Rechte und Pflichten unangemessen, unkontrolliert
Datenträger Verlust; unerlaubter Zugang und Zugriff
Wertetyp Software
Unsere Produkte/Anwendungen Fehlende Konformität zu gesetzlichen Vorgaben
Sicherheitssoftware Unzuverlässigkeit
Tools zu Wartung und Monitoring Unzuverlässigkeit
Informationssicherheitsleitlinie V2.1 – AEB GmbH 11
Information (Wert) Risiko
Entwicklungswerkzeuge Abhängigkeit Fremdhersteller; Lizenzen
Wertetyp Dienstleistung
Dienstleistungen zur Einhaltung von SLAs
Mangelhafte Kontrolle
Datensicherung Mangelhafte Kontrolle
RZ-Services (Telekom für Strom, Klima, Heizung)
Qualität der Verträge bzw. Disziplin
Wertetyp Personal
Kompetenzen (Wissen, Fähigkeiten, Erfahrungen, Autorität)
Einstellungsprozess, ungeeignete Ausbildung
Externe Dienstleister (z.B. ITENOS, Penetrationstester)
Grad des Einsatzes und der Durchsetzung von Sicherheitsvorkehrungen
Aus- und Weiterbildungsprogramm Mangelnder Invest; mangelnde Verbindlichkeit
Wertetyp Übergeordnetes
Image, Reputation, Ansehen Ereignisse, die zu schwerwiegendem Vertrauensverlust bei unseren Kunden führen
Gesetzestreue, Compliance (z.B. BDSG)
Fehlende Ressourcen, Kapazitäten, mangelnde Verbindlichkeit und Kontrolle
Schwachstellenmanagement Fehlende Ressourcen, Kapazitäten
Kontakt
Bei Fragen zur IT-Sicherheitsleitlinie wenden Sie sich bitte an: AEB Gesellschaft zur Entwicklung von Branchen-Software mbH
Julius-Hölder-Straße 39 D-70597 Stuttgart
Tel. +49/711/7 28 42-300 Fax +49/711/7 28 42-333 E-Mail: info@aeb.de
Handelsregister Stuttgart, HRB 84 31 Ust-ID-Nr.: DE 22 55 69 444
Geschäftsführer Jochen Günzel, Markus Meißner Verantwortlicher i.S.d. § 55 RStV: Jochen Günzel, Markus Meißner
Die Informationen in diesem Dokument sind Eigentum der Firma AEB GmbH und dürfen ohne Zustimmung nicht kopiert oder an Dritte weitergegeben werden.
AEB GmbH versichert, soweit dies möglich ist, dass alle in diesem Dokument enthaltenen Informationen korrekt sind, übernimmt aufgrund der ständigen Weiterentwicklung der IT-Sicherheit aber keine Garantie auf Vollständigkeit. Bitte beachten Sie die aktuelle Version.
Dieses Dokument dient als Informationssicherheitsleitlinie der Firma AEB GmbH und beinhaltet den Stellenwert der Informationssicherheit, die IT-Sicherheitsziele und die Kernelemente der Sicherheitsstrategie der AEB GmbH.
© Copyright AEB Gesellschaft zur Entwicklung von Branchen-Software mbH
Alle Rechte vorbehalten.
Recommended