Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1www.it-tuv.com © TÜV AUSTRIA
xx
TÜV Trust IT-
Wirksame Informationssicherheit
2www.it-tuv.com © TÜV AUSTRIA
xx
TÜV AUSTRIA
TÜV TRUST IT
Rund um die ISO 27001
Nutzen der ISO 27001
Brückenschlag ISO 27001 - IEC62443
TISAX
NIS – G
ISO 27701 – Datenschutzmanagement Systeme
Pen Tests - Technische IT Security
Inhalt
3www.it-tuv.com © TÜV AUSTRIA
xx
IT Securitywww.it-tuv.com
TÜV AUSTRIA
4www.it-tuv.com © TÜV AUSTRIA
xx
Management der Informationssicherheit
ISO27001
ISO27701
IEC62443
TISAX
NIS - G
IT Risikomanagement
IT-Revision
Technische IT-Security
Pentests (IT und OT)
Netzwerkanalysen
Cloud / Mobile / IoT Security
Datenschutz / IT-Compliance
DSMS nach ISO27701
Zertifizierungen
Schulungen/Personalqualifizierungen
TÜV Trust IT : Informations- und CyberSecurity
5www.it-tuv.com © TÜV AUSTRIA
Rund um die ISO 27001
6www.it-tuv.com © TÜV AUSTRIA
Reduktion der Risiken und Haftung der Geschäftsführung
Unterstützung Einhaltung rechtlicher, vertraglicher und regulatorischer Maßnahmen
Basel II
Anforderungen von Kunden / Eigentümern / Wirtschaftsprüfern
NIS – G
TISAX
DSGVO
Verankerung kontinuierlicher Informations- und Datensicherheit
Schutz interner Werte und Wertschöpfungsketten
Schutz vertraulicher Daten vor Missbrauch, Verlust und Offenlegung
Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren
Optimierung von Prozess- und IT - Kosten
Steigerung der Wettbewerbsfähigkeit und des Images
Nutzen rund um die ISO 27001 im Unternehmen
7www.it-tuv.com © TÜV AUSTRIA
Rund um die ISO 27001
8www.it-tuv.com © TÜV AUSTRIA
ISO27001 – IEC62443 - Brückenschlag
Bewertung
Prozesse
Implementierung
Produkt System Prozess Umgebung
Informationssicherheits Managementsysteme ISMS
PAAG / HAZOP Verfahren
ISO 27001 „Anforderungen an ein ISMS“
IEC 62443 Teil 2-1“Establishing an industrial automation and control system security program”
IEC 62443 Teil 3-2“Security risk assessment and system design”
IEC 62443 Teil 3-3“System security requirements and security levels”
9www.it-tuv.com © TÜV AUSTRIA
Rund um die ISO 27001
10www.it-tuv.com © TÜV AUSTRIA
TISAX (Trusted Information Security Assessment Exchange)
Von Automobilindustrie definierter Standard (VDA)
In Anlehnung an ISO27001/2013
Seit 2017 von deutschen Automobilherstellern für ihre Geschäftspartner verlangt
Stellt verantwortungsvollen Umgang mit vertraulichen Daten sicher
Spezieller Fokus auf Prototypenschutz und sichere Datenübertragung
Standortbezogen
4 Kriterienkataloge
Informationssicherheit
Anbindung Dritter
Prototypenschutz
Datenschutz (GDPR)
TISAX
11www.it-tuv.com © TÜV AUSTRIA
Rund um die ISO 27001
12www.it-tuv.com © TÜV AUSTRIA
xx
Seit 29. Dezember 2018 in KraftNIS-G schreibt vor:
– Treffen von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen von Betreibern wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen der öffentlichen Verwaltung.
– Dabei müssen diese geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen, die den Stand der Technik berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen sind.
Anforderungen der NIS – G kommen aus ISO 27001Mapping in Anlehnung an ISO27001 Anforderungen durchgeführtNIS – G Kompatibilität
– Stückweise über 3 Jahre nachzuweisen
– Nachweispflicht mit vorgegebenem Format
TÜV hat Akkreditierung als QaS beantragt
Netz und Informations-Sicherheits-Gesetz
13www.it-tuv.com © TÜV AUSTRIA
Rund um die ISO 27001
14www.it-tuv.com © TÜV AUSTRIA
xx
Prozesse in Anlehnung an die ISO 27001
Integration in ein ISMS
Inhalte– Datenschutzorganisation
– Datenschutzrichtlinien
– Datenschutzkultur
– Rollen, Verantwortlichkeiten
– Risikomanagement
– Schulungskonzepte
– Interne Audits
Zertifizierung nur für ISO 27001 zertifizierte Unternehmen möglich
TÜV eigenes Zertifikat derzeit verfügbar
ISO 27701 - Datenschutzmanagement
15www.it-tuv.com © TÜV AUSTRIA
Rund um die ISO 27001
16www.it-tuv.com © TÜV AUSTRIA
xx
Penetration Tests bei IT und OT
Analog BSI Methodik
Black-, Grey- und Whitebox Testing
Netzwerkanalysen
Source Code Review
Forensische Analysen von kompromittierten Systemen
IOT Security Lab für Komponenten, Endgeräte und Systeme
Application Check – TÜV Trusted Apps
Pen Tests - Technische IT-Security
Black Box-Test
Es werden vor der Überprüfung nur minimale Informationen über den Testgegenstand zur Verfügung gestellt.
Grey Box-Test
Bei dieser Testvariante werden ausführliche Informationen über das Zielsystem zur Verfügung gestellt. Damit ist eine effizientere Durchführung möglich. Werden beispielsweise Anmeldeinformationen von Testkonten bereitgestellt, so ist eine tiefergehende Analyse möglich und es erfolgt eine genauere Testtiefe des Systems.
Discovery via Open-Source Intelligence (OSINT)
Zweck dieser Überprüfung ist die Identifizierung und Auswertung öffentlich verfügbarer Informationen von extern erreichbaren Systemen. Dadurch sind beispielsweise erreichbare Server oder öffentlich verfügbare Informationen identifizierbar, welche nicht zugänglich sein sollten.
17www.it-tuv.com © TÜV AUSTRIA
Referenzen
18www.it-tuv.com © TÜV AUSTRIA
20.09.2019
TÜ
V A
US
TR
IA G
RU
PP
E Kontakt:DI Alexander ZeppelzauerMail: [email protected]: +43 664 60454 6276