ISIS12 UND DATENSCHUTZ –SYNERGIEN NUTZEN UND MEHRWERT SCHAFFEN

FELIX STRUVE

PROJEKTLEITER

BAYERISCHER IT-SICHERHEITSCLUSTER E.V.

DAS BAYERISCHE IT-SICHERHEITSCLUSTER

Gründung:

• 2006 als Netzwerk (Cluster) in Regensburg

• 2012 Eröffnung der Geschäftsstelle Augsburg

• 2013 Überführung in einen Verein (ca. 130 Mitglieder)

Mitglieder:

• Im Bayerischen IT-Sicherheitscluster haben sich Unternehmen der IT-Wirtschaft und

• Unternehmen, die Sicherheitstechnologien nutzen sowie

• Hochschulen, Weiterbildungseinrichtungen und

• Juristen zusammengeschlossen

ISIS12 – ISMS FÜR KMO

• ISIS12 = Informations-SIcherheitsmanagementSystem in 12 Schritten

• Entwickelt vom „Netzwerk Informationssicherheit für den Mittelstand“ (NIM) innerhalb des Bayerischen IT-Sicherheitsclusters e.V.

• Vorgehensmodell zur Einführung eines ISMS speziell für KMU / KMO (Kleine und Mittlere Organisationen)

• Verständlich beschriebener 12-stufiger Prozess (inkl. spezieller Software)

3

ISIS12 – ISMS FÜR KMO

• Informationssicherheit =IT-Security + Prozesse + Regelungen + Mitarbeiter

• Wie kann Informationssicherheit gewährleistet werden?

IS- Es wird ein Sicherheitsprozess initiiert (top down)- Technik und Organisation sind zu betrachten- Anpassung der Sicherheitsmaßnahmen / Prozesse (KVP)- PDCA (Plan-Do-Check-Act)

ISMS

4

AUSGANGSLAGE

5

WARUM INFORMATIONSSICHERHEIT UND

DATENSCHUTZ

IT-Sicherheitsgesetz (IT-SiG)

Risk Management z.B. KontraG

Datenschutz BDSG

Haftungsfragen

Regulierung / Corp. Governance

(z. B. SOX, Basel III)

Compliance (regulatorische z.B. BNetzA)

EU-Datenschutzgrundverordnung (EU-

DSGVO)

Rechtliche Vorgaben Eigeninteresse

Schutz von Informationen und Wissen

Schutz der Infrastrukturen

Image in der Öffentlichkeit

Cloud Thematik und Cloud-Lizenzmodelle

Chancen und auch Herausforderungen der

Digitalisierung

Attraktivität des Arbeitgebers

Moderne Arbeitsplatzgestaltungen

Gefährdungslage

Haftungsfragen

öffentliche Kunden

Zuverlässige Serviceleistungen

sichere Infrastrukturen

E-Business

Entwicklungspartnerschaft

Know-how Schutz

Cloud Thematik

Open-Government

Schutz der Kundendaten

Kundenanforderungen

6

WAS IST SCHON SICHER?

• Ein System kann nur gegen etwas gesichert sein

=> Bedrohungen und Schwachstellen identifizieren

• 100 % Sicherheit gibt es nicht!• Sicherheit vs. Freiheit

• Kosten vs. Nutzen

• Technische Sicherheit ist nicht gleich Sicherheit• Der menschliche Faktor ist oft das größte Risiko

=> Informationssicherheit als ganzheitliches Thema

7

GRUNDBEGRIFFE

8

Bedrohung (Threat)

Script KiddieWirtschafts-spionage

Schwachstelle (Vulnerability)

z.B.UngepatchteGeräteUninformierte Mitarbeiter

Asset

Daten: z.BPläneFinanzdatenMitarbeiterdaten

MUSS DAS SEIN?

Wenn wir alles umsetzen, dann kommen wir vor lauter Regelungen nicht mehr zum arbeiten…

9

INFORMATIONSSICHERHEIT TRIFFT

DATENSCHUTZ

10

INFORMATIONSSICHERHEIT TRIFFT

DATENSCHUTZ

11

2. INFORMATIONSSICHERHEIT TRIFFT

DATENSCHUTZ

• Die TOMs des BDSG (§9 Anlage BDSG) werden erwachsen

• Integration von Informationssicherheit und Datenschutz

• Grundwerte (ISIS12 und DS-GVO)

• Vertraulichkeit

• Integrität

• Verfügbarkeit

• Belastbarkeit (resilience)

• Sinnvolle Verknüpfung von IT-Security, Technik, Prozessen, Organisation und Recht

• Spiegelt sich auch in den aktuellen personellen Besetzungen der Datenschutz-Aufsichtsbehörden wieder

12

ISIS12 – ISMS FÜR KMO

• Was zeichnet ISIS12 aus?

• Verständlich beschriebener 12-stufiger Prozess, der den Einstieg ins ISMS erleichtert

• 12-stufiger Prozess als Workflow abgebildet

• ISMS wird mit IT-Service Management verknüpft

• Entwickelt für KMU, Kommunen und NGO (KMO)

• Spezifischer ISIS12-Maßnahmensatz wird vorgegeben (inkl. BDSG bzw. DS-GVO-Baustein)

13

3. ISIS12 – ISMS FÜR KMO

• Was ist ISIS12?

14

3. ISIS12 – ISMS FÜR KMO

15

ISIS12 – ISMS FÜR KMO

• Gibt es ISIS12 Software Unterstützung?

• ISIS12 Software: Programmiert von Harald Hornung im Auftrag des Bayerischen IT-Sicherheitscluster e.V. (https://isis12.it-sicherheitscluster.de/software/ )

• Dazu weitere Anbieter am Markt z.B.• DocSetMinder (GRC Partner GmbH)

• IRIS (ibi Systems GmbH)

16

ISIS12 – ISMS FÜR KMO

• Architektur

Initialisierungsphase Schritte 1-2

Aufbau- und Ablauforganisation

Schritte 3-5

Entwicklung und Umsetzung ISIS12

KonzeptSchritte 6-12

17

ISIS12 – ISMS FÜR KMO – SYNERGIEN

DATENSCHUTZ

18

SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

19

4. SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Baustein Datenschutz B 1.5 des ISIS12 Katalogs

• M 2.900 (D) Verantwortung der Leitungsebene

• M 2.901 (D) Datenschutzbeauftragter

• M 2.902 (D) Verzeichnis der Verarbeitungstätigkeiten

• M 2.903 (D) Datenschutzgerechte Technikgestaltung

• M 2.904 (D) Auftragsverarbeitung

• M 2.905 (D) Informationspflichten

• M 2.906 (D) Zusätzliche Informationen

• M 2.907 (D) Werbe Einwilligungserklärungen

• M 2.908 (D) Auskunftsrechte Betroffener

• M 2.909 (D) Datenportabilität

• M 2.910 (D) Rechtmäßigkeit der Verarbeitung

• M 2.911 (D) Datenschutzmanagementsystem

• M 2.912 (D) Sicherheit der Verarbeitung – Risikoanalyse

• M 2.913 (D) Datenschutz-Folgenabschätzung

• M 2.914 (D) Datenschutzverletzungen

20

SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Schritt 5 – IT Service Management-Prozesse

• IT Service-Management (ITSM) mit drei Basis Prozessen• Wartung

• Änderung

• Störungsbeseitigung

• Beschrieben als Prozess-Steckbriefe bzw. Prozess-Modellierung

• Jedem Prozess ist eine verantwortliche Person zugeordnet

21

Aufb

au u

nd A

bla

ufo

rganis

ation

SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Schritt 5 – IT Service Management-Prozesse

Zu diesen ISIS12 Prozessen können die Datenschutzprozesse

• Meldung Sicherheitsvorfall

• Auskünfte und Rechte Betroffener

ergänzt werden

22

Aufb

au u

nd A

bla

ufo

rganis

ation

SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Schritt 5 – IT Service Management-Prozesse

• Meldung von Sicherheitsvorfällen (Artt. 33, 34)

23

Aufb

au u

nd A

bla

ufo

rganis

ation

4. SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Schritt 5 – IT Service Management-Prozesse

24

Aufb

au u

nd A

bla

ufo

rganis

ation

• Betroffenenrechte (Artt. 15-21)

SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Schritt 6 – Kritische Anwendungen identifizieren

• Ermittlung durch Interviews mit dem einzelnen Fachabteilungen• Typische Frage: „Welche Programme sind für die Erledigung Ihrer Fachaufgabe

wesentlich? “• Interviews mit Abteilungsleitern sowie mit Mitarbeitern, die mit den operativen

Tätigkeiten vertraut sind

• Abgleich der Ergebnisse mit der IT-Abteilung• Abgleich auf Vollständigkeit• Bestimmung wichtiger IT-Services (Unterstützungsprozesse)

• Abgleich der Ergebnisse mit dem Datenschutzbeauftragten• Verzeichnis der Verarbeitungstätigkeiten ( Art. 30 DS-GVO)

25

Entw

icklu

ng u

nd U

msetz

ung

ISIS

12 K

onzept

SYNERGIE / KONVERGENZ: DS-GVO / ISIS12

• Schritt 6 – Kritische Anwendungen identifizieren

26

Entw

icklu

ng u

nd U

msetz

ung

ISIS

12 K

onzept

FAZIT

27

FAZIT

• FRAGE: IST DATENSCHUTZ/GDPR OHNE INFORMATIONSSICHERHEIT MACHBAR?

• ANTWORT:NICHT MACHBAR – NICHT SINNVOLL!

• Ist ISIS12 die richtige Wahl für Sie?• Testen Sie verschiedene Standards aus, es ist wie Schuhe kaufen.

28

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!

Kontakt:

Felix Struve

Bayerischer IT-Sicherheitscluster e.V.

Franz-Mayer-Str. 1

93053 Regensburg

Tel.: 0941/604 88 9 15

Mail: felix.struve@it-sec-cluster.de