ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische ... · PDF fileISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30

ISO/IEC 27001 - Aktuelles zur IT-Sicherheit

Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft . 1010 Wien

Seite 2 ISO/IEC 27001 - Aktuelles zur IT Sicherheit

Überblick

§  Norm – Anhang A normativ §  Haftung §  Praxis §  Tools §  Zusammenfassung



IT-Zivilingenieure nach Ziviltechnikergesetz

§  Beraten §  Planen §  Prüfen §  Treuhandschaften – „Technischer Notar“ §  Urkundsfähigkeit - Zertifizierung nach ZTG §4 Abs. 3

§  Abgrenzung zum Gewerbe §  keine ausführenden Tätigkeiten §  keine Störungsbehebung aber z.B. Störungsanalyse §  kein Vertrieb von Software und Hardware, daher §  kein Interessenskonflikt mit gewerblichen Unternehmen


ISO 27001 INFORMATIONSTECHNOLOGIE - SICHERHEITSTECHNIK INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEME

1Norm


Die ISO-27001-Norm

Informationstechnologie - Sicherheitstechnik Informationssicherheits-Managementsysteme – Anforderungen

spezifiziert die Anforderungen für §  Herstellung, Einführung, Betrieb, §  Überwachung, Wartung und §  Verbesserung eines dokumentierten Informationssicherheits-

Managementsystems unter §  Berücksichtigung der IT-Risiken innerhalb der gesamten

Organisation


ISO-27001-Norm

Informations-

Technologie

Sicherheits-

Technik

IS-Management


ISO-27001-Norm - Praxis

Informations-

Technologie

Sicherheits-Technik IS-Management

IS-Management


Aufbau der ISO-27001 0. Einleitung 1.  Anwendungsbereich 2.  Normative Verweisungen 3.  Begriffe 4.  Informationssicherheits-Managementsystem 5.  Verantwortung des Managements 6.  Interne ISMS-Audits 7.  Management-Überprüfung des ISMS 8.  Verbesserung des ISMS 9.  Anhang A (normativ*) Maßnahmenziele und Maßnahmen * Normativbestimmungen im Gesellschaftsrecht sind gesetzliche Vorschriften


2

PRAKTISCHE BEISPIELE

Praxis


Technischer Teil

Anhang A (normativ)


Anhang A (normativ) Maßnahmenziele und Maßnahmen

§  A.5 Sicherheitspolitik (2) §  A.6 Organisation der Informationssicherheit intern/extern (11) §  A.7 Management von Vermögenswerten (5) §  A.8 Personelle Sicherheit (9) §  A.9 Physische und umgebungsbezogene Sicherheit (13) §  A.10 Management der Kommunikation und des Betriebes (32) §  A.11 Zugriffskontrolle (25) §  A.12 Beschaffung, Entwicklung und Wartung von IT-Systemen (16) §  A.13 Management von Informationssicherheits-Vorfällen (5) §  A.14 Betriebl. Kontinuitätsmanagement (Business Continuity) (5) §  A.15 Einhaltung von Verpflichtungen (10)


Netzsicherheit


Schutz vor Schadsoftware und Mobiles


Elektronische Nachrichten


Kryptographische Massnahmen


Aufwandsverteilung

Applikation

Netzwerk

Kommunikation


3Tools


Technisches Assessment

SP

iCE

1-2

-1 fü

r 270

00


Sicherheitstechnische Analysen


Sicherheitstechnische Compliance

Che

ckpo

int S

mar

tDas

hboa

rd


Technische Geschäftsprozess Modellierung


Risikoanalysen

ISO

270

01 m

it C

RIS

AM

®


4

HAFTUNG UND STRAFBESTIMMUNGEN GESELLSCHAFTER, VORSTÄNDE, LEITER IT UND ADMINISTRATOREN

Haftung


Haftungen in der IT(Vortrag 2012, bei CMS Wien)

Minenfeld für ... §  Gesellschafter §  Vorstände §  Geschäftsführer §  Leiter IT §  Administratoren (Artikel c‘t 12/2013)


Haftungsrisiken für Administratoren*

*c‘t Ausgabe 12/2013

§  Spielregeln für Unternehmen und Organisationen §  Haftung des Mitarbeiters §  Beweislast §  Direkte persönliche Haftung §  Theorie und Praxis §  Zwischen den Stühlen §  Bitten um schriftliche Weisungen §  Fachleute benachrichtigen §  Hart auf hart (Fazit)


Strafbestimmungen I

§  Strafgesetzbuch (StGB) §  § 118a (1) - Widerrechtlicher Zugriff auf ein

Computersystem - Geldstrafe oder bis zu 6M Haft §  § 119 (1) - Verletzung des

Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft

§  § 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft

§  § 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft

§  § 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft


Strafbestimmungen II

§  Strafgesetzbuch (StGB) §  §§ 122ff StGB: Verletzung Betriebsgeheimnis;

Strafrahmen: bis 3 Jahre §  § 246 StGB: Staatsfeindliche Verbindungen;

Strafrahmen: bis 5 Jahre §  § 252 StGB: Verrat von Staatsgeheimnissen;

Strafrahmen: bis 10 Jahre §  § 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre

§  Datenschutzgesetz §52 bis €18.890,- §  Mediengesetz §7 bis €20.000,- §  Telekommunikationsgesetz §109 bis €58.000,-


5Zusammen-fassung


Zusammenfassung §  Komplexität - groß §  Infrastruktur - umfassend §  Technologie - vielfältig §  Compliance in Technik und Recht – steigt §  Risiko – wächst

§  Die ISO 27001 hilft inhaltlich und strukturell bei der Umsetzung der IT-Sicherheit in Unternehmen und Organisationen


Haben Sie noch Fragen?

Besten Dank für Ihre Aufmerksamkeit!

Documents

ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische ... · PDF fileISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30