Embed Size (px)
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 1
Dr. Keye Moser, SIZ GmbH
IT-Sicherheitsgesetz:
Auswirkung auf die Praxis
Management Forum Halle 10, it-sa 2017, 11.10.2017
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 2
Unsere 185+ Mitarbeiter setzen seit 1990 Maßstäbe in Informationssicherheits- und eBanking-Standards …
… sowie seit 2010 auch im
Beauftragtenwesen
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 3
Sicherer IT-Betrieb: "Trusted Product ISO 27001 Tool"
Produktfamilie für den Aufbau und Betrieb von ISO 27001-konformen
Informationssicherheits-Managementsystemen
Sicherer Datenschutz
Produktfamilie zur Unterstützung des Datenschutzbeauftragten
Geschäftsfortführungsplanung / BCM und IT-Notfallplanung
Dokumentationswerkzeug mit vorgefüllten Templates und automatisierten Verfahren
S-CERT (Computer Emercency Response Team)
Services zum Management von Schwachstellen und IT-Sicherheitsvorfällen
Auditmodule für sicherheitsrelevante Themen enthalten:
Checklisten zur Identifikation von Schwachstellen
Bewertungsschema zur Risikoeinschätzung und Ergebnisdarstellung
Sicherheitsleitfäden für gängige IT-Systeme
Wir haben ein breites Produktportfolio zur Informationssicherheit und Notfallplanung
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 4
Unser Portfolio an Audit-Modulen deckt die wesentlichen Umgebungen ab und wird kontinuierlich ausgebaut (Stand 09/2017)
Betriebssystem-Audits
UNIX-Betriebssysteme
- AIX 5.2 / 5.3 / 6.1 / 7.1
- Solaris 8 / 9 / 10 / 11
- Red Hat Enterprise Linux 6 / 7
Microsoft-Betriebssysteme
- Windows Server 2008 / 2008 R2
- Windows Server 2012 / 2012 R2
- Windows Server 2016
- Windows 7 / 7 SP1 / 10
Virtualisierung
- Citrix-Terminalserver
- Citrix XenApp 7
- Citrix XenServer 6 / 7
- VMware vSphere 4 / 5.x / 6
Mobile-Systeme
- PDA
- iPhone/iPad iOS 8 / 9 / 10
- Blackberry 10
Netzwerk
- Cisco IOS
Storage
- Storage universal
SAP
- SAP Basissystem
- SAP HR/HCM
- SAP NetWeaver Portal
- Delta AIX für SAP
- Delta Oracle für SAP
Büroanwendungen
- Microsoft Office 2010 / 2013
- Adobe Reader X / XI
- Adobe Flash ab 9.x
Anwendungs-Audits
Datenbanken
- IBM DB2 LUW (Linux, Unix, Windows) 10.x
- Microsoft SQL Server 2008 / 2008 R2
- Microsoft SQL Server 2012 / 2014
- Oracle 10g / 11g / 12c
- RDBMS allgemein
Webserver
- Apache Webserver 1.3 / 2.x
- Apache Tomcat 6 / 7
- Microsoft Internet Information
Services (IIS) 7.5
- Microsoft SharePoint 2007
- Microsoft Office SharePoint Server 2010
- Microsoft SharePoint Server 2013
E-Mail / Groupware
- Microsoft Exchange-Server 2010
- Microsoft Exchange-Server 2013 / 2016
- Lotus Notes 8.x / Notes 9.x
Browser
- Microsoft Internet Explorer 8 / 9 / 10 / 11
- Firefox 45 ESR / 52 ESR
- Google Chrome
Übergeordnete Audits
Schutz vor Malware
Content-Security
SPAM
LAN-Sicherheit
TK-Anlage und VoIP
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 5
Mit unserem Beratungsangebot decken wir alle wichtigen Bereiche der Informationssicherheit und der Notfallplanung ab
Beratung zum Einsatz / Härtung von Systemen
Beratung zur Dienstleistersteuerung
Aufbau /Optimierung Geschäftsfortführungsplanung / BCM
und IT-Notfallplanung
Konzeption und Durchführung von Notfallübungen
Durchführung von Audits, Penetrationstests, Sicherheitsanalysen
Aufbau / Optimierung von Informationssicherheits- und
IT-Risiko-Managementsystemen
Zertifizierung von Informationssicherheits-Managementsystemen
Langfristunterstützung des Informationssicherheits-Managements
Outsourcing Datenschutzbeauftragter
IT-Sicherheit
IT-Risiko
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 6
„Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
(IT-Sicherheitsgesetz)“ vom 17.07.2015
Ziel: Sicherstellung der Funktionsfähigkeit der „Kritischen Infrastruktur“ der
Bundesrepublik Deutschland → „Versorgungssicherheit“ steht im Fokus
Betrifft 7 Sektoren mit hoher Bedeutung für das Funktionieren des Gemeinwesens :
Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit,
Wasser, Ernährung, Finanz- und Versicherungswesen
Das IT-Sicherheitsgesetz ist eine Novelle, d. h. Änderungsgesetz anderer Gesetze.
Betroffen sind u. a.:
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik BSIG
Telemediengesetz TMG
Telekommunikationsgesetz TKG
Was ist das IT-Sicherheitsgesetz
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 7
Diensteanbieter müssen (soweit technisch möglich und zumutbar):
Schutz vor unerlaubtem Zugriff auf die genutzten technischen Einrichtungen
Schutz vor Verletzungen des Schutzes personenbezogener Daten
Schutz vor Störungen durch äußere Angriffe
Vorkehrungen entsprechend Stand der Technik
Gültigkeit: Seit 2015, keine Übergangsvorschriften.
Folgerung:
Systeme aktuell halten, patchen, aktuelle Verschlüsselungsalgorithmen einsetzen usw.
Änderung im Telemediengesetz: Praktische Auswirkungen
z. B. jeder Webseiten-Betreiber
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 8
„Zuständigkeit für KRITIS beim
BSI“, die bisherige öffentliche
Aufsicht bleibt bestehen wie
zuvor.
→ z. T. droht „Doppel-Aufsicht“
Von den KRITIS-Betreibern wird ein
Informationssicherheits-Management
gefordert
„… Vorkehrungen zur Vermeidung von
Störungen der Verfügbarkeit, Integrität,
Authentizität und Vertraulichkeit“ der
genutzten kritischen
„informationstechnischen Systeme,
Komponenten oder Prozesse. …“
Angemessenheit: „Stand der Technik“
vs. Verhältnismäßigkeit
Änderungen BSIG: Neue Aufgaben für das BSI und für die Betreiber kritischer Infrastrukturen!
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 9
Bei Überschreiten der Schwellwerte:
Gemäß BSIG ist angemessen sicher zu stellen,
dass Störungen der
Verfügbarkeit,
Integrität,
Authentizität und
Vertraulichkeit
der maßgeblichen kritischen IT-Systeme,
-Komponenten und –Prozesse vermieden
werden.
Einige Sektoren sind ausreichend reguliert,
d.h.: keine Anwendung des Gesetzes
(z. B. Energieversorger,
Telekommunikationsbranche)
„Rest der Welt“:
Das Näheres ist in der zugehörigen
Rechtsverordnung (KritisV) festgelegt.
Darin sind branchen- bzw.
sektorenspezifisch betroffene
Prozesse/Bereiche und Schwellwerte
genannt
Wer ist betroffen?
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 10
1. mindestens alle zwei Jahre dem BSI durch
Sicherheitsaudits, Prüfungen oder
Zertifizierungen die Erfüllung der Vorgaben
nachweisen.
Dies schließt die Meldung aufgedeckter
Sicherheitsmängel ein.
2. potentielle oder bereits eingetretene
Sicherheitsvorfälle an das BSI melden.
Was bedeutet das?
Praktische Hilfe zur Umsetzung
Neben dem BSIG gilt natürlich die sonstige
branchenspezifische Regulierung weiter.
Um die Vielfalt der Anforderungen
beherrschen zu können, empfiehlt sich die
Umsetzung eines Informationssicherheits-
Standards wie z. B. ISO 27001, am besten
zusätzlich angereichert um die zusätzlich
bestehende Regulierung.
KRITIS-Betreiber müssen …
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 11
Ganzheitlicher Ansatz zum Informationssicherheits- und IT-Risikomanagement
IS-Lifecycle-Prozessunterstützung
Nachschlagewerk für Gesetze, Normen,
Compliance-Themen
werkzeuggestützte Dokumentationsplattform
Risikoorientierter Ansatz
Harmoniert mit gängigen Standards wie
ISO/IEC 27001:2013,
COBIT,
BSI Schichtenmodell,
IDW,
ITIL
Relevante nationale Regulierung
Das Produkt „Sicherer IT-Betrieb“ deckt alle Anforderungen an die Informationssicherheit vollständig ab
Durch KPMG geprüft:
Konformität in Bezug auf
COBIT Security Baseline
Details siehe
http://www.kpmg.de/bescheinigungen/
requestreport.aspx?30969
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 12
Sicherheit
Sicherheits-
investition
Verbleibende
Risiken
Kosten
Optimum
Gesamtkosten
Dabei müssen Kosten, Nutzen, Anwendbarkeit und Risiken kontinuierlich austariert werden.
„Bequemlichkeit“
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 13
Kontinuierliche Weiterentwicklung des Produkts und Aktualisierung der Inhalte seit
über 15 Jahren
Berücksichtigung der Änderungen aus Gesetzen, Standards, Technik und Best Practice
Informationssicherheits-Management auf Basis „Sicherer IT-Betrieb“
wurde inzwischen bei über 450 Unternehmen im In- und Ausland
(Sprachen: Deutsch und Englisch) etabliert. Hierzu gehören:
Unternehmen aus unterschiedlichen Branchen
Rechenzentren
Sparkassen, Banken und Landesbanken
(öffentliche) Versicherungen
(Finanz-)Dienstleister: Bausparkassen, Investmentgesellschaften, Leasinggesellschaften, …
„Sicherer IT-Betrieb“ ist ein erprobtes System für das Informationssicherheits-Management
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 14
Unsere erprobten und effizienten Lösungen führen Sie schnell zu einer Informationssicherheits-Baseline, die bedarfsgerecht ausgebaut werden kann
Gesetzes-Konformität
Konformität zu relevanten Standards
angemessene und erprobte Grundlage
zur Zertifizierung
praktikabel für den IT-Betrieb
Anforderungen:
ISMS-Baseline: Sicherer IT-Betrieb
Optimierung der Sicherheit (optionale Maßnahmen)
Zertifizierung
Definition
ISMS-Scope
ISMS-Prozess und
Organisation
Inventar der
IT-Werte
Basis-Analyse der
IT-Risiken
Basis-Reports für
IT-Risiken
Soll-Ist-Vergleich
& Risiken
Maßnahmen-
plan
BCM / BCP
(Planung/Test)
IT-Notfall
(Planung/Test)
CERT
Support für
Interne Revision IT-System- Audits
…
Penetrations-
tests
…
11,16 11,19
4,27
6,26
GmbH 2017 Besuchen Sie uns! it-sa 2017, Halle 10.0 / 10.0-424 Seite: 15
Vielen Dank für Ihr Interesse!
SIZ GmbH
Simrockstr. 4
53113 Bonn
Telefon: +49 (228) 4495 73 66
Telefax: +49 (228) 4495 75 55
Mobil: +49 151 16230383
www.siz.de
Dr. Keye Moser Diplom-Physiker, CGEIT, CISM
Leiter Sicherheitstechnologie
