SlideShare una empresa de Scribd logo

Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security?

H
Holliday Consulting

Erst eine systemische, ganzheitliche Herangehensweise an das Thema IT-Sicherheit sichert den Erfolg aller Bemühungen. Denn IT-Sicherheit ist kein Produkt, sondern ein permanent herausfordernder kontinuierlicher Verbesserungsprozess (KVP). Lernen Sie das und die hierzu relevanten Standards kennen bis hin zum strategisch wichtigen IT-Risikomanagement. Only a systemic, holistic approach to IT security ensures the success of all efforts. Because IT security is not a product but a constantly challenging continuous improvement process (CIP). Get to know this and the relevant standards up to the point of the strategic IT risk management. This presentation had been held in german at a meeting of the Rhine Main area IT management leaders within the year 2010.

EmpresarialesTecnología
1 de 32
Descargar para leer sin conexión
Was beinhaltet der Begriff IT-Sicherheit? Dauer: 45 min (Präsentation inklusive Diskussion) IHK Darmstadt / IT-Leiter-Treff am 02. Dezember 2010 (rev.)
Unternehmensberatung Holliday Consulting - gegründet Anfang 2004 - berät und begleitet Umsetzungen zu den Themen: - IT-Sicherheit - IT-Prozessmanagement - IT-Servicemanagement nach ITIL - Internetadresse: www.holliday-consulting.com
Unternehmensberatung Holliday Consulting - kooperiert mit vielfältigen Partnerunternehmen zur Lösung komplexer Aufgabenstellungen: - zur Unternehmenssteuerung (Balanced Scorecard) - zum Business Process-Reengineering (TQM) - zur Erzielung eines IT-Sicherheitszertifikats nach ISO 27001 oder BSI IT-Grundschutz
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Der Begriff IT-Sicherheit  noch besser: Informationssicherheit (IS)  Zielsetzung der IS:  Informationen und Daten schützen vor dem Verlust von:  Vertraulichkeit  Integrität  Verfügbarkeit  Echtheit (Authentizität)  betrifft nicht nur elektronisch abgespeicherte Daten, sondern auch das gesprochene Wort, sowie materielle Dokumentationen (Papiere, Aufzeichnungen, Mikrofilme etc.)
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit (IS)  erfordert eine konzertierte systemische Handlungsweise (ein ganzheitliches Handeln) mit den Aspekten:  Organisation  Regelwerke  Personal  Bewusstheit („Awareness“)  Schulung („Skills entwickeln“)  Technologie (die „IT-Sicherheit“)  Überprüfungen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Bedrohungen der IS  55 % aller Bedrohungen kommen von Innen  Verteilung nach Art der Bedrohungen: • Datendiebstahl 78 % • Fahrlässigkeit der Mitarbeiter 65 % • Viren 50 % • Hacker 41 % • Spam 32 % • Sabotage 15 % • Fehler an HW oder SW 12 % • Finanzieller Betrug 8 %
www.holliday-consulting.com 02. Dezember 2010‹Nr.› System D - BSI IT-Grundschutz  entwickelt vom nationalen Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de)  mit der Zielsetzung:  Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise für IT-Sicherheit zu geben  um hochkomplexe Vorgehensweisen zu vermeiden  um die Einstiegshürde in einen IT-Sicherheitsprozess so niedrig wie möglich zu halten  in der neueren Ausgabe die ISO 27001 (internationale Zertifizierung für Informationssicherheit) zu integrieren
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - die Idee  Typische IT-Komponenten  Typische Gefährdungen, Schwachstellen und Risiken  Konkrete Umsetzungshinweise für das IT-Sicherheitsmanagement  Empfehlung geeigneter Bündel von Standard- IT-Sicherheitsmaßnahmen  Vorbildliche Lösungen aus der Praxis – „Best Practice“-Ansätze
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - IT-Sicherheitsprozess  Maßnahmen für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses:  die Einführung eines IT-Sicherheitsmanagements, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht  die Analyse und Dokumentation der Struktur der vorliegenden Informationstechnik (IT)  die Durchführung einer Schutzbedarfsfeststellung, um zu ermitteln, welcher Schutz für die Informationen und die eingesetzte IT ausreichend und angemessen ist  die Modellierung der Komponenten des vorliegenden IT-Verbunds durch die Bausteine der IT-Grundschutz-Kataloge  die Durchführung eines Basis-Sicherheitschecks, um einen Überblick über das vorhandene IT-Sicherheitsniveau zu erhalten  die Umsetzung der fehlenden Sicherheitsmaßnahmen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Begriffsdefinition: Ein Prozess ist  eine zeitlich logische Abfolge  miteinander verknüpfter Tätigkeiten  zur Umwandlung von Eingaben in Ergebnisse (materiell und immateriell).
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Prozess im schematischen Schaubild: und klar definierten Ergebnissen mit klar definierten Eingaben FREI gegeben FREI gegeben FREI gegebenAnfang Ende Material Informationen Entscheidungen Tätigkeiten
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  funktionalorientierte vs. prozessorientierte Organisation: Optimale Beziehungen zwischen Kunden und Lieferanten entlang der Wertschöpfung werden angestrebt Prozessorientierte Organisation Denken in Prozessen und Gesamtergebnissen Bereichsorientierte Kunden/Lieferantenbeziehungen Funktionalorientierte Organisation Denken in Bereichen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - Publikationen  der BSI IT-Grundschutz ist ursprünglich in Form eines Grundschutzhandbuchs (GSHB) in verschiedenen Auflagen publiziert worden  zwecks Harmonisierung mit dem Normenpaar ISO 27001 und 27002 wird er seit August 2006 in zwei Bestandteilen herausgebracht:  die BSI-Standardreihe zum Informationssicherheitsmanagement bestehend aus vier Bänden und einem Prüfschema:  BSI-Standard 100-1 Managementsysteme für Informationssicherheit  BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz  BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz  BSI-Standard 100-4 Notfallmanagement  Prüfschema: ISO 27001-Zertifizierung mit IT-Grundschutz  die IT-Grundschutz-Kataloge („IT-Grundschutzhandbuch“)
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – IT-Grundschutz-Kataloge  die IT-Grundschutz-Kataloge:  haben voran gestellte Kapitel zur Einführung  über die Anwendungsweise der IT-Grundschutz-Kataloge  geben Hinweise zur Modellierung  die Grundschutz-Bausteine sind gruppiert anhand eines Schichtenmodells  das Schichtenmodell dient dazu  die Bausteine des Handbuchs einfacher auf einen komplexen IT-Verbund abzubilden  Redundanzen zu vermeiden, indem übergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Themengebiete der Bausteine
www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Struktur der Bausteine
www.holliday-consulting.com 02. Dezember 2010‹Nr.› System I - ISO 27000 Familie  Die aktuelle ISO 2700X Familie:  ISO 27000:2009 Überblick und Vokabular  ISO 27001:2005 die „Zertifizierungs-ISO“  Titel der ISO 27001: „ISMS - Requirements“  ISO 27002:2005  Titel der ISO 27002: „Code of Practice for ISM“  sie beinhaltet im Wesentlichen generische Best Practice Empfehlungen zur Handhabung der Informationssicherheit  ISO 27003:2010 Leitfaden zur Implementierung  ISO 27004:2009 IS-Management - Metriken und Messungen  ISO 27005:2008 ISMS – Risikomanagement  ISO 27006:2007 Anforderungen an Zertifizierstellen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 („Zertifizierungs-ISO“)  Historie:  die ISO 27001 ist aus dem British Standard BS 7799-2 (-2 steht für Teil 2) hervorgegangen  sie beinhaltet den normativen Teil für die Zertifizierbarkeit eines Informationssicherheit-Managementsystems  die aktuelle Version ISO 27001 wurde am 15. Oktober 2005 herausgegeben  sie hat den Titel: „Information Security Management System - Requirements“
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die in der ISO 27001 spezifizierten Anforderungen beschränken sich nicht nur auf die IT-Sicherheit als Technologie im engeren Sinne  die formulierten Anforderungen zwingen die Akteure im Prozessgeschehen dazu, sich gleichwertig mit allen Aspekten der Informationssicherheit (IS) zu befassen  die geforderte Einrichtung eines IS-Managementsystems (ISMS) verschafft anhand der Vorgabe eines kontinuier- lichen Verbesserungsprozesses zahlreiche systemische Vorteile um die permanent gegebene Herausforderung bei der Informationssicherheit zu bewältigen
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die ISO 27001 überprüft für eine Zertifizierung, ob die IS-relevanten Themengebiete aus der ISO 27002 behandelt sind und auch tatsächlich einem PDCA-Zyklus unterliegen:  Sicherheitsleitlinie  Methodik und Durchführung des Risikomanagements  Umsetzung von Maßnahmen aus der Risikobetrachtung  Kontroll-, Bewertungs- und Reaktionsszenarien  IS-Organisation  Bewusstseinsbildung, Schulung  Ressourcenmanagement  Dokumentenmanagement  Sicherheitsvorfallmanagement  Notfallmanagement  etc.
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit PDCA-Zyklus  IS PDCA-Zyklus (kontinuierlicher Verbesserungsprozeß) festlegen Plan Check Do Act Anforderungen und Erwartungen an IS Verbesserte IS umsetzen & durchführen prüfen & messen erhalten & verbessern
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  die ISO 27002 ist nach folgendem Schema aufgebaut:  sie besteht aus einem 5-teiligen Prolog und 11 thematischen Bereichen („security control clauses“)  jeder Themenbereich umfaßt dabei Kategorien („main security categories“), die für ihn wichtige Themen formu- lieren (insg. 39 Kategorien über alle Bereiche hinweg) - für jede Kategorie werden definiert: - Sicherheitszielvorgaben („security objectives“) - Aufgaben/ Anforderungen („security controls“) - für die Anforderungen sind Umsetzungsvorschläge („security implementation guides“) zur Erfüllung der Zielvorgaben angegeben  die ISO 27002 umfasst insgesamt 133 Sicherheitsaufgaben („security controls“)
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  ein Prolog und elf Themenbereiche der ISO 27002  Prolog ohne Angabe von Aufgaben („security controls“) mit den fünf Abschnitten: „Introduction“, „Scope“, „Terms and Definitions“, „Structure of This Standard“ und „Risk Assessment & Treatment“ 1. Weisungen und Richtlinien zur Informationssicherheit / „Security Policy“ 2. Organisatorische Si-Maßnahmen und Managementprozess / „Security Organization“ 3. Verantwortung und Klassifizierung von Informationswerten / „Asset Classification and Control“ 4. Personelle Sicherheit / „Human Resources Security“ 5. Physische und umgebungsbezogene Sicherheit / „Physical and Environmental Security“
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) / „Communications & Operations Management“ 7. Zugriffskontrolle / „Access Control“ 8. Systembeschaffung, -entwicklung und -wartung / „System Acquisition, Development & Maintenance“ 9. Umgang mit Vorfällen bei der Informationssicherheit / „Information Security Incident Management“ 10.Sicherstellung des Geschäftsbetriebs – Notfallvorsorgeplanung / „Business Continuity Management“ (BCM) 11.Einhaltung von gesetzlichen & sonstigen Vorgaben - Audits / „Compliance“
www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 - Zertifizierung  welchen Nutzen bringt eine Zertifizierung?  das Thema Informationssicherheit wird durch eine Zertifizierungs- entscheidung ein wichtiges Anliegen der Geschäftsführung  Chance der Organisation auf Verbesserung und Optimierung von Prozessen, nicht nur der IS-spezifischen (Mitnahmeeffekt)  deutlich gesteigertes Risikobewusstsein verankert in der Unternehmensleitung, aber auch bei den Mitarbeitern (Transparenz der Risiken)  eine günstige Gelegenheit Informationssicherheit ins Mitarbeiter- bewusstsein als Teil der Unternehmenskultur zu integrieren  Etablierung von Verbesserungs- und Präventionszyklen im Sicherheitsmanagementsystem (KVPs)  effizientere Umsetzung durch externen Druck (ein blamables Ergebnis zur Zertifizierung will unbedingt vermieden werden)  verstärkte Integration des Sicherheitsbewusstseins bei Geschäftspartnern  eine Möglichkeit sich gegenüber nicht-zertifizierten Mitbewerbern abzuheben
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  Begriffsdefinition „IT-Risikoanalyse“  Analyse von Gefährdungen, Bedrohungen & Schwachstellen - und - deren Schadensauswirkungen bei Informationen und Geräten zur Informationsverarbeitung - und – die Wahrscheinlichkeit des Auftretens dieser Risiken  Begriffsdefinition „IT-Risikomanagement“  Prozess der kostenmäßig vertretbaren Identifizierung, Beschränkung und Minimierung bzw. Elimination von Sicherheitsrisiken, die Informationen und Informations- systeme beeinträchtigen können
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  zentrale Aufgabe des IT-Risikomanagements  optimieren der Begegnung von Risiken durch Ausbalancierung von Schadenskosten versus Vorbeugekosten:  Vorbeugekosten  Schadenskosten  Risikenabdeck- kosten Kosten Grad der IS-Implementierung
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikoanalyse  die Risikoanalyse besteht in der systematischen Betrachtung der Punkte:  Schaden für das Geschäft, der unter Berücksichtigung der potentiellen Folgen des Verlusts von  Vertraulichkeit  Integrität  Verfügbarkeit  Authentizität der Informationen und anderer Werte möglicherweise durch einen Sicherheitsausfall (Gefährdungen) entstehen kann  realistische Wahrscheinlichkeit, dass ein derartiger Ausfall angesichts der existierenden Bedrohungen und Schwachstellen und der derzeit implementierten Maßnahmen auftritt
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikobewertung  metrisierte Risikobewertung: chutzbedarf betroffener Komponenten (5 - 10) edeutung der einzelnen Gefahr (1 - 10) uftretungswahrscheinlichkeit (1 - 10) S B A Risikobeurteilung KENNZAHL (RZ) = S B A 1 1000100 150 200 300 400 500 600 700 800 900 Risikobereich: zusätzliche Maßnahmen ergreifen Risikozahl (RZ) - Bewertung: Streu- Bereich Liste der Standardgefahren Risikozahl (RZ) - Ermittlung: 50 Bewertung Schadenswirkung Wahrscheinlichkeit
www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Behandlungsmanagement  Optionen für die Behandlung von Risiken sind:  Risiko-Vermeidung durch Umstrukturierung von Geschäftsprozessen oder des IT-Verbunds (z.B. durch Vermindern der Komplexität)  Risiko-Reduktion durch weitere Sicherheitsmaßnahmen  Risiko-Transfer auf eine andere Institution (z.B. durch Abschluß einer Versicherung oder Outsourcing)  die verbleibende Gefährdung und damit das daraus resultierende Risiko wird akzeptiert (Risiko-Übernahme)  die getroffenen Behandlungsentscheidungen werden im Risikomanagement-Plan dokumentiert  mit dieser Art von Risikomanagement-Plan werden die Risiken transparent gemacht!
www.holliday-consulting.com 02. Dezember 2010‹Nr.› Web-Adressen zu IT-Sicherheit  empfehlenswerte Links zum Thema IT-Sicherheit  http://www.bsi.bund.de/grundschutz (BSI IT-Grundschutz)  http://www.heise.de/security (News, Basischecks)  http://www.sicher-im-netz.de (Fundgrube für KMUs)
Holliday Consulting - Dipl.-Ing. Frank W. Holliday bedankt sich für Ihre Aufmerksamkeit und wünscht Ihnen weiterhin viel Erfolg für Ihre IT-Sicherheit! www.holliday-consulting.com

Recomendados

Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStanislav Milanovic
 
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischVerein FM Konferenz
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
It governance & cobit 5
It governance & cobit 5It governance & cobit 5
It governance & cobit 5Laddawan Rattanaruang
 
The path to a Modern Data Architecture in Financial Services
The path to a Modern Data Architecture in Financial ServicesThe path to a Modern Data Architecture in Financial Services
The path to a Modern Data Architecture in Financial ServicesHortonworks
 
Data Processing - data privacy and sensitive data
Data Processing - data privacy and sensitive dataData Processing - data privacy and sensitive data
Data Processing - data privacy and sensitive dataOpenAIRE
 
Ethical Dimensions of Artificial Intelligence (AI) by Rinshad Choorappara
Ethical Dimensions of Artificial Intelligence (AI) by Rinshad ChoorapparaEthical Dimensions of Artificial Intelligence (AI) by Rinshad Choorappara
Ethical Dimensions of Artificial Intelligence (AI) by Rinshad ChoorapparaRinshad Choorappara
 
Iso 27001 foundation sample slides
Iso 27001 foundation sample slidesIso 27001 foundation sample slides
Iso 27001 foundation sample slidesStratos Lazaridis
 

Recomendados

Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStanislav Milanovic
 
FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischFMK2015: Informationssicherheit und Risikomanagement by Patrick Risch
FMK2015: Informationssicherheit und Risikomanagement by Patrick RischVerein FM Konferenz
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
It governance & cobit 5
It governance & cobit 5It governance & cobit 5
It governance & cobit 5Laddawan Rattanaruang
 
The path to a Modern Data Architecture in Financial Services
The path to a Modern Data Architecture in Financial ServicesThe path to a Modern Data Architecture in Financial Services
The path to a Modern Data Architecture in Financial ServicesHortonworks
 
Data Processing - data privacy and sensitive data
Data Processing - data privacy and sensitive dataData Processing - data privacy and sensitive data
Data Processing - data privacy and sensitive dataOpenAIRE
 
Ethical Dimensions of Artificial Intelligence (AI) by Rinshad Choorappara
Ethical Dimensions of Artificial Intelligence (AI) by Rinshad ChoorapparaEthical Dimensions of Artificial Intelligence (AI) by Rinshad Choorappara
Ethical Dimensions of Artificial Intelligence (AI) by Rinshad ChoorapparaRinshad Choorappara
 
Iso 27001 foundation sample slides
Iso 27001 foundation sample slidesIso 27001 foundation sample slides
Iso 27001 foundation sample slidesStratos Lazaridis
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
COBIT and IT Policy Presentation
COBIT and IT Policy PresentationCOBIT and IT Policy Presentation
COBIT and IT Policy PresentationSarah Cortes
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Data Governance
Data GovernanceData Governance
Data GovernanceSambaSoup
 
Data is the New Gold
Data is the New GoldData is the New Gold
Data is the New GoldJoshua Whitlatch
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
veri bilimi.pptx
veri bilimi.pptxveri bilimi.pptx
veri bilimi.pptxHakan ATAY
 
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJXDriving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJXDATAVERSITY
 
Office of the Chief Data Officer. How is your office organized?
Office of the Chief Data Officer. How is your office organized?Office of the Chief Data Officer. How is your office organized?
Office of the Chief Data Officer. How is your office organized?Craig Milroy
 
Business intelligence- Components, Tools, Need and Applications
Business intelligence- Components, Tools, Need and ApplicationsBusiness intelligence- Components, Tools, Need and Applications
Business intelligence- Components, Tools, Need and Applicationsraj
 
Dokumen wajib iso 27001
Dokumen wajib iso 27001Dokumen wajib iso 27001
Dokumen wajib iso 27001Al Marson
 
Understanding IT Governance and Risk Management
Understanding IT Governance and Risk ManagementUnderstanding IT Governance and Risk Management
Understanding IT Governance and Risk Managementjiricejka
 
Data governance
Data governanceData governance
Data governanceSambaSoup
 
Jpdcs1 data leakage detection
Jpdcs1 data leakage detectionJpdcs1 data leakage detection
Jpdcs1 data leakage detectionChaitanya Kn
 
Understanding the difference between Data, information and knowledge
Understanding the difference between Data, information and knowledgeUnderstanding the difference between Data, information and knowledge
Understanding the difference between Data, information and knowledgeNeeti Naag
 
Data Ethics in the Workplace: Beyond AI, Privacy and Security
Data Ethics in the Workplace: Beyond AI, Privacy and SecurityData Ethics in the Workplace: Beyond AI, Privacy and Security
Data Ethics in the Workplace: Beyond AI, Privacy and SecurityCase IQ
 
How to Build Data Governance Programs That Last: A Business-First Approach
How to Build Data Governance Programs That Last: A Business-First ApproachHow to Build Data Governance Programs That Last: A Business-First Approach
How to Build Data Governance Programs That Last: A Business-First ApproachPrecisely
 
Data Governance Powerpoint Presentation Slides
Data Governance Powerpoint Presentation SlidesData Governance Powerpoint Presentation Slides
Data Governance Powerpoint Presentation SlidesSlideTeam
 
Creating a Data-Driven Organization: an executive summary
Creating a Data-Driven Organization: an executive summaryCreating a Data-Driven Organization: an executive summary
Creating a Data-Driven Organization: an executive summaryCarl Anderson
 
Crime sensing with big data - Singapore perspective
Crime sensing with big data - Singapore perspectiveCrime sensing with big data - Singapore perspective
Crime sensing with big data - Singapore perspectiveBenjamin Ang
 
10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social WebSocial Event GmbH
 
Top 5 SEO Fehler
Top 5 SEO FehlerTop 5 SEO Fehler
Top 5 SEO FehlerKnut Barth
 

Más contenido relacionado

La actualidad más candente

Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
COBIT and IT Policy Presentation
COBIT and IT Policy PresentationCOBIT and IT Policy Presentation
COBIT and IT Policy PresentationSarah Cortes
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Data Governance
Data GovernanceData Governance
Data GovernanceSambaSoup
 
veri bilimi.pptx
veri bilimi.pptxveri bilimi.pptx
veri bilimi.pptxHakan ATAY
 
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJXDriving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJXDATAVERSITY
 
Office of the Chief Data Officer. How is your office organized?
Office of the Chief Data Officer. How is your office organized?Office of the Chief Data Officer. How is your office organized?
Office of the Chief Data Officer. How is your office organized?Craig Milroy
 
Business intelligence- Components, Tools, Need and Applications
Business intelligence- Components, Tools, Need and ApplicationsBusiness intelligence- Components, Tools, Need and Applications
Business intelligence- Components, Tools, Need and Applicationsraj
 
Dokumen wajib iso 27001
Dokumen wajib iso 27001Dokumen wajib iso 27001
Dokumen wajib iso 27001Al Marson
 
Understanding IT Governance and Risk Management
Understanding IT Governance and Risk ManagementUnderstanding IT Governance and Risk Management
Understanding IT Governance and Risk Managementjiricejka
 
Data governance
Data governanceData governance
Data governanceSambaSoup
 
Jpdcs1 data leakage detection
Jpdcs1 data leakage detectionJpdcs1 data leakage detection
Jpdcs1 data leakage detectionChaitanya Kn
 
Understanding the difference between Data, information and knowledge
Understanding the difference between Data, information and knowledgeUnderstanding the difference between Data, information and knowledge
Understanding the difference between Data, information and knowledgeNeeti Naag
 
Data Ethics in the Workplace: Beyond AI, Privacy and Security
Data Ethics in the Workplace: Beyond AI, Privacy and SecurityData Ethics in the Workplace: Beyond AI, Privacy and Security
Data Ethics in the Workplace: Beyond AI, Privacy and SecurityCase IQ
 
How to Build Data Governance Programs That Last: A Business-First Approach
How to Build Data Governance Programs That Last: A Business-First ApproachHow to Build Data Governance Programs That Last: A Business-First Approach
How to Build Data Governance Programs That Last: A Business-First ApproachPrecisely
 
Data Governance Powerpoint Presentation Slides
Data Governance Powerpoint Presentation SlidesData Governance Powerpoint Presentation Slides
Data Governance Powerpoint Presentation SlidesSlideTeam
 
Creating a Data-Driven Organization: an executive summary
Creating a Data-Driven Organization: an executive summaryCreating a Data-Driven Organization: an executive summary
Creating a Data-Driven Organization: an executive summaryCarl Anderson
 
Crime sensing with big data - Singapore perspective
Crime sensing with big data - Singapore perspectiveCrime sensing with big data - Singapore perspective
Crime sensing with big data - Singapore perspectiveBenjamin Ang
 

La actualidad más candente (20)

Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
COBIT and IT Policy Presentation
COBIT and IT Policy PresentationCOBIT and IT Policy Presentation
COBIT and IT Policy Presentation
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Data Governance
Data GovernanceData Governance
Data Governance
 
Data is the New Gold
Data is the New GoldData is the New Gold
Data is the New Gold
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
veri bilimi.pptx
veri bilimi.pptxveri bilimi.pptx
veri bilimi.pptx
 
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJXDriving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
Driving Data Intelligence in the Supply Chain Through the Data Catalog at TJX
 
Office of the Chief Data Officer. How is your office organized?
Office of the Chief Data Officer. How is your office organized?Office of the Chief Data Officer. How is your office organized?
Office of the Chief Data Officer. How is your office organized?
 
Business intelligence- Components, Tools, Need and Applications
Business intelligence- Components, Tools, Need and ApplicationsBusiness intelligence- Components, Tools, Need and Applications
Business intelligence- Components, Tools, Need and Applications
 
Dokumen wajib iso 27001
Dokumen wajib iso 27001Dokumen wajib iso 27001
Dokumen wajib iso 27001
 
Understanding IT Governance and Risk Management
Understanding IT Governance and Risk ManagementUnderstanding IT Governance and Risk Management
Understanding IT Governance and Risk Management
 
Data governance
Data governanceData governance
Data governance
 
Jpdcs1 data leakage detection
Jpdcs1 data leakage detectionJpdcs1 data leakage detection
Jpdcs1 data leakage detection
 
Understanding the difference between Data, information and knowledge
Understanding the difference between Data, information and knowledgeUnderstanding the difference between Data, information and knowledge
Understanding the difference between Data, information and knowledge
 
Data Ethics in the Workplace: Beyond AI, Privacy and Security
Data Ethics in the Workplace: Beyond AI, Privacy and SecurityData Ethics in the Workplace: Beyond AI, Privacy and Security
Data Ethics in the Workplace: Beyond AI, Privacy and Security
 
How to Build Data Governance Programs That Last: A Business-First Approach
How to Build Data Governance Programs That Last: A Business-First ApproachHow to Build Data Governance Programs That Last: A Business-First Approach
How to Build Data Governance Programs That Last: A Business-First Approach
 
Data Governance Powerpoint Presentation Slides
Data Governance Powerpoint Presentation SlidesData Governance Powerpoint Presentation Slides
Data Governance Powerpoint Presentation Slides
 
Creating a Data-Driven Organization: an executive summary
Creating a Data-Driven Organization: an executive summaryCreating a Data-Driven Organization: an executive summary
Creating a Data-Driven Organization: an executive summary
 
Crime sensing with big data - Singapore perspective
Crime sensing with big data - Singapore perspectiveCrime sensing with big data - Singapore perspective
Crime sensing with big data - Singapore perspective
 

Destacado

10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social WebSocial Event GmbH
 
Top 5 SEO Fehler
Top 5 SEO FehlerTop 5 SEO Fehler
Top 5 SEO FehlerKnut Barth
 
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdfHochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdfunn | UNITED NEWS NETWORK GmbH
 
DUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSIONDUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSIONjundumaug1
 
Step 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importierenStep 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importierenHarald Bendschneider
 
Die Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und KollaborationDie Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und KollaborationStefan Kasberger
 
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921kathrinkoehler.com
 

Destacado (11)

10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web10 bittere Wahrheiten über das Social Web
10 bittere Wahrheiten über das Social Web
 
Top 5 SEO Fehler
Top 5 SEO FehlerTop 5 SEO Fehler
Top 5 SEO Fehler
 
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdfHochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
Hochschwarzwald_Tourismus_Deutscher_Tourismuspreis.pdf
 
651_AMR_201005.pdf
651_AMR_201005.pdf651_AMR_201005.pdf
651_AMR_201005.pdf
 
USP-D Dynamische Assessment Center
USP-D Dynamische Assessment CenterUSP-D Dynamische Assessment Center
USP-D Dynamische Assessment Center
 
KRASS stellt sich vor!
KRASS stellt sich vor!KRASS stellt sich vor!
KRASS stellt sich vor!
 
DUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSIONDUMAUG_FREEDOM OF EXPRESSION
DUMAUG_FREEDOM OF EXPRESSION
 
Step 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importierenStep 1 - Neues Projekt anlegen und Cubefaces importieren
Step 1 - Neues Projekt anlegen und Cubefaces importieren
 
Die Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und KollaborationDie Kunst von Offenheit und Kollaboration
Die Kunst von Offenheit und Kollaboration
 
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
Workshop Medienkompetenz BM Bildung Forschung Kathrin Koehler 140921
 
Bewerb01_EYCUP_Opening.pdf
Bewerb01_EYCUP_Opening.pdfBewerb01_EYCUP_Opening.pdf
Bewerb01_EYCUP_Opening.pdf
 

Similar a Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security?

Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...Paul G. Huppertz
 
ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSbhoeck
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenA. Baggenstos & Co. AG
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Hans Peter Knaust
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH
 
Wikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und ErfolgsfaktorenWikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und ErfolgsfaktorenAlexander Stocker
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementbhoeck
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
SDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSmart Data Innovation Lab
 
constag ag Firmenpräsentation
constag ag Firmenpräsentationconstag ag Firmenpräsentation
constag ag FirmenpräsentationErich Stähli
 

Similar a Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security? (20)

Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
 
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
Arbeitsbericht Nr. 118: 'IT-Service Management - Ein neues Paradigma für das ...
 
ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMS
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer Wegweiser
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Cobit
CobitCobit
Cobit
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
CCPP
CCPPCCPP
CCPP
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
 
Wikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und ErfolgsfaktorenWikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
Wikis und Weblogs im Wissensmanagement: Nutzentypen und Erfolgsfaktoren
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Management
 
Knorr, Alexander
Knorr, Alexander Knorr, Alexander
Knorr, Alexander
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
SDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data ProjekteSDIC'16 - Best Practices für Smart Data Projekte
SDIC'16 - Best Practices für Smart Data Projekte
 
Knorr, Alexander
Knorr, Alexander Knorr, Alexander
Knorr, Alexander
 
constag ag Firmenpräsentation
constag ag Firmenpräsentationconstag ag Firmenpräsentation
constag ag Firmenpräsentation
 

Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic Information Security?

  • 1. Was beinhaltet der Begriff IT-Sicherheit? Dauer: 45 min (Präsentation inklusive Diskussion) IHK Darmstadt / IT-Leiter-Treff am 02. Dezember 2010 (rev.)
  • 2. Unternehmensberatung Holliday Consulting - gegründet Anfang 2004 - berät und begleitet Umsetzungen zu den Themen: - IT-Sicherheit - IT-Prozessmanagement - IT-Servicemanagement nach ITIL - Internetadresse: www.holliday-consulting.com
  • 3. Unternehmensberatung Holliday Consulting - kooperiert mit vielfältigen Partnerunternehmen zur Lösung komplexer Aufgabenstellungen: - zur Unternehmenssteuerung (Balanced Scorecard) - zum Business Process-Reengineering (TQM) - zur Erzielung eines IT-Sicherheitszertifikats nach ISO 27001 oder BSI IT-Grundschutz
  • 4. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Der Begriff IT-Sicherheit  noch besser: Informationssicherheit (IS)  Zielsetzung der IS:  Informationen und Daten schützen vor dem Verlust von:  Vertraulichkeit  Integrität  Verfügbarkeit  Echtheit (Authentizität)  betrifft nicht nur elektronisch abgespeicherte Daten, sondern auch das gesprochene Wort, sowie materielle Dokumentationen (Papiere, Aufzeichnungen, Mikrofilme etc.)
  • 5. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit (IS)  erfordert eine konzertierte systemische Handlungsweise (ein ganzheitliches Handeln) mit den Aspekten:  Organisation  Regelwerke  Personal  Bewusstheit („Awareness“)  Schulung („Skills entwickeln“)  Technologie (die „IT-Sicherheit“)  Überprüfungen
  • 6. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Bedrohungen der IS  55 % aller Bedrohungen kommen von Innen  Verteilung nach Art der Bedrohungen: • Datendiebstahl 78 % • Fahrlässigkeit der Mitarbeiter 65 % • Viren 50 % • Hacker 41 % • Spam 32 % • Sabotage 15 % • Fehler an HW oder SW 12 % • Finanzieller Betrug 8 %
  • 7. www.holliday-consulting.com 02. Dezember 2010‹Nr.› System D - BSI IT-Grundschutz  entwickelt vom nationalen Bundesamt für Sicherheit in der Informationstechnik (www.bsi.de)  mit der Zielsetzung:  Anwendern aus Behörden und Unternehmen praxisnahe und handlungsorientierte Hinweise für IT-Sicherheit zu geben  um hochkomplexe Vorgehensweisen zu vermeiden  um die Einstiegshürde in einen IT-Sicherheitsprozess so niedrig wie möglich zu halten  in der neueren Ausgabe die ISO 27001 (internationale Zertifizierung für Informationssicherheit) zu integrieren
  • 8. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - die Idee  Typische IT-Komponenten  Typische Gefährdungen, Schwachstellen und Risiken  Konkrete Umsetzungshinweise für das IT-Sicherheitsmanagement  Empfehlung geeigneter Bündel von Standard- IT-Sicherheitsmaßnahmen  Vorbildliche Lösungen aus der Praxis – „Best Practice“-Ansätze
  • 9. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - IT-Sicherheitsprozess  Maßnahmen für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses:  die Einführung eines IT-Sicherheitsmanagements, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht  die Analyse und Dokumentation der Struktur der vorliegenden Informationstechnik (IT)  die Durchführung einer Schutzbedarfsfeststellung, um zu ermitteln, welcher Schutz für die Informationen und die eingesetzte IT ausreichend und angemessen ist  die Modellierung der Komponenten des vorliegenden IT-Verbunds durch die Bausteine der IT-Grundschutz-Kataloge  die Durchführung eines Basis-Sicherheitschecks, um einen Überblick über das vorhandene IT-Sicherheitsniveau zu erhalten  die Umsetzung der fehlenden Sicherheitsmaßnahmen
  • 10. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Begriffsdefinition: Ein Prozess ist  eine zeitlich logische Abfolge  miteinander verknüpfter Tätigkeiten  zur Umwandlung von Eingaben in Ergebnisse (materiell und immateriell).
  • 11. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  Prozess im schematischen Schaubild: und klar definierten Ergebnissen mit klar definierten Eingaben FREI gegeben FREI gegeben FREI gegebenAnfang Ende Material Informationen Entscheidungen Tätigkeiten
  • 12. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Exkurs: „Prozess“  funktionalorientierte vs. prozessorientierte Organisation: Optimale Beziehungen zwischen Kunden und Lieferanten entlang der Wertschöpfung werden angestrebt Prozessorientierte Organisation Denken in Prozessen und Gesamtergebnissen Bereichsorientierte Kunden/Lieferantenbeziehungen Funktionalorientierte Organisation Denken in Bereichen
  • 13. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI IT-Grundschutz - Publikationen  der BSI IT-Grundschutz ist ursprünglich in Form eines Grundschutzhandbuchs (GSHB) in verschiedenen Auflagen publiziert worden  zwecks Harmonisierung mit dem Normenpaar ISO 27001 und 27002 wird er seit August 2006 in zwei Bestandteilen herausgebracht:  die BSI-Standardreihe zum Informationssicherheitsmanagement bestehend aus vier Bänden und einem Prüfschema:  BSI-Standard 100-1 Managementsysteme für Informationssicherheit  BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz  BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz  BSI-Standard 100-4 Notfallmanagement  Prüfschema: ISO 27001-Zertifizierung mit IT-Grundschutz  die IT-Grundschutz-Kataloge („IT-Grundschutzhandbuch“)
  • 14. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – IT-Grundschutz-Kataloge  die IT-Grundschutz-Kataloge:  haben voran gestellte Kapitel zur Einführung  über die Anwendungsweise der IT-Grundschutz-Kataloge  geben Hinweise zur Modellierung  die Grundschutz-Bausteine sind gruppiert anhand eines Schichtenmodells  das Schichtenmodell dient dazu  die Bausteine des Handbuchs einfacher auf einen komplexen IT-Verbund abzubilden  Redundanzen zu vermeiden, indem übergeordnete Aspekte und gemeinsame infrastrukturelle Fragestellungen getrennt von den IT-Systemen betrachtet werden
  • 15. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Themengebiete der Bausteine
  • 16. www.holliday-consulting.com 02. Dezember 2010‹Nr.› BSI Grundschutz – Struktur der Bausteine
  • 17. www.holliday-consulting.com 02. Dezember 2010‹Nr.› System I - ISO 27000 Familie  Die aktuelle ISO 2700X Familie:  ISO 27000:2009 Überblick und Vokabular  ISO 27001:2005 die „Zertifizierungs-ISO“  Titel der ISO 27001: „ISMS - Requirements“  ISO 27002:2005  Titel der ISO 27002: „Code of Practice for ISM“  sie beinhaltet im Wesentlichen generische Best Practice Empfehlungen zur Handhabung der Informationssicherheit  ISO 27003:2010 Leitfaden zur Implementierung  ISO 27004:2009 IS-Management - Metriken und Messungen  ISO 27005:2008 ISMS – Risikomanagement  ISO 27006:2007 Anforderungen an Zertifizierstellen
  • 18. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 („Zertifizierungs-ISO“)  Historie:  die ISO 27001 ist aus dem British Standard BS 7799-2 (-2 steht für Teil 2) hervorgegangen  sie beinhaltet den normativen Teil für die Zertifizierbarkeit eines Informationssicherheit-Managementsystems  die aktuelle Version ISO 27001 wurde am 15. Oktober 2005 herausgegeben  sie hat den Titel: „Information Security Management System - Requirements“
  • 19. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die in der ISO 27001 spezifizierten Anforderungen beschränken sich nicht nur auf die IT-Sicherheit als Technologie im engeren Sinne  die formulierten Anforderungen zwingen die Akteure im Prozessgeschehen dazu, sich gleichwertig mit allen Aspekten der Informationssicherheit (IS) zu befassen  die geforderte Einrichtung eines IS-Managementsystems (ISMS) verschafft anhand der Vorgabe eines kontinuier- lichen Verbesserungsprozesses zahlreiche systemische Vorteile um die permanent gegebene Herausforderung bei der Informationssicherheit zu bewältigen
  • 20. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 im Überblick  die ISO 27001 überprüft für eine Zertifizierung, ob die IS-relevanten Themengebiete aus der ISO 27002 behandelt sind und auch tatsächlich einem PDCA-Zyklus unterliegen:  Sicherheitsleitlinie  Methodik und Durchführung des Risikomanagements  Umsetzung von Maßnahmen aus der Risikobetrachtung  Kontroll-, Bewertungs- und Reaktionsszenarien  IS-Organisation  Bewusstseinsbildung, Schulung  Ressourcenmanagement  Dokumentenmanagement  Sicherheitsvorfallmanagement  Notfallmanagement  etc.
  • 21. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Informationssicherheit PDCA-Zyklus  IS PDCA-Zyklus (kontinuierlicher Verbesserungsprozeß) festlegen Plan Check Do Act Anforderungen und Erwartungen an IS Verbesserte IS umsetzen & durchführen prüfen & messen erhalten & verbessern
  • 22. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  die ISO 27002 ist nach folgendem Schema aufgebaut:  sie besteht aus einem 5-teiligen Prolog und 11 thematischen Bereichen („security control clauses“)  jeder Themenbereich umfaßt dabei Kategorien („main security categories“), die für ihn wichtige Themen formu- lieren (insg. 39 Kategorien über alle Bereiche hinweg) - für jede Kategorie werden definiert: - Sicherheitszielvorgaben („security objectives“) - Aufgaben/ Anforderungen („security controls“) - für die Anforderungen sind Umsetzungsvorschläge („security implementation guides“) zur Erfüllung der Zielvorgaben angegeben  die ISO 27002 umfasst insgesamt 133 Sicherheitsaufgaben („security controls“)
  • 23. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick  ein Prolog und elf Themenbereiche der ISO 27002  Prolog ohne Angabe von Aufgaben („security controls“) mit den fünf Abschnitten: „Introduction“, „Scope“, „Terms and Definitions“, „Structure of This Standard“ und „Risk Assessment & Treatment“ 1. Weisungen und Richtlinien zur Informationssicherheit / „Security Policy“ 2. Organisatorische Si-Maßnahmen und Managementprozess / „Security Organization“ 3. Verantwortung und Klassifizierung von Informationswerten / „Asset Classification and Control“ 4. Personelle Sicherheit / „Human Resources Security“ 5. Physische und umgebungsbezogene Sicherheit / „Physical and Environmental Security“
  • 24. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27002 im Überblick 6. Netzwerk- und Betriebssicherheit (Daten und Telefonie) / „Communications & Operations Management“ 7. Zugriffskontrolle / „Access Control“ 8. Systembeschaffung, -entwicklung und -wartung / „System Acquisition, Development & Maintenance“ 9. Umgang mit Vorfällen bei der Informationssicherheit / „Information Security Incident Management“ 10.Sicherstellung des Geschäftsbetriebs – Notfallvorsorgeplanung / „Business Continuity Management“ (BCM) 11.Einhaltung von gesetzlichen & sonstigen Vorgaben - Audits / „Compliance“
  • 25. www.holliday-consulting.com 02. Dezember 2010‹Nr.› ISO 27001 - Zertifizierung  welchen Nutzen bringt eine Zertifizierung?  das Thema Informationssicherheit wird durch eine Zertifizierungs- entscheidung ein wichtiges Anliegen der Geschäftsführung  Chance der Organisation auf Verbesserung und Optimierung von Prozessen, nicht nur der IS-spezifischen (Mitnahmeeffekt)  deutlich gesteigertes Risikobewusstsein verankert in der Unternehmensleitung, aber auch bei den Mitarbeitern (Transparenz der Risiken)  eine günstige Gelegenheit Informationssicherheit ins Mitarbeiter- bewusstsein als Teil der Unternehmenskultur zu integrieren  Etablierung von Verbesserungs- und Präventionszyklen im Sicherheitsmanagementsystem (KVPs)  effizientere Umsetzung durch externen Druck (ein blamables Ergebnis zur Zertifizierung will unbedingt vermieden werden)  verstärkte Integration des Sicherheitsbewusstseins bei Geschäftspartnern  eine Möglichkeit sich gegenüber nicht-zertifizierten Mitbewerbern abzuheben
  • 26. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  Begriffsdefinition „IT-Risikoanalyse“  Analyse von Gefährdungen, Bedrohungen & Schwachstellen - und - deren Schadensauswirkungen bei Informationen und Geräten zur Informationsverarbeitung - und – die Wahrscheinlichkeit des Auftretens dieser Risiken  Begriffsdefinition „IT-Risikomanagement“  Prozess der kostenmäßig vertretbaren Identifizierung, Beschränkung und Minimierung bzw. Elimination von Sicherheitsrisiken, die Informationen und Informations- systeme beeinträchtigen können
  • 27. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement  zentrale Aufgabe des IT-Risikomanagements  optimieren der Begegnung von Risiken durch Ausbalancierung von Schadenskosten versus Vorbeugekosten:  Vorbeugekosten  Schadenskosten  Risikenabdeck- kosten Kosten Grad der IS-Implementierung
  • 28. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikoanalyse  die Risikoanalyse besteht in der systematischen Betrachtung der Punkte:  Schaden für das Geschäft, der unter Berücksichtigung der potentiellen Folgen des Verlusts von  Vertraulichkeit  Integrität  Verfügbarkeit  Authentizität der Informationen und anderer Werte möglicherweise durch einen Sicherheitsausfall (Gefährdungen) entstehen kann  realistische Wahrscheinlichkeit, dass ein derartiger Ausfall angesichts der existierenden Bedrohungen und Schwachstellen und der derzeit implementierten Maßnahmen auftritt
  • 29. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Risikobewertung  metrisierte Risikobewertung: chutzbedarf betroffener Komponenten (5 - 10) edeutung der einzelnen Gefahr (1 - 10) uftretungswahrscheinlichkeit (1 - 10) S B A Risikobeurteilung KENNZAHL (RZ) = S B A 1 1000100 150 200 300 400 500 600 700 800 900 Risikobereich: zusätzliche Maßnahmen ergreifen Risikozahl (RZ) - Bewertung: Streu- Bereich Liste der Standardgefahren Risikozahl (RZ) - Ermittlung: 50 Bewertung Schadenswirkung Wahrscheinlichkeit
  • 30. www.holliday-consulting.com 02. Dezember 2010‹Nr.› IT-Risikomanagement Prozess Teilaktivität Behandlungsmanagement  Optionen für die Behandlung von Risiken sind:  Risiko-Vermeidung durch Umstrukturierung von Geschäftsprozessen oder des IT-Verbunds (z.B. durch Vermindern der Komplexität)  Risiko-Reduktion durch weitere Sicherheitsmaßnahmen  Risiko-Transfer auf eine andere Institution (z.B. durch Abschluß einer Versicherung oder Outsourcing)  die verbleibende Gefährdung und damit das daraus resultierende Risiko wird akzeptiert (Risiko-Übernahme)  die getroffenen Behandlungsentscheidungen werden im Risikomanagement-Plan dokumentiert  mit dieser Art von Risikomanagement-Plan werden die Risiken transparent gemacht!
  • 31. www.holliday-consulting.com 02. Dezember 2010‹Nr.› Web-Adressen zu IT-Sicherheit  empfehlenswerte Links zum Thema IT-Sicherheit  http://www.bsi.bund.de/grundschutz (BSI IT-Grundschutz)  http://www.heise.de/security (News, Basischecks)  http://www.sicher-im-netz.de (Fundgrube für KMUs)
  • 32. Holliday Consulting - Dipl.-Ing. Frank W. Holliday bedankt sich für Ihre Aufmerksamkeit und wünscht Ihnen weiterhin viel Erfolg für Ihre IT-Sicherheit! www.holliday-consulting.com