Post on 24-Jan-2015
description
transcript
Lotusday 2009Hagen, 8. September 2009 - Arcadeon
IT-Compliance durch IT-Sicherheit“ In God we Trust, Everything else we measure ”
Referent: Heiner FringsACT IT-Consulting & Services AG
B3
2 COPYRIGHT ACT © 2009
(IT)-Compliance durch IT-Sicherheit
Die Vortragspunkte:
Rechtliche Hintergründe?
Was muss ich tun, damit ich „compliant“ bin? Worauf muss ich achten?
Was leistet die ACT konkret?
Was passiert, wenn ich nicht „compliant“ bin?
3 COPYRIGHT ACT © 2009
Rechtliche Hintergründe
Was ist „IT-Compliance“ überhaupt?� Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien etc., d.h.
die Übereinstimmung des Handelns mit diesen Vorgaben .� Gegenstand von IT-Compliance: Werden diese Vorgaben in Bezug auf die
IT des Unternehmens eingehalten? Grundlage: Verschiedene Rechtsquellen� Wesentliche Bestimmungen:
� KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)
- Herausragend: § 91 Abs. 2 AktG.- Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
� BDSG (Bundesdatenschutzgesetz)� HGB (Handelsgesetzbuch) und AO (Abgabenordnung) i.V.m. GoBS
(Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
� Basel II (RICHTLINIE 2006/48/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (Neufassung)
4 COPYRIGHT ACT © 2009
(Fokus Außenverhältnis)• Sauber definierte Beziehungen zu anderen
Unternehmen, ( Bei Lieferung oder Inanspruchnahme von IT-
Dienstleistungen z.B.)
• Outsourcing-Projekten (SLA, OLA, UC)• Serviceproviding-Projekten ,,• ASP-Projekten ,,
Risiko-analyse
Commitment &Policies
Maßnahmen &Verantwortlich-keiten
Information & Kommunikation
Überwachung
Koordination aller
Elemente
(IT)-Compliance Was muss ich tun?
(Fokus Innenverhältnis)• Umsetzung der Compliance-Anforderungen durch
die IT sind z.B.:• Korrekte Funktionsweise der Anwendungssysteme• Verfügbarkeit und Verlässlichkeit im Betrieb• Schutz der Daten und Informationen• Sicherheit der IT-Infrastruktur• Frühzeitige Erkennung und Vermeidung
von Risiken• Transparenz, Nachvollziehbarkeit und
Dokumentation relevanter Prozesse
5 COPYRIGHT ACT © 2009
Commitment & Policies
Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung gesetzlicher Bestimmungen sowie die Einhaltung freiwilliger Vereinbarungen sicher stellen.
Zentrale Punkte:• Zieldefinition hinsichtlich der Compliance zu geforderten
(gesetzlichen) und freiwilligen Verpflichtungen• Durchgeführte Risikoanalyse • Formulierung einer Compliance Policy des Top
Managements unter Berücksichtigung der strategischen Unternehmensziele
• Förderung einer Compliance Kultur durch gelebte Umsetzung in der Unternehmensführung
• Etablierung von Überprüfungsmechanismen
6 COPYRIGHT ACT © 2009
Risikoanalyse
Bewertung und Priorisierung der identifizierten Compliance-Risiken im Hinblick auf mögliche Auswirkungen auf strategische Unternehmensziele, Geschäftsabläufe sowie persönliche Haftung von Mitarbeitern und Management.
Zentrale Punkte für die IT-Organisation:• Ist ein IT-Sicherheitsmanagement implementiert?• Ist ein IT-Risikomanagement implementiert?• Existiert ein Notfallkonzept für Systeme der IT und der Infrastruktur?• Ist ein Lizenzmanagement implementiert?• Sind zwischen Servicenehmern und –Gebern klare Agreements etabliert?
Zentrale Themen für die Organisation:• Bindende und regulatorische Verfahrensanweisungen in den
Unternehmen aufsetzen• Beobachtung und Früherkennung von Compliance-Themen• Auswirkungen im Falle eines Verstoßes, (Penalties)• Abgleich des Umfangs der ergriffenen Maßnahmen mit dem Risiko
und den Zielsetzungen des Vorstands und der Stakeholder?
7 COPYRIGHT ACT © 2009
Maßnahmen & Verantwortlichkeiten
Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung derAnforderungen sowie Absicherung durch geeignete Maßnahmen zur Vermeidung und Aufdeckung von Compliance-Verstößen
Zentrale Punkte für die IT-Organisation:• Die Umsetzung notwendiger Maßnahmen muss gemessen, dokumentiert und
sichergestellt werden• Wie wird die Qualität gemessen (KPIs), • Wie wird der Kontinuierliche Verbesserungsprozess KVP gewährleistet?
Zentrale Themen für die Organisation:• Adressierung einzelner Maßnahmen an die (de)zentralen Einheiten• Eindeutige Abgrenzung von Zuständigkeiten und Kompetenzen � Vermeidung Doppelaktionen und Lücken
• Dokumentation von Abläufen, Informations- und Berichtswegen in Richtlinien und Verfahrensanweisungen
• Definition von konkreten Rollenverteilungen und Aktionsplänen für kritische Situationen
8 COPYRIGHT ACT © 2009
Information & Kommunikation
Informationserhebung, interne und externe Berichterstattung zum Compliance-Status sowie Schaffung einer Kultur und eines Bewusstseins für die Einhaltung der Compliance im gesamten Unternehmen
Zentrale Themen:
• Bewusstseinssensibilisierung des Managements und der Mitarbeiter durch Schulungen und Arbeitskreise für eine angemessene Kommunikation bei Compliance Themen
• Wie und in welchen Intervallen wird der Vorstand über die Situation informiert?
• Wie und in welchen Intervallen werden Aufsichtsgremien, Investorenund Öffentlichkeit über die Compliance-Situation informiert?
• Wie werden Indikatoren zur Einhaltung der Anforderungen erhoben?• Wie wird die Erfassung, Kommunikation und Auswertung
von Compliance-Verstößen sichergestellt?
9 COPYRIGHT ACT © 2009
Überwachung
Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierlicheWeiterentwicklung/Nachhaltigkeit der Compliance und systematische Prüfung durch die Interne Revision, externe Gutachten und Sonderanalysen
Zentrale Themen:• Regelmäßige Überprüfung der Informationen zur Früherkennung
des Compliance Zustandes im internen Berichtsprozess • Wie erfolgt die Selektion und Freigabe von Compliance
Informationen für die externe Berichterstattung?• Wie werden die im Unternehmen implementierten Compliance-
Prozesse hinsichtlich Effektivität und Effizienz überprüft z.B. • durch Self Assessments• Audits• technische Messverfahren
• Berücksichtigung der Compliance Risiken bei der • der Internen Revision • strategischen Planung• und innerhalb des Risikomanagements
• Umsetzung des Anpassungsbedarfs am Compliance-System
10 COPYRIGHT ACT © 2009
ComplianceCompliance & IT& IT--SicherheitSicherheit
AuthentizitätEchtheit der Kommunikations-
partner
IntegritätUnversehrtheit und
Korrektheit der Daten
VerbindlichkeitDas Senden und Empfangen
von Daten kann nicht geleugnet
werden
VertraulichkeitDer unberechtigte Zugang zu
Daten wird unterbunden
VerfügbarkeitDer Zugriff auf die eigenen
Daten ist gesichert
• Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT-Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares Maß beschränkt sind.
11 COPYRIGHT ACT © 2009
Was liefern wir ?
� Eine IT-Security-Strategie muss immer über die
technischen Lösungen hinaus auch die recht-
lichen Aspekte berücksichtigen.
(z.B. BDSG, KonTraG, HGB, BGB, HIPAA)
Analyse der Rechtslage
� unterschiedliche Szenarien, welchen Be-
drohungen Unternehmen bei der Nutzung von
IT-Technologien ausgesetzt sind.
Bedrohungsanalyse
� Ein Schaden, der aufgrund unzureichender oder
nicht umgesetzter IT-Sicherheitsmaßnahmen
eintritt, hat immer finanzielle Auswirkung, oft
daneben auch erheblichen Imageverlust.
Letzteres ist der Grund für die hohen Dunkel-
ziffern.
Schadens- & Schutzbedarfsanalyse
� Finanzielle Schäden sind meist wesentlich höher,
als die Kosten für die jeweils erforderlichen
Sicherheitslösungen. In jeder Organisation muss
das Verhältnis individuell ermittelt werden.
Kosten/Nutzenanalyse
Analyze
Report
Optimize
Certify
Strukturiertes Herangehen
12 COPYRIGHT ACT © 2009
Auditierung nach BSI-Grundschutz, ISO2700x
13 COPYRIGHT ACT © 2009
Pro
dukt
am
Mar
kt
Ship-ment
ComplianceCompliance Check mit SicherheitsbrilleCheck mit Sicherheitsbrille
Zeitachse t
Innerhalb dieses Zeitfensters besteht eine akute Angriffsgefahr
Bekanntwerden einerSicherheitslücke weltweit (Zero Day)
Schließen der Lückeoder impl. Workaround
Less ThanZero Day Z e r o D a y V u l n e r a b i l i t i e s
Erkennen der Lücke durch die eigenen Spezialisten
Prozess: VulnerabilityManagement
Notwendigkeit:Aktuelles Wissen über alle
Vulnerabilities weltweit,
möglichst früher als die
Bekanntgabe durch die
Herstellern.
Phase: Erkennen
Ziel:Deutliches Verschieben des
Zeitpunktes
Erkenntnis, dass dieLücke eine Bedrohung für die eigene IT darstellt
Prozess: ComplianceManagement
Notwendigkeit:AktuelleKenntnis der
eigenen IT-Infrastruktur, ob
Lücken eine Bedrohung
darstellen und mit welchem
Schaden zu rechnen ist.
Phase: Bedrohungs- &Schadensanalyse
Ziel:Deutliches Verschieben des
Zeitpunktes
Prozess: Compliance ManagementErgebnis:Definiert zu treffende Behebungsmaßnahmen
Prozess: Incident ManagementDefiniert Impact und Priorität, leitet das an eine
zentrale Stelle weiter, überwacht den
Behebungsprozess
Prozess: Change ManagementEntscheidet über die Möglichkeiten der Behebung, der
Workarounds oder Alternativen. Richtet sich nach
vorgegebenen Standards. (PCI-Standard)
Phase: Behebung der Maßnahmen
Gesamtziel:Deutliches Verschieben des Behebungszeitpunktes.
Deutliches Verringern des Angriffzeitfensters
14 COPYRIGHT ACT © 2009
Nächster Schritt: Sicherheitsmanagement
� Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von verteilten Umgebungen
� Zentrale Zusammenführung der aktuellen Informationen als Basis exakter Entscheidungen
� Reporting mit Prioritäten für eine systematische und effiziente Beseitigung der Sicherheitslücken
� Maßnahmen mit Berücksichtigung der Auswirkung auf Ihre Geschäftsprozesse
� Intrusion-Detection, -PreventionSystem
� Malwareschutz� Integrierte intelligente Firewall
� Integration in IT-Servicemanagement� Incident-Management� Problem-Management� Change-Management
15 COPYRIGHT ACT © 2009
Risiko- & Notfallmanagement
Entspricht ihr Datensicherungskonzept den Anforderungen an die notwendigen Wiederherstellungsverfahren in Bezug auf• Lagerung der Sicherungen,• Zugriffsberechtigungen,• Verfügbarkeit im Notfall,• usw.
8
Sind die Verträge zur Leistungserbringung externer Dienstleister (Hersteller/Lieferanten) aktuell bzw. vollständig dokumentiert?Ist ein Verfahren etabliert, dass die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreibt?
7
Sind die Wiederherstellungsprozesse so beschrieben, dass die Wiederherstellungsreihenfolge präzise dokumentiert ist?
6
Gibt es ein Notfallkonzept, das regelt, durch welche Maßnahmen der IT-Betrieb nach einem Notfall in angemessener Zeit wieder aufgenommen werden kann? Stellen Sie fest, ob• Maßnahmen für den Notbetrieb sich in Einklang mit der Risikobeurteilung des Unternehmens befinden,• bei der Umsetzung der Maßnahmen eine Analyse der Geschäftsprozesse erfolgte und sichergestellt
wurde,• alle rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse abgedeckt werden,• Maßnahmen dokumentiert und Verfahren etabliert sind, die die Regeln zur Anpassung bzw. Änderung
dieser Dokumentation beschreiben,• Notfallmaßnahmen den Mitarbeitern bekannt sind.
5
Kennen Sie die notwendige Wiederherstellungszeit ihrer Prozesse nach einem Notfall?4
Können Sie den IT-Betrieb nach einem Notfall in einem definierten Zeitraum kontrolliert wiederherstellen?3
Welche Auswirkungen hat der Ausfall unternehmenskritischer IT-Prozesse für das Unternehmen (Umsatzverlust, zukünftige Auftragseinbußen, Zahlungsverpflichtungen, Vertragsstrafen, Ausfallzeiten des operativen Betriebs, Imageverlust)?
2
Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst? Wie ist der Begriff Notfall für Ihr Unternehmen definiert?
1
16 COPYRIGHT ACT © 2009
Risiko- & Notfallmanagement
Ris
iko-
anal
yse
Ris
iko-
man
agem
ent
Par
amet
erP
aram
eter
Identifikationder Risiken
Bewertungder Risiken
Identifikation derGegenmaßnahmen
Auswahl derGegenmaßnahmen
Beobachten undberichten
Planen undbeschaffen
• Identifizierung• Eintrittswahr-
scheinlichkeit• Auswirkungen
• Verhütung• Reduktion• Transfer• Maßnahmen • Akzeptanz
Kostenvs.
Eintrittswahrsch. und Auswirkung
• Risikoprofile• Risikobudget• Risikoowner• Eintrittsindikatoren• Risikoprotokoll
• Menschen• Material
• Risikofelder
17 COPYRIGHT ACT © 2009
Was passiert, wenn ich nicht „compliant“ bin?
Die zivilrechtliche Haftung� Werden innerhalb eines Unternehmens erforderliche Maßnahmen schuldhaft
nicht oder nicht hinreichend getroffen, so droht bei einem dadurch eingetretenen Schaden bei Dritten stets eine entsprechende Schadensersatzverpflichtung .
� Solche Schadensersatzansprüche ergeben sich dabei entweder � aus einem Vertrag mit dem Geschädigten (z.B. Kunde oder Lieferant) oder� aus Gesetz (z.B. §§ 823 ff BGB oder § 7 BDSG)
� Daneben besteht die zivilrechtliche Verantwortlichkeit der Organe des Unternehmens, sofern ihr – schuldhaftes – Handeln (Tun oder Unterlassen) Schäden für das Unternehmen bewirkt hat.
Die strafrechtliche Haftung� Neben der zivilrechtlichen Haftung kommt auch eine strafrechtliche
Verantwortlichkeit – je nach Einzelfall – in Betracht.
� z.B. bei Verstößen gegen das BDSG