1 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Informationssicherheit Überblick und Praxis
Andreas Kirsch, Security Assist GmbH
2 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Zu meiner Person Jahrgang 1965, verheiratet, drei Kinder
30 Jahre in der Sparkassenorganisation tätig
Davon 16 Jahre als Leiter IT-Revision und stellv. Leiter Interne Revision
Mandantenprüfungen für 12 Sparkassen durchgeführt
Seit 2016 als Management Consultant bei der Firma Security Assist tätig.
Beratung & Dienstleistung zu Informationssicherheit
Dienstleistung IT-Revision / Datenschutz / ISMS
Schulungen / Security-Awareness / BCM / Durchführung von Audit‘s
Qualifikationen
Diverse Fachseminare an den Sparkassenakademien
T.I.S.P – Teletrust Information Security Professional
IT-Security Manager
Datenschutzauditor (TÜV-Cert)
Externer Datenschutzbeauftragter (TÜV-Cert)
Security Awareness Koordinator (TÜV-Cert)
Cyber-Security Berater (nach VDS 3473)
BSI-Multiplikator zum „Erwerb der zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG“
3 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Sicherheitsmanagement Business Continuity Management Krisenmanagement
• Datenschutz
• Arbeitssicherheit
• Informationssicherheit
• Infrastruktursicherheit
• Security Awareness
• Geschäftsfortführung
• Wiederherstellung
• Notfallübungen
• Krisenbewältigung
Sicherheitsstrategie, -organisation und -prozesse
IT-Sicherheit Sicherheitstechnik Personelle
Sicherheitsdienstleistungen
• Gefahrenmeldetechnik
• Brandschutz
• Videoüberwachung
• Zutrittskontrolle
• Zeiterfassung
• Mechanische Sicherheit
• Objektschutz
• Empfangsdienst
• Geld- und Wertlogistik
• Kurier-/Belegguttransporte
• IT-Compliance
• IT-Revision
• Netzwerksicherheit
• Systemsicherheit
• Datensicherheit
• Content Security
oper
ativ
st
rate
gis
ch
Security Assist GmbH
4 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Geschäftsfelder
Prüfung
Optimierung
Umsetzung
Strategie
* Personelle Sicherheitsdienstleistungen
IT-
Sic
he
rhe
it
Arb
eit
ss
ich
erh
eit
Vo
rbe
ug
en
de
r
Bra
nd
sc
hu
tz
Mensch - Technik - Organisation
Sicherheit
Geschäft
sfe
ld 1
Geschäft
sfe
ld 3
RZ-Sicherheit
Sicherheitstechnik
Arbeitssicherheit /
vorbeugender
Brandschutz
Hafensicherheit
IT-Sicherheit
PSD*
RZ
- S
ich
erh
eit
Ha
fen
sic
he
rhe
it
Geschäft
sfe
ld 4
Geschäft
sfe
ld 2
Geschäft
sfe
ld 5
Geschäft
sfe
ld 6
Sic
he
rhe
its
tec
hn
ik
PS
D*
5 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Agenda
Begrüßung
Motivation für Informationssicherheit
ISO, BSI, ISIS12 und Co.
Informationssicherheit im laufenden Betrieb
Informationssicherheit in der Revisionspraxis
Prüffeld IT-Sicherheit
6 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Informationssicherheit
Als Informationssicherheit bezeichnet man Eigenschaften von
informationsverarbeitenden und -lagernden Systemen, welche die
Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.
Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der
Vermeidung von Schäden und der Minimierung von Risiken.
In der Praxis orientiert sich die Informationssicherheit heute unter anderem an
der ISO/IEC Standard-Reihe 2700x
Begriffsdefinition
Quelle: Wikipedia
7 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Die heutige Arbeitswelt
8 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Risiken
9 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Schäden
10 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Schäden
11 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Beispiel
12 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
BSI Lagebericht 2016 / Bekannte Schadprogramme
13 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Heise Online 21.10.2016
Wegen einer massiven DDoS-
Attacke sind die Services
großer US-Internetdienste,
darunter unter anderem Twitter,
Paypal, Netflix und Spotify,
am Freitagabend in Teilen der
USA und Europas zeitweise
nicht zu erreichen.
Das US-Unternehmen Dyn
teilte am Freitag mit, es
untersuche eine Reihe von
Angriffen auf seine DNS-
Infrastruktur.
Krebs‘ Spekulationen zielen in
die Richtung, dass Hacker ein
riesiges Botnet aus Smart
Devices aufgebaut haben
könnten.
Krebs‘ spricht davon, dass
schlecht abgesicherte Geräte,
etwa Überwachungskameras,
digitale Videorecorder und
private Router infiltriert worden
sein könnten.
Risiko: Das Internet der Dinge
14 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Motivation für IT-Sicherheit
Eigeninteresse
Schutz von Informationen und Wissen
Schutz der Investitionen
Schutz der Infrastrukturen
15 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Motivation für IT-Sicherheit
Stakeholder (Personen, die Ansprüche an ein Unternehmen stellen)
Kunden: zuverlässige / verfügbare Service- oder
Dienstleistung
persönliche Daten des Mitarbeiters
Investoren fordern Corporate Governance
(Führung und Überwachung eines Unternehmens)
16 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Motivation für IT-Sicherheit
Internet der Dinge
BYOD
Big DATA
Digitale Sorglosigkeit
Windows XP
SPAM
Cyper-Kriminalität Social Engineering
Social Media
Malware
Ransomware
Gesetzliche Anforderungen
Wettbewerb
Externe Vorgaben
17 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Begriffsdefinition
Ursache
Wirkung
18 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Begriffsdefinition
Konzeptionelle IT-Sicherheit
(Informationssicherheit)
Operative IT-Sicherheit
(IT-Sicherheit)
https://de.dreamstime.com/lizenzfreies-stockbild-tauziehen-image1143506
Verteidigungslinien ??
19 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Three lines of defence
20 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Agenda
Begrüßung
Motivation für IT-Sicherheit
ISO, BSI und Co.
Informationssicherheit im laufenden Betrieb
Informationssicherheit in der Revisionspraxis
Prüffeld IT-Sicherheit
21 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
ISMS, IT-Sicherheit, Standards....?
Müssen wir das machen?
Wo steht das geschrieben ?
Irgend jemand wird Ihnen garantiert mal diese Frage stellen.
22 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Rechtliche Vorgaben / Pflicht oder Kür?
Risikoabsicherung Versicherungen, Eigenkapital (Basel II und Basel III)
Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG)
Datenschutz (EU-DSGVO, BDSG, Teledienstdatenschutz, TKG, etc.)
Allgemeine Geheimhaltungspflichten, Bankgeheimnis (KWG)
Auskunft- und Nachweispflichten (HGB, Steuerrecht, GoBD, etc.)
Sarbanes-Oxley Act (SOX)
IDW, FAIT,……
23 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Informationssicherheit nach BSI
Ein angemessenes IT-Sicherheitsniveau kann daher in zunehmendem Maße
nur durch geplantes und organisiertes Vorgehen aller Beteiligten durchgesetzt
und aufrechterhalten werden.
Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von IT-
Sicherheitsmaßnahmen ist somit ein durchdachter und gesteuerter
IT-Sicherheitsprozess.
Diese Planungs- und Lenkungsaufgabe wird als IT-Sicherheits-
management bezeichnet.
BSI Standard 200-1 (Anforderungen an ein ISMS)
Konform zu ISO 27001
Kompakter Einstieg: „Leitfaden zur Basis-Absicherung nach IT-Grundschutz:
In 3 Schritten zur Informationssicherheit“
24 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Forderung nach einem ISMS
MaRisk (Mindestanforderung das das Risikomanagement)
AT 7.2 – Textziffer 2
Durch die Implementierung eines IT-Sicherheitsmanagements, das auf gängigen Standards
basiert, sollten die Anforderungen des Unternehmens bzgl. der
Integrität (Sicherstellung der Datenvollständigkeit und -richtigkeit sowie Verhinderung von
Datenmanipulationen),
der Verfügbarkeit (Schutz vor unbefugter bzw. nicht vorhersehbarer Vorenthaltung von
Informationen oder Daten, maximale tolerierbare Ausfalldauer),
der Authentizität (Echtheit bzw. Rechtsgültigkeit der Daten und Ergebnisse) und
der Vertraulichkeit für die Daten und Anwendungen (Schutz vor unbefugter Preisgabe von
Informationen) ermittelt und die Sicherheit der Informationsverarbeitung gesteuert werden
25 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
IDW (Institut der Wirtschaftsprüfer) Prüfungsstandard 330
„Abschlussprüfung bei Einsatz von Informationstechnologie“
Risikoindikator „Know-How und Ressourcen“
Trotz der fortschreitenden Technik im IT-Bereich, ist der Faktor „Mensch“
für die Risikoanalyse unvermindert von Bedeutung. Wesentlich für den IT-
Betrieb und die Geschäftsabwicklung ist aktuelles und spezifisches
Fachwissen.
Dies gilt nicht nur für die IT-Spezialisten in den IT-Abteilungen, sondern
auch für die Anwender des eingesetzten IT-Systems.
26 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
IDW (Institut der Wirtschaftsprüfer) Prüfungsstandard 330
„Abschlussprüfung bei Einsatz von Informationstechnologie“
Risikoindikator „IT-Infrastruktur“
Risiken der IT-Infrastruktur müssen durch ein auf das Bedürfnis des
Unternehmens gerichtetes Sicherheitskonzept und die daraus abgeleiteten
technischen und organisatorischen Kontrollen bewältigt werden.
Als wesentliche Voraussetzung für die Beurteilung des IT-Kontrollsystems
hat der Abschlussprüfer die Angemessenheit der Bewertung der IT-
Fehlerrisiken durch die Unternehmensleitung im Rahmen der Umsetzung der
IT-Strategie und des Sicherheitskonzeptes zu beurteilen.
27 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
IDW Stellungnahme zur Rechnungslegung FAIT 1
Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT
Kapitel 4.1
Voraussetzungen für ein geeignetes IT-Umfeld sind eine angemessene
Grundeinstellung zum Einsatz von IT und ein Problembewusstsein für
mögliche Risiken aus dem IT-Einsatz bei der Geschäftsführung und
den Mitarbeitern.
Zu einem geeigneten IT-Umfeld gehört auch das Bewusstsein für die
IT-Sicherheit im Unternehmen. Dieses ist zugleich eine wesentliche
Bedingung für die angemessene Umsetzung des IT-Sicherheitskonzeptes.
28 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Sarbanes Oxley Act (SOX)
SOX gilt für amerikanische börsenotierte Unternehmen
auch für ausländische Tochtergesellschaften und deren
Kooperationspartner.
Dafür wurde in der 8. EU-Richtline Euro-SOX verabschiedet
SOX stellt in Section 404 umfangreiche Anforderungen
Es wird auf Best-Practice-Ansätze verwiesen.
Vertraulichkeit, Verfügbarkeit und Integrität als Basisziele
SOX empfiehlt die Umsetzung von ISO 27001
Weitere Ziele können zusätzlich mit CobiT erreicht werden.
29 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
KontraG
Umfangreiches Artikelgesetz aus dem Jahre 1998
Haftung der Vorstände wurde erweitert
Aufbau eines Risikomanagementsystems wird empfohlen
Der Aufbau umfasst auch IT-Sicherheit
Vertraulichkeit, Verfügbarkeit und Integrität als Basisziele
Anforderungen aus KontraG können mit der Umsetzung der
ISO-27001 erfüllt werden.
30 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
IT-Sicherheitsgesetz (ITSiG) / BSIG
Unter einem Information Security Management System (ISMS) versteht
man einen Teilbereich des Unternehmens-Managementsystems, das die
IT-Sicherheit behandelt.
Im Rahmen der IT Sicherheitsgesetz (ITSiG) werden dabei die
geforderten branchenspezifischen Mindeststandards für die
Informationssicherheit durch die Anforderungen an ein ISMS flankiert….
Um im Sinne des ITSiG ein nachhaltiges und angemessenes
Sicherheitsniveau zu erreichen, sind von Betreibern kritischer
Infrastrukturen Anforderungen an die Absicherung von Systemen in allen
Phasen eines Prozesses zu berücksichtigen, zu überprüfen und durch
verantwortliche Sicherheitsverantwortliche freizugeben.
31 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Warum also ein
Informationssicherheitsmanagement?
Wachsende Anforderungen durch steigende Komplexität
Langfristige Sicherung der Geschäftsgrundlage durch Umsetzung
eines (auch wirtschaftlich) angemessenen Sicherheitsniveaus
Konformität zu gesetzlichen Regelungen
Wettbewerbsfähigkeit
Erfüllung von Anforderungen durch Partner oder Versicherungen
Angemessenes Sicherheitsniveau, sinnvolle Umsetzung und
Erfolgskontrolle
……..
32 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Informationssicherheit vs. Risikomanagement
Informationssicherheit hat in den letzten Jahren in den
Unternehmen zunehmend an Bedeutung gewonnen.
Informationssicherheit ist verstärkt zum Bestandteil des internen
Risikomanagement geworden.
Ein Risikomanagement angereichert mit Aspekten der
Informationssicherheit wird zunehmend von WP-Gesellschaften
eingefordert.
33 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Welcher Standard ist für mein Unternehmen relevant?
34 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Welcher Standard ist für mein Unternehmen relevant?
Wie heißt es immer so schön?
Es kommt darauf an…….
Was für eine Unternehmensform haben Sie?
Was sind Ihre Treiber für IT-Sicherheit?
Ohne eine geordnetes Informationssicherheitsmanagement (ISMS)
geht es nicht und das funktioniert in den meisten Fällen nur auf
Basis eines anerkannten Standards.
Ihr Vorstand/Geschäftsführer muss entscheiden welcher Standard in
Ihrem Unternehmen umgesetzt wird.
Wichtig ist, dass der bevorzugte Standard dokumentiert ist.
35 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Was gibt es alles auf dem Markt?
Standards für die Erstellung, Auditierung und Zertifizierung von
IT-Sicherheit haben sich seit vielen Jahren etabliert.
BSI Standards zum IT-Grundschutz (Konform zu ISO 27001)
ISO-Norm 27001 (Einführung eines ISMS) und 27002 (Best-Practice)
ISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten)
VDS 3473 (Cyber-Security für kleine und mittlere Unternehmen)
Unternehmensspezifische Standards
SITB in Sparkassen
Forum-ISM in Geno-Banken
Sonstige Standards
ITIL (IT-Infrastructure Library)
ISO 20000 (Norm zum IT Service Management ITSM)
Cobit (Control Objectives for Information and Related Technology)
36 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Agenda
Begrüßung
Motivation für IT-Sicherheit
ISO, BSI und Co.
Informationssicherheit im laufenden Betrieb
Informationssicherheit in der Revisionspraxis
Aktuelle Prüffelder zur IT-Sicherheit
37 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Welche Aufgaben hat mein ISMS?
Die Formulierung von Sicherheitszielen
Die Formulierung des Anwendungsbereiches (Scope)
Die Bestimmung der Assets (Werte)
Die Risikobeurteilung
Die Risikobehandlung
Die kontinuierliche Verbesserung (PDCA)
…..
38 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Was muss mein ISMS darstellen?
Sicherstellung und Aufrechterhaltung von IT-Sicherheit
Stichwort PDCA – Plan Do Check Act
Aufgaben im IT-Sicherheitsmanagement
Etablierung einer IT-Sicherheitsorganisation
Erstellung von IT-Sicherheitskonzepten
Angemessene IT-Sicherheitsmaßnahmen zum Umgang mit Risiken
Rollen und Verantwortlichkeiten
Top-Down-Ansatz muss gewährleistet sein
39 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Wie muss mein ISMS organisiert sein?
Festlegen des ISMS
Umsetzung und Durchführung des ISMS
Überprüfen des ISMS
Verbessern des ISMS
40 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Warum IT-Sicherheitsmanagement?
Quelle: https://www.it-daily.net/it-sicherheit/enterprise-security/8330-informationssicherheit-richtig-managen-die-neue-iso27001-2013
41 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
IT-Sicherheitsmanagement?
Quelle: https://www.it-daily.net/it-sicherheit/enterprise-security/8330-informationssicherheit-richtig-managen-die-neue-iso27001-2013
T
O
P
-
D
O
W
N
42 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Schutzbedarf
In der IT-Sicherheit dreht sich alles darum, Unternehmenswerte
(Assets) zu schützen.
Gegen was genau und in welchem Ausmaß etwas zu schützen ist,
beschreibt der Schutzbedarf.
Im Zuge einer Schutzbedarfsfeststellung wird dabei der Grad des
erforderlichen Schutzes definiert.
Schutzziele:
Vertraulichkeit
Verfügbarkeit
Integrität
43 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Risiko
Mit der Berechnung des Risikos für eine mögliche Verletzung eines
Schutzziels visualisiert man die Höhe einer Gefährdung und macht sie
dadurch erst handhabbar.
Der Eintritt eines Risikos verhindert die Erreichung eines Schutzziels
und mithilfe der Risikoberechnung wird das Risiko des Eintretens
quantifiziert.
Wie gehe ich mit Risiken um?
Das Risiko kann eliminiert werden.
Das Risiko wird akzeptiert und damit getragen.
Ein Risiko kann aus dem eigenen Verantwortungsbereich ausgelagert werden.
In den häufigsten Fällen wird man ein aufgedecktes Risiko reduzieren wollen.
44 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Das Dilemma von KMU, Dienstleister oder Kommunen
Welche externen Anforderungen sind gegeben?
Welcher Standard ist für mich der richtige Standard?
Wie viel Kosten kommen auf mich zu?
Habe ich geeignetes Personal zur Umsetzung?
Wie schnell lässt sich eine geeignete Umsetzung realisieren?
Existierende und markterprobte Standards sind für den Mittelstand in
der Regel zu komplex.
Insofern werden einfache Verfahren für den Mittelstand benötigt.
„Man sollte alles so einfach wie möglich sehen - aber auch
nicht einfacher.“ (Albert Einstein)
45 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
ISIS12 – 3 Fakten
ISIS12 (kurz für Informations-Sicherheitsmanagement System in 12
Schritten) ist ein Modell zur Einführung eines Information Security
Management System (ISMS).
Es beinhaltet eine Untermenge der Forderungen der IT-
Grundschutz-Kataloge und der ISO/IEC 27001 und soll es auf diese
Weise dem Mittelstand einfacher machen, Informationssicherheit
systematisch herzustellen.
ISIS12 bildet eine unabhängig zertifizierbare Einstiegsstufe in ein
ISMS, wobei eine Kompatibilität zu IT-Grundschutz und ISO/IEC 27001
und somit die Möglichkeit für ein späteres "Upgrade" gewahrt bleibt
46 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
ISIS in 12 Schritten
47 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
VDS 3473 – 3 Fakten
Die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere
Unternehmen (KMU) der VdS Schadenverhütung GmbH enthalten Vorgaben
und Hilfestellungen für die Implementierung eines Informations-
sicherheitsmanagementsystems sowie konkrete Maßnahmen für die
organisatorische sowie technische Absicherung von IT-Infrastrukturen.
Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen
ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu
gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern.
Die Richtlinien stehen nicht im Widerspruch zu ISO 27001 oder IT-
Grundschutz, so dass bei Bedarf, z.B. wegen gesetzlichen oder regulatorischen
Vorgaben, jederzeit „aufgerüstet“ werden kann.
48 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
VDS 3473
49 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Sind Sie Betreiber einer kritischen Infrastruktur?
BSIG regelt IT-Sicherheit zum Schutz Kritischer Infrastrukturen
Präzisierung der KRITIS- Auswahlkriterien erfolgt in BSI-KritisV
Zwei Körbe (Mai 2016 und Juni 2017)
Betreiber hat zum Schutz der Kritischen Infrastrukturen die Pflicht zur
Umsetzung angemessener Maßnahmen nach Stand der Technik
Branchenspezifische Sicherheitsstandards (B3S) können dies präzisieren
Betreiber muss Nachweise zur Umsetzung erbringen (Prüfpflicht)
Betreiber hat Registrier- und Meldepflicht, BSI hat Informationspflicht
50 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Agenda
Begrüßung
Motivation für IT-Sicherheit
ISO, BSI und Co.
Informationssicherheit im laufenden Betrieb
Informationssicherheit in der Revisionspraxis
Aktuelle Prüffelder zur IT-Sicherheit
51 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Revision und ISMS
Die Revision hat risikoorientiert und prozessunabhängig die
Wirksamkeit und Angemessenheit des Risikomanagement im
Allgemeinen und des internen Kontrollsystems…….zu prüfen und zu
beurteilen….. dazu gehören auch die IT-Risiken
Definition von Prüffeldern mit besonderen Risiken……
Das ISMS ist aufgrund seiner zentralen Rolle zur Reduzierung der
IT-Risiken innerhalb des Unternehmens als ein solches Prüffeld mit
besonderen Risiken zu definieren.
52 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Revision und ISMS
Die Revision hat einen umfassenden und jährlich
fortzuschreibenden Prüfungsplan zu erstellen.
Alle Aktivitäten und Prozesse sind in angemessenen Abständen
grundsätzlich innerhalb von drei Jahren zu prüfen.
Besondere Risiken (auch IT-Risiken) sind jährlich zu prüfen.
Geschäftskritische Prozesse sind mit in den Prüfungsplan zu
integrieren. Stichwort: BIA (Business Impact Analyse)
Das erfordert im Bereich ISMS eine permanente Beobachtung der
Risikolage und eine Nachjustierung sofern sich die Risikolage ändert.
53 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Revision und ISMS
Um die identifizierten Veränderungen in die Risikobewertung mit
einfließen zu lassen muss der IT-Prüfer über adäquate Informationen
verfügen.
Dafür ist es zwingend notwendig:
das der IT-Prüfer in die Risikomelde- und -bewertungsprozesse im
Unternehmen eingebunden ist.
das der IT-Prüfer Bestandteil des ISM-Teams ist.
das der IT-Prüfer in Alarmmeldewege oder im Krisenstab
eingebunden ist.
Achtung: Der IT-Prüfer darf die dritte Verteidigungslinie nicht verlassen.
54 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Agenda
Begrüßung
Motivation für IT-Sicherheit
ISO, BSI und Co.
Informationssicherheit im laufenden Betrieb
Informationssicherheit in der Revisionspraxis
Prüffeld IT-Sicherheit
55 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Aktuelle Prüffelder im Bereich IT-Sicherheit
Informationssicherheitsmanagementsystem (ISMS)
Welcher Standard wurde festgelegt und umgesetzt?
Wie sind die Rollen und Verantwortlichkeiten definiert?
Existiert eine IT-Security Policy?
Existiert eine IT-Strategie?
Wie wird die Aufrechterhaltung des ISMS sichergestellt?
Welche IT-Risiken sind definiert worden?
Welche Maßnahmen zur Risikoreduzierung wurden vorgenommen?
Welche Restrisiken wurden definiert und übernommen?
…..
56 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Aktuelle Prüffelder im Bereich IT-Sicherheit
Schutzbedarfsanalyse (SBA)
Existiert eine aktuelle Schutzbedarfsanalyse?
Existiert eine Informationsklassifizierung?
Sind die Schutzbedarfsklassen plausibel und schlüssig?
Wie sieht die Risikobehandlung aus?
Wird der Schutzbedarf auf Prozesse und/oder Anwendungen
durchgeführt?
Einbindung in das ISMS?
57 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Ein Blick in die Zukunft
Übergreifende Strukturanalyse
58 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Ein Blick in die Zukunft
Schutzbedarf prozessbezogen auf Basis von Informationscluster
59 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Ein Blick in die Zukunft
Konsistente Vererbung des Schutzbedarfs im Geschäftsprozess
60 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Danke für Ihre Aufmerksamkeit
61 © Andreas Kirsch, Security Assist
Security Assist GmbH
Unsere Erfahrung Ihre Sicherheit
Security Assist GmbH
Management Consultant
Martin-Schmeißer-Weg 12a
44227 Dortmund
Tel. 0231 - 476448-46
Mobil 01577 - 1965286
Andreas Kirsch [email protected]
Visitenkarte