Post on 18-Jun-2020
ISIS12 UND DATENSCHUTZ –SYNERGIEN NUTZEN UND MEHRWERT SCHAFFEN
FELIX STRUVE
PROJEKTLEITER
BAYERISCHER IT-SICHERHEITSCLUSTER E.V.
DAS BAYERISCHE IT-SICHERHEITSCLUSTER
Gründung:
• 2006 als Netzwerk (Cluster) in Regensburg
• 2012 Eröffnung der Geschäftsstelle Augsburg
• 2013 Überführung in einen Verein (ca. 130 Mitglieder)
Mitglieder:
• Im Bayerischen IT-Sicherheitscluster haben sich Unternehmen der IT-Wirtschaft und
• Unternehmen, die Sicherheitstechnologien nutzen sowie
• Hochschulen, Weiterbildungseinrichtungen und
• Juristen zusammengeschlossen
ISIS12 – ISMS FÜR KMO
• ISIS12 = Informations-SIcherheitsmanagementSystem in 12 Schritten
• Entwickelt vom „Netzwerk Informationssicherheit für den Mittelstand“ (NIM) innerhalb des Bayerischen IT-Sicherheitsclusters e.V.
• Vorgehensmodell zur Einführung eines ISMS speziell für KMU / KMO (Kleine und Mittlere Organisationen)
• Verständlich beschriebener 12-stufiger Prozess (inkl. spezieller Software)
3
ISIS12 – ISMS FÜR KMO
• Informationssicherheit =IT-Security + Prozesse + Regelungen + Mitarbeiter
• Wie kann Informationssicherheit gewährleistet werden?
IS- Es wird ein Sicherheitsprozess initiiert (top down)- Technik und Organisation sind zu betrachten- Anpassung der Sicherheitsmaßnahmen / Prozesse (KVP)- PDCA (Plan-Do-Check-Act)
ISMS
4
AUSGANGSLAGE
5
WARUM INFORMATIONSSICHERHEIT UND
DATENSCHUTZ
IT-Sicherheitsgesetz (IT-SiG)
Risk Management z.B. KontraG
Datenschutz BDSG
Haftungsfragen
Regulierung / Corp. Governance
(z. B. SOX, Basel III)
Compliance (regulatorische z.B. BNetzA)
EU-Datenschutzgrundverordnung (EU-
DSGVO)
Rechtliche Vorgaben Eigeninteresse
Schutz von Informationen und Wissen
Schutz der Infrastrukturen
Image in der Öffentlichkeit
Cloud Thematik und Cloud-Lizenzmodelle
Chancen und auch Herausforderungen der
Digitalisierung
Attraktivität des Arbeitgebers
Moderne Arbeitsplatzgestaltungen
Gefährdungslage
Haftungsfragen
öffentliche Kunden
Zuverlässige Serviceleistungen
sichere Infrastrukturen
E-Business
Entwicklungspartnerschaft
Know-how Schutz
Cloud Thematik
Open-Government
Schutz der Kundendaten
Kundenanforderungen
6
WAS IST SCHON SICHER?
• Ein System kann nur gegen etwas gesichert sein
=> Bedrohungen und Schwachstellen identifizieren
• 100 % Sicherheit gibt es nicht!• Sicherheit vs. Freiheit
• Kosten vs. Nutzen
• Technische Sicherheit ist nicht gleich Sicherheit• Der menschliche Faktor ist oft das größte Risiko
=> Informationssicherheit als ganzheitliches Thema
7
GRUNDBEGRIFFE
8
Bedrohung (Threat)
Script KiddieWirtschafts-spionage
Schwachstelle (Vulnerability)
z.B.UngepatchteGeräteUninformierte Mitarbeiter
Asset
Daten: z.BPläneFinanzdatenMitarbeiterdaten
MUSS DAS SEIN?
Wenn wir alles umsetzen, dann kommen wir vor lauter Regelungen nicht mehr zum arbeiten…
9
INFORMATIONSSICHERHEIT TRIFFT
DATENSCHUTZ
10
INFORMATIONSSICHERHEIT TRIFFT
DATENSCHUTZ
11
2. INFORMATIONSSICHERHEIT TRIFFT
DATENSCHUTZ
• Die TOMs des BDSG (§9 Anlage BDSG) werden erwachsen
• Integration von Informationssicherheit und Datenschutz
• Grundwerte (ISIS12 und DS-GVO)
• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Belastbarkeit (resilience)
• Sinnvolle Verknüpfung von IT-Security, Technik, Prozessen, Organisation und Recht
• Spiegelt sich auch in den aktuellen personellen Besetzungen der Datenschutz-Aufsichtsbehörden wieder
12
ISIS12 – ISMS FÜR KMO
• Was zeichnet ISIS12 aus?
• Verständlich beschriebener 12-stufiger Prozess, der den Einstieg ins ISMS erleichtert
• 12-stufiger Prozess als Workflow abgebildet
• ISMS wird mit IT-Service Management verknüpft
• Entwickelt für KMU, Kommunen und NGO (KMO)
• Spezifischer ISIS12-Maßnahmensatz wird vorgegeben (inkl. BDSG bzw. DS-GVO-Baustein)
13
3. ISIS12 – ISMS FÜR KMO
• Was ist ISIS12?
14
3. ISIS12 – ISMS FÜR KMO
15
ISIS12 – ISMS FÜR KMO
• Gibt es ISIS12 Software Unterstützung?
• ISIS12 Software: Programmiert von Harald Hornung im Auftrag des Bayerischen IT-Sicherheitscluster e.V. (https://isis12.it-sicherheitscluster.de/software/ )
• Dazu weitere Anbieter am Markt z.B.• DocSetMinder (GRC Partner GmbH)
• IRIS (ibi Systems GmbH)
16
ISIS12 – ISMS FÜR KMO
• Architektur
Initialisierungsphase Schritte 1-2
Aufbau- und Ablauforganisation
Schritte 3-5
Entwicklung und Umsetzung ISIS12
KonzeptSchritte 6-12
17
ISIS12 – ISMS FÜR KMO – SYNERGIEN
DATENSCHUTZ
18
SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
19
4. SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Baustein Datenschutz B 1.5 des ISIS12 Katalogs
• M 2.900 (D) Verantwortung der Leitungsebene
• M 2.901 (D) Datenschutzbeauftragter
• M 2.902 (D) Verzeichnis der Verarbeitungstätigkeiten
• M 2.903 (D) Datenschutzgerechte Technikgestaltung
• M 2.904 (D) Auftragsverarbeitung
• M 2.905 (D) Informationspflichten
• M 2.906 (D) Zusätzliche Informationen
• M 2.907 (D) Werbe Einwilligungserklärungen
• M 2.908 (D) Auskunftsrechte Betroffener
• M 2.909 (D) Datenportabilität
• M 2.910 (D) Rechtmäßigkeit der Verarbeitung
• M 2.911 (D) Datenschutzmanagementsystem
• M 2.912 (D) Sicherheit der Verarbeitung – Risikoanalyse
• M 2.913 (D) Datenschutz-Folgenabschätzung
• M 2.914 (D) Datenschutzverletzungen
20
SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Schritt 5 – IT Service Management-Prozesse
• IT Service-Management (ITSM) mit drei Basis Prozessen• Wartung
• Änderung
• Störungsbeseitigung
• Beschrieben als Prozess-Steckbriefe bzw. Prozess-Modellierung
• Jedem Prozess ist eine verantwortliche Person zugeordnet
21
Aufb
au u
nd A
bla
ufo
rganis
ation
SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Schritt 5 – IT Service Management-Prozesse
Zu diesen ISIS12 Prozessen können die Datenschutzprozesse
• Meldung Sicherheitsvorfall
• Auskünfte und Rechte Betroffener
ergänzt werden
22
Aufb
au u
nd A
bla
ufo
rganis
ation
SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Schritt 5 – IT Service Management-Prozesse
• Meldung von Sicherheitsvorfällen (Artt. 33, 34)
23
Aufb
au u
nd A
bla
ufo
rganis
ation
4. SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Schritt 5 – IT Service Management-Prozesse
24
Aufb
au u
nd A
bla
ufo
rganis
ation
• Betroffenenrechte (Artt. 15-21)
SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Schritt 6 – Kritische Anwendungen identifizieren
• Ermittlung durch Interviews mit dem einzelnen Fachabteilungen• Typische Frage: „Welche Programme sind für die Erledigung Ihrer Fachaufgabe
wesentlich? “• Interviews mit Abteilungsleitern sowie mit Mitarbeitern, die mit den operativen
Tätigkeiten vertraut sind
• Abgleich der Ergebnisse mit der IT-Abteilung• Abgleich auf Vollständigkeit• Bestimmung wichtiger IT-Services (Unterstützungsprozesse)
• Abgleich der Ergebnisse mit dem Datenschutzbeauftragten• Verzeichnis der Verarbeitungstätigkeiten ( Art. 30 DS-GVO)
25
Entw
icklu
ng u
nd U
msetz
ung
ISIS
12 K
onzept
SYNERGIE / KONVERGENZ: DS-GVO / ISIS12
• Schritt 6 – Kritische Anwendungen identifizieren
26
Entw
icklu
ng u
nd U
msetz
ung
ISIS
12 K
onzept
FAZIT
27
FAZIT
• FRAGE: IST DATENSCHUTZ/GDPR OHNE INFORMATIONSSICHERHEIT MACHBAR?
• ANTWORT:NICHT MACHBAR – NICHT SINNVOLL!
• Ist ISIS12 die richtige Wahl für Sie?• Testen Sie verschiedene Standards aus, es ist wie Schuhe kaufen.
28
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!
Kontakt:
Felix Struve
Bayerischer IT-Sicherheitscluster e.V.
Franz-Mayer-Str. 1
93053 Regensburg
Tel.: 0941/604 88 9 15
Mail: felix.struve@it-sec-cluster.de