Cyber Security im Kontext des IT-Sicherheitsgesetz · Prozessen und Diensten 31.10.2016!...

Cyber Security im Kontext des

IT-SicherheitsgesetzKonformität. Angemessenheit.

Technologie vs. Governance?

Kennzahlen 2015

Umsatz in Mio. € 1.881

Auslandsanteil (in %) 50,6

EBIT (in %) 5,4

Mitarbeiter (-innen) 19.630

Auslandsanteil 11.587

Standorte:

Über

500 69Ländern

Auf allen Kontinenten zuhause.

31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz2

27%

24%24%

10%

8%7%

Industrie

Service

Produkte

Mobilität

Academy

& Life Care

ICT &

Business

Solutions

Systeme

Umsatz nach Geschäftsbereichen.


Weltweite Standorte

Umsatz 2015:

Geschäftsfelder

IT-Services & Cyber Security

Telco Solutions & Consulting

133 Mio. €

Die Welt von ICT & Business Solutions.


TÜV Rheinland i-sec. Informations- und IT-Sicherheit.

Führender unabhängiger Dienstleister

für Informationssicherheit in Deutschland

Beratungs- und Lösungskompetenz

in ganzheitlicher Informationssicherheit

– von der Steuerungsebene bis ins

Rechenzentrum inkl. betriebsunter-

stützender Leistungen

Exzellente Technologie-Expertise,

umfassendes Branchen-Know-how,

Partnerschaften mit Marktführern

International zählen wir im Verbund

mit unserer Schwestergesellschaft OpenSky

zu den wichtigsten unabhängigen Anbietern


Zertifiziert nach ISO 27001 und ISO 9001

Finanzen

Automobil

Energiewirtschaft

Chemie/Pharma

Telekommunikation

Int. Mischkonzerne

Transport/Logistik

Öffentlicher Dienst

Handel

15 x Sales

20 x Security Engineering

60 x Management

Beratung

45 x Professional Service

und Betrieb

TÜV Rheinland i-sec GmbH. Fakten und Zahlen.

Cyber Security im Kontext des IT-Sicherheitsgesetz6

Standorte

Deutschland

Köln (HQ)

München

Gelnhausen

Saarbrücken

Fachliches

Kompetenz-

team

Kernbranchen und

Sitz unserer Kunden

Deutschland

Österreich

Schweiz

31.10.2016

Projekteinsatz an 25.000 Tagen in 2015!

Lösungskompetenz. Informations- und IT-Sicherheit.


Zielsetzung

und Strategie

Steuerung

und Planung

Konzeption

und Implemen-

tierung

Betrieb Prüfung1 2 3 4 5

Business-anforderung

Strategie

Steuerungs-prozesse

Managementder Informations-sicherheit

Datenschutz und Datensicherheit

IT Risikomanage-ment nach ISO 31000 und 27005

ISMS, BCM undGRC Toolauswahl/-einführung

Sichere Architek-turen und Prozesse für Netzwerke, Rechenzentren, Mobil

Anwendungs-sicherheit

Sicherheitim Betrieb

Betrieb (MSS) und Support von IT Security Lösungen

APT - Computer Security Incident Response Team (CSIRT)

Sicherheitsaudits

Zertifizierung von Prozessen und Diensten

31.10.2016

Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung.!

Abkürzungsverzeichnis

ISMS = Information Security Management SystemBCM = Business Continuity ManagementGRC = Governance, Risk und ComplianceAPT = Advanced Persistent Threat – gezielte CyberangriffeMSS = Managed Security Services

Referent.


Funktion: Principal Consultant - TÜV Rheinland i-sec GmbH

Fachgebiete: ISMS, BCM, IT-Notfallmanagement, IT-GRC

Qualifikationen: Associate member of the bci (AMBCI)

Certified ISO 22301:2012 BCM Lead Auditor

IT Compliance Manager - ITCM (ISACA )

Zertifizierter betrieblicher Datenschutzbeauftragter

Fachkundiger und geprüfter IT-Security-Manager (UDIS)

Geprüfter IT-Security-Beauftragter (TÜV, TAR-Zert)

Kontakt:

Arne Helemann

+49 174 188 02 [email protected]

mailto:[email protected]

Agenda


12345

Update IT-Sicherheitsgesetz

Zwischenfazit IT-Sicherheitsgesetz

TÜV Rheinland Erfahrungen aus Projekten

Lösungsansatz - Aufbau ISMS

Praxisbeispiel vom Geschäftsprozess zur Maßnahme

6 Use Cases unserer Partner

Update. IT-Sicherheitsgesetz I/III.


Allg. Betreiber

Kritischer

Infrastrukturen

Verpflichtung zur Warnung der Kunden, bei Missbrauch von

Kundenanschlüssen

Hinweispflicht der Provider an die Kunden, wie eine Beseitigung der

Störungen erfolgen kann

Erhöhte Anforderungen an techn. & org. Maßnahmen

Schutz der Kundendaten & der genutzten IT-Systeme

Angemessene Absicherung der IT nach Stand der Technik

- sofern nicht andere Spezialregelungen bestehen

Überprüfung alle zwei Jahre

Meldung erheblicher IT-Sicherheitsvorfälle an das BSI

Betreiber von

Webangeboten

Telekommunikations-

unternehmen

* In Kraft getreten am 25. Juli 2015

Adressaten und Schwerpunkte des IT-Sicherheitsgesetzes*

Update. IT-Sicherheitsgesetz II/III.

Meldepflicht betrifft aktuell Betreiber von Kernkraftwerken und TK-Unternehmen, sowie

KRITIS-Betreiber der Sektoren*

- Energie

- Informationstechnik

- Telekommunikation

- Ernährung

- Wasser


Meldepflicht

* Gem. KRITIS-Verordnung vom 03. Mai 2016.

Regelungen für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit folgen im zweiten Teil der Rechtsverordnung.

Update. IT-Sicherheitsgesetz III/III.

KRITIS-Verordnung (Erster Teil) ist am 03. Mai 2016 in Kraft getreten

- Betroffene Sektoren:

- Energie, Informationstechnik, Telekommunikation sowie Ernährung und Wasser

- Ziel: Messbare und nachvollziehbare Kriterien, anhand derer Betreiber prüfen

können, ob sie unter den Regelungsbereich fallen

- Bestimmung des Versorgungsgrades anhand von Schwellenwerten

- Regelschwellenwert von 500 000 versorgten Personen

Zweiter Teil der KRITIS-Verordnung wird bis Anfang 2017 erwartet

- Finanzen, Transport, Verkehr und Gesundheit

Es wird von insgesamt nicht mehr als 2.000 Betreibern Kritischer Infrastrukturen in den

regulierten sieben Sektoren ausgegangen

Spezifische Regelungen für Anforderungen und Meldewege sind über

Branchenverbände möglich (aktuell z.B. IT-Sicherheitskatalog der BNetzA)


Aktueller Stand

Herausforderung. Stand der Technik.

"Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist

schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen

Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen,

konkrete technische Anforderungen bereits im Gesetz festzulegen.

Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel

anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-

Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen

Bereich ermitteln.

Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung

unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und

abschließend zu beschreiben.


Stand der Technik

Quelle: BSI, https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html

Agenda


12345







Zwischenfazit. IT-Sicherheitsgesetz.

Der zweite Teil der KRITIS-Verordnung steht noch aus (Erwartet bis Anfang 2017)

Unruhe und Verunsicherung bei Unternehmen,

- ob man direkt / indirekt unter das Gesetz fällt

- in Bezug auf branchenspezifische Lösungen

- bezgl. der Überprüfung der Einhaltung der Vorgaben

- bezgl. der Meldung von Vorfällen

Aktuelle Auswirkung:

Viele Unternehmen zögern mit der Umsetzung von Maßnahmen in Bezug auf IT- und

Informationssicherheit

Vielfach unzureichendes Verständnis für Bedarf nach IT- und Informationssicherheit

- Empfinden, dass IT- und Informationssicherheit nur als Compliance-Erfüllung

notwendig ist

- Notwendigkeit und Mehrwerte von gesteuerter IT- und Informationssicherheit

werden vielfach nicht wahrgenommen


Zwischenfazit

Agenda


12345







Erfahrungen. TÜV Rheinland.

Hohe Unsicherheit in Bezug auf regul. und gesetztl. Anforderungen

- Probleme in der Festlegung des Anwendungsbereiches

ISMS als reines Werkzeug der Compliance

Nachhaltige, strategisch gesteuerte Informationssicherheit oft ein Lippenbekenntnis

- Historische Aufteilung von Verantwortlichkeiten (Kompetenzgerangel)

- Keine gemeinsame, Unternehmensübergreifende Strategie – Zielsetzung

- Unzureichende Koordination von Governance, Technik und Managementsystemen

Aufbau von ISMS ohne

- Wandel in Kultur und Philosophie

- angemessene Ausrichtung an Unternehmenszielen und -strategie

Immer noch Reduktion von Informationssicherheit auf IT-Sicherheit

Notfallmanagement vielfach untergeordnetes Thema


Erfahrungen / Problemstellungen

Agenda


12345







Lösungsansatz. Aufbau ISMS.

Ein ISMS sichert die Wahrung der

- Vertraulichkeit,

- Integrität

- und Verfügbarkeit

- (Authentizität als zusätzliches Sicherheitsziel, gem. IT-Sicherheitsgesetz)

von Informationen unter Anwendung eines Risikomanagementprozesses.

Ein ISMS ist als Basis für eine gesteuerte Umsetzung der Anforderungen des IT-

Sicherheitsgesetz zu sehen

Das ISMS ist integraler Teil der Abläufe einer Organisation

Durch das ISMS werden techn. und org. Maßnahmen risikoorientiert gesteuert

Ein gutes ISMS spiegelt einen ganzheitlichen Ansatz mit max. Nutzen wider


Definition Informationssicherheitsmanagementsystem (ISMS)

Anforderungen. Nur IT-Sicherheitsgesetz?


Gesetzliche Anforderungen

BSI IT-Grundschutz

Die

nstle

iste

r

Firmenkultur

Au

fsic

hts

be

hö

rden

Interne Regularien

Branchenstandards

Supply Chain

Kunden

Risikomanagement

Risikoorientierung

Outsourcing

Re

pu

tati

on

Betriebssicherheit

Lieferanten

ISO 27001

An

ge

me

ssenhe

it

Wir

tsch

aft

lic

hk

eit

NotfallfähigkeitKoopera

tionspart

ner

Geschäftsanforderungen

IT-Sicherheit

Wirtschaftsprüfer

Informationssicherheit. Definition.


1 (ISO/IEC 27001), ggf. Ergänzung der Authentizität gem. IT-Sicherheitsgesetz

Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen1

Informationssicherheit beinhaltet

IT-Sicherheit als Leistungsdomäne

Informationssicherheit berücksichtigt

zusätzlich weitere Themen, z.B.

- Strategie, Compliance, Prozesse

- Personal Sicherheit, Physische Sicherheit

- Business Continuity Management

- Risikomanagement

- Techn. und org. Maßnahmen

Fokus auf Schutzbedarf der Informationen

- Vertraulichkeit

- Verfügbarkeit

- Integrität

- Authentizität

Management der Informationssicherheit.

Ein Lösungsansatz.


Zielsetzung: GANZHEITLICHE LÖSUNG. Steuerung durch Top-Level Management.

Strategische

Ausrichtung

!

Netzwerk

Clients

Server

Gebäudesicherheit

ISMS Prozesse (z.B. Riskmanagement, Management Reviews, Metriken)

Betriebsprozesse (standardisieren, dokumentieren)

Verfahrens- und Arbeitsanweisungen

Sicherheitsbewusstsein schaffen – Awareness

Informationssicherheits-Managementsystem (ISMS)

Interaktion mit bestehenden Managementsystemen (z.B. QMS, Riskmgmt)

Ausrichtung an Unternehmenszielen und -strategie

Integration Top-Level Management

Anpassung an Firmenkultur und -philosophie

Organisatorische

und betriebliche

Maßnahmen

Technische

Maßnahmen

Ganzheitlicher Ansatz. Der Weg zum Ziel.


Organisation

Mensch Technik

Governance

Risk

Compliance

Wertschöpfung

Information Prozesse Ziele Zeit

CRM

HR

IKS

ISMS

BCM

RMS

DS

ISO27001

CobiT

ISO31000

IT-SiG

BS25999

IT-Grund-

schutz

COSO

Gesellschaft

Politik

Umweltfaktoren

Branchen

standards

Informationssicherheit.


1

Top-Level

Management

Informations-

sicherheit als

Aufgabe des

Top-Level

Management.

Strategische

Einbindung.

2

Compliance

Kenntnis der

Anforderungen

an das ISMS

(Gesetzte,

Regularien,

Verträge,

Erwartungen)

3

Interaktion

Interaktion mit

bestehenden

Management-

systemen und

zwischen

Geschäfts-

bereichen

4

Governance

Übergeordnete

Koordination

und Steuerung

von

Maßnahmen

und Aktivitäten

5

Wandel

Wandel

bestehender

Strukturen

(org. und

kulturell)

6

Mind

Change

Ermutigung

aller

Mitarbeiter zu

offenem, risiko-

orientierten

Verhalten

Erfolgsfaktoren

Organisation

Ein Beispiel. IS Management durch ein ISMS.


Dienstleistung ISMS-Forderungen Betriebliche Anforderungen

Strategien, Planungen, Visionen

Prozesse, Rollen, Strukturen

Verfahren, Lösungen

Prozesse, Kommunikation, Daten

Gebäude, Infrastruktur

Bereich Organisation

Fachbereiche

Informationstechnik

Infrastruktur-Technik

Management

ISMS

Security Forum, Policies

Technische/Organisatorische

Maßnahmen

Technische/Organisatorische

Maßnahmen

Technische Maßnahmen

Management Commitment

Ca. 80% der Maßnahmen bei der Einführung eines ISMS sind organisatorischer Art!!

Agenda


12345







Praxisbeispiel. Kunde im Energiesektor I/V.


Analyse Tätigkeitsfelder. Anforderungen an ein ISMS.

Praxisbeispiel. Kunde im Energiesektor II/V.


1. Detaillierung. Analyse relevanter Prozesse / Bereiche.

Praxisbeispiel. Kunde im Energiesektor III/V.


2. Detaillierung. Identifikation Informationen / Systeme.

Praxisbeispiel. Kunde im Energiesektor IV/V.


3. Detaillierung. Erstellung Übersicht über alle Ebenen.

Praxisbeispiel. Ableitung von Maßnahmen.


Ableitung von techn. und org. Maßnahmen auf Basis von:

Internen und externen Anforderungen

- Z.B. (Konzern) Richtlinien, Kunden, Partner, Prüfer

Vertragl. und regulativen Vorgaben

- Z.B. Gesetze, Verträge, Verordnungen

Risikomanagement

- Z.B. ISMS, Corporate Risk-Management, IT-Risk-Management, BCM, IKS

Incident Management

- Z.B. Behandelte Vorfälle, identifizierte Schwachstellen

Best-Practices

- Z.B. Themen, die immer relevant sind und keiner dedizierten Anforderung bedürfen

Viele verschiedene Quellen mit Anforderungen an Maßnahmen

Überschneidungen und Widersprüche sind nicht auszuschließen!

Maßnahmenauswahl. Der Weg zum Erfolg.

Identifikation von Handlungsbedarf

Definition von Verantwortlichkeiten

Abstimmung mit relevanten Bereichen (tech. & org.)

Analyse rechtlicher Rahmenbedingungen

Definition von Zielen und Bewertungskriterien (Lastenheft)

Marktanalyse, inkl. Bewertung gem. Bewertungskritereien

Konzeption, inkl. Prozess und Dokumentation

Durchführung Proof of Concept

Ggf. gesteuerter Roll-Out

Fortlaufende Pflege und Überwachung der Maßnahmen / Aktivitäten

Optional:

- Messung der Effektivität der Maßnahmen / Aktivitäten

- Anpassung oder Deaktivierung der Maßnahmen / Aktivitäten


Ganzheitliches Maßnahmenmanagement

Agenda


12345







Projekterfahrung. Handlungsbedarf.

Identifizierung interner und externer Angriffe / Angreifer

- Verhaltensorientiert

- Korrelation von Sensoren-Daten

Revisionssichere Kontrolle und Monitoring

- IT-Systeme, Applikationen & Aktivitäten

Log Management

- Zentral und plattformübergreifend

Verschlüsselung & Authentifizierung

- On Premise & Cloud-Umgebungen

Automation des ISMS (tech. / org.)

- GRC-Tools

- Qualifiziertes Reporting (techn. Systeme)

Vulnerability management

Incident Management


Top Themen aus aktuellen Projekten

Partner vor Ort.


Arne HelemannPrincipal Consultant, Information

Security and Application Services

TÜV Rheinland i-sec GmbH

Am Grauen Stein

51105 Köln

Tel: +49 221 56783 275

Fax: +49 221 806 1580

[email protected]

www.tuv.com/informationssicherheit

Fragen?

mailto:[email protected]

http://www.tuv.com/informationssicherheit

Regelmäßig aktuelle Informationen im

Newsletter und unter www.tuv.com/informationssicherheit

VIELEN DANK FÜR

IHRE AUFMERKSAMKEIT!


Kennzahlen 2015

Umsatz in Mio. € 1.881

Auslandsanteil (in %) 50,6

EBIT (in %) 5,4

Mitarbeiter (-innen) 19.630

Auslandsanteil 11.587

Standorte:

Über

500 69Ländern

Auf allen Kontinenten zuhause.


27%

24%24%

10%

8%7%

Industrie

Service

Produkte

Mobilität

Academy

& Life Care

ICT &

Business

Solutions

Systeme

Umsatz nach Geschäftsbereichen.


Weltweite Standorte

Umsatz 2015:

Geschäftsfelder

IT-Services & Cyber Security

Telco Solutions & Consulting

133 Mio. €

Die Welt von ICT & Business Solutions.


TÜV Rheinland i-sec. Informations- und IT-Sicherheit.

Führender unabhängiger Dienstleister

für Informationssicherheit in Deutschland

Beratungs- und Lösungskompetenz

in ganzheitlicher Informationssicherheit

– von der Steuerungsebene bis ins

Rechenzentrum inkl. betriebsunter-

stützender Leistungen

Exzellente Technologie-Expertise,

umfassendes Branchen-Know-how,

Partnerschaften mit Marktführern

International zählen wir im Verbund

mit unserer Schwestergesellschaft OpenSky

zu den wichtigsten unabhängigen Anbietern


Zertifiziert nach ISO 27001 und ISO 9001

Finanzen

Automobil

Energiewirtschaft

Chemie/Pharma

Telekommunikation

Int. Mischkonzerne

Transport/Logistik

Öffentlicher Dienst

Handel

15 x Sales

20 x Security Engineering

60 x Management

Beratung

45 x Professional Service

und Betrieb

TÜV Rheinland i-sec GmbH. Fakten und Zahlen.


Standorte

Deutschland

Köln (HQ)

München

Gelnhausen

Saarbrücken

Fachliches

Kompetenz-

team

Kernbranchen und

Sitz unserer Kunden

Deutschland

Österreich

Schweiz

31.10.2016

Projekteinsatz an 25.000 Tagen in 2015!

Lösungskompetenz. Informations- und IT-Sicherheit.


Zielsetzung

und Strategie

Steuerung

und Planung

Konzeption

und Implemen-

tierung

Betrieb Prüfung1 2 3 4 5

Business-anforderung

Strategie

Steuerungs-prozesse

Managementder Informations-sicherheit

Datenschutz und Datensicherheit

IT Risikomanage-ment nach ISO 31000 und 27005

ISMS, BCM undGRC Toolauswahl/-einführung

Sichere Architek-turen und Prozesse für Netzwerke, Rechenzentren, Mobil

Anwendungs-sicherheit

Sicherheitim Betrieb

Betrieb (MSS) und Support von IT Security Lösungen

APT - Computer Security Incident Response Team (CSIRT)

Sicherheitsaudits

Zertifizierung von Prozessen und Diensten

31.10.2016

Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung.!

Abkürzungsverzeichnis

ISMS = Information Security Management SystemBCM = Business Continuity ManagementGRC = Governance, Risk und ComplianceAPT = Advanced Persistent Threat – gezielte CyberangriffeMSS = Managed Security Services

Cyber Security im Kontext des IT-Sicherheitsgesetz · Prozessen und Diensten 31.10.2016!...

Documents

Transcript of Cyber Security im Kontext des IT-Sicherheitsgesetz · Prozessen und Diensten 31.10.2016!...