ISO/IEC 27001 - Aktuelles zur IT-Sicherheit
Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft . 1010 Wien
Seite 2 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Überblick
§ Norm – Anhang A normativ § Haftung § Praxis § Tools § Zusammenfassung
Seite 3 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Seite 4 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
IT-Zivilingenieure nach Ziviltechnikergesetz
§ Beraten § Planen § Prüfen § Treuhandschaften – „Technischer Notar“ § Urkundsfähigkeit - Zertifizierung nach ZTG §4 Abs. 3
§ Abgrenzung zum Gewerbe § keine ausführenden Tätigkeiten § keine Störungsbehebung aber z.B. Störungsanalyse § kein Vertrieb von Software und Hardware, daher § kein Interessenskonflikt mit gewerblichen Unternehmen
Seite 5 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
ISO 27001 INFORMATIONSTECHNOLOGIE - SICHERHEITSTECHNIK INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEME
1Norm
Seite 6 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Die ISO-27001-Norm
Informationstechnologie - Sicherheitstechnik Informationssicherheits-Managementsysteme – Anforderungen
spezifiziert die Anforderungen für § Herstellung, Einführung, Betrieb, § Überwachung, Wartung und § Verbesserung eines dokumentierten Informationssicherheits-
Managementsystems unter § Berücksichtigung der IT-Risiken innerhalb der gesamten
Organisation
Seite 7 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
ISO-27001-Norm
Informations-
Technologie
Sicherheits-
Technik
IS-Management
Seite 8 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
ISO-27001-Norm - Praxis
Informations-
Technologie
Sicherheits-Technik IS-Management
IS-Management
Seite 9 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Aufbau der ISO-27001 0. Einleitung 1. Anwendungsbereich 2. Normative Verweisungen 3. Begriffe 4. Informationssicherheits-Managementsystem 5. Verantwortung des Managements 6. Interne ISMS-Audits 7. Management-Überprüfung des ISMS 8. Verbesserung des ISMS 9. Anhang A (normativ*) Maßnahmenziele und Maßnahmen * Normativbestimmungen im Gesellschaftsrecht sind gesetzliche Vorschriften
Seite 10 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
2
PRAKTISCHE BEISPIELE
Praxis
Seite 11 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Technischer Teil
Anhang A (normativ)
Seite 12 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Anhang A (normativ) Maßnahmenziele und Maßnahmen
§ A.5 Sicherheitspolitik (2) § A.6 Organisation der Informationssicherheit intern/extern (11) § A.7 Management von Vermögenswerten (5) § A.8 Personelle Sicherheit (9) § A.9 Physische und umgebungsbezogene Sicherheit (13) § A.10 Management der Kommunikation und des Betriebes (32) § A.11 Zugriffskontrolle (25) § A.12 Beschaffung, Entwicklung und Wartung von IT-Systemen (16) § A.13 Management von Informationssicherheits-Vorfällen (5) § A.14 Betriebl. Kontinuitätsmanagement (Business Continuity) (5) § A.15 Einhaltung von Verpflichtungen (10)
Seite 13 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Netzsicherheit
Seite 14 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Schutz vor Schadsoftware und Mobiles
Seite 15 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Elektronische Nachrichten
Seite 16 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Kryptographische Massnahmen
Seite 17 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Aufwandsverteilung
Applikation
Netzwerk
Kommunikation
Seite 18 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
3Tools
Seite 19 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Technisches Assessment
SP
iCE
1-2
-1 fü
r 270
00
Seite 20 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Sicherheitstechnische Analysen
Seite 21 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Sicherheitstechnische Compliance
Che
ckpo
int S
mar
tDas
hboa
rd
Seite 22 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Technische Geschäftsprozess Modellierung
Seite 23 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Risikoanalysen
ISO
270
01 m
it C
RIS
AM
®
Seite 24 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
4
HAFTUNG UND STRAFBESTIMMUNGEN GESELLSCHAFTER, VORSTÄNDE, LEITER IT UND ADMINISTRATOREN
Haftung
Seite 25 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Haftungen in der IT(Vortrag 2012, bei CMS Wien)
Minenfeld für ... § Gesellschafter § Vorstände § Geschäftsführer § Leiter IT § Administratoren (Artikel c‘t 12/2013)
Seite 26 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Haftungsrisiken für Administratoren*
*c‘t Ausgabe 12/2013
§ Spielregeln für Unternehmen und Organisationen § Haftung des Mitarbeiters § Beweislast § Direkte persönliche Haftung § Theorie und Praxis § Zwischen den Stühlen § Bitten um schriftliche Weisungen § Fachleute benachrichtigen § Hart auf hart (Fazit)
Seite 27 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Strafbestimmungen I
§ Strafgesetzbuch (StGB) § § 118a (1) - Widerrechtlicher Zugriff auf ein
Computersystem - Geldstrafe oder bis zu 6M Haft § § 119 (1) - Verletzung des
Telekommunikationsgeheimnisses: Geldstrafe oder bis zu 6M Haft
§ § 119a (1) - Missbräuchliches Abfangen von Daten: Geldstrafe oder bis zu 6M Haft
§ § 126b - Störung der Funktionsfähigkeit eines Computersystems: Geldstrafe oder bis zu 6M Haft
§ § 126c - Missbrauch von Computerprogrammen oder Zugangsdaten: Geldstrafe oder bis zu 6M Haft
Seite 28 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Strafbestimmungen II
§ Strafgesetzbuch (StGB) § §§ 122ff StGB: Verletzung Betriebsgeheimnis;
Strafrahmen: bis 3 Jahre § § 246 StGB: Staatsfeindliche Verbindungen;
Strafrahmen: bis 5 Jahre § § 252 StGB: Verrat von Staatsgeheimnissen;
Strafrahmen: bis 10 Jahre § § 242 StGB: Hochverrat; Strafrahmen: bis 20 Jahre
§ Datenschutzgesetz §52 bis €18.890,- § Mediengesetz §7 bis €20.000,- § Telekommunikationsgesetz §109 bis €58.000,-
Seite 29 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
5Zusammen-fassung
Seite 30 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Zusammenfassung § Komplexität - groß § Infrastruktur - umfassend § Technologie - vielfältig § Compliance in Technik und Recht – steigt § Risiko – wächst
§ Die ISO 27001 hilft inhaltlich und strukturell bei der Umsetzung der IT-Sicherheit in Unternehmen und Organisationen
Seite 31 ISO/IEC 27001 - Aktuelles zur IT Sicherheit
Haben Sie noch Fragen?
Besten Dank für Ihre Aufmerksamkeit!