I S M S Prozess

[Virtual Presenter] Guten Tag und herzlich Willkommen! In unserem Vortrag werden wir uns heute mit der Sicherheit in Information Security Management Systemen (ISMS) auseinandersetzen. Wir erläutern, wie sich organisatorische, technische und rechtliche Themen miteinander vereinen lassen, um ein ISMS erfolgreich zu implementieren und konfliktträchtige Themen wie die DSGVO und das BDSG in der Organisation zu vereinen. Wir werden in unserer Präsentation eine Reihe interessanter und wichtiger Themen behandeln und freuen uns auf Ihre Aufmerksamkeit..

[Audio] IT-Sicherheit ist ein wichtiger Bestandteil der Informationssicherheit. Dabei geht es darum, Informationstechnologie vor unerlaubten Zugriffen und Manipulationsversuchen zu schützen. Ein weiteres Ziel der Informationssicherheit ist der Schutz von Informationen, um die Verfügbarkeit, Vertraulichkeit und Integrität zu gewährleisten. Der Schutz personenbezogener Daten bezieht sich auf den Schutz vertraulicher Informationen über Einzelpersonen. Unternehmenssicherheit umfasst neben IT-Sicherheit, Informationssicherheit und Datenschutz auch Arbeitnehmer- und Personenschutz. Cyber-Sicherheit beinhaltet den Schutz der Gesellschaft vor Angriffen, die durch den Einsatz von Informations- und Kommunikationstechnologie sowie durch Abhängigkeiten von Informationen möglich sind..

[Audio] Bei der Vertraulichkeit geht es darum, dass Informationen nur von autorisierten Benutzern gelesen oder verändert werden dürfen. Was die Integrität anbelangt, müssen alle Änderungen an Informationen transparent und nachvollziehbar sein. Die Verfügbarkeit betrifft schließlich den Zugriff auf Daten durch autorisierte Personen oder Benutzer innerhalb eines vorher vereinbarten Zeitrahmens. Sie muss gewährleistet sein, um ein effektives ISMS aufzubauen. Es geht bei der Vertraulichkeit darum, dass Informationen nur von autorisierten Benutzern gelesen oder verändert werden dürfen. Was die Integrität betrifft, müssen alle Änderungen an Informationen transparent und nachvollziehbar sein. Bezüglich der Verfügbarkeit gilt, dass der Zugriff auf Daten durch autorisierte Personen oder Benutzer innerhalb eines vorher vereinbarten Zeitrahmens gewährleistet sein muss, um ein effektives ISMS aufzubauen..

[Audio] In der Informationssicherheit gibt es verschiedene Komponenten, wie Authentizität, Verbindlichkeit oder Nichtabstreitbarkeit, Zurechenbarkeit und Revisionsfähigkeit. Authentizität bezieht sich auf die Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. Verbindlichkeit oder Nichtabstreitbarkeit bedeutet, dass die durchgeführten Handlungen nicht verleugnet werden können. Zurechenbarkeit bezeichnet die eindeutige Zuordnung der Handlungen an einen Kommunikationspartner. Abschließend ist noch die Revisionsfähigkeit zu nennen, bei der Änderungen an Daten nachvollziehbar dokumentiert werden..

[Audio] In dieser Folie sehen wir die Zutaten, die notwendig sind, um ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Wir müssen Normen und Standards, Recht und Compliance, technische und organisatorische Sicherheit, Organisationsziele, Prozesse, Leit- und Richtlinien, Risikoanalyse sowie Prüfungen und Audits berücksichtigen. Alle diese Elemente müssen miteinander in Verbindung gebracht werden, um ein effektives ISMS zu entwickeln, das alle erforderlichen Komponenten enthält..

[Audio] Diese Tabelle stellt den konzeptionellen Rahmen dar, der für ein effektives Informationssicherheitsmanagementsystem notwendig ist. Strategisch ist eine Sicherheitsleitlinie zu erarbeiten und einzuführen. Auf organisatorischer Ebene sind Regeln für das Benutzerverhalten und Sicherheitskonzepte formulieren. Auch technische Dokumente, wie Handlungsanweisungen, sollten standardisiert sein. Um die Umsetzung effektiv zu steuern, ist es sinnvoll, eine Stabsstelle CISO einzurichten sowie Grundsätze und Arbeitsabläufe festzulegen..

[Audio] Vor uns liegt eine Liste von Rechtsvorschriften, die die Informationssicherheit in Deutschland regeln. Die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), das IT-Sicherheitsgesetz (2015) sowie die Erweiterung durch das IT-Sicherheitsgesetz 2.0 sorgen dafür, dass Angriffe im Cyberraum abgewehrt werden können. Der Umsetzungsplan Bund – Leitlinie für Informationssicherheit in der Bundesverwaltung – und die BSI-Kritisverordnung (BSI-KritisV) bestimmen kritische Infrastrukturen, während das KonTraG (Kontroll- und Transparenzgesetz) Mindestanforderungen zum Risikomanagement definiert..

[Audio] Für die Erfüllung von Anforderungen ergeben sich verschiedene Quellen, die in unterschiedliche Kategorien unterteilt werden können. Zu den gesetzlichen und regulatorischen Anforderungen zählen u.a. KonTraG, HGB, AO, DSGVO, BDSG, ITSiG, KRITIS, IT-SiKat und GoBD. Darüber hinaus ergeben sich Anforderungen aus Verträgen mit Kunden, Lieferanten, Projektpartnern oder Versicherungen. Weitere Anforderungen können sich durch den Markt, die Öffentlichkeit, Konzern Shareholder oder TISAX ergeben. Darüber hinaus müssen auch die Anforderungen der Mitarbeitenden, der Geschäftsprozesse und der Technik berücksichtigt werden. All dies trägt dazu bei, Risiken zu identifizieren und zu reduzieren, um Sicherheitsvorfälle zu vermeiden..

IT-Sicherheitslage der niedersächsischen Landesverwaltung.

[Audio] Informationssicherheit ist kein Produkt, das man einfach von der Stange kaufen kann. Vielmehr muss sie bedarfsgerecht etabliert und in bestehende Abläufe oder Produkte integriert werden, damit vorhandene Produkte wirksam unterstützen. Darüber hinaus ist Informationssicherheit kein Projekt, sondern ein Prozess, der kontinuierlich überprüft, verbessert und an neue Rahmenbedingungen angepasst werden muss. Die Umsetzung erfordert ein Informationssicherheitsmanagement (ISM), das regelmäßig geprüft, gewartet und weiterentwickelt werden muss..

[Audio] Die Normenreihe ISO 27000 stellt ein international anerkanntes Regelwerk dar und spielt eine zentrale Rolle bei der Konzipierung und Implementierung eines Information Security Management Systems (ISMS). Weitere Normen und Standards, die in ein ISMS integriert werden können, sind BSI-Standards, -Richtlinien, IT-Grundschutzkataloge, ITIL/ISO 20000, ISO 22301, CobiT, Common Criteria, ISO/IEC 19790, PCI-DSS und NIST SP-800-x. Alle diese Normen und Standards tragen zu einer effektiven Konzeption und Umsetzung eines funktionstüchtigen Information Security Management Systems bei..

[Audio] Ein wichtiges Instrument zur Sicherheitskontrolle sind Rahmenwerke. Sie stellen eine Formulierung von Sicherheitsrichtlinien, Verfahren, Prozessen und Abläufen dar, die die Sicherheit eines Systems, einer Organisation oder eines Unternehmens gewährleisten. Die häufigsten Rahmenwerke sind ISO 27000, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Grundschutz. ISO 27000 ist ein internationaler Industriestandard, während das BSI einen Katalog veröffentlicht hat, der die notwendigen Sicherheitsparameter enthält, um den internationalen Standard ISO 27001 zu erfüllen. Dieser Katalog ist mit dem Grundschutz gleichwertig..

[Audio] Richtlinien sind ein essenzieller Bestandteil beim Entwurf eines ISMS. Sie geben vor, wie ein Unternehmen Aufgaben im Bereich der Sicherheit abdecken soll. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilt diese Richtlinien in sieben Bausteingruppen, die wiederum in verschiedene Bereiche unterteilt sind. Diese Bausteingruppen sind Standorte, SYS-IT, Netze, Anwendungen, Infrastruktur, Betrieb und Detektion. Diese Bausteingruppen beinhalten auch verschiedene Impulsgeber, Standards und Konzepte, die für ein erfolgreiches ISMS unerlässlich sind..

[Audio] BSI Grundschutz definiert drei Sicherheitsniveaus: Basis, Standard und erhöhter Schutzbedarf. Ab Niveau 2 ist eine Zertifizierung möglich, die Voraussetzung für das höchste Niveau 3 ist eine Schutzbedarfsanalyse. Ziel ist es also, prinzipiell zertifizierbar zu sein..

[Audio] Die Abschätzung des Bedeutungsrahmens der Informationswerte einer Organisation ist ein wesentlicher Schritt bei der Implementierung eines ISMS. Um zu bestimmen, inwieweit die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten geschützt werden müssen, sollten definierte Schadensszenarien betrachtet werden. Diese können aus dem IT-Grundschutz stammen und beinhalten etwa Verstöße gegen Gesetze, Vorschriften oder Verträge, Schäden an der persönlichen Unversehrtheit, Beeinträchtigungen der Aufgabenerfüllung, finanzielle Auswirkungen oder negative Wirkungen nach innen oder außen. Die Abschätzung des Bedeutungsrahmens der Informationswerte einer Organisation ist ein wesentlicher Schritt bei der Implementierung eines ISMS. Um zu bestimmen, inwieweit die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der Daten geschützt werden müssen, sollten definierte Schadensszenarien untersucht werden. Diese können aus dem IT-Grundschutz stammen und beinhalten etwa Verstöße gegen Gesetze, Vorschriften oder Verträge, Schäden an der persönlichen Unversehrtheit, Beeinträchtigungen der Aufgabenerfüllung, finanzielle Auswirkungen oder negative Wirkungen nach innen oder außen..

[Audio] Vielen Dank, dass Sie meine Präsentation besucht haben, die Ihnen einen Einblick in das Information Security Management System und die rechtlichen Aspekte, wie die DSGVO und BDSG, geben sollte. Falls Sie weiterführende Fragen oder Anmerkungen haben, lassen Sie es mich bitte wissen. Ich danke Ihnen nochmals für Ihre Aufmerksamkeit..