Enterprise Protection Betriebskonzept IT Security – NUBIT 2003
description
Transcript of Enterprise Protection Betriebskonzept IT Security – NUBIT 2003
![Page 1: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/1.jpg)
Enterprise Protection
- Betriebskonzept IT Security –NUBIT 2003
![Page 2: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/2.jpg)
Agenda
• Rechtliche Notwendigkeit• Risikopotential• Entwicklung zur
Integrierten Security Management Lösung• Betriebskonzept IT Security• Umsetzung in einer Gesamtlösung
![Page 3: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/3.jpg)
Rechtliche Notwendigkeit (1)
• § 91, Absatz 2 AktG:Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann.
• § 317, Absatz 2 HGB:….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind
• § 317, Absatz 4, HGB:….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 desAktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtendeÜberwachungssystem seine Aufgaben erfüllen kann.
![Page 4: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/4.jpg)
Rechtliche Notwendigkeit (2)
• Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützterRechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt
• Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGBEntscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte“… „Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab“
![Page 5: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/5.jpg)
Rechtliche Notwendigkeit (3)
• Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden“
• Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt
![Page 6: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/6.jpg)
Risiken aus Sicht der Anwälte
• Ausspähen von Daten durch Dritte• Eindringen Dritter in das eigene Netz• Einschleusen von Viren• Manipulation der Daten durch Dritte• Manipulation der Daten durch
Betriebsangehörige• Unentdeckte Fehler der Software• Crash bei Hard- und Software
Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002
![Page 7: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/7.jpg)
Problem
• Risikomanagement ist Pflicht, aber wie wird es realisiert?
• Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll?
• Wie kann man sich schützen?• Wann ist man wirklich sicher?• Gesetze sprechen eine eindeutige Sprache
![Page 8: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/8.jpg)
Anforderung & Zielsetzung
DesktopDesktop ServerServer NetzwerkNetzwerk
Schwachstellen –Management
Schwachstellen –Management
Angriffs- und Abwehr –Management
Angriffs- und Abwehr –Management
Security –Management
Security –Management
Entwicklung zuintegrierte
Security ManagementLösungen
IsolierteProdukt - Lösung
IsolierteProdukt - Lösung
IntegrierteSecurity - Lösung
IntegrierteSecurity - Lösung
![Page 9: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/9.jpg)
Enterprise Protection - Betriebskonzept
CEOFührung
CIOIT- Verantwortung
Operative SecurityFachverantwortung / Experte
Revision / AuditRevision / Audit Gesetze / RichtlinienGesetze / Richtlinien
KonTraG
AktG
HGB
Basel II
BSI
BS 7799
ISO 17799
GSH
Sind wir sicher !?Was müssen wir tun?
Definition Richtlinien• Umsetzung• Einhaltung• Abweichung
• Design• Lösung• Schutz
Security - BetriebskonzeptSecurity - Betriebskonzept
![Page 10: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/10.jpg)
Betriebskonzept
SecurityBetriebskonzept
SecurityBetriebskonzept
CEOInformationsbedarf
CEOInformationsbedarf
Revision /Audit
Revision /Audit
CIODefinition Richtlinien
Umsetzung/Einhaltung
CIODefinition Richtlinien
Umsetzung/Einhaltung
GeografischeNetzwerk-Struktur
GeografischeNetzwerk-Struktur
KritischeSysteme
KritischeSysteme
Security:Design, Lösung
Schutz
Security:Design, Lösung
Schutz
ImplementierungImplementierung
BerichtswesenAnalytikBetrieb
BerichtswesenAnalytikBetrieb
![Page 11: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/11.jpg)
CEO / Führung
• Informationsbedarf– Wochenbericht– Monatsbericht– Quartalsbericht– ½ - Bericht– Jahresbericht– Budgetplanung
• Inhalt– Einfach, schnell, verständlich und umfassend– Zustand und Veränderung– Einhaltung von Gesetzten und Richtlinen– Maßnahmen– Besondere Ereignisse
CEO-BerichtCEO-Bericht
![Page 12: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/12.jpg)
Transparenz der vorhanden Sicherheit
Schwachstellen
0
50
100
150
200
250
300
Jan
Mär M
ai Jul
Sep Nov
Monate
An
zah
l High
Medium
Low
Angriffe
0
500
1000
1500
2000
Monate
An
zah
l High
Medium
Low
Angriffe auf Schwachstellen
0
20
40
60
80
100
120
Monate
An
zah
l High
Medium
Low
![Page 13: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/13.jpg)
CIO / IT- Verantwortlicher
• Definition der Unternehmens-Richtlinien
• Umsetzung in Policys
• Analyse der Sicherheit
• Aufgabenzuordnung
• Einhaltung und
Abweichungs-Analytik
• Berichtserstattung
• Maßnahmen
![Page 14: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/14.jpg)
Operative Security / Experten
• Überwachung der Systeme
• Schwachstellenanalytik
• Angriffs-/Erkennung Abwehr
• Korrelations-Analytik
• Kritische Systeme
• Automatisierung
• Fortlaufende Optimierung
![Page 15: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/15.jpg)
Revision / Audit
• Unabhängige Beurteilung der Sicherheit
• Zugang zur Analyse mit Berechtigung
• Individuelle Analytik Möglichkeit
• Bericht
• Empfehlungen &
• Fortlaufende Optimierung
![Page 16: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/16.jpg)
Implementierung
ImplementierungPhasen-Modell
ImplementierungPhasen-Modell
AnalyseAnalyse SchulungTraining
SchulungTraining
DefinitionDesign
DefinitionDesign
EinführungEinführung SupportSupportAbnahmeAbnahme
![Page 17: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/17.jpg)
ISS’ Protection Solutions
![Page 18: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/18.jpg)
Global Management via SiteProtector™
![Page 19: Enterprise Protection Betriebskonzept IT Security – NUBIT 2003](https://reader035.fdocuments.us/reader035/viewer/2022062301/56815091550346895dbe8d65/html5/thumbnails/19.jpg)
Dynamic Threat Protectiondetect. prevent. respond.
Fragen?