B3
              IT-Compliance durch IT-Sicherheit
              “ In God we Trust, Everything else we measure ”



      ...
(IT)-Compliance durch IT-Sicherheit



      Die Vortragspunkte:


      Rechtliche Hintergründe?

      Was muss ich tun,...
Rechtliche Hintergründe

    Was ist „IT-Compliance“ überhaupt?
      Einhaltung von Verhaltensmaßregeln, Gesetzen und Ric...
(IT)-Compliance                       Was muss ich tun?
(Fokus Innenverhältnis)
• Umsetzung der Compliance-Anforderungen d...
Commitment & Policies


                        Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu
 ...
Risikoanalyse

                 Bewertung und Priorisierung der identifizierten Compliance-Risiken im
                 Hin...
Maßnahmen & Verantwortlichkeiten

                          Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung d...
Information & Kommunikation

                      Informationserhebung, interne und externe Berichterstattung zum
       ...
Überwachung

                      Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierliche
                   ...
Compliance & IT-Sicherheit


            Vertraulichkeit                                                     Integrität
  ...
Was liefern wir ?
     Strukturiertes Herangehen

      Analyse der Rechtslage                                        Bedr...
Auditierung nach BSI-Grundschutz, ISO2700x




12    COPYRIGHT ACT © 2009
Compliance Check mit Sicherheitsbrille


                                     Prozess: Vulnerability          Prozess: Com...
Nächster Schritt: Sicherheitsmanagement

      Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von
...
Risiko- & Notfallmanagement
      1     Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst?
        ...
Risiko- & Notfallmanagement


                                                                             • Verhütung

  ...
Was passiert, wenn ich
                                   nicht „compliant“ bin?


     Die zivilrechtliche Haftung
      ...
Upcoming SlideShare
Loading in …5
×

B3 Act Lotusday 08 09 2009

837 views
712 views

Published on

IT-Compliance durch IT-Sicherheit
“ In God we Trust, Everything else we measure ”
Referent: Heiner Frings
ACT IT-Consulting & Services AG

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
837
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

B3 Act Lotusday 08 09 2009

  1. 1. B3 IT-Compliance durch IT-Sicherheit “ In God we Trust, Everything else we measure ” Referent: Heiner Frings ACT IT-Consulting & Services AG Lotusday 2009 Hagen, 8. September 2009 - Arcadeon
  2. 2. (IT)-Compliance durch IT-Sicherheit Die Vortragspunkte: Rechtliche Hintergründe? Was muss ich tun, damit ich „compliant“ bin? Worauf muss ich achten? Was leistet die ACT konkret? Was passiert, wenn ich nicht „compliant“ bin? 2 COPYRIGHT ACT © 2009
  3. 3. Rechtliche Hintergründe Was ist „IT-Compliance“ überhaupt? Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien etc., d.h. die Übereinstimmung des Handelns mit diesen Vorgaben. Gegenstand von IT-Compliance: Werden diese Vorgaben in Bezug auf die IT des Unternehmens eingehalten? Grundlage: Verschiedene Rechtsquellen Wesentliche Bestimmungen: KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) - Herausragend: § 91 Abs. 2 AktG. - Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. BDSG (Bundesdatenschutzgesetz) HGB (Handelsgesetzbuch) und AO (Abgabenordnung) i.V.m. GoBS (Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Basel II (RICHTLINIE 2006/48/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (Neufassung) 3 COPYRIGHT ACT © 2009
  4. 4. (IT)-Compliance Was muss ich tun? (Fokus Innenverhältnis) • Umsetzung der Compliance-Anforderungen durch die IT sind z.B.: • Korrekte Funktionsweise der Anwendungssysteme • Verfügbarkeit und Verlässlichkeit im Betrieb • Schutz der Daten und Informationen Commitment & • Sicherheit der IT-Infrastruktur Policies • Frühzeitige Erkennung und Vermeidung von Risiken Risiko- g hun • Transparenz, Nachvollziehbarkeit und analyse wac Dokumentation relevanter Prozesse Koordination r Übe aller Elemente (Fokus Außenverhältnis) • Sauber definierte Beziehungen zu anderen Unternehmen, ( Bei Lieferung oder Inanspruchnahme von IT- Maßnahmen & Information Dienstleistungen z.B.) Verantwortlich- & Kommunikation • Outsourcing-Projekten (SLA, OLA, UC) keiten • Serviceproviding-Projekten ,, • ASP-Projekten ,, 4 COPYRIGHT ACT © 2009
  5. 5. Commitment & Policies Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung gesetzlicher Bestimmungen sowie die Einhaltung freiwilliger Vereinbarungen sicher stellen. Zentrale Punkte: • Zieldefinition hinsichtlich der Compliance zu geforderten (gesetzlichen) und freiwilligen Verpflichtungen • Durchgeführte Risikoanalyse • Formulierung einer Compliance Policy des Top Managements unter Berücksichtigung der strategischen Unternehmensziele • Förderung einer Compliance Kultur durch gelebte Umsetzung in der Unternehmensführung • Etablierung von Überprüfungsmechanismen 5 COPYRIGHT ACT © 2009
  6. 6. Risikoanalyse Bewertung und Priorisierung der identifizierten Compliance-Risiken im Hinblick auf mögliche Auswirkungen auf strategische Unternehmensziele, Geschäftsabläufe sowie persönliche Haftung von Mitarbeitern und Management. Zentrale Themen für die Organisation: • Bindende und regulatorische Verfahrensanweisungen in den Unternehmen aufsetzen • Beobachtung und Früherkennung von Compliance-Themen • Auswirkungen im Falle eines Verstoßes, (Penalties) • Abgleich des Umfangs der ergriffenen Maßnahmen mit dem Risiko und den Zielsetzungen des Vorstands und der Stakeholder? Zentrale Punkte für die IT-Organisation: • Ist ein IT-Sicherheitsmanagement implementiert? • Ist ein IT-Risikomanagement implementiert? • Existiert ein Notfallkonzept für Systeme der IT und der Infrastruktur? • Ist ein Lizenzmanagement implementiert? • Sind zwischen Servicenehmern und –Gebern klare Agreements etabliert? 6 COPYRIGHT ACT © 2009
  7. 7. Maßnahmen & Verantwortlichkeiten Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung der Anforderungen sowie Absicherung durch geeignete Maßnahmen zur Vermeidung und Aufdeckung von Compliance-Verstößen Zentrale Themen für die Organisation: • Adressierung einzelner Maßnahmen an die (de)zentralen Einheiten • Eindeutige Abgrenzung von Zuständigkeiten und Kompetenzen Vermeidung Doppelaktionen und Lücken • Dokumentation von Abläufen, Informations- und Berichtswegen in Richtlinien und Verfahrensanweisungen • Definition von konkreten Rollenverteilungen und Aktionsplänen für kritische Situationen Zentrale Punkte für die IT-Organisation: • Die Umsetzung notwendiger Maßnahmen muss gemessen, dokumentiert und sichergestellt werden • Wie wird die Qualität gemessen (KPIs), • Wie wird der Kontinuierliche Verbesserungsprozess KVP gewährleistet? 7 COPYRIGHT ACT © 2009
  8. 8. Information & Kommunikation Informationserhebung, interne und externe Berichterstattung zum Compliance-Status sowie Schaffung einer Kultur und eines Bewusstseins für die Einhaltung der Compliance im gesamten Unternehmen Zentrale Themen: • Bewusstseinssensibilisierung des Managements und der Mitarbeiter durch Schulungen und Arbeitskreise für eine angemessene Kommunikation bei Compliance Themen • Wie und in welchen Intervallen wird der Vorstand über die Situation informiert? • Wie und in welchen Intervallen werden Aufsichtsgremien, Investoren und Öffentlichkeit über die Compliance-Situation informiert? • Wie werden Indikatoren zur Einhaltung der Anforderungen erhoben? • Wie wird die Erfassung, Kommunikation und Auswertung von Compliance-Verstößen sichergestellt? 8 COPYRIGHT ACT © 2009
  9. 9. Überwachung Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierliche Weiterentwicklung/Nachhaltigkeit der Compliance und systematische Prüfung durch die Interne Revision, externe Gutachten und Sonderanalysen Zentrale Themen: • Regelmäßige Überprüfung der Informationen zur Früherkennung des Compliance Zustandes im internen Berichtsprozess • Wie erfolgt die Selektion und Freigabe von Compliance Informationen für die externe Berichterstattung? • Wie werden die im Unternehmen implementierten Compliance- Prozesse hinsichtlich Effektivität und Effizienz überprüft z.B. • durch Self Assessments • Audits • technische Messverfahren • Berücksichtigung der Compliance Risiken bei der • der Internen Revision • strategischen Planung • und innerhalb des Risikomanagements • Umsetzung des Anpassungsbedarfs am Compliance-System 9 COPYRIGHT ACT © 2009
  10. 10. Compliance & IT-Sicherheit Vertraulichkeit Integrität Der unberechtigte Zugang zu Unversehrtheit und Daten wird unterbunden Korrektheit der Daten Authentizität Echtheit der Kommunikations- partner Verfügbarkeit Verbindlichkeit Der Zugriff auf die eigenen Das Senden und Empfangen Daten ist gesichert von Daten kann nicht geleugnet werden • Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT- Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares Maß beschränkt sind. 10 COPYRIGHT ACT © 2009
  11. 11. Was liefern wir ? Strukturiertes Herangehen Analyse der Rechtslage Bedrohungsanalyse Eine IT-Security-Strategie muss immer über die technischen Lösungen hinaus auch die recht- unterschiedliche Szenarien, welchen Be- lichen Aspekte berücksichtigen. drohungen Unternehmen bei der Nutzung von (z.B. BDSG, KonTraG, HGB, BGB, HIPAA) IT-Technologien ausgesetzt sind. Analyze Report Optimize Schadens- & Schutzbedarfsanalyse Kosten/Nutzenanalyse Certify Ein Schaden, der aufgrund unzureichender oder Finanzielle Schäden sind meist wesentlich höher, nicht umgesetzter IT-Sicherheitsmaßnahmen als die Kosten für die jeweils erforderlichen eintritt, hat immer finanzielle Auswirkung, oft Sicherheitslösungen. In jeder Organisation muss daneben auch erheblichen Imageverlust. das Verhältnis individuell ermittelt werden. Letzteres ist der Grund für die hohen Dunkel- ziffern. 11 COPYRIGHT ACT © 2009
  12. 12. Auditierung nach BSI-Grundschutz, ISO2700x 12 COPYRIGHT ACT © 2009
  13. 13. Compliance Check mit Sicherheitsbrille Prozess: Vulnerability Prozess: Compliance Prozess: Compliance Management Management Management Ergebnis: Definiert zu treffende Behebungsmaßnahmen Notwendigkeit: Notwendigkeit: Prozess: Incident Management Aktuelles Wissen über alle AktuelleKenntnis der Definiert Impact und Priorität, leitet das an eine Vulnerabilities weltweit, eigenen IT-Infrastruktur, ob zentrale Stelle weiter, überwacht den Lücken eine Bedrohung Behebungsprozess Produkt am Markt möglichst früher als die Bekanntgabe durch die darstellen und mit welchem Prozess: Change Management Schaden zu rechnen ist. Entscheidet über die Möglichkeiten der Behebung, der Herstellern. Phase: Bedrohungs- & Workarounds oder Alternativen. Richtet sich nach vorgegebenen Standards. (PCI-Standard) Phase: Erkennen Schadensanalyse Phase: Behebung der Maßnahmen Ziel: Ziel: Deutliches Verschieben des Gesamtziel: Deutliches Verschieben des Zeitpunktes Deutliches Verschieben des Behebungszeitpunktes. Zeitpunktes Deutliches Verringern des Angriffzeitfensters Less Than Zero Day Zero Day Vulnerabilities Innerhalb dieses Zeitfensters besteht eine akute Angriffsgefahr Zeitachse t Ship- Bekanntwerden einer Erkennen der Erkenntnis, dass die Schließen der Lücke ment Sicherheitslücke Lücke durch die Lücke eine Bedrohung oder impl. Workaround weltweit (Zero Day) eigenen Spezialisten für die eigene IT darstellt 13 COPYRIGHT ACT © 2009
  14. 14. Nächster Schritt: Sicherheitsmanagement Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von verteilten Umgebungen Zentrale Zusammenführung der aktuellen Informationen als Basis exakter Entscheidungen Reporting mit Prioritäten für eine systematische und effiziente Beseitigung der Sicherheitslücken Maßnahmen mit Berücksichtigung der Auswirkung auf Ihre Geschäftsprozesse Intrusion-Detection, -Prevention System Malwareschutz Integrierte intelligente Firewall Integration in IT-Servicemanagement Incident-Management Problem-Management Change-Management 14 COPYRIGHT ACT © 2009
  15. 15. Risiko- & Notfallmanagement 1 Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst? Wie ist der Begriff Notfall für Ihr Unternehmen definiert? 2 Welche Auswirkungen hat der Ausfall unternehmenskritischer IT-Prozesse für das Unternehmen (Umsatzverlust, zukünftige Auftragseinbußen, Zahlungsverpflichtungen, Vertragsstrafen, Ausfallzeiten des operativen Betriebs, Imageverlust)? 3 Können Sie den IT-Betrieb nach einem Notfall in einem definierten Zeitraum kontrolliert wiederherstellen? 4 Kennen Sie die notwendige Wiederherstellungszeit ihrer Prozesse nach einem Notfall? 5 Gibt es ein Notfallkonzept, das regelt, durch welche Maßnahmen der IT-Betrieb nach einem Notfall in angemessener Zeit wieder aufgenommen werden kann? Stellen Sie fest, ob • Maßnahmen für den Notbetrieb sich in Einklang mit der Risikobeurteilung des Unternehmens befinden, • bei der Umsetzung der Maßnahmen eine Analyse der Geschäftsprozesse erfolgte und sichergestellt wurde, • alle rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse abgedeckt werden, • Maßnahmen dokumentiert und Verfahren etabliert sind, die die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreiben, • Notfallmaßnahmen den Mitarbeitern bekannt sind. 6 Sind die Wiederherstellungsprozesse so beschrieben, dass die Wiederherstellungsreihenfolge präzise dokumentiert ist? 7 Sind die Verträge zur Leistungserbringung externer Dienstleister (Hersteller/Lieferanten) aktuell bzw. vollständig dokumentiert? Ist ein Verfahren etabliert, dass die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreibt? 8 Entspricht ihr Datensicherungskonzept den Anforderungen an die notwendigen Wiederherstellungsverfahren in Bezug auf • Lagerung der Sicherungen, • Zugriffsberechtigungen, • Verfügbarkeit im Notfall, • usw. 15 COPYRIGHT ACT © 2009
  16. 16. Risiko- & Notfallmanagement • Verhütung Parameter Kosten • Eintrittswahr- • Reduktion • Identifizierung vs. scheinlichkeit • Transfer Eintrittswahrsch. • Auswirkungen • Maßnahmen und Auswirkung • Akzeptanz analyse Risiko- Identifikation Bewertung Identifikation der Auswahl der der Risiken der Risiken Gegenmaßnahmen Gegenmaßnahmen management Risiko- Beobachten und Planen und berichten beschaffen • Risikoprofile Parameter • Risikobudget • Menschen • Risikofelder • Risikoowner • Material • Eintrittsindikatoren • Risikoprotokoll 16 COPYRIGHT ACT © 2009
  17. 17. Was passiert, wenn ich nicht „compliant“ bin? Die zivilrechtliche Haftung Werden innerhalb eines Unternehmens erforderliche Maßnahmen schuldhaft nicht oder nicht hinreichend getroffen, so droht bei einem dadurch eingetretenen Schaden bei Dritten stets eine entsprechende Schadensersatzverpflichtung. Solche Schadensersatzansprüche ergeben sich dabei entweder aus einem Vertrag mit dem Geschädigten (z.B. Kunde oder Lieferant) oder aus Gesetz (z.B. §§ 823 ff BGB oder § 7 BDSG) Daneben besteht die zivilrechtliche Verantwortlichkeit der Organe des Unternehmens, sofern ihr – schuldhaftes – Handeln (Tun oder Unterlassen) Schäden für das Unternehmen bewirkt hat. Die strafrechtliche Haftung Neben der zivilrechtlichen Haftung kommt auch eine strafrechtliche Verantwortlichkeit – je nach Einzelfall – in Betracht. z.B. bei Verstößen gegen das BDSG 17 COPYRIGHT ACT © 2009

×