![Page 1: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/1.jpg)
INSO � Industrial Software
Institut für Information Systems Engineering | Fakultät für Informatik | Te hnis he Universität Wien
Introdu tion to Se urity � VO 7:
Organisatoris he Si herheit/Si herheitsmanagement
Christian Brem, Florian Fankhauser
![Page 2: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/2.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Agenda
2 / 43
Einleitung
Beispiele Organisatoris her Si herheitsmaÿnahmen
Si herheitsmanagementprozess
(Se urity) Poli ies
PDCA-Modell
Standards und Normen zu IT-Si herheit
Si herheitskonzepte
Literatur
![Page 3: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/3.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Te hnis he vs. organisatoris he Si herheit
3 / 43
■ Bestimmte Herausforderungen lassen si h besser bzw. nur dur h
organisatoris he Maÿnahmen lösen.
■ �If you think te hnology an solve your se urity problems, then you
don't understand the problems and you don't understand the
te hnology.� (B. S hneier)
■ Breiter Bogen unters hiedli her Aspekte
![Page 4: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/4.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Beispiele für te hnis he Si herheitsmaÿnahmen
4 / 43
■ Usernamen/Passwörter
■ Firewall, Virens anner
■ Kryptographie
■ Vers hlüsselung
■ Elektronis he Signaturen
■ Hashes
■ Absi herung (drahtloser) Kommunikationswege (LAN, WLAN, et .)
mittels VPN/TLS
■ Si herheits-Pat hes und Systemhärtung (siehe Vorlesung zu
Betriebssystemsi herheit)
■ Sandbox-Systeme (siehe Vorlesung zu Betriebssystemsi herheit)
![Page 5: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/5.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Organisatoris he Si herheitsaspekte
5 / 43
■ Primär der Aufbau des IT-Si herheits-Managements
(Si herheitsplanung)
■ GF: Formulierung einer IT-Si herheitsleitlinie (strategis he Aussagen)
■ Typis he Aufgaben sind z.B.
■ Eindeutige De�nition von Verantwortli hkeiten inklusive
Vertretungsregelungen sowie Kommunikationswege
■ IT-BenutzerInnen s hulen und für Si herheit sensibilisieren
■ Alle Maÿnahmen und Veränderungen dokumentieren
■ Regelmäÿige Audits
■ IT-Si herheit muss vom Management, den AdministratorInnen und
den IT-BenutzerInnen als fortlaufender Prozess verstanden und gelebt
werden!
![Page 6: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/6.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Beispiele Organisatoris her
Si herheitsmaÿnahmen
6 / 43
![Page 7: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/7.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
S hulung von MitarbeiterInnen
7 / 43
■ MitarbeiterInnen brau hen eine ausrei hende Einführung und S hulung
■ Ziel ist Etablierung eines Si herheitsbewusstseins
■ Betri�t sowohl den si heren Umgang mit IT-Systemen, als au h
Unternehmensdaten
■ Regelmäÿige S hulungen und Si herheitssensibilisierungen
■ Re htzeitige Unterri htung der MitarbeiterInnen über Bedrohungen
![Page 8: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/8.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herung von Daten
8 / 43
■ Verlust von Daten kann zu Eins hränkungen im Betrieb und
wirts haftli hen S häden führen
■ Daher: aktive Datensi herung (Ba kup)
■ Dur hführung regelmäÿiger Ba kups na h einem Ba kup-Plan
■ Bei wi htigen Daten evtl. au h Si herungskopien auÿerhalb des
Unternehmens
■ Regelmäÿige Kontrolle der Ba kups/Test der Wiederherstellung
gesi herter Daten (Restore)
![Page 9: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/9.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si heres Lös hen von Daten
9 / 43
■ Besonderer S hutz für sensible Daten
■ Lös hen na h Ende von Aufbewahrungsfristen, Hardwaretaus h et .
■ Häu�ger Fall: ausrangierte HDDs enthalten interne Zahlen,
KundInneninformationen, Zugangsdaten,. . .
■ Einfa hes Lös hen ni ht ausrei hend � Daten können oft
wiederhergestellt werden
■ Verwendung von spezieller Soft- und/oder Hardware zur Zerstörung,
z.B. thermis h, aktives Übers hreiben
■ Auslagerung an spezialisierte Unternehmen
■ Dur hgehende Anwendung von Vers hlüsselung
■ Berü ksi htigung von Ausdru ken/Papier-Unterlagen
![Page 10: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/10.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Updates
10 / 43
■ Ständige Weiterentwi klung von S hadprogrammen, tw. mit sehr
hohem Gefährdungsgrad
■ Aufkommen neuer Te hnologien, die Angri�e ermögli hen oder die
Angri�swahrs heinli hkeit erhöhen
■ Laufende Updates der Risiko- und Bedrohungsanalysen
■ Zeitnahe Installation von Si herheitsupdates
■ Wartung eingesetzter Soft- und Hardware
■ → Prozesse
![Page 11: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/11.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Dokumentation
11 / 43
■ Soft- und Hardware, Daten, Prozesse
■ Stetig aktuelle Dokumentation bildet oft Grundlage für Aufgaben
■ Einzuhaltende Si herheitsanforderungen
■ Kon�gurationen der (wi htigsten) Systeme
■ Servi enummern der (wi htigsten) IT-Lieferanten und IT-Dienstleister
■ Vertragli he Vereinbarungen, SLAs
■ Prozesse (Onboarding, O�boarding,. . . )
■ Bere htigungen
■ Mögli hst hoher Automatisierungsgrad
![Page 12: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/12.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Überprüfung der Wirksamkeit von (organisatoris hen)
Si herheitsmaÿnahmen
12 / 43
■ (Organisatoris he) Si herheitsmaÿnahmen und Vorgaben sind
regelmäÿig auf Einhaltung und Wirksamkeit zu überprüfen
■ → Dokumentation
■ Aktualität von Software/IT-Systemen
■ Einhaltung von Ri htlinien seitens der MitarbeiterInnen
■ Aktualität der Notfallpläne und Dokumentationen
■ Test dur h externe Dienstleister, z.B. Penetrationstests
■ Besteht die Erfordernis, müssen entspre hende Anpassungen
vorgenommen werden
![Page 13: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/13.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Use Che klists
13 / 43
(Verglei he s hienestrasseluft.de, West Pharma euti al Servi es, In ., Tesla
Fa tory, Fremont (Maurizio Pes e), Curimedia)
![Page 14: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/14.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitsmanagementprozess
14 / 43
![Page 15: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/15.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Festlegung der IT-Si herheitsverantwortli hen-Rollen
15 / 43
■ Klare Regelung von Verantwortli hkeiten und Zuständigkeiten
■ Festlegung IT-Si herheitsverantwortli her (CISO) (und Vertretung)
dur h Management
■ Anspre hpartnerIn bei auftretenden Si herheitsproblemen
■ Typis he Rollen sind beispielsweise
■ Information Se urity Manager (Zentrale Koordination und
Anspre hperson für das Thema Si herheit)
■ Information Risk Manager (Erkennung, Bewertung, Management
von Risiken)
■ IT-Si herheitsbeauftragter (Umsetzung von
Si herheitsmaÿnahmen)
■ Datens hutzbeauftragter (S hutz personenbezogener Daten)
![Page 16: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/16.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Se urity Poli ies
16 / 43
�Die Si herheitsri htlinie (engl. se urity poli y) eines Systems oder einer
organisatoris hen Einheit legt die Menge von te hnis hen und organisatori-
s hen Regeln, Verhaltensri htlinien, Verantwortli hkeiten und Rollen sowie
Maÿnahmen fest, um die angestrebten S hutzziele zu errei hen.�
�Jede Organisation ist frei, die für ihren ges häftli hen Kontext als
relevant era hteten Ziele individuell festzulegen. Diese Ziele sind zu
dokumentieren, was meist im Überbli k in einer Se urity Poli y erfolgt �
im Deuts hen meist als Si herheitsleitlinie bezei hnet.�
(Verglei he E kert, IT-Si herheit; Kersten, IT-Si herheitsmanagement na h der
neuen ISO 27001)
![Page 17: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/17.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Inhalte von (Se urity) Poli ies
17 / 43
■ Angestrebte IT-Si herheitsziele
■ Verfolgte IT-Si herheitsstrategie
■ Anspru h und Aussage zuglei h, dass das IT-Si herheitsniveau auf
allen Ebenen der Organisation errei ht werden soll
■ Die Verantwortung für die Se urity Poli y unterliegt der
Unternehmens-/Behörden/. . . -leitung
■ Eine Poli y muss von der GF verabs hiedet und vorgelebt werden
![Page 18: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/18.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Anforderungen an Poli ies
18 / 43
■ Vollständigkeit der Poli ies
■ Bekanntheit der Poli ies
■ Verständnis und aktives �Leben� der Poli ies
■ Laufende Überprüfung der Einhaltung von Poli ies
![Page 19: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/19.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitsri htlinien für MitarbeiterInnen
19 / 43
■ Eines der gröÿten Risiken ist Fehlverhalten von MitarbeiterInnen
■ Poli ies enthalten Vorgaben, um diesem Risiko entgegenzuwirken,
bzw. dieses zu mindern
■ Bes hreibung wie si her und korrekt mit IT und deren Komponenten
umgegangen wird
■ Fortwährende Anpassung und Ergänzung aufgrund aktueller
Entwi klungen wi htig (z.B. Smartphones, BYOD)
![Page 20: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/20.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Konkrete Beispiel-Poli ies: TU Wien
20 / 43
■ Betriebs- und Benutzungsordnung des Zentralen Informatikdienstes
(ZID) der TU Wien
■ Die Se urity Poli y der TU Wien
■ Benützungsregelung für die Servi es von TUNET
■ https://www.it.tuwien.a .at/student/a ounteinri htung/
![Page 21: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/21.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Weitere Beispiele für mögli he Poli ies
21 / 43
■ Nutzung der IT und des Internets am Arbeitsplatz
■ Datens hutz
■ Zutritts-, Zugangs- und Zugri�ss hutz
■ Anlage/Deaktivierung bzw. Lös hung von A ounts
■ Verwendung von USB-Sti ks
■ Private Verwendung von Notebooks
■ Vers hlüsselung von Daten auf mobilen Clients
■ Externe Besu herInnen in Firmenräumen
■ Passwort-Poli y
![Page 22: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/22.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitsmanagementprozess
22 / 43
■ Darstellung z.B. als PDCA-Modell
(Verglei he BSI-Standard 100-1: IT-Grunds hutz-Vorgehensweise)
![Page 23: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/23.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Planung (Plan)
23 / 43
■ Planung und Installation eines Si herheitsmanagements anhand
Risiko-, Si herheits- und Unternehmenspolitik, der betriebli hen
Anforderungen sowie der gesetzli hen Vorgaben
■ De�nition Vorgehensmodell zu Si herheits-, Kontinuitäts- und
Risikopolitik
■ Erhebung der Si herheits- und Kontinuitätsanforderungen
■ Erstellung von Si herheits- und Kontinuitätsri htlinien
■ Entwi klung von Si herheitskonzepten
■ Planung der Dur hführung von Maÿnahmen
![Page 24: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/24.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Betreiben (Do)
24 / 43
■ Einführung, Betrieb und Monitoring des Si herheitsmanagements
■ S hulung und Sensibilisierung von MitarbeiterInnen
■ Betrieb unter Berü ksi htigung der eingeführten Si herheits- und
Kontinuitätskonzepte
■ Messung und Überwa hung den Anforderungen entspre hend
(Erkennung & Alarmierung)
■ Sammlung von Controlling-Daten, Dur hführung von Ist-Soll
Verglei hen
![Page 25: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/25.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Prüfung (Che k)
25 / 43
■ Prüfung des Si herheitsmanagements in regelmäÿigen Abständen
■ Tests
■ Audits
■ Übungen
■ Si herheitsprüfungen
■ Dokumentation, Analyse/Auswertung und Beri ht der Ergebnisse
![Page 26: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/26.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Verbesserung (A t)
26 / 43
■ Weiterentwi klung des Si herheitsmanagements
■ Identi�zierung von Potenzial bzw. Änderungsbedarf
■ Adaptierung beispielsweise auf Grund
■ neuer Erkenntnisse
■ neuer Gesetze
■ Veränderungen der Umwelt
■ Priorisierung von Bedarfen und Erstellung einer Roadmap/eines
Projektplans zur Verbesserung
![Page 27: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/27.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
27 / 43
Wie s ha�en wir Vertrauen in die
IT-Si herheit einer
Organisation/eines Produkts?
![Page 28: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/28.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Standards und Normen zu IT-Si herheit
28 / 43
■ Errei hung von Vertrauen in IT-Si herheit: Standards und Normen
■ Zerti�zierung
■ Na hweis eines bestimmten Levels an IT-Si herheit
■ Einmaliger Na hweis vs. regelmäÿiger erneuter Na hweis der
IT-Si herheit
■ Teilweise Grundlage für Vertragsbeziehungen
■ Fokus auf unters hiedli he Aspekte der IT-Si herheit
■ Betriebs-Prozesse, Entwi klungs-Prozesse, Fertigungs-Prozesse,
te hnis he Maÿnahmen
■ ISO 27k Reihe, IT-Grunds hutz, Common Criteria (CC), COBIT,
ITIL, PCI/DSS,. . .
![Page 29: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/29.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Familie von Information Se urity Standards: ISO27k-Reihe
29 / 43
■ 27000: Übersi ht/Einführung ISO27k Standards inkl. verwendeter
Vokabeln
■ 27001: Information Se urity Management System (ISMS)
Anforderungen
■ 27005: Information Se urity Risk Management Standard
■ und viele weitere zu unters hiedli hsten Gebieten, teilweise no h in
Umsetzung
![Page 30: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/30.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
ISO 27001
30 / 43
■ Entwi kelt, um die Auswahl geeigneter und angemessener
Si herheitskontrollen dur hzuführen
■ Spezi�kation von Anforderungen an
Informationssi herheitsmanagementsysteme (ISMS)
■ Erri htung, Umsetzung, Betrieb, Überwa hung, Überprüfung,
Aufre hterhaltung und Verbesserung eines dokumentierten ISMS
■ Anwendbar auf Bedürfnisse von Organisationen jegli her Art, Gröÿe
oder Ausprägung oder Teile davon
![Page 31: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/31.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Aspekte bei der Einführung eines ISMS na h ISO 27001
31 / 43
■ ISMS-Ri htlinie, die die Grundlagen des ISMS bes hreibt
■ Umfang des ISMS
■ Prozeduren und Maÿnahmen zur P�ege eines ISMS
■ Bes hreibung der Methoden zur Risikobewertung
■ Risikobewertung selbst
■ Plan zum Umgang mit Risiken
■ Dokumentation der Si herheitsmaÿnahmen und eine Bes hreibung
zum Na hweis der E�ektivität
■ Erklärung über die Anwendbarkeit der einzelnen
Si herheitsmaÿnahmen
■ Evtl. weitere erforderli he Dokumente
![Page 32: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/32.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
IT-Grunds hutz: Idee und Konzeption
32 / 43
■ Herausgegeben vom BSI, Deuts hland
■ �Ko hbu h� für normales S hutzniveau
■ Praktikable Dur hführung von IT-Si herheitsanalysen
■ Kostene�ektive Erhöhung des IT-Si herheitsniveaus
■ S hnelle Identi�zierung von Si herheitsmaÿnahmen
■ S hnelle Umsetzung von Si herheitsmaÿnahmen
■ Angemessener S hutz dur h Kombination von organisatoris hen,
personellen, infrastrukturellen & te hnis hen Maÿnahmen
■ Verwendung eines Baukastenprinzips: Bausteine, Gefährdungen,
Maÿnahmen
■ Soll-Ist-Verglei h empfohlene und realisierte Maÿnahmen
■ Einfa he und arbeitsökonomis he Erstellung von
IT-Si herheitskonzepten
![Page 33: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/33.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
ITIL
33 / 43
■ Information Te hnology Infrastru ture Library
■ ITIL Si herheitsmanagement baut auf dem ISO 27001 Standard auf
■ Hinweise zu Best-Pra ti es
■ Ri htlinien was man wie umsetzen soll
■ Prozess-basiert
■ Optimierung des operativen Betriebs von IT-Servi es
■ Anwendung auf nahezu alle IT-Infrastrukturen mögli h
(Verglei he S. Weil: http://www.se urityfo us. om/info us/1815)
![Page 34: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/34.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitskonzepte
34 / 43
![Page 35: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/35.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Inhalte eines IT-Si herheitskonzepts
35 / 43
■ Erforderli he Maÿnahmen zur
■ Realisierung und Aufre hterhaltung eines
■ angemessenen und de�nierten Si herheitsniveaus
![Page 36: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/36.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Zu beantwortende Fragen in einem Si herheitskonzept
36 / 43
■ Was will i h s hützen?
■ Wogegen soll i h mi h s hützen?
■ Wie kann i h diesen S hutz erzielen?
■ Kann i h mir diesen S hutz leisten?
![Page 37: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/37.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
S hritte zur Erstellung eines Si herheitskonzeptes na h
IT-Grunds hutz
37 / 43
(Verglei he BSI-Standard 100-2: IT-Grunds hutz-Vorgehensweise)
![Page 38: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/38.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Business Continuity (BC)
38 / 43
■ Mögli he und erforderli he Verfahren und Konzepte,
■ die bei Einwirkung existenzieller Bedrohungen
■ die Erhaltung der Ges häftstätigkeit ermögli hen.
![Page 39: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/39.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Literatur und Web-Referenzen 1/3
39 / 43
■ Mutlaq Alotaibi, Steven Furnell, und Nathan Clarke. Information
se urity poli ies: A review of hallenges and in�uen ing fa tors. In
2016 11th International Conferen e for Internet Te hnology and
Se ured Transa tions (ICITST), Seiten 352�358, Dezember 2016.
doi: 10.1109/ICITST.2016.7856729
■ Claudia E kert. IT-Si herheit: Konzepte - Verfahren - Protokolle.
Oldenbourg, Mün hen, 9. Auflage, 2014. ISBN 978-3-486-77848-9
■ Hans-Peter Königs. IT-Risiko-Management mit System.
Vieweg+Teubner, Wiesbaden, 3. Auflage, 2009. ISBN
978-3-8348-0359-7
![Page 40: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/40.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Literatur und Web-Referenzen 2/3
40 / 43
■ Heinri h Kersten, Gerhard Klett, Jürgen Reuter, und Klaus-Werner
S hröder. IT-Si herheitsmanagement na h der neuen ISO 27001.
Edition <kes>. Springer Vieweg, Wiesbaden. ISBN
978-3-658-14693-1
■ Bundesamt fuer Si herheit in der Informationste hnik. BSI Standard
200-1: Managementsysteme für Informationssi herheit (ISMS), 2017a.
https://www.bsi.bund.de/grunds hutz
■ Bundesamt fuer Si herheit in der Informationste hnik. BSI Standard
200-3: Risikoanalyse auf der Basis von IT-Grunds hutz, 2017b.
https://www.bsi.bund.de/grunds hutz
![Page 41: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/41.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Literatur und Web-Referenzen 3/3
41 / 43
■ Matt Bishop. Introdu tion to Computer Se urity. Pearson Edu ation,
In , 2003. ISBN 0-321-24744-2
■ Ross Anderson. Se urity Engineering. A Guide to Building
Dependable Distributed Systems. Wiley Publishing, In ., 2. Auflage,
2008. ISBN 978-0-470-06852-6. http://www. l. am.a .uk/
~rja14/book.html
■ Gitlab. Postmortem of database outage of January 31, 2017.
https://about.gitlab. om/blog/2017/02/10/
postmortem-of-database-outage-of-january-31/
![Page 42: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/42.jpg)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Zusammenfassung
42 / 43
■ Te hnis he vs. organisatoris he Si herheit
■ Beispiele für organisatoris he Si herheitsmaÿnahmen
■ Si herheitsmanagement und der dahinterliegende
Si herheitsmanagementprozess
■ (Se urity) Poli ies
■ Beispiele für Standards: ISO 27k, IT-Grunds hutz, ITIL
■ Si herheitskonzepte
■ Business Continuity
![Page 43: Christian rian Flo...Intro duction to y Securit WS20 | rische Organisato Sicherheit T echnische vs. rische rganisato o Sicherheit 3 / 43 Bestimmte rderungen Herausfo lassen sich b](https://reader033.vdocuments.net/reader033/viewer/2022060816/6094a451351cd026a9507b2a/html5/thumbnails/43.jpg)
INSO � Industrial Software
Institut für Information Systems Engineering | Fakultät für Informatik | Te hnis he Universität Wien
Vielen Dank!
https://establishing-se urity.at/