Post on 21-Jan-2016
description
Enterprise Protection
- Betriebskonzept IT Security –NUBIT 2003
Agenda
• Rechtliche Notwendigkeit• Risikopotential• Entwicklung zur
Integrierten Security Management Lösung• Betriebskonzept IT Security• Umsetzung in einer Gesamtlösung
Rechtliche Notwendigkeit (1)
• § 91, Absatz 2 AktG:Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann.
• § 317, Absatz 2 HGB:….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind
• § 317, Absatz 4, HGB:….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 desAktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtendeÜberwachungssystem seine Aufgaben erfüllen kann.
Rechtliche Notwendigkeit (2)
• Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützterRechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt
• Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGBEntscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte“… „Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab“
Rechtliche Notwendigkeit (3)
• Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden“
• Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt
Risiken aus Sicht der Anwälte
• Ausspähen von Daten durch Dritte• Eindringen Dritter in das eigene Netz• Einschleusen von Viren• Manipulation der Daten durch Dritte• Manipulation der Daten durch
Betriebsangehörige• Unentdeckte Fehler der Software• Crash bei Hard- und Software
Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002
Problem
• Risikomanagement ist Pflicht, aber wie wird es realisiert?
• Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll?
• Wie kann man sich schützen?• Wann ist man wirklich sicher?• Gesetze sprechen eine eindeutige Sprache
Anforderung & Zielsetzung
DesktopDesktop ServerServer NetzwerkNetzwerk
Schwachstellen –Management
Schwachstellen –Management
Angriffs- und Abwehr –Management
Angriffs- und Abwehr –Management
Security –Management
Security –Management
Entwicklung zuintegrierte
Security ManagementLösungen
IsolierteProdukt - Lösung
IsolierteProdukt - Lösung
IntegrierteSecurity - Lösung
IntegrierteSecurity - Lösung
Enterprise Protection - Betriebskonzept
CEOFührung
CIOIT- Verantwortung
Operative SecurityFachverantwortung / Experte
Revision / AuditRevision / Audit Gesetze / RichtlinienGesetze / Richtlinien
KonTraG
AktG
HGB
Basel II
BSI
BS 7799
ISO 17799
GSH
Sind wir sicher !?Was müssen wir tun?
Definition Richtlinien• Umsetzung• Einhaltung• Abweichung
• Design• Lösung• Schutz
Security - BetriebskonzeptSecurity - Betriebskonzept
Betriebskonzept
SecurityBetriebskonzept
SecurityBetriebskonzept
CEOInformationsbedarf
CEOInformationsbedarf
Revision /Audit
Revision /Audit
CIODefinition Richtlinien
Umsetzung/Einhaltung
CIODefinition Richtlinien
Umsetzung/Einhaltung
GeografischeNetzwerk-Struktur
GeografischeNetzwerk-Struktur
KritischeSysteme
KritischeSysteme
Security:Design, Lösung
Schutz
Security:Design, Lösung
Schutz
ImplementierungImplementierung
BerichtswesenAnalytikBetrieb
BerichtswesenAnalytikBetrieb
CEO / Führung
• Informationsbedarf– Wochenbericht– Monatsbericht– Quartalsbericht– ½ - Bericht– Jahresbericht– Budgetplanung
• Inhalt– Einfach, schnell, verständlich und umfassend– Zustand und Veränderung– Einhaltung von Gesetzten und Richtlinen– Maßnahmen– Besondere Ereignisse
CEO-BerichtCEO-Bericht
Transparenz der vorhanden Sicherheit
Schwachstellen
0
50
100
150
200
250
300
Jan
Mär M
ai Jul
Sep Nov
Monate
An
zah
l High
Medium
Low
Angriffe
0
500
1000
1500
2000
Monate
An
zah
l High
Medium
Low
Angriffe auf Schwachstellen
0
20
40
60
80
100
120
Monate
An
zah
l High
Medium
Low
CIO / IT- Verantwortlicher
• Definition der Unternehmens-Richtlinien
• Umsetzung in Policys
• Analyse der Sicherheit
• Aufgabenzuordnung
• Einhaltung und
Abweichungs-Analytik
• Berichtserstattung
• Maßnahmen
Operative Security / Experten
• Überwachung der Systeme
• Schwachstellenanalytik
• Angriffs-/Erkennung Abwehr
• Korrelations-Analytik
• Kritische Systeme
• Automatisierung
• Fortlaufende Optimierung
Revision / Audit
• Unabhängige Beurteilung der Sicherheit
• Zugang zur Analyse mit Berechtigung
• Individuelle Analytik Möglichkeit
• Bericht
• Empfehlungen &
• Fortlaufende Optimierung
Implementierung
ImplementierungPhasen-Modell
ImplementierungPhasen-Modell
AnalyseAnalyse SchulungTraining
SchulungTraining
DefinitionDesign
DefinitionDesign
EinführungEinführung SupportSupportAbnahmeAbnahme
ISS’ Protection Solutions
Global Management via SiteProtector™
Dynamic Threat Protectiondetect. prevent. respond.
Fragen?