1 / 19

Enterprise Protection Betriebskonzept IT Security – NUBIT 2003

Enterprise Protection Betriebskonzept IT Security – NUBIT 2003. Agenda. Rechtliche Notwendigkeit Risikopotential Entwicklung zur Integrierten Security Management Lösung Betriebskonzept IT Security Umsetzung in einer Gesamtlösung. Rechtliche Notwendigkeit (1).

ismael
Download Presentation

Enterprise Protection Betriebskonzept IT Security – NUBIT 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Enterprise Protection • Betriebskonzept IT Security – • NUBIT 2003

  2. Agenda • Rechtliche Notwendigkeit • Risikopotential • Entwicklung zur Integrierten Security Management Lösung • Betriebskonzept IT Security • Umsetzung in einer Gesamtlösung

  3. Rechtliche Notwendigkeit (1) • § 91, Absatz 2 AktG:Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklung früh erkannt werden kann. • § 317, Absatz 2 HGB:….. dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind • § 317, Absatz 4, HGB:….. ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach dem § 91 Abs. 2 desAktiengesetztes obliegenden Maßnahmen in geeigneter Form getroffen hat und ob das danach einzurichtendeÜberwachungssystem seine Aufgaben erfüllen kann.

  4. Rechtliche Notwendigkeit (2) • Nach der neueren Rechtsprechung des BGH ist der Unternehmensleiter für die Verletzung absolut geschützterRechtsgüter Dritter auch dann einstandspflichtig, wenn diese zwar aus dem Bereich des Unternehmens heraus, aber ohne seine konkrete Beteiligung begangen wurde, soweit ihm ein Organisationsverschulden zur Last fällt • Definition der Fahrlässigkeit, Gesetzliche Bestimmung in § 276 BGBEntscheidend ist, was ein durchschnittlich besonnener, gewissenhafter Mensch in der konkreten Lage erkannt hätte, und was er gegen die erkannte Gefahr getan hätte“… „Die Sorgfalt, die der durchschnittliche Spezialist walten lässt, ist dann auch der zu erfüllende Maßstab“

  5. Rechtliche Notwendigkeit (3) • Der EDV-Leiter muß sich darüber informieren, welche Möglichkeiten der Manipulation durch Betriebsangehörige und Betriebsfremde es gibt; er muß ferner dafür sorgen, dass – ggf. durch entsprechende Vorlage bei der Geschäftsführung oder dem Vorstand – Maßnahmen getroffen werden, die nach dem Stand der Technik und unter Berücksichtigung der dem Betrieb zumutbaren Kosten Manipulationen durch Betriebsangehörige und Dritte verhinden“ • Wichtig ist hierbei, das die Haftung des Vorstandes nur entfällt, wenn der ein Früherkennunsgsystem wählt, das soweit nach dem derzeitigen Stand der Technik, Manipulationen Betriebsangehöriger und Dritter verhindert und Risiken der zukünftigen Entwicklung aufzeigt

  6. Risiken aus Sicht der Anwälte • Ausspähen von Daten durch Dritte • Eindringen Dritter in das eigene Netz • Einschleusen von Viren • Manipulation der Daten durch Dritte • Manipulation der Daten durch Betriebsangehörige • Unentdeckte Fehler der Software • Crash bei Hard- und Software Quelle: Rechtsfragen bei der Risikoklassifizierung im Gesamtkomplex des KonTraG, Christoph Becker, Köln 2002

  7. Problem • Risikomanagement ist Pflicht, aber wie wird es realisiert? • Wer oder was verdichtet die Security Daten stark und trotzdem sinnvoll? • Wie kann man sich schützen? • Wann ist man wirklich sicher? • Gesetze sprechen eine eindeutige Sprache

  8. Desktop Server Netzwerk Anforderung & Zielsetzung Security – Management Angriffs- und Abwehr – Management Schwachstellen – Management Entwicklung zu integrierte Security Management Lösungen Isolierte Produkt - Lösung Integrierte Security - Lösung

  9. Enterprise Protection - Betriebskonzept Revision / Audit Gesetze / Richtlinien CEO Führung Sind wir sicher !? Was müssen wir tun? KonTraG AktG HGB Basel II BSI BS 7799 ISO 17799 GSH • Definition Richtlinien • Umsetzung • Einhaltung • Abweichung CIO IT- Verantwortung • Design • Lösung • Schutz Operative Security Fachverantwortung / Experte Security - Betriebskonzept

  10. Betriebskonzept CEO Informationsbedarf Revision / Audit Berichtswesen Analytik Betrieb Security Betriebskonzept CIO Definition Richtlinien Umsetzung/Einhaltung Implementierung Geografische Netzwerk- Struktur Security: Design, Lösung Schutz Kritische Systeme

  11. CEO / Führung • Informationsbedarf • Wochenbericht • Monatsbericht • Quartalsbericht • ½ - Bericht • Jahresbericht • Budgetplanung • Inhalt • Einfach, schnell, verständlich und umfassend • Zustand und Veränderung • Einhaltung von Gesetzten und Richtlinen • Maßnahmen • Besondere Ereignisse CEO-Bericht

  12. Transparenz der vorhanden Sicherheit

  13. CIO / IT- Verantwortlicher • Definition der Unternehmens-Richtlinien • Umsetzung in Policys • Analyse der Sicherheit • Aufgabenzuordnung • Einhaltung undAbweichungs-Analytik • Berichtserstattung • Maßnahmen

  14. Operative Security / Experten • Überwachung der Systeme • Schwachstellenanalytik • Angriffs-/Erkennung Abwehr • Korrelations-Analytik • Kritische Systeme • Automatisierung • Fortlaufende Optimierung

  15. Revision / Audit • Unabhängige Beurteilung der Sicherheit • Zugang zur Analyse mit Berechtigung • Individuelle Analytik Möglichkeit • Bericht • Empfehlungen & • Fortlaufende Optimierung

  16. Analyse Definition Design Schulung Training Implementierung Phasen-Modell Einführung Abnahme Support Implementierung

  17. ISS’ Protection Solutions

  18. Global Management via SiteProtector™

  19. Dynamic Threat Protection detect. prevent. respond. Fragen?

More Related