fachstelle für datenschutz - tuvit.de · iso 13407 und iso 9241-210 zertifizierungsstelle:...
TRANSCRIPT
Inhalt
1 Einleitung 1
2 Ablauf des Datensicherheits-Assessment 2
2.1 Vorbereitungsphase 3
2.2 Vor-Ort-Phase 3
2.2.1 Eröffnung 4
2.2.2 Erstbegehung 4
2.2.3 Prüfplan Abstimmung 4
2.2.4 Begehung und Interviews nach Themenkreisen 5
2.2.5 Bericht 5
2.2.6 Abschluss 6
3 Leistungsstufen des Datensicherheits-Assessment 7
3.1 Datensicherheits-AssessmentBUSINESS 7
3.2 Datensicherheits-AssessmentPLUS 7
3.3 Datensicherheits-AssessmentPREMIUM 7
4 Über TÜViT 8
5 Ansprechpartner 12
Datensicherheits-Assessment Seite 1 | 12
© TÜV Informationstechnik GmbH
1 Einleitung
Mit einem Anteil von über 99% sind die kleinen und mittleren
Unternehmen (KMU) ein wesentlicher Erfolgsfaktor der deutschen
Wirtschaft. Aber gerade die kleinen und mittleren Unternehmen
unterliegen einem stetig wachsenden Angriffsrisiko auf ihre IT und
geraten in das Visier von Cyber-Kriminellen. Um die Unternehmenswerte
wie z.B. Spezial Know-how gegen Ausspähen und Diebstahl zu schützen,
ist eine optimale Nutzung von geeigneten Sicherheitsmaßnahmen und
Informationsquellen unabdingbar.
An dieser Stelle setzt das Datensicherheits-Assessment an. Das
Datensicherheits-Assessment unterstützt Unternehmen, die den Bedarf
erkannt haben, ihren IT-Betrieb und insbesondere ihre IT-Sicherheit vor
dem Hintergrund der aktuellen Bedrohungslage optimal zu organisieren.
Hierzu gehört neben anderen Maßnahmen die Etablierung eines
wirksamen IT-Sicherheits- bzw. IT-Servicemanagement.
Das Datensicherheits-Assessment ist eine unabhängige Einschätzung der
Sicherheit und Effektivität des IT-Einsatzes bei
kleinen und mittelständischen Unternehmen,
dem Handwerk sowie
den Freien Berufen.
Das Datensicherheits-Assessment basiert auf etablierten Best Practices
und Standards des IT-Sicherheits- bzw. IT-Servicemanagements:
IT-Grundschutz, BSI Standard 100-2
Informationssicherheits-Managementsysteme,
ISO/IEC 27001, ISO/IEC 27002
IT Service Management, ISO/IEC 20000
Datensicherheits- Assessment Seite 2 | 12
© TÜV Informationstechnik GmbH
Die Prüfungspraxis nach o.g. Standards hat gezeigt, dass oftmals weniger
aufwendige, dafür aber koordinierte Maßnahmen einen höheren
Sicherheits- bzw. Effektivitätsgewinn bringen, als eher technisch
orientierte und häufig teure Einzelmaßnahmen.
Das Datensicherheits-Assessment konzentriert sich deshalb auf die für
KMU besonders relevanten Maßnahmen, die bereits mit begrenztem
Ressourceneinsatz wirksam umsetzbar sind und somit rasch einen hohen
Nutzen erreichen.
2 Ablauf des Datensicherheits-Assessment
Der Ablauf des Datensicherheits-Assessment teilt sich in eine
Vorbereitungs- sowie eine Vor-Ort-Phase auf.
Abbildung 1: Phasen des Datensicherheits-Assessments
Datensicherheits-Assessment Seite 3 | 12
© TÜV Informationstechnik GmbH
2.1 Vorbereitungsphase
Grundlage für die Durchführung des Datensicherheits-Assessment ist ein
Fragebogen, der als Vorbereitung des Unternehmens auf das Assessment
dient. Der Fragebogen beinhaltet unternehmensspezifische Daten wie
Unternehmensgröße, Anzahl der Standorte, Angaben zu organisa-
torischen Abläufen sowie die eingesetzte Automation durch Maschinen
oder IT.
Des Weiteren ermöglicht der Fragebogen dem IT-Assessor den Einstieg
in die konkreten Gegebenheiten des Unternehmens und seiner Abläufe.
2.2 Vor-Ort-Phase
Das Datensicherheits-Assessment beginnt ca. zwei Wochen nach
Vorliegen des Fragebogens. Die konkrete Gestaltung des Ablaufes vor
Ort übernimmt der IT-Assessor in Abstimmung mit dem Unternehmen.
Das Unternehmen hat im Vorfeld des Datensicherheits-Assessment dafür
Sorge zu tragen, dass notwendige Ansprechpartner der verschiedenen
Organisationseinheiten in ausreichendem Maße verfügbar sind. Zutritte
zu gegebenenfalls zutrittsgeschützten Räumlichkeiten sollten frühzeitig
vorbereitet werden, so dass im Verlauf des Assessment keine unnötigen
Verzögerungen auftreten.
Die Vor-Ort-Phase setzt folgende Schwerpunkte (Themenkreise), die
einen effektiven und sicheren IT-Betrieb ausmachen:
Organisation: umfasst die Aufbau- und Ablauforganisation und
rechtliche Aspekte
Infrastruktur: umfasst die Gebäudeinfrastruktur
IT-Systeme: umfasst die eingesetzten IT-Plattformen
Netzwerk: umfasst das IT-Netzwerk
Anwendungen: umfasst Aspekte wie Konfiguration und Administration
der eingesetzten Anwendungen
Datensicherheits- Assessment Seite 4 | 12
© TÜV Informationstechnik GmbH
2.2.1 Eröffnung
Das Eröffnungsgespräch dient dem Kennenlernen der Unternehmung,
ihrer Abläufe, der eingesetzten Automation bzw. IT sowie der zugehörigen
Risiken. Dabei werden die wichtigsten Geschäfts- und Kundendaten
identifiziert, welche den Betrieb der Automation bzw. IT ermöglichen, um
den Sicherheitsbedarf der zugrundeliegenden IT abzuschätzen.
Dies ermöglicht dem IT-Assessor, im weiteren Verlauf die Eignung der
bereits getroffenen Schutzmaßnahmen zu bewerten und dient als
Grundlage für eine Einschätzung der Effektivität des IT-Einsatzes im
Unternehmen.
2.2.2 Erstbegehung
Das Ziel der Erstbegehung ist es, einen Eindruck der physischen
Gegebenheiten zu bekommen sowie die in der Eröffnung identifizierten
Abläufe und ihre Automation bzw. IT auf Plausibilität zu prüfen. Dabei
sollen nach Möglichkeit alle Bereiche des Standorts, die für die
Leistungserbringung wesentlich sind oder an denen IT in besonderem
Maße zum Einsatz kommt, betrachtet werden.
2.2.3 Prüfplan Abstimmung
Das Ziel der Abstimmung des Prüfplans ist es, den weiteren Verlauf des
Datensicherheits-Assessment zwischen Unternehmen und IT-Assessor
gemeinsam festzulegen. Der Prüfplan legt die Aktivitäten und ihre
Abfolgen, den Ort sowie Beginn und Ende der jeweiligen Aktivität und die
Beteiligten des Unternehmens fest.
Bei der Erstellung des Prüfplans berücksichtigt der IT-Assessor die
zeitliche Verfügbarkeit der jeweiligen Ansprechpartner.
Datensicherheits-Assessment Seite 5 | 12
© TÜV Informationstechnik GmbH
2.2.4 Begehung und Interviews nach Themenkreisen
Das Ziel der Begehung und Interviews nach Themenkreisen ist das
systematische Erschließen der Vor-Ort Gegebenheiten, der Abgleich mit
den Angaben des Fragebogens sowie das Spiegeln zu erwartender
Maßnahmen mit den tatsächlich getroffenen Maßnahmen und ihrer
Wirksamkeit.
Die Begehung dauert ca. zwei Stunden je Themenkreis. Zur Durchführung
des Assessments greift der IT-Assessor auf folgende Methoden zurück:
Dokumentensichtung (inkl. elektronischer Dokumente)
Mündliche Befragung der Führungskräfte und Mitarbeiter des
Unternehmens
Beobachtung, z. B. während der Erstbegehung aufgefallener
individueller Umgang mit Sicherheitsregeln
Inaugenscheinnahme von z. B. IT-Systemen und Räumen
technische und organisatorische Erprobung, z. B. Überprüfung von
Alarmanlagen mittels „Gehtest“ oder Prüfung von Zutrittskontrollen
Datenanalyse
2.2.5 Bericht
Nach Abschluss der Begehungen erstellt der IT-Assessor einen Bericht,
wofür er ca. eineinhalb Stunden benötigt. Der Bericht enthält neben einer
kurzen Ergebnisübersicht auch eine zusammenfassende Übersicht der
Erfüllung einzelner Aspekte der Themenkreise sowie ein Kapitel mit
konkreten Handlungsempfehlungen zur Verbesserung der Effektivität und
Sicherheit der IT.
Die im Assessment gemachten Feststellungen werden in konsolidierter
Form tabellarisch aufgelistet und durch ein Management Summary
ergänzt.
Datensicherheits- Assessment Seite 6 | 12
© TÜV Informationstechnik GmbH
2.2.6 Abschluss
Der IT-Assessor stellt in einer einstündigen Präsentation der
Unternehmensleitung die Ergebnisse des Datensicherheits-Assessment
vor und übergibt im Anschluss den Assessment Bericht.
Das Ziel des Abschlusses ist die verständliche Vermittlung der
Ergebnisse des Assessments. Zugleich soll er der Unternehmensleitung
aufzeigen, in welcher Hinsicht gegebenenfalls Handlungsbedarf besteht
und wie erforderliche nächste Schritte aussehen können.
Datensicherheits-Assessment Seite 7 | 12
© TÜV Informationstechnik GmbH
3 Leistungsstufen des
Datensicherheits-Assessment
Die Leistungsstufen des Datensicherheits-Assessment sind gegliedert
in die Module Datensicherheits-AssessmentBUSINESS, Datensicherheits-
AssessmentPLUS, Datensicherheits-AssessmentPREMIUM.
3.1 Datensicherheits-AssessmentBUSINESS
bestehend aus einem 1,5- bis 2-tägigem Assessment vor Ort inkl.
Statusermittlung mittels Fragebogen inkl. fach-kompetenter
Auswertung
Erstbegehung vor Ort
Abstimmung Prüfverlauf
Sicherheitsbegehung und Interviews nach festgelegten Themenkreisen
Abschlussbericht
3.2 Datensicherheits-AssessmentPLUS
bestehend aus einem 2- bis 3-tägigem Assessment vor Ort mit den
Inhalten aus dem Datensicherheits-AssessmentBUSINESS sowie
Konfigurationsanalyse
Port-Analyse bestehender IT-Infrastruktursysteme
Management-Summary mit konkreten Handlungsempfehlungen
3.3 Datensicherheits-AssessmentPREMIUM
bestehend aus einem unternehmensspezifisch angepassten
Assessment vor Ort mit den Inhalten aus dem Datensicherheits-
AssessmentPLUS sowie
bedarfsorientierter Prüfung unternehmensspezifischer IuK-
Einrichtungen
Managementpräsentation mit konkreten Handlungsempfehlungen
Vermittlung der Assessment-Ergebnisse in den beteiligten
Fachbereichen
Datensicherheits- Assessment Seite 8 | 12
© TÜV Informationstechnik GmbH
4 Über TÜViT
Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist
einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir
unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-
Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre
Unternehmenswerte zu bewahren.
Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf
Themen wie Common Criteria Evaluationen, Cyber Security, Mobile
Security, Industrial Security, Penetrationstests, Bewertung von
Informationssicherheits-Managementsystemen nach ISO/IEC 27001 sowie
Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung
von Rechenzentren hinsichtlich ihrer physischen Sicherheit und
Hochverfügbarkeit.
Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter
Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere
Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen.
Unsere Dienstleistungen werden stets nach dem Stand der Technik
ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche.
Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und
internationale Organisationen und Behörden weisen unsere Kompetenzen
auf dem Gebiet der IT-Sicherheit und IT-Qualität nach.
Bundesamt für Sicherheit in der Informationstechnik
Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach
ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3,
BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5
IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich
IS-Revision und IS-Beratung und Penetrationstests
Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001
Lizenzierte Auditoren für De-Mail
Datensicherheits-Assessment Seite 9 | 12
© TÜV Informationstechnik GmbH
Deutsche Akkreditierungsstelle
Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen
IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC
17025:2005
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach
ITSEC/ITSEM/CC/ISO 15408/CEM
Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN
EN ISO 9241-110, DIN EN ISO 9241-11, ISO/IEC 25051, DIN EN
ISO 13407 und ISO 9241-210
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,
Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und
Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN 319 401 / 319
411-1 / 319 411-2 / 319 421, ETSI TS 101 456 / 102 042 / 102 023,
DIN EN 50518-1:2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC
17065:2013
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,
Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013
und ETSI EN 319 403 V2.2.2 im Bereich qualifizierte Vertrauens-
diensteanbieter und die von ihnen erbrachten qualifizierten
Vertrauensdienste im Anwendungsbereich der VERORDNUNG
(EU) Nr. 910/2014 (eIDAS)
Bundesnetzagentur
Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten
für qualifizierte elektronische Signaturen
Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung
von Sicherheitskonzepten für Zertifizierungsdiensteanbieter
Die Deutsche Kreditwirtschaft
Gelistete Prüfstelle für elektronischen Zahlungsverkehr
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch)
EuroPriSe Gutachter (rechtlich/technisch)
Datensicherheits- Assessment Seite 10 | 12
© TÜV Informationstechnik GmbH
Information-technology Promotion Agency, Japan
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM
National Institute of Technology and Evaluation, Japan
Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in
dem Bereich der IT / Common Criteria Evaluationen (Lab Code:
ASNITE0019T)
National Institute of Standards and Technology
National Voluntary Laboratory Accreditation Program, USA
Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für
Cryptographic Module Testing (Scopes 17BCS, 17CAV/01,
17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01,
17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing
Europay, MasterCard and Visa, USA/Großbritannien/Japan
Full Service Laboratory für Prüfungen von ICs und Chipkarten nach
EMVCo Sicherheitsrichtlinien
Modular Label Auditor
Visa, USA
Test House zur Durchführung von Visa Chip Product
Sicherheitsevaluationen
MasterCard, Großbritannien
Akkreditiert zur Durchführung von CAST (Compliance Assessment and
Security Testing) Evaluationen
Betaalvereniging Nederland, Niederlande
Evaluation Laboratory
Datensicherheits-Assessment Seite 11 | 12
© TÜV Informationstechnik GmbH
In nationalen und internationalen Forschungsprojekten und Gremien
gestaltet TÜViT den Stand der Technik aktiv mit.
TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und
Umweltmanagement, welche nach ISO 9001:2008 bzw.
ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche
und Erwartungen ihrer Kunden.
TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV
NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem
nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten.
Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische
Tests und Prüfungen in zahlreichen Bereichen durchgeführt und
entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen
verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten
und durchzuführen.
Datensicherheits- Assessment Seite 12 | 12
© TÜV Informationstechnik GmbH
5 Ansprechpartner
Peter Kattner, LL.M.
Leiter der Fachstelle für Datenschutz
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Langemarckstraße 20
45141 Essen
Tel.: +49 201 8999-643
Fax: +49 201 8999-666
www.tuvit.de Jörg Schlißke, LL.B.
Produktmanager Datenschutzqualifizierung
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Langemarckstraße 20
45141 Essen
Tel.: +49 201 8999-533
Fax: +49 201 8999-666
www.tuvit.de
Version: 1.9