Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
verinice.XP 2018
Aufbau eines standardisierten IT-
Sicherheitskonzepts für Hoster
nach BSI IT-Grundschutz
Information Security Management Consultant
Philipp Neumann
© HiSolutions 2018 | verinice.XP 2018
© HiSolutions 2018 | verinice.XP 2018
AGENDA
1 Ausgangslage
2 Standardisiertes IT-Sicherheitskonzept
3 Zusammenfassung
4 CV - Philipp Neumann
2
© HiSolutions 2018 | verinice.XP 2018
AGENDA
1 Ausgangslage
2 Standardisiertes IT-Sicherheitskonzept
3 Zusammenfassung
4 CV - Philipp Neumann
3
Ausgangslage
4© HiSolutions 2018 | verinice.XP 2018
Rahmenbedingungen - Hoster:
Nutzungsgrad (Qualität und Quantität)
ISMS-Framework in Verbindung mit „[…] as a Service“-Modellen
Vermeidung von zukünftigen Aufwänden
Abbildung in einem ISMS-Tool
Berücksichtigung der strategische Ausrichtung
Rahmenbedingungen - Consulting:
Größe des Informationsverbundes
Varianzen von Zielobjekten
Migrationsaufwand vs. Pflegeaufwand
Zertifizierung
Ausgangslage
5© HiSolutions 2018 | verinice.XP 2018
Zertifizierungsmöglichkeiten:
Option 1 - Antrag nach IT-Grundschutz-Katalog (15. Ergänzungslieferung)
Option 2 - Antrag nach IT-Grundschutz-Kompendium
Variante 1: Standardabsicherung
Variante 2: Kernabsicherung
Variante 3: Basisabsicherung
Option 3 - Hybrides ISMS
Variante 1: Antrag nach IT-Grundschutz-Katalog
Variante 2: Antrag nach IT-Grundschutz-Kompendium
Ausgangslage
6© HiSolutions 2018 | verinice.XP 2018
Themenbereiche:
Strategie und Anforderungen
IT-Strategie und Produktmanagement
Betriebssicherheit und Notfallmanagement
Datenschutz und Informationssicherheit
IT-Infrastruktur
Schnittstellen zum IT-Service-Management
Zielsetzung:
Ausgangslage
7© HiSolutions 2018 | verinice.XP 2018
Standardisiertes
IT-Sicherheitskonzept für Hoster
© HiSolutions 2018 | verinice.XP 2018
AGENDA
1 Ausgangslage
2 Standardisiertes IT-Sicherheitskonzept
3 Zusammenfassung
4 CV - Philipp Neumann
8
Standardisiertes IT-Sicherheitskonzept
9© HiSolutions 2018 | verinice.XP 2018
IT-Strategie/
Produktmanagement
IT-I
nfr
astr
uktu
rB
etrie
bssic
herh
eit/
Notfa
llmanag
em
ent
Datenschutz/
Informationssicherheit
Sta
ndard
isie
rtes
ISM
S-F
ram
ew
ork
Sta
ndard
isie
rte
Serv
ices
Kunden-
betreuung
Institutions-
Steuerung
Projektorganisation:
Workspace mit Task-Funktion
Prüfung bestehender Prozesse und Dokumente
Klärung der Zuständigkeiten/Verantwortlichkeiten
Metadatenmanagement, Priorisierung und Steuerung
Kickoff-Veranstaltung
Standardisiertes IT-Sicherheitskonzept
10© HiSolutions 2018 | verinice.XP 2018
IT-Strategie und Produktmanagement:
ITSM Prozesse
Business Services
IT-Services
Technische Services
Ressourcenmanagement
Produktportfolio
Service Level Agreements
Standardisiertes IT-Sicherheitskonzept
11© HiSolutions 2018 | verinice.XP 2018
Betriebssicherheit und Notfallmanagement:
Betriebskomponenten und -prozesse
Operational Level Agreements
Business Impact Analyse
Wiederanlaufkoordinationsplanung
Sicherheitsvorfallsbehandlung
Kommunikationsmatrix
Standardisiertes IT-Sicherheitskonzept
12© HiSolutions 2018 | verinice.XP 2018
Datenschutz und Informationssicherheit:
Datenschutz- und Informationssicherheitsprozesse
Sicherheits-, Datenschutz-, Risiko- und Vertragsmanagement
Sicherheitsvorgaben
Messung, Analyse, Reporting, Folgenabschätzung
Monitoring und Sicherheitsvorfallbehandlung
Schulung und Sensibilisierung
Standardisiertes IT-Sicherheitskonzept
13© HiSolutions 2018 | verinice.XP 2018
IT-Infrastruktur:
Infrastruktur (Gebäude und Räume)
IT-Systeme
Netze/Kommunikationsverbindungen
Basisanwendungen
Optional: Kundenspezifische Anwendungen
Schnittstelle BSI IT-Grundschutz-Baustein
„Cloud-Nutzung“
Verantwortung beim „Kunden“
Infrastruktur-Sicherheitsbausteine
Standardisiertes IT-Sicherheitskonzept
14© HiSolutions 2018 | verinice.XP 2018
Standardisiertes ISMS-Framework:
Bildung von Sicherheitsprozessen
Verantwortungen im ISMS-Framework
Abbildung von Profilen im ISMS-Tool
Priorisierungen für die Erhöhung des Reifegrads
Zertifizierung des standardisierten Datacenters
Einbindung in das interne Ressourcenmanagement
Standardisiertes IT-Sicherheitskonzept
15© HiSolutions 2018 | verinice.XP 2018
Standardisierte Services:
Festes Service-Portfolio
Service-Beschreibungen (inkl. Realisierungszeitrahmen)
Service-Gruppierungen
Service-Verantwortungen
Einbindung in das Marketing
Standardisiertes IT-Sicherheitskonzept
16© HiSolutions 2018 | verinice.XP 2018
Lösungsansätze für die Vertragsphase „Anbahnung“:
Servicekatalog für Angebotserstellung
Infrastruktur-Sicherheitsbaustein-Katalog
Kostenstellen-/Leistungsarten-Katalog
Standardisiertes IT-Sicherheitskonzept
17© HiSolutions 2018 | verinice.XP 2018
Lösungsansätze für die Vertragsphase „Abschluss“:
Kundenvertrag zum Business Service
Vertragsgegenstände
Profilerstellung mit Infrastruktur-Sicherheitsbaustein-Varianten
Definition von Kostenträgern zum Kundenvertrag
Standardisiertes IT-Sicherheitskonzept
18© HiSolutions 2018 | verinice.XP 2018
Lösungsansätze für die Vertragsphase „Durchführung“:
Abruf und Umsetzung von Service Request (Vertragsleistung)
Fertigungs- und Betriebsleistungen umsetzen
Standardisiertes IT-Sicherheitskonzept
19© HiSolutions 2018 | verinice.XP 2018
Lösungsansätze für die Vertragsphase „Beendigung“:
Einstellung der Service-Leistungen
Archivierung der Verträge und möglicher Projektergebnisse
Gegebenenfalls Feedback und Marketing-Anfragen
Standardisiertes IT-Sicherheitskonzept
20© HiSolutions 2018 | verinice.XP 2018
IT-Sicherheitskonzept im ISMS-Tool:
Repository (Infrastruktur-Sicherheitsbausteine)
Kundenanwendungen als eigene Informationsverbünde
Schnittstelle zum IAM
Vermeiden der klassischen Vererbungslehre
Aufgaben-Workflow
Standardisiertes IT-Sicherheitskonzept
21© HiSolutions 2018 | verinice.XP 2018
© HiSolutions 2018 | verinice.XP 2018
AGENDA
1 Ausgangslage
2 Standardisiertes IT-Sicherheitskonzept
3 Zusammenfassung
4 CV - Philipp Neumann
22
Zusammenfassung
23
Bewertung von Zielobjektsvarianten und -ausprägungen in Form vonInfrastruktur-Sicherheitsbausteinen
Erstellung standardisierter und zertifizierungsfähiger Profile als Repository
Schnittstellen der Kunden zum Datacenter über den BSI IT-Grundschutz-Baustein„Cloud-Nutzung“
„Roter Faden“ in der internen Organisation und Steigerung der Außenwahrnehmung
© HiSolutions 2018 | verinice.XP 2018
Zusammenfassung
24© HiSolutions 2018 | verinice.XP 2018
Virt.Firewall
Leitungen DC
KlimaNTPDNS
SANContainer
(PaaS)IaaS
Phys.Firewall
Leitungen DC
KlimaNTPDNSsec
SANContainer
(PaaS)IaaS
Fragen und Antworten
25
Mehrwert
Sonstiges
Fragen
Anregungen
© HiSolutions 2018 | verinice.XP 2018
© HiSolutions 2018 | verinice.XP 2018
AGENDA
1 Ausgangslage
2 Standardisiertes IT-Sicherheitskonzept
3 Zusammenfassung
4 CV - Philipp Neumann
26
Qualifikationen
Lead Implementer gem. ISO 27001
§ 8a (3) BSIG
IHK-Sachkunde § 34a GewO
Luftsicherheit
Tätigkeitsbereiche
Vorbereitung der Zertifizierung nach ISO/IEC 27001auf Basis von
IT-Grundschutz und ISO/IEC 27001 native
Erstellung von Sicherheitsrichtlinien und -konzepten
ISMS-Tools
verinice.PARTNER
© HiSolutions 2018 | verinice.XP 2018
CV - Philipp Neumann
27
HISOLUTIONS BEDANKT
SICH FÜR IHRE
AUFMERKSAMKEIT
28
HiSolutions AG
Bouchéstraße 12
12435 Berlin
www.hisolutions.de
+49 30 533 289 0
© HiSolutions 2018 | verinice.XP 2018
Philipp Neumann
Bouchéstraße 12
12435 Berlin
www.hisolutions.de
+49 30 533 289 0