TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im...
Transcript of TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im...
![Page 1: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/1.jpg)
TOM für IT-Sicherheit & Compliance
IHK Neubrandenburg
22.3.2018
![Page 2: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/2.jpg)
Anforderungen aus BDSG, DSGVO
Klassifizierung der pbD
Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation
TOM fürDatensicherheit und
Compliance
Standards, Prozesse, DokumentationEskalation und Meldepflichten
Auditierung
Anforderungen
Lösungen
Anforderungen und Lösungen
![Page 3: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/3.jpg)
Auskunfts- und Löschungs-
ersuchen
Formgerechte Einwilligung der
Betroffenen
Datenschutzerklärung
Wiederanlauf-plan
BetriebshandbuchNotfallhandbuch
To do (Bsp. Netik)
VA für Datenschutz
Verzeichnis der pbDKlassifizierung
Verfahrensverzeichnisneu: Pflicht für Outsourcer!
Verpflichtung zum Datenschutzmit allen Mitarbeitern vereinbaren!
Auftragsverarbeitung und TOM für Datenschutzmit allen Kunden vereinbaren!
Datenschutz Folgenabschätzung
Meldepflicht bei Datenschutz-verletzungen
Technische Organisatorische Maßnahmen (TOM) für IT-Sicherheit und Compliance
prüfen, bewerten, einführen
„Bedrohungen abwehren“: Sicherheit für die Verbindung zwischen Unternehmensnetz und Internet
„Ausbreitung verhindern“: Sicherheit im internen Netz# Identity Management # Management und Security der zentralen IT # Clientmanagement und –security# Netzwerksegmentierung
"Wiederherstellung ermöglichen"
„Dokumente kategorisieren, Zugriff regeln“Richtlinien für Dokumente
„Sichere Prozesse einrichten und überwachen“Menschen, Standards, Prozesse, Dokumentation
OrganisationsanweisungenChecklisten und Vorlagen
![Page 4: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/4.jpg)
Unterstützungwww.netik.de/dsgvo
www.netik.de/csp
Checkliste für Datenschutz und Compliance Bewertung und Entscheidung
TOM für Datenschutz und Compliance Maßnahmeplan und Beschreibung
![Page 5: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/5.jpg)
Internes Netz
Datenschutz
Internes Netz(Intranet)
Mobile Geräte
Externe Zusammenarbeit
Daten innerhalb deseigenen Netzes
Verwaltete Indentitäten und verwaltete Geräte
Hybride Datenverlassen den geschützten Bereich
![Page 6: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/6.jpg)
Intranet
Internes Netz
Bedrohungen abwehren:Sicherheitsrichtlinien für die Verbindung zur Außenwelt
Sicherheitszone
Internet
FirewallVPNAccess GatewayDMZ
E-Mail Security
Content Filter
![Page 7: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/7.jpg)
Internet
IntranetStandort
DatacenterPartner
VPN
Access Gateway
IntranetInternes Netz
DMZ
Mobiler MitarbeiterHome Office
MobilgeräteExterne
Bedrohungen abwehren:Aufgaben der Firewall
![Page 8: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/8.jpg)
https://spamfilter.netikrz.de/reports_dashboard_user.html
Bedrohungen abwehren:E-Mail Security
![Page 9: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/9.jpg)
• Schadsoftware gelangt häufig durch E-Mail auf die Computer
• über 90% der Muster sind neu
Schutz der Verbindung zum Internet reicht nicht mehr!• Aufmerksamkeit auf das Client
Netzwerk richten! Ausbreitung verhindern
• Die Server sind häufig nicht betroffen
Ausbreitung verhindern:Erkenntnisse aus einem Virenvorfall
InternetE-MailUSB-Stick
Intranet
Maschinen-steuerung
ERP und Verwaltung
Server
![Page 10: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/10.jpg)
Neue(?) Standards
• Trennung von Administrator- und BenutzerkontenDienst-Konten für automatisierte Anwendungennormale Benutzerkonten ohne lokale Admin-Rechte
• Aktivierung der Windows Firewallkomplexes Richtlinienset mit Blockierungen und Freigaben
• Passwort-Wechsel und komplexe Passwörter
• Netzwerksegmentierung, unnötige Verbindungen blockieren
• Dateiausführungsrichtlinien: Die Ausführung von Programmen wird generell geblockt, außer wenn sie manuell gestartet werden.
• Freigabe betrieblicher Anwendungen. Andere Anwendungen werden nicht zugelassen. Im Ausnahmefall extra Admin-Konto für Installation und Update.
Neue Risiken
Schutz der Außengrenzen reicht nicht mehr!
• Identitäten schützen!
• Aufmerksamkeit auf das Client Netzwerk richten! Ausbreitung verhindern!(Server sind häufig nicht betroffen)
Schaden ..
• > 1000 EUR pro Clientfür Aufklärung und Wiederherstellung
• Computerversicherung
• Meldepflicht
Ausbreitung verhindern: Erkenntnisse aus einem Virenvorfall
![Page 11: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/11.jpg)
Ausbreitung verhindern: Identitäten managen
Benutzer- und Ressourcenmanagement – GPOBenutzerkonten, Administratorkonten, Dienstbenutzerkonten
Kennwortrichtlinien, Kontosperrungsrichtlinien, Kerberosrichtlinien
Passwortrichtlinien
Softwareausführungsrichtlinien – InstallationsrechteWindows Domäne
Active Directory
Verzeichnis aller Ressourcen:netik.deBenutzer - GruppenGerätePostfächerBerechtigungenAttributeusw.Intranet
Internes Netz
CloudIdentitäten
Cloud
![Page 12: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/12.jpg)
Zugriff für Mobile Mitarbeiter, Home Office usw. mit 2-Faktor Authentifizierung
Anmeldung an der Weboberfläche des Access Gateways
MobilePASS auf dem Smartphone
![Page 13: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/13.jpg)
Ausbreitung verhindern: Management und Security der zentralen IT
Netzwerkmanagement
Servermanagement
Updatemanagement
Virenschutzmanagemt
Aktuelle Server Betriebssysteme
Proaktives Systemmonitoring
![Page 14: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/14.jpg)
Zentrales (cloud-basiertes) Clientmanagement für stationäre und mobile Windows Clients
Zentrales Mobilgeräte-Management
Updatemanagement, VirenschutzmanagementSoftwareausbringung und -standardisierung
Aktuelle Client-Betriebssysteme:
Windows Firewall
Ausbreitung verhindern: Client - Management und Security
![Page 15: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/15.jpg)
Zentrale IT
ManagedClients
z.B. Maschinen-
Steuerrechner
Ausbreitung verhindern: Netzwerksegmentierung
Netzwerksegmentierung
VLANWLAN Management
Interne Firewall oder
Stateful Packet Inspection Lösung
![Page 16: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/16.jpg)
Wiederherstellung ermöglichen: Daten und ganze Systeme
Backup und Restore
Backup To Disk to Tape
Backup to Cloud
Backup und Recovery Managementfür Server Fileserver, Datenbankenfür Clientsfür Virtuelle Maschinen
Systemwiederherstellung
Site Recoveryauf eine standby Site, auf einen anderen Standort, in der Cloud
Virtualisierung und Provisionierungfür Server (und Clients)Terminalserverszenarien – Outsourcing
Systemwiederherstellungspunkte
Imaging und Wiederherstellung vom Image
![Page 17: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/17.jpg)
Dokumente klassifizieren, Zugriff regeln:Berechtigungen auf das Dateisystem
![Page 18: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/18.jpg)
Dokumente kategorisieren, Zugriff regeln:Information Protection
für Office Daten, pdf, jpg und viele andere Datentypenfür den gesamten Lebenszyklus und alle Speicherortefür interne und externe Nutzer
![Page 19: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/19.jpg)
Dokumente kategorisieren, Zugriff regeln:Richtlinien für Dokumente
Management der Zugriffsrechte auf Speicherorte und Dokumente die bekannten Berechtigungsstrukturen für Windows File Server, Datenbanken und andere Speicherorte (wie Sharepoint/OneDrive u.a.)
Zugriffsschutz auf DokumentebeneDokument Klassifizierung - Rights Management -
E-Mail Archivierung:
Archivierung Digitaler Belege (GOBD)
Verschlüsselung
Notebook-Festplatten u.a.
E-Mail Verschlüsselung
![Page 20: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/20.jpg)
Prozesssicherheit: Menschen, Standards, Prozesse, Dokumentation
Management- und Kontrollprozesseeinschl. Inventuren und DokumentationTest Redundanz/Wiederherstellung und Wiederanlauf
Checkin-/Checkout-Prozesse
Update- und Erneuerungsprozesse
IT-DokumentationBetriebshandbuch, Notfallhandbuch
Monitoring von Systemen, Diensten und AnwendungenEskalation und Meldung von Störfällen
![Page 21: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/21.jpg)
Prozesssicherheit: IT-DokumentationInventarisierungAnalyse Dokumentation der gesamten IT Visualisierung und Berichte
![Page 22: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/22.jpg)
System-Montoring
![Page 23: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/23.jpg)
• Vertrag, Buchung und Abrechnung
• SupportDelegierte AdministrationZugriff auf den Hersteller-Support
• Consulting
• Integration mit verschiedenen Herstellern und Partnern
• Eigene vorgefertigte ServicesAdd-OnsMehrwertManaged Services
Einfach fragen!ArchitekturProof of ConceptOptimierung, AutomatisierungUnterstützung bei Projekten
www.netik.de/dsgvo
Solution Providerfür Datenschutz- und Compliance Lösungen
Netik
![Page 24: TOM für IT-Sicherheit & Compliance - IHK...2018/03/22 · Wo, mit welchen Verfahren werden pbD im Unternehmen verarbeitet?: Anwendungen, Speicherorte, interne und externe Kommunikation](https://reader033.fdocument.pub/reader033/viewer/2022060510/5f279d14b568b172a7056eee/html5/thumbnails/24.jpg)
Danke für die Aufmerksamkeit!Sie finden die Themen auf unserer Webseite www.netik.de/dsgvo
Sprechen Sie uns (rechtzeitig) an!
Dr. Lutz Netik: [email protected] Seefeld: [email protected]