Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung von IT-Grundschutz (BSI) ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren. Denn es gilt: erst anhand der vorhandenen IT entscheidet sich, welche Maßnahmen gemäß IT-Grundschutz (BSI) ergriff en werden können und in der Folge zu ergreifen sind. Dieses Seminar vermittelt dem Teilnehmer das notwendige Know-how, um eine IT-Strukturanalyse gemäß IT-Grundschutz (BSI) zu erstellen. Einführung Kurzer Methodikexkurs IT-Sicherheit Darstellung der Grundschutzmethodik und Einführung in die Grundschutzvorgehensweise Erfassung des IT-Verbunds Begriffl ichkeiten Abgrenzung des zu betrachtenden IT-Verbundes Vorgehensweise und Methodik bei der Erfassung (Reihenfolge der einzelnen Erfassungsschritte) Selektion und Erfassung von Ansprechpartnern Erfassung bzw. Auswertung (Mapping) vorhandener Informationen zu Geschäftsprozessen und relevanten geschäftskritischen Daten und IT-Anwendungen - sofern vorhanden Netzplanerhebung Vorerhebung von Informationen zum IT-Verbund (Sichtung vorhandener Netzpläne und sonstiger Dokumentationsunterlagen) Begriffl ichkeiten, Vorgehensweise und Methodik Anforderungen hinsichtlich: Detailtiefe, Informationsgehalt, Strukturierung, Begriffl ichkeiten und Referenzierungen Abgleich des Netzplans mit tatsächlich vorhandener IT-Struktur (Aktualität) Best practices und Tools Übung: bereinigter Netzplan Erhebung der IT-Systeme Begriffl ichkeiten, Vorgehensweise und Methodik Aufl istung aller IT-Systeme in tabellarischer Form (Warum ist korrekte Erfassung wichtig?) Welche Informationen müssen dazu vermerkt werden? Übung: Erhebung von IT-Systemen in einer Excel-Datei Erfassung der IT-Anwendungen und der zugehörigen Informationen Begrifflichkeiten, Vorgehensweisen und Methodik (Was ist eine IT-Anwendung? Was ist keine?) Welche IT-Anwendungen sollten erfasst werden? IT-Anwendungen auf Servern IT-Anwendungen auf Clients Verweise zum Datenschutz Zuordnung (Mapping) der Anwendungen zu den entsprechenden IT-Systemen Zuordnung von Daten und Anwendungen Übung zu personenbezogenen Daten und zum Unterscheiden zwischen IT-Anwendung und Software Erfassung der Betriebsstellen, Gebäude und Räume Welche Liegenschaften müssen mit einbezogen werden? Werden schutzbedürftige Informationen in weiteren Räumen aufbewahrt? Erfassung in tabellarischer Form Mapping von IT-Systemen und Räumen/Orte Übung: Erfassung der Räume Komplexitätsreduktion durch Gruppenbildung Zusammenfassung von gleichen Komponenten aufzeigen Vorteile der Gruppenbildung Darstellung der zusammengefassten Komponenten im Netzplan (bereinigter Netzplan) Ausblick zur weiteren GS-Vorgehensweise Schutzbedarfsfeststellung Modellierung Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Realisierung der IT-Sicherheitsmaßnahmen

Kurs-Inhalte

Seminarinhalte: Keine

Zielgruppen

IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, IT-Leitung, IT-Administratoren Die Anforderungen an den IT-Sicherheitsbeauftragten und die Entscheidung hin zu ISO/IEC 27001:2005 in Anlehnung an den IT-Grundschutz gemäß BSI stellen Unternehmen und Behörden vor schwierige Aufgaben. Ein Information Security Management System steht und fällt bereits in der Planungsphase. Also ob es ein Monolith wird oder stattdessen ein effizientes System, dass die Sicherheit nachhaltig erhöht und wirtschaftlich ist. Referenten aus den verschiedensten Fachgebieten mit einem immer anderen Blickwinkel, also Wirtschaftsprüfer, Professoren, ISO/IEC 27001:2005 Auditoren, Revisoren berichten aus der Praxis. Referenten, die aktuelle Normen mitgestaltet und mitformuliert haben. Referenten, die aber auch zukünftige Normen z. B. in der gesamten 27xxx Normenfamilie aktiv mitgestalten und definieren.