IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung
mit TÜV Rheinland geprüfter Qualifikation
03.-07. Juni 2013, Frankfurt a.M.
Einleitung
Informationssicherheit in der Verwaltung stellt eine große Verantwortung dar, geht es doch um den Schutz von zum Teil hochsensiblen Daten und Prozessen. Neben der bewussten oder unbewussten Weiterleitung von vertraulichen Informationen oder der Verwaltung und Einhaltung von Zugriffsrechten nimmt die Zahl und Finesse der Bedrohungen stetig zu, die durch rein technische Maßnahmen nicht mehr in den Griff zu bekommen sind. Eine Hauptquelle für Gefährdungen der Informationssicherheit liegt beim Faktor Mensch, verursacht durch mangelndes Sicherheitsbewusstsein und Widerstände gegen „lästige“ Regeln. Die Ausbildung und Benennung eines IT-Sicherheitsbeauftragten trägt hier maßgeblich dazu bei, das Sicherheitsniveau in der öffentlichen Verwaltung signifikant zu steigern. Der IT-Sicherheitsbeauftragte ist für die Planung, Umsetzung und Überprüfung des Informationssicherheitsprozesses verantwortlich und treibt die Aufgabe „Informationssicherheit“ innerhalb der öffentlichen Verwaltung voran. Weiterhin gehören zu seinen Aufgaben:
• die Beratung der Behördenleitung
• die Erstellung einer Leitlinie zur Informationssicherheit
• die Gesamtkoordination des Informationssicherheitsprozesses
• die Initiierung von Sensibilisierungs- und Schulungsmaßnahmen
• die Erstellung von Sicherheits- und Notfallkonzepten
• die Untersuchung von Sicherheitsvorfällen
Der IT-Sicherheitsbeauftragte stellt darüber hinaus die Einhaltung des IT-Schutzniveaus sicher und ermöglicht eine zeitnahe und angemessene Reaktion auf die sich stetig ändernden Gefährdungen des IT-Betriebs.
Nutzen für die Teilnehmer
Teilnehmer dieses Seminars eignen sich ein fundiertes Fachwissen an, mit dem sie den professionellen Schutz ihrer Informationssysteme gewährleisten können. Neben den Schwerpunkten technische Computersicherheit, Netzwerksicherheit, Kryptographie, organisatorische und physische IT-Sicherheit, ist die Umsetzung der Informationssicherheit nach IT-Grundschutz des BSI wesentlicher Inhalt des Seminars. In einer Praxisübung übertragen die Teilnehmer die theoretisch erarbeiteten Inhalte exemplarisch in die behördliche Praxis. Nach einer erfolgreich abgeschlossenen Prüfung erhalten die Teilnehmer das in der Wirtschaft anerkannte Zertifikat der Personenzertifizierungsstelle PersCert TÜV der TÜV Rheinland Akademie GmbH und führen die Abschlussbezeichnung „IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation“.
Zielgruppe
Dieses Seminar richtet sich an Führungskräfte und verantwortliche Personen aus den Bereichen IT-Sicherheit, Informationstechnologie, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement.
Abschluss
Die Prüfung wird von der unabhängigen Personenzertifizierungsstelle PersCert TÜV der TÜV Rheinland Akademie abgenommen. Nach bestandener Prüfung erhalten die Teilnehmer ein Zertifikat der Personenzertifizierungsstelle, das ihnen die Qualifikation als “IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation” bescheinigt. Damit haben die Teilnehmer die Möglichkeit, mit dem TUVdotCOM-Signet für ihre Tätigkeit/Qualifikation zu den unter www.tuv.com/perscert dargestellten Bedingungen zu werben.
Themenüberblick, 1. Tag, 08:30-17:00 Uhr
Zugang- und Zugriffsschutz I
• Definition des Zugangs und Zugriffs
• Grundlagen der Authentisierung
• Zugangs- und Zugriffskontrollmechanismen
Zugang- und Zugriffsschutz II
• Revisionssicherheit
• Data Leakage Prevention
• Praxisübung zu Data Leakage Prevention
Schutz vor Schadsoftware
• Arten von Schadsoftware
• Typische Eigenschaften von Schadsoftware
• Gegenmaßnahmen
Netzwerksicherheit I
• Sichere Netzwerktopologie und -protokolle
• Firewalls
• Intrusion Detection Systeme
• Fernzugriff über mobile Endgeräte
Netzwerksicherheit II
• Kontrolle der Netzwerksicherheit
• Penetration Tests
Themenüberblick, 2. Tag, 08:30-17:00 Uhr
Rechtliche Rahmenbedingungen I
• IT-Sicherheit, Outsourcing und Verantwortlichkeiten in der Behörde
• Computerkriminalität – Strafrecht und Datensicherheit
• Schutz und Umgang mit personenbezogenen Daten (Datenschutz)
• Revision
Rechtliche Rahmenbedingungen II
• E-Mail und Internet am Arbeitsplatz
• Haftungsrisiken und rechtliche Probleme
• Haftung des IT-Sicherheitsbeauftragten
Kryptographie und PKI
• Grundlagen der Kryptographie
• Einführung in PKI
Verschlüsselungsverfahren I
• Symmetrische Verschlüsselung (DES, AES, Stromchiffren)
• Übersicht über asymmetrische Verfahren und Standards
• Asymmetrische Algorithmen (RSA, Diffie-Hellmann-Schlüsselaustausch)
Verschlüsselungsverfahren II
• Hash-Funktionen
Themenüberblick, 3. Tag, 08:30-17:00 Uhr
Motivation für Informationssicherheit
• Informationen und ihre Bedeutung in der öffentlichen Verwaltung
• Unterstützung der Informationsverarbeitung durch IT
• Bedrohungsszenarien und Gefährdungen
• Risiken und Risikokultur
Organisation der Informationssicherheit
• Bedeutung der Informationssicherheit für die Behörde
• Beziehung zwischen Informationsschutz und Geheimschutz
• Beteiligte und deren Rollen im Informationssicherheitsprozess
• Rechtliche Rahmenbedingungen
• Kommunikations- und Berichtswege
• Aufbauorganisation für Informationssicherheit
Psychologische Faktoren
• Der Faktor Mensch in der Informationssicherheit
• Mitarbeiter informieren, sensibilisieren, motivieren
• Einbindung der Behördenleitung
• Praxisbeispiele zur Sicherheitssensibilisierung der Mitarbeiter
Notfallmanagement nach BSI-Standard 100-4
• Notfalldefinitionen
• Notfallorganisation
• Notfallvorsorge
• Notfallbewältigung
• Notfallübungen
Erfolgskriterien für Informationssicherheit
• Informationssicherheit als laufender Prozess in der Behörde
• Bausteine für den Informationsschutz und Zielgruppenbestimmung
• Reifegrad für Informationssicherheit
Themenüberblick, 4. Tag, 08:30-17:00 Uhr
Standards und Normen der Informationssicherheit
• Übersicht über relevante Standards und Normen
• Unterschiede und Gemeinsamkeiten relevanter Standards
• Grundlagen und Methodik des IT-Grundschutz nach BSI
• Audits und Zertifizierung
ISO 27001 auf Basis IT-Grundschutz nach BSI
• Überblick über die BSI-Standards 100-1 bis 100-3
• 100-1 – Managementsysteme für Informationssicherheit (ISMS)
• 100-2 – IT-Grundschutz-Vorgehensweise
• 100-3 – Risikoanalyse auf Basis IT-Grundschutz
Physische IT-Sicherheit I
• Bauliche Sicherheit
• Umgebungskontrolle
• Perimeterschutz
• Sicherheitszonen
Physische IT-Sicherheit II
• Zutrittskontrolle
• Umgang mit Datenträgern
• Alarmierung & Gefahrenmeldeanlagen
Praxisübung
• Entwicklung eines ganzheitlichen Informationssicherheitskonzeptes
• Gruppenarbeit
Themenüberblick, 5. Tag, 08:30-12:00 Uhr
Zusammenfassung
• Präsentation und Auswertung der Ergebnisse der Praxisübung
• Klärung von offenen Fragen
• Vorbereitung auf die Prüfung
• Prüfung
Referenten:
Dagobert Brauburger, Diplom-Kfm. / Ind.-Kfm. (IHK), ist bei der Loomans & Matz AG als Senior Consultant mit den Schwerpunkten Informations- und IT-Sicherheit, Notfallmanagement und Projektmanagement beschäftigt. Herr Brauburger ist zertifizierter Audit-Teamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz und unterstützt insbesondere Behörden bei der Anwendung der BSI Grundschutzstandards 100-1 bis 100-4 sowie der Grundschutzkataloge (GSK), zum Beispiel im Rahmen der Erstellung von Sicherheitskonzepten oder bei der Umsetzung eines Informationssicherheits-Managementsystems gemäß IT-Grundschutzstandard 100-1. Darüber hinaus auditiert Herr Brauburger in Zusammenarbeit mit der zuständigen Behörde das EU-Zahlstellenverfahren in einem deutschen Bundesland entsprechend den Vorgaben der Europäischen Union beziehungsweise der europäischen Finanzkontrolle. Herr Brauburger ist TÜV-zertifizierter IT-Sicherheits-Beauftragter und IT-Sicherheits-Manager.
Dr. Micha-Klaus Müller arbeitet als Senior Consultant für Informationssicherheit bei der Loomans & Matz AG. Seine Beratertätigkeit umfasst sowohl das ISO 27001-Umfeld als auch den BSI-Grundschutz. Er hat sowohl ISO 27001-Projekte mit dem Ziel der Zertifizierung in Unternehmen durchgeführt als auch Organisationen im behördlichen Umfeld in diversen Fragen des IT-Grundschutzes beraten. Aufgabengebiete sind hier unter anderem die Erstellung und Umsetzung von IT-Sicherheitskonzepten, die Durchführung von Sensibilisierungs-kampagnen sowie die Unterstützung in Fragen des Business Continuity Managements nach Grundschutz. Dr. Müller ist zudem TÜV-zertifizierter IT-Security-Manager und bildet IT-Sicherheitsbeauftragte für die Wirtschaft und die öffentliche Verwaltung aus.
Er verfügt über mehr als acht Jahre Projekterfahrung in nationalen und internationalen Projekten im Hochschulumfeld und in der freien Wirtschaft.
Ort:
Novotel Frankfurt City
Lise-Meitner-Straße 2, 60486 Frankfurt am Main
Hinweise zur Anfahrt finden Sie unter: www.novotel.com
Gebühr:
1.990,- Euro zzgl. MwSt.
Prüfungsgebühr:
250,- Euro zzgl. MwSt.
http://www.cyber-akademie.de/...
mit TÜV Rheinland geprüfter Qualifikation
03.-07. Juni 2013, Frankfurt a.M.
Einleitung
Informationssicherheit in der Verwaltung stellt eine große Verantwortung dar, geht es doch um den Schutz von zum Teil hochsensiblen Daten und Prozessen. Neben der bewussten oder unbewussten Weiterleitung von vertraulichen Informationen oder der Verwaltung und Einhaltung von Zugriffsrechten nimmt die Zahl und Finesse der Bedrohungen stetig zu, die durch rein technische Maßnahmen nicht mehr in den Griff zu bekommen sind. Eine Hauptquelle für Gefährdungen der Informationssicherheit liegt beim Faktor Mensch, verursacht durch mangelndes Sicherheitsbewusstsein und Widerstände gegen „lästige“ Regeln. Die Ausbildung und Benennung eines IT-Sicherheitsbeauftragten trägt hier maßgeblich dazu bei, das Sicherheitsniveau in der öffentlichen Verwaltung signifikant zu steigern. Der IT-Sicherheitsbeauftragte ist für die Planung, Umsetzung und Überprüfung des Informationssicherheitsprozesses verantwortlich und treibt die Aufgabe „Informationssicherheit“ innerhalb der öffentlichen Verwaltung voran. Weiterhin gehören zu seinen Aufgaben:
• die Beratung der Behördenleitung
• die Erstellung einer Leitlinie zur Informationssicherheit
• die Gesamtkoordination des Informationssicherheitsprozesses
• die Initiierung von Sensibilisierungs- und Schulungsmaßnahmen
• die Erstellung von Sicherheits- und Notfallkonzepten
• die Untersuchung von Sicherheitsvorfällen
Der IT-Sicherheitsbeauftragte stellt darüber hinaus die Einhaltung des IT-Schutzniveaus sicher und ermöglicht eine zeitnahe und angemessene Reaktion auf die sich stetig ändernden Gefährdungen des IT-Betriebs.
Nutzen für die Teilnehmer
Teilnehmer dieses Seminars eignen sich ein fundiertes Fachwissen an, mit dem sie den professionellen Schutz ihrer Informationssysteme gewährleisten können. Neben den Schwerpunkten technische Computersicherheit, Netzwerksicherheit, Kryptographie, organisatorische und physische IT-Sicherheit, ist die Umsetzung der Informationssicherheit nach IT-Grundschutz des BSI wesentlicher Inhalt des Seminars. In einer Praxisübung übertragen die Teilnehmer die theoretisch erarbeiteten Inhalte exemplarisch in die behördliche Praxis. Nach einer erfolgreich abgeschlossenen Prüfung erhalten die Teilnehmer das in der Wirtschaft anerkannte Zertifikat der Personenzertifizierungsstelle PersCert TÜV der TÜV Rheinland Akademie GmbH und führen die Abschlussbezeichnung „IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation“.
Zielgruppe
Dieses Seminar richtet sich an Führungskräfte und verantwortliche Personen aus den Bereichen IT-Sicherheit, Informationstechnologie, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement.
Abschluss
Die Prüfung wird von der unabhängigen Personenzertifizierungsstelle PersCert TÜV der TÜV Rheinland Akademie abgenommen. Nach bestandener Prüfung erhalten die Teilnehmer ein Zertifikat der Personenzertifizierungsstelle, das ihnen die Qualifikation als “IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation” bescheinigt. Damit haben die Teilnehmer die Möglichkeit, mit dem TUVdotCOM-Signet für ihre Tätigkeit/Qualifikation zu den unter www.tuv.com/perscert dargestellten Bedingungen zu werben.
Themenüberblick, 1. Tag, 08:30-17:00 Uhr
Zugang- und Zugriffsschutz I
• Definition des Zugangs und Zugriffs
• Grundlagen der Authentisierung
• Zugangs- und Zugriffskontrollmechanismen
Zugang- und Zugriffsschutz II
• Revisionssicherheit
• Data Leakage Prevention
• Praxisübung zu Data Leakage Prevention
Schutz vor Schadsoftware
• Arten von Schadsoftware
• Typische Eigenschaften von Schadsoftware
• Gegenmaßnahmen
Netzwerksicherheit I
• Sichere Netzwerktopologie und -protokolle
• Firewalls
• Intrusion Detection Systeme
• Fernzugriff über mobile Endgeräte
Netzwerksicherheit II
• Kontrolle der Netzwerksicherheit
• Penetration Tests
Themenüberblick, 2. Tag, 08:30-17:00 Uhr
Rechtliche Rahmenbedingungen I
• IT-Sicherheit, Outsourcing und Verantwortlichkeiten in der Behörde
• Computerkriminalität – Strafrecht und Datensicherheit
• Schutz und Umgang mit personenbezogenen Daten (Datenschutz)
• Revision
Rechtliche Rahmenbedingungen II
• E-Mail und Internet am Arbeitsplatz
• Haftungsrisiken und rechtliche Probleme
• Haftung des IT-Sicherheitsbeauftragten
Kryptographie und PKI
• Grundlagen der Kryptographie
• Einführung in PKI
Verschlüsselungsverfahren I
• Symmetrische Verschlüsselung (DES, AES, Stromchiffren)
• Übersicht über asymmetrische Verfahren und Standards
• Asymmetrische Algorithmen (RSA, Diffie-Hellmann-Schlüsselaustausch)
Verschlüsselungsverfahren II
• Hash-Funktionen
Themenüberblick, 3. Tag, 08:30-17:00 Uhr
Motivation für Informationssicherheit
• Informationen und ihre Bedeutung in der öffentlichen Verwaltung
• Unterstützung der Informationsverarbeitung durch IT
• Bedrohungsszenarien und Gefährdungen
• Risiken und Risikokultur
Organisation der Informationssicherheit
• Bedeutung der Informationssicherheit für die Behörde
• Beziehung zwischen Informationsschutz und Geheimschutz
• Beteiligte und deren Rollen im Informationssicherheitsprozess
• Rechtliche Rahmenbedingungen
• Kommunikations- und Berichtswege
• Aufbauorganisation für Informationssicherheit
Psychologische Faktoren
• Der Faktor Mensch in der Informationssicherheit
• Mitarbeiter informieren, sensibilisieren, motivieren
• Einbindung der Behördenleitung
• Praxisbeispiele zur Sicherheitssensibilisierung der Mitarbeiter
Notfallmanagement nach BSI-Standard 100-4
• Notfalldefinitionen
• Notfallorganisation
• Notfallvorsorge
• Notfallbewältigung
• Notfallübungen
Erfolgskriterien für Informationssicherheit
• Informationssicherheit als laufender Prozess in der Behörde
• Bausteine für den Informationsschutz und Zielgruppenbestimmung
• Reifegrad für Informationssicherheit
Themenüberblick, 4. Tag, 08:30-17:00 Uhr
Standards und Normen der Informationssicherheit
• Übersicht über relevante Standards und Normen
• Unterschiede und Gemeinsamkeiten relevanter Standards
• Grundlagen und Methodik des IT-Grundschutz nach BSI
• Audits und Zertifizierung
ISO 27001 auf Basis IT-Grundschutz nach BSI
• Überblick über die BSI-Standards 100-1 bis 100-3
• 100-1 – Managementsysteme für Informationssicherheit (ISMS)
• 100-2 – IT-Grundschutz-Vorgehensweise
• 100-3 – Risikoanalyse auf Basis IT-Grundschutz
Physische IT-Sicherheit I
• Bauliche Sicherheit
• Umgebungskontrolle
• Perimeterschutz
• Sicherheitszonen
Physische IT-Sicherheit II
• Zutrittskontrolle
• Umgang mit Datenträgern
• Alarmierung & Gefahrenmeldeanlagen
Praxisübung
• Entwicklung eines ganzheitlichen Informationssicherheitskonzeptes
• Gruppenarbeit
Themenüberblick, 5. Tag, 08:30-12:00 Uhr
Zusammenfassung
• Präsentation und Auswertung der Ergebnisse der Praxisübung
• Klärung von offenen Fragen
• Vorbereitung auf die Prüfung
• Prüfung
Referenten:
Dagobert Brauburger, Diplom-Kfm. / Ind.-Kfm. (IHK), ist bei der Loomans & Matz AG als Senior Consultant mit den Schwerpunkten Informations- und IT-Sicherheit, Notfallmanagement und Projektmanagement beschäftigt. Herr Brauburger ist zertifizierter Audit-Teamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz und unterstützt insbesondere Behörden bei der Anwendung der BSI Grundschutzstandards 100-1 bis 100-4 sowie der Grundschutzkataloge (GSK), zum Beispiel im Rahmen der Erstellung von Sicherheitskonzepten oder bei der Umsetzung eines Informationssicherheits-Managementsystems gemäß IT-Grundschutzstandard 100-1. Darüber hinaus auditiert Herr Brauburger in Zusammenarbeit mit der zuständigen Behörde das EU-Zahlstellenverfahren in einem deutschen Bundesland entsprechend den Vorgaben der Europäischen Union beziehungsweise der europäischen Finanzkontrolle. Herr Brauburger ist TÜV-zertifizierter IT-Sicherheits-Beauftragter und IT-Sicherheits-Manager.
Dr. Micha-Klaus Müller arbeitet als Senior Consultant für Informationssicherheit bei der Loomans & Matz AG. Seine Beratertätigkeit umfasst sowohl das ISO 27001-Umfeld als auch den BSI-Grundschutz. Er hat sowohl ISO 27001-Projekte mit dem Ziel der Zertifizierung in Unternehmen durchgeführt als auch Organisationen im behördlichen Umfeld in diversen Fragen des IT-Grundschutzes beraten. Aufgabengebiete sind hier unter anderem die Erstellung und Umsetzung von IT-Sicherheitskonzepten, die Durchführung von Sensibilisierungs-kampagnen sowie die Unterstützung in Fragen des Business Continuity Managements nach Grundschutz. Dr. Müller ist zudem TÜV-zertifizierter IT-Security-Manager und bildet IT-Sicherheitsbeauftragte für die Wirtschaft und die öffentliche Verwaltung aus.
Er verfügt über mehr als acht Jahre Projekterfahrung in nationalen und internationalen Projekten im Hochschulumfeld und in der freien Wirtschaft.
Ort:
Novotel Frankfurt City
Lise-Meitner-Straße 2, 60486 Frankfurt am Main
Hinweise zur Anfahrt finden Sie unter: www.novotel.com
Gebühr:
1.990,- Euro zzgl. MwSt.
Prüfungsgebühr:
250,- Euro zzgl. MwSt.
http://www.cyber-akademie.de/...
