Informationssicherheitsmanagement nach BSI-Grundschutz und ISO 27001
im Vergleich - Praxis-Workshop mit GSTOOL-Anwendung
02.-06. September 2013, Berlin
Einleitung
Jede Behörde verwaltet Prozesse, in denen Informationen verarbeitet werden. Diese Informationen sind angemessen hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Wie dies geplant, umgesetzt und regelmäßig überprüft wird beschreiben Standards, insbesondere der IT-Grundschutz des BSI und der ISO 27001.
■Doch wie werden diese beiden Standards in der Praxis angewandt?
■Wie unterscheiden sich die beiden Vorgehensweisen in der Praxis?
■Für welche Prozesse, Informationen und IT-Infrastrukturen innerhalb einer öffentlichen Verwaltung ist welche Vorgehensweise am ehesten geeignet?
■Kann man ggf. Elemente beider Standards miteinander kombinieren?
Diese Fragen zu beantworten ist das Ziel dieses Praxis-Workshops, der speziell auf die behördlichen Anforderungen zugeschnitten ist. Anhand einer konkreten realitätsnahen (fiktiven) “Modell-Behörde” können die Teilnehmer praktisch und unter Anleitung ein Informationssicherheitskonzept nach BSI-IT-Grundschutz und nach ISO 27001 erstellen und die Ergebnisse miteinander vergleichen.
Der Workshop dient somit nicht nur zur Fortbildung, sondern kann auch als Entscheidungsunterstützung bezüglich der Vorgehensweise zur Etablierung eines Informationssicherheitsmanagements herangezogen werden.
Der Praxis-Workshop ist in drei Teile gegliedert:
■Teil I: Vorgehen nach IT-Grundschutz BSI (Tag 1-2)
■Teil II: Vorgehen nach ISO 27001 (Tag 3-4)
■Teil III: Vergleich der Ergebnisse (Tag 5)
Für Teilnehmer, welche nur an einer der beiden Vorgehensweisen in der Praxis interessiert sind, gibt es die Möglichkeit Teil I oder Teil II separat zu besuchen.
Hinweis:
Um die Vorgehensweise nach IT-Grundschutz in der Praxis zu verstehen, können die Teilnehmer im Teil I das vom BSI empfohlene „GSTOOL“ am Praxisbeispiel anwenden.
(Weitere Infos siehe unten)
Nutzen für die Teilnehmer
Teilnehmer dieses Seminars eignen sich Praxiserfahrung zur Erstellung eines Sicherheitskonzeptes nach IT-Grundschutz des BSI und nach ISO 27001 an.
Darüber hinaus versteht der Teilnehmer die Unterschiede in der Methodik und welche Auswirkungen dies auf das Ergebnis der Sicherheitskonzeption hat.
Wenn Sie beabsichtigen, in naher Zukunft eine Sicherheitskonzeption zum Schutz der Informationen in Ihrer Behörde zu erstellen, hilft Ihnen dieses Praxisseminar die für Sie angemessene Methodik festzustellen.
Zielgruppe
Dieses Seminar richtet sich an Führungskräfte, IT-Sicherheitsbeauftragte und verantwortliche Personen aus den Bereichen Informationssicherheit, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement.
Die wesentlichen Elemente zum IT-Grundschutz nach BSI bzw. zu ISO 27001 werden zwar einleitend dargestellt, aber die Teilnehmer sollten über Grundkenntnisse verfügen.
TEIL I – Informationssicherheitsmanagement in der Praxis nach IT-Grundschutz
02.-03.September 2013
Themenüberblick, 1. Tag, 08:30-17:00 Uhr
■Einführung in das Fallbeispiel (exemplarische ”Modell-Behörde”)
■Etablierung des Sicherheitsprozesses
■Sicherheitsorganisation und -leitlinie
■Definition des Informationsverbundes
■Strukturanalyse
■Schutzbedarfsfeststellung
■Modellierung anhand der Grundschutzbausteine
Themenüberblick, 2. Tag, 08:30-17:00 Uhr
■Basis-Sicherheitscheck
■Ergänzende Sicherheitsanalyse
■Risikoanalyse
■Erstellung eines Realisierungsplans
Hinweis: Um die Vorgehensweise nach IT-Grundschutz in der Praxis zu verstehen, wird den Teilnehmern dieses Seminars die Gelegenheit gegeben, anhand eigener, mitgebrachter Notebooks das vom BSI empfohlene „GSTOOL“ am Praxisbeispiel auszuprobieren. Dies setzt voraus, dass das Notebook bereits mit der GSTOOL-Version 4.7 ausgestattet ist und die USB Ports freigeschaltet sind, um per USB Stick die beispielhaften Datenbanken einzuspielen. Teilnehmer ohne Notebook haben selbstverständlich die Möglichkeit alle Praxisübungen in schriftlicher Form durchzuführen. Dies ändert nichts am Verständnis der Übungen.
TEIL II – Informationssicherheitsmanagement in der Praxis nach ISO 27001
04.-05.September 2013
Themenüberblick, 3. Tag, 08:30-17:00 Uhr
■Für neu hinzugekommene Teilnehmer: Einführung in das Fallbeispiel (exemplarische “Modell-Behörde”)
■Definieren des Untersuchungsbereichs
■Festlegung der behördlichen Werte und Prozesse
■Festlegen einer Sicherheitspolitik
■Business Impact -Analyse
■Bedrohungs- und Schwachstellenanalyse
■Ermittlung und Behandlung von Informationssicherheitsrisiken
Themenüberblick, 4. Tag, 08:30-17:00 Uhr
■Aufbau des Informationssicherheits-Managementsystems (ISMS)
■Erarbeitung einiger Kontrollziele für das Fallbeispiel
■Festlegung möglicher Risikominderungsmaßnahmen
■Ermittlung des Umsetzungsgrades dieser Maßnahmen
■Überprüfung und Verbesserung des Managementsystems
TEIL III – IT-Grundschutz und ISO 27001 im Vergleich
06.September 2013
Im Teil III wird ein Vergleich der Ergebnisse aus Teil I und Teil II vorgenommen.
Themenüberblick, 5. Tag, 08:30-13:00 Uhr
■Zusammenfassung festgestellter Charakteristika und Vor- und Nachteile der Vorgehensweise nach IT-Grundschutz
■Zusammenfassung festgestellter Charakteristika und Vor- und Nachteile der Vorgehensweise nach ISO 27001
■Feststellung der Unterschiede beider Standards anhand einiger konkreter Aspekte aus dem Fallbeispiel
■Zusammenfassung und Diskussion
Referenten:
Thomas Fischer, Diplom Ökonom, ist als Senior Consultant für Informations- und IT-Sicherheit sowie für Business Continuity bei der Loomans & Matz AG beschäftigt. Er unterstützt neben Unternehmen in diversen Branchen auch Unternehmen, die sich ganz oder teilweise in der öffentlichen Hand befinden. Aufgabengebiete sind hier unter anderem die Erstellung und Umsetzung von Sicherheitskonzepten, Umgestaltung der IT-Landschaft unter Berücksichtigung von Informationssicherheit (bei einem kommunalen Projektentwickler), Projektbegleitung bei großen IT-Projekten als IT Sicherheitsmanager (z.B. bei einem Mobilfunkanbieter). Er ist TÜV-zertifizierter IT-Security-Manager und bildet IT-Sicherheitsbeauftragte für die Wirtschaft und öffentliche Verwaltung aus. Thomas Fischer verfügt über mehr als zwanzig Jahre Führungserfahrung in nationalen und internationalen Projekten unter anderem in der Pharma-, HighTech- und Automobilindustrie.
Dagobert Brauburger, Diplom-Kfm. / Ind.-Kfm. (IHK), ist bei der Loomans & Matz AG als Senior Consultant mit den Schwerpunkten Informations- und IT-Sicherheit, Notfallmanagement und Projektmanagement beschäftigt. Herr Brauburger ist zertifizierter Audit-Teamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz und unterstützt insbesondere Behörden bei der Anwendung der BSI Grundschutzstandards 100-1 bis 100-4 sowie der Grundschutzkataloge (GSK), zum Beispiel im Rahmen der Erstellung von Sicherheitskonzepten oder bei der Umsetzung eines Informationssicherheits-Managementsystems gemäß IT-Grundschutzstandard 100-1. Darüber hinaus auditiert Herr Brauburger in Zusammenarbeit mit der zuständigen Behörde das EU-Zahlstellenverfahren in einem deutschen Bundesland entsprechend den Vorgaben der Europäischen Union beziehungsweise der europäischen Finanzkontrolle. Herr Brauburger ist TÜV-zertifizierter IT-Sicherheits-Beauftragter und IT-Sicherheits-Manager.
Ort:
Berlin
(zentral gelegenes Konferenzzentrum)
Gebühr:
Praxis-Workshop gesamt (Teile I bis III): 1.990,- Euro zzgl. MwSt.
Alternativ:
- Teil I oder Teil II einzeln: jeweils 990,- Euro zzgl. MwSt.
- Teil III zusätzlich zu Teil I oder Teil II: 350,- Euro zzgl. MwSt.
(Gebühr beinhaltet Mittagessen, Pausengetränke und Workshop-Unterlagen)
http://www.cyber-akademie.de/...
im Vergleich - Praxis-Workshop mit GSTOOL-Anwendung
02.-06. September 2013, Berlin
Einleitung
Jede Behörde verwaltet Prozesse, in denen Informationen verarbeitet werden. Diese Informationen sind angemessen hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Wie dies geplant, umgesetzt und regelmäßig überprüft wird beschreiben Standards, insbesondere der IT-Grundschutz des BSI und der ISO 27001.
■Doch wie werden diese beiden Standards in der Praxis angewandt?
■Wie unterscheiden sich die beiden Vorgehensweisen in der Praxis?
■Für welche Prozesse, Informationen und IT-Infrastrukturen innerhalb einer öffentlichen Verwaltung ist welche Vorgehensweise am ehesten geeignet?
■Kann man ggf. Elemente beider Standards miteinander kombinieren?
Diese Fragen zu beantworten ist das Ziel dieses Praxis-Workshops, der speziell auf die behördlichen Anforderungen zugeschnitten ist. Anhand einer konkreten realitätsnahen (fiktiven) “Modell-Behörde” können die Teilnehmer praktisch und unter Anleitung ein Informationssicherheitskonzept nach BSI-IT-Grundschutz und nach ISO 27001 erstellen und die Ergebnisse miteinander vergleichen.
Der Workshop dient somit nicht nur zur Fortbildung, sondern kann auch als Entscheidungsunterstützung bezüglich der Vorgehensweise zur Etablierung eines Informationssicherheitsmanagements herangezogen werden.
Der Praxis-Workshop ist in drei Teile gegliedert:
■Teil I: Vorgehen nach IT-Grundschutz BSI (Tag 1-2)
■Teil II: Vorgehen nach ISO 27001 (Tag 3-4)
■Teil III: Vergleich der Ergebnisse (Tag 5)
Für Teilnehmer, welche nur an einer der beiden Vorgehensweisen in der Praxis interessiert sind, gibt es die Möglichkeit Teil I oder Teil II separat zu besuchen.
Hinweis:
Um die Vorgehensweise nach IT-Grundschutz in der Praxis zu verstehen, können die Teilnehmer im Teil I das vom BSI empfohlene „GSTOOL“ am Praxisbeispiel anwenden.
(Weitere Infos siehe unten)
Nutzen für die Teilnehmer
Teilnehmer dieses Seminars eignen sich Praxiserfahrung zur Erstellung eines Sicherheitskonzeptes nach IT-Grundschutz des BSI und nach ISO 27001 an.
Darüber hinaus versteht der Teilnehmer die Unterschiede in der Methodik und welche Auswirkungen dies auf das Ergebnis der Sicherheitskonzeption hat.
Wenn Sie beabsichtigen, in naher Zukunft eine Sicherheitskonzeption zum Schutz der Informationen in Ihrer Behörde zu erstellen, hilft Ihnen dieses Praxisseminar die für Sie angemessene Methodik festzustellen.
Zielgruppe
Dieses Seminar richtet sich an Führungskräfte, IT-Sicherheitsbeauftragte und verantwortliche Personen aus den Bereichen Informationssicherheit, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement.
Die wesentlichen Elemente zum IT-Grundschutz nach BSI bzw. zu ISO 27001 werden zwar einleitend dargestellt, aber die Teilnehmer sollten über Grundkenntnisse verfügen.
TEIL I – Informationssicherheitsmanagement in der Praxis nach IT-Grundschutz
02.-03.September 2013
Themenüberblick, 1. Tag, 08:30-17:00 Uhr
■Einführung in das Fallbeispiel (exemplarische ”Modell-Behörde”)
■Etablierung des Sicherheitsprozesses
■Sicherheitsorganisation und -leitlinie
■Definition des Informationsverbundes
■Strukturanalyse
■Schutzbedarfsfeststellung
■Modellierung anhand der Grundschutzbausteine
Themenüberblick, 2. Tag, 08:30-17:00 Uhr
■Basis-Sicherheitscheck
■Ergänzende Sicherheitsanalyse
■Risikoanalyse
■Erstellung eines Realisierungsplans
Hinweis: Um die Vorgehensweise nach IT-Grundschutz in der Praxis zu verstehen, wird den Teilnehmern dieses Seminars die Gelegenheit gegeben, anhand eigener, mitgebrachter Notebooks das vom BSI empfohlene „GSTOOL“ am Praxisbeispiel auszuprobieren. Dies setzt voraus, dass das Notebook bereits mit der GSTOOL-Version 4.7 ausgestattet ist und die USB Ports freigeschaltet sind, um per USB Stick die beispielhaften Datenbanken einzuspielen. Teilnehmer ohne Notebook haben selbstverständlich die Möglichkeit alle Praxisübungen in schriftlicher Form durchzuführen. Dies ändert nichts am Verständnis der Übungen.
TEIL II – Informationssicherheitsmanagement in der Praxis nach ISO 27001
04.-05.September 2013
Themenüberblick, 3. Tag, 08:30-17:00 Uhr
■Für neu hinzugekommene Teilnehmer: Einführung in das Fallbeispiel (exemplarische “Modell-Behörde”)
■Definieren des Untersuchungsbereichs
■Festlegung der behördlichen Werte und Prozesse
■Festlegen einer Sicherheitspolitik
■Business Impact -Analyse
■Bedrohungs- und Schwachstellenanalyse
■Ermittlung und Behandlung von Informationssicherheitsrisiken
Themenüberblick, 4. Tag, 08:30-17:00 Uhr
■Aufbau des Informationssicherheits-Managementsystems (ISMS)
■Erarbeitung einiger Kontrollziele für das Fallbeispiel
■Festlegung möglicher Risikominderungsmaßnahmen
■Ermittlung des Umsetzungsgrades dieser Maßnahmen
■Überprüfung und Verbesserung des Managementsystems
TEIL III – IT-Grundschutz und ISO 27001 im Vergleich
06.September 2013
Im Teil III wird ein Vergleich der Ergebnisse aus Teil I und Teil II vorgenommen.
Themenüberblick, 5. Tag, 08:30-13:00 Uhr
■Zusammenfassung festgestellter Charakteristika und Vor- und Nachteile der Vorgehensweise nach IT-Grundschutz
■Zusammenfassung festgestellter Charakteristika und Vor- und Nachteile der Vorgehensweise nach ISO 27001
■Feststellung der Unterschiede beider Standards anhand einiger konkreter Aspekte aus dem Fallbeispiel
■Zusammenfassung und Diskussion
Referenten:
Thomas Fischer, Diplom Ökonom, ist als Senior Consultant für Informations- und IT-Sicherheit sowie für Business Continuity bei der Loomans & Matz AG beschäftigt. Er unterstützt neben Unternehmen in diversen Branchen auch Unternehmen, die sich ganz oder teilweise in der öffentlichen Hand befinden. Aufgabengebiete sind hier unter anderem die Erstellung und Umsetzung von Sicherheitskonzepten, Umgestaltung der IT-Landschaft unter Berücksichtigung von Informationssicherheit (bei einem kommunalen Projektentwickler), Projektbegleitung bei großen IT-Projekten als IT Sicherheitsmanager (z.B. bei einem Mobilfunkanbieter). Er ist TÜV-zertifizierter IT-Security-Manager und bildet IT-Sicherheitsbeauftragte für die Wirtschaft und öffentliche Verwaltung aus. Thomas Fischer verfügt über mehr als zwanzig Jahre Führungserfahrung in nationalen und internationalen Projekten unter anderem in der Pharma-, HighTech- und Automobilindustrie.
Dagobert Brauburger, Diplom-Kfm. / Ind.-Kfm. (IHK), ist bei der Loomans & Matz AG als Senior Consultant mit den Schwerpunkten Informations- und IT-Sicherheit, Notfallmanagement und Projektmanagement beschäftigt. Herr Brauburger ist zertifizierter Audit-Teamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz und unterstützt insbesondere Behörden bei der Anwendung der BSI Grundschutzstandards 100-1 bis 100-4 sowie der Grundschutzkataloge (GSK), zum Beispiel im Rahmen der Erstellung von Sicherheitskonzepten oder bei der Umsetzung eines Informationssicherheits-Managementsystems gemäß IT-Grundschutzstandard 100-1. Darüber hinaus auditiert Herr Brauburger in Zusammenarbeit mit der zuständigen Behörde das EU-Zahlstellenverfahren in einem deutschen Bundesland entsprechend den Vorgaben der Europäischen Union beziehungsweise der europäischen Finanzkontrolle. Herr Brauburger ist TÜV-zertifizierter IT-Sicherheits-Beauftragter und IT-Sicherheits-Manager.
Ort:
Berlin
(zentral gelegenes Konferenzzentrum)
Gebühr:
Praxis-Workshop gesamt (Teile I bis III): 1.990,- Euro zzgl. MwSt.
Alternativ:
- Teil I oder Teil II einzeln: jeweils 990,- Euro zzgl. MwSt.
- Teil III zusätzlich zu Teil I oder Teil II: 350,- Euro zzgl. MwSt.
(Gebühr beinhaltet Mittagessen, Pausengetränke und Workshop-Unterlagen)
http://www.cyber-akademie.de/...
