18
1 www.it-tuv.com © TÜV AUSTRIA x x TÜV Trust IT - Wirksame Informationssicherheit

Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

1www.it-tuv.com © TÜV AUSTRIA

xx

TÜV Trust IT-

Wirksame Informationssicherheit

Page 2: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

2www.it-tuv.com © TÜV AUSTRIA

xx

TÜV AUSTRIA

TÜV TRUST IT

Rund um die ISO 27001

Nutzen der ISO 27001

Brückenschlag ISO 27001 - IEC62443

TISAX

NIS – G

ISO 27701 – Datenschutzmanagement Systeme

Pen Tests - Technische IT Security

Inhalt

Page 3: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

3www.it-tuv.com © TÜV AUSTRIA

xx

IT Securitywww.it-tuv.com

TÜV AUSTRIA

Page 4: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

4www.it-tuv.com © TÜV AUSTRIA

xx

Management der Informationssicherheit

ISO27001

ISO27701

IEC62443

TISAX

NIS - G

IT Risikomanagement

IT-Revision

Technische IT-Security

Pentests (IT und OT)

Netzwerkanalysen

Cloud / Mobile / IoT Security

Datenschutz / IT-Compliance

DSMS nach ISO27701

Zertifizierungen

Schulungen/Personalqualifizierungen

TÜV Trust IT : Informations- und CyberSecurity

Page 5: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

5www.it-tuv.com © TÜV AUSTRIA

Rund um die ISO 27001

Page 6: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

6www.it-tuv.com © TÜV AUSTRIA

Reduktion der Risiken und Haftung der Geschäftsführung

Unterstützung Einhaltung rechtlicher, vertraglicher und regulatorischer Maßnahmen

Basel II

Anforderungen von Kunden / Eigentümern / Wirtschaftsprüfern

NIS – G

TISAX

DSGVO

Verankerung kontinuierlicher Informations- und Datensicherheit

Schutz interner Werte und Wertschöpfungsketten

Schutz vertraulicher Daten vor Missbrauch, Verlust und Offenlegung

Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren

Optimierung von Prozess- und IT - Kosten

Steigerung der Wettbewerbsfähigkeit und des Images

Nutzen rund um die ISO 27001 im Unternehmen

Page 7: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

7www.it-tuv.com © TÜV AUSTRIA

Rund um die ISO 27001

Page 8: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

8www.it-tuv.com © TÜV AUSTRIA

ISO27001 – IEC62443 - Brückenschlag

Bewertung

Prozesse

Implementierung

Produkt System Prozess Umgebung

Informationssicherheits Managementsysteme ISMS

PAAG / HAZOP Verfahren

ISO 27001 „Anforderungen an ein ISMS“

IEC 62443 Teil 2-1“Establishing an industrial automation and control system security program”

IEC 62443 Teil 3-2“Security risk assessment and system design”

IEC 62443 Teil 3-3“System security requirements and security levels”

Page 9: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

9www.it-tuv.com © TÜV AUSTRIA

Rund um die ISO 27001

Page 10: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

10www.it-tuv.com © TÜV AUSTRIA

TISAX (Trusted Information Security Assessment Exchange)

Von Automobilindustrie definierter Standard (VDA)

In Anlehnung an ISO27001/2013

Seit 2017 von deutschen Automobilherstellern für ihre Geschäftspartner verlangt

Stellt verantwortungsvollen Umgang mit vertraulichen Daten sicher

Spezieller Fokus auf Prototypenschutz und sichere Datenübertragung

Standortbezogen

4 Kriterienkataloge

Informationssicherheit

Anbindung Dritter

Prototypenschutz

Datenschutz (GDPR)

TISAX

Page 11: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

11www.it-tuv.com © TÜV AUSTRIA

Rund um die ISO 27001

Page 12: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

12www.it-tuv.com © TÜV AUSTRIA

xx

Seit 29. Dezember 2018 in KraftNIS-G schreibt vor:

– Treffen von Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen von Betreibern wesentlicher Dienste, Anbieter digitaler Dienste und Einrichtungen der öffentlichen Verwaltung.

– Dabei müssen diese geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen zu treffen, die den Stand der Technik berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen sind.

Anforderungen der NIS – G kommen aus ISO 27001Mapping in Anlehnung an ISO27001 Anforderungen durchgeführtNIS – G Kompatibilität

– Stückweise über 3 Jahre nachzuweisen

– Nachweispflicht mit vorgegebenem Format

TÜV hat Akkreditierung als QaS beantragt

Netz und Informations-Sicherheits-Gesetz

Page 13: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

13www.it-tuv.com © TÜV AUSTRIA

Rund um die ISO 27001

Page 14: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

14www.it-tuv.com © TÜV AUSTRIA

xx

Prozesse in Anlehnung an die ISO 27001

Integration in ein ISMS

Inhalte– Datenschutzorganisation

– Datenschutzrichtlinien

– Datenschutzkultur

– Rollen, Verantwortlichkeiten

– Risikomanagement

– Schulungskonzepte

– Interne Audits

Zertifizierung nur für ISO 27001 zertifizierte Unternehmen möglich

TÜV eigenes Zertifikat derzeit verfügbar

ISO 27701 - Datenschutzmanagement

Page 15: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

15www.it-tuv.com © TÜV AUSTRIA

Rund um die ISO 27001

Page 16: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

16www.it-tuv.com © TÜV AUSTRIA

xx

Penetration Tests bei IT und OT

Analog BSI Methodik

Black-, Grey- und Whitebox Testing

Netzwerkanalysen

Source Code Review

Forensische Analysen von kompromittierten Systemen

IOT Security Lab für Komponenten, Endgeräte und Systeme

Application Check – TÜV Trusted Apps

Pen Tests - Technische IT-Security

Black Box-Test

Es werden vor der Überprüfung nur minimale Informationen über den Testgegenstand zur Verfügung gestellt.

Grey Box-Test

Bei dieser Testvariante werden ausführliche Informationen über das Zielsystem zur Verfügung gestellt. Damit ist eine effizientere Durchführung möglich. Werden beispielsweise Anmeldeinformationen von Testkonten bereitgestellt, so ist eine tiefergehende Analyse möglich und es erfolgt eine genauere Testtiefe des Systems.

Discovery via Open-Source Intelligence (OSINT)

Zweck dieser Überprüfung ist die Identifizierung und Auswertung öffentlich verfügbarer Informationen von extern erreichbaren Systemen. Dadurch sind beispielsweise erreichbare Server oder öffentlich verfügbare Informationen identifizierbar, welche nicht zugänglich sein sollten.

Page 17: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

17www.it-tuv.com © TÜV AUSTRIA

Referenzen

Page 18: Alexander Zeppelzauer TTI Portfolio...Microsoft PowerPoint - Alexander Zeppelzauer_TTI_Portfolio.pptx Author: nh Created Date: 9/20/2019 8:12:54 AM

18www.it-tuv.com © TÜV AUSTRIA

20.09.2019

V A

US

TR

IA G

RU

PP

E Kontakt:DI Alexander ZeppelzauerMail: [email protected]: +43 664 60454 6276