chk
/
logseq_kauer
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
logseq_kauer/pages/%P TISAX Einführung KRA & R...

244 lines
13 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

page-type:: [[Projekte]]
team:: [[@Christopher Klein]], [[@Philip Losch]], [[@Stefan Fiebrich]], [[@Eray Kara]], [[@Blaž Zidanič]], [[@Nejc Mlakar]], [[@Andreas Steinberg]]
status:: [[in Arbeit]]
scope:: [[$KRAH]]
jourfixe:: [[%J IT-Team]], [[%J TISAX Management-Jourfixe]]
start:: [[2023-01-01]]
-
- >Audit-Termin: spätestens Mitte Juli in der KW 28 (Woche vor dem Olper Schützenfest)
- Planner: [TISAX allgemeine Aufgaben Planner (office.com)](https://tasks.office.com/krahgruppe.onmicrosoft.com/de/Home/Planner/#/plantaskboard?groupId=1ef0b2ea-78dc-4fb5-b6cd-34c66a9c0b12&planId=sbRG1qyNI0eQ9r-gfPAOt5cADuVN)
- ## Teilprojekte
- [[%P IT-Notfallhandbuch erstellen]]
- ## Aufgaben (nicht im Journal)
- DONE test-aufgabe aus TISAX Projekt
- TODO Projektverantwortlichen [[@Philip Losch]] festlegen und verkünden
- ## Aufgabensammlung
collapsed:: true
- {{query (and (todo TODO LATER)[[%P TISAX Einführung KRA & RES]]) }}
-
- ## warten auf
- {{query (and (todo WAITING)[[%P TISAX Einführung KRA & RES]]) }}
query-table:: false
## Historie
- **[[2023-01-25]]**:
- ### [[Meeting]]: Vor-Ort Treffen mit IT & VIA
type:: [[Meeting]]
icon:: 📅
team:: todo
projekt:: [[%P TISAX Einführung KRA & RES]]
datum:: [[2023-01-25]]
uhrzeit:: [[08:53]]
- #### Ziele:
- Maßnahmenplan für IT-Team bei höchstem Schutzbedarf
- Basis für Projektplan, der rückwärts gerechnet wird, schaffen
- #### Notizen
- Richtlinie vergleich
- TODO hohe Schulungsquote sollte 90% sein -> Orga an LQS übergeben
- System muss dafür vorhanden sein
- Fragebogen für Wirksamkeitsprüfung
- TODO Wer bereitet die Schulungsinhalte vor?
- internes Audit, dass jährlich gemacht werden muss -> Nachweise erforderlich
- Auditor benmänget, dass unfertiges System auditiert wurde
- wie internes Audit bei Teams
- Gaps ermitteln
- Vorbereitung internes Audit
- Sicherheitszonenkonzept
- Compliance, Gesetze in Slowenien, Berater, Geschäftsfüher bekannt?, Gesetzeskartaster
id:: 63d0e75c-c832-489d-85eb-ad93c29303a1
- Datenschutz Slowenien -> lokale Gesetze?
- Verantwortlichen für jedes Control festlegen
- Projektmananement (Kundenprojekte)
- wie wird Informationssicherheit im Projektmanagment geregelt,
- Teams nur durch IT mit Fragenkatalog (externe?, welche Dokumnete)
- Strukturanalyse -> Verantwortliche festelgen
- für RESISTEC kopieren -> was global gilt verweisen auf Drolshagen,
- Risikobewertung (separates Dokument)
- TODO Oliver schickt aktuelle liste #others
- BSI grundgefährdungen
- Sollte-Anforderungen sind bei ITSAX ein MUSS -> Dokumentation über die Risikobewertung (wenn eine Anforderung nicht erfüllt ist)
- für Slowenien im Werk lokal erfragen, Gewerbegebiet, Naturkatastrophen -> LQS
- Notfallübungen 1.5.1, 1.5.2 -> Teilprojekt
- Ergebnisse bitsight
- USV Prüfung
- Brandmeldeanlage, Alarmanlage, Wachdienst Meldeketten prüfen
- auch für SLO einsammeln
- 1.5.1: Meldeprozess
- TODO Oliver liefert Vorlage #others
- Datenschutz bereits vorhanden
- Unterkategorien für Ticketsystem: Datenschutzvorfall, Informationssicherheitsvorfall, Schwachstelle, Compliance-Meldung, Gesetzesverstoß
- Hinweisgeberschutzgesetz: Whistle-Blower anonym mit abdecken
- Personal
- Einstellungsprozess, Identität überprüfen -> RS [[@Teresa Mason-Hermann]]
- Stellen mit sensiblen Daten identifizierungen
- Background-Checks
- Führungszeugnis
- vorhandene Checklisten ergänzen
- TODO !! KURZFRISTIG -> Meeting mit HR organisieren #personal
- Geheimhaltungsvereinbarung mit allen Mitarbeitern (auch alt eigesessenen)
- -> Slowenien?
- Gap zwischen Neueinstellungen und Schulung -> 2 Pager zur Informationssicherheit ergänzen
- 2.1.4: Mobiles Arbeiten
- Dienstreisen?
- notebooks verschlüsselt
- Notebook für Dienstreisen
- TODO Kap 3: Sicherheitszonenkonzept LQS #others
- Powerpoint mit den Layouts
- Zonen definieren -> 3.1.1
- Beispiel übernehmen und an KRAH anpassen
![image.png](../assets/image_1674636582617_0.png)
- Fenster überprüfen, Nachweise für Fenster vorhalten -> LQS
- Besonderheiten zu Räuimen rausschreiben, z.B. Holzfenster
- Layout wo welche Kameras mit Blickwinkel sind -> In Sicherheitszonenkonzept übernehmen
- TODO Oliver schickt Beispiel #others
- Notfallhandbuch
- keine Chance das intern zu lösen-> extern machen
- Interviews durch VIA
- TODO Oliver schickt themen, ich nenne Verantwortlich -> Einzetermine #others
-
- TODO MDM, nur active Sync -> auf Intunes migrieren Teilprojekt für [[@Eray Kara]]
- im Audit sagen, dass system im Aufbau ist und Laptos
- Management von Identifikationsmitteln
- Schlüssel, Verlust melden, Formular? -> Prozess beschreiben
- Steuerung über HR, IT, Gebäudemanagement? Wie ist Slowenien?
- -> LQS
- TODO Kläruing der Verantwortlichkeit, ggf. Schlüssel-Prozess nach HR verlagern #personal
- Zugang zu IT-Diensten
- Wenn Vertrauliche Daten aus Assetbewertung zu einem System gehören -> MFA
- Prozess Rechtevergabe
- bei Admin-Konten (siehe sehr hoch)
- regelmäßige Kontrollen der Rechte
- Prüfung, wenn konten länger als X Monate nicht genutzt werden (Report in Desktop-Central vorhanden -> bisher nicht genutzt
- Report alle 3 Monate durchführen und in Protokoll-Liste ablegen
- Beschreibung erstellen, wie Report erstellt wird
- TODO Teilprojekt für [[@Christopher Klein]] #others
- Zugriffsberechtigungen
- bei sehr hoch in kurzen abständen, mind. vierteljählich 4.2.1
- TODO Access Rights Management von SolarWind prüfen
- Angebot einholen, manuelle sind die Anforderungen nicht zu bearbeiten
- [Get a Free Trial of SolarWinds Access Rights Manager](https://www.solarwinds.com/access-rights-manager/registration?a_bid=34f98d7b&CMP=BIZ-PAP-CMPRTCH-AccessRghts-ARM-DL&data1=123603&data2=&a_aid=BIZ-PAP-CMPRTCH)
- TODO Angebot einholen
- es gibt sehr viele Zusatzanforderungen an die Berechtigungsvergabe -> Fragebogen im Details geprüft werden
id:: 63d0f2ce-fab9-420a-ac29-bc02367c97da
- alternativ MAtrix 42 prüfen
- Kap. 5 IT-Security
- Bitlocker
- dateien verschlüsselt versenden, MA schulen
- verbote definieren (DropBox)
- TODO Oliver schickt Vorlage für eine Richtline #others -> prüfen und Benutzerrichtline ergänzen
- Passwörter nicht auf dem gleichen Kanal versenden
- Change-Management
- TODO formelle Prozess kann Oliver schicken #others
- übers Ticketsystem steuern
- Änderungen an IT-Systemen
- Problem: nicht nur IT-Changes -> Änderung in der Organisation und in Geschäftsprozessen
- gleiche Problem wie bei Projekten
- Der Change muss mit Frage auf "Einfluss auf Inf.-Sicherheit" geprüft werden -> ISMS-Beauftragten hinzuziehen
- heute One-Note - Wie lösen?
- Ticket für "interner Change"?
- wenn es einfluss auf die Inforamtionssicherheit hat -> Bewertung des Tickets hinsichtlich Kritikalität
- TODO Termin zum Brainstorming erstellen #personal
- Konsequenz -> Produktivtät wird drastisch sinken, für viele Changes wird die Dokumentation aufwändiger werden, als der Change selbst
- Idee WIKI?
- TODO Oliver recherchiert mal, wie andere Firmen das machen #others
- Entwicklungs- und Testumgebungen
- niederschreiben was es gibt -> müssen in Risikobewertung auftauchen
- Segmentierung / Trennung aufführen
- TODO Beschreiben, wie man ohne Testsysteme arbeiten: erst IT, Test-Gruppe, Abteilungsweise ausrollen -> IT-Richlinie ergänzen -> wie nachweisen? #personal
- Berechtigungen in den Testsystemen?
- Produktivdaten im Testsystem vorhanden -> Risikobewertung -> abstellen
- Tests für die Benutzerrichlinie und die IT-Richtlinie erstellen
- Schadsoftware
- genauer Lesen -> Endpoint-Protection, wie Sentinel -> technische Maßnahmen ableiten
- [Microsoft Sentinel  SIEM-Lösung in der Cloud | Microsoft Security](https://www.microsoft.com/de-de/security/business/siem-and-xdr/microsoft-sentinel#tabxf4347445d2934e8ea6549c4a9a1a61cd)
- [SentinelOne | Autonomous AI Endpoint Security Platform | s1.ai](https://de.sentinelone.com/)
- TODO Einzelanforderungen prüfen [[@Philip Losch]] #others
- Phishing-Mails, Nachschulen
- XP und Win 7 System in Risikobewertung und Netzwerksegmentierung
- Risikokennzahl um alte Systeme zu minimieren
- Ereignisprotokolle
- welche Protokolle sind vorhanden
- -> CSOC -> Report für Auditor
- [[@Philip Losch]]
- PRTG
- Netzwerküberwachung
- Betriebsrat (Reglementierung, je nach dem was ausgewertet wird)
- Überwachung von Regelverstößen -> Betriebsvereinbarung erstellen und auslisten
- TODO Zugriffe auf geheime Daten lückenlos protokollieren -> File-Server ausgeschlossen -> Teilprojekt
- Schwachstellenidentifizierung
- Software für autom. Abfragen
- dokumnentieren, welche Newsletter verfolgt werden
- je nach Kritikalität -> Ticket öffnen und dokumentieren, wie sie behandelt wird, oder warum sie nicht behandelt wird.
- Patch-Management
- -> Full Time Job
- -> Teilprojekt
- technisch Überprüfung von Systemen
- Reports von Dienstleister
- BitSight
- Pen-Tests (extern, nicht CSOC)
- Rückfrage CSCO bezüglich Schwachstellenanalyse
- TODO [GreenBone]([Vulnerability Management - Greenbone Networks](https://www.greenbone.net/en/)), freies Tool, KIS aus Siegen -> Dienstleister, der GreenBone ausführt und Reports aufbereitet -> [[@Christopher Klein]] #others
- 5.2.7: Netzwerksegementierung
- Netzwerkpläne, Netzwerksegemtierng, Maschinen-Netze
- Teilprojekt für [[@Philip Losch]]
- Netzwerkpläne DocuSnap
- für Slowenien nur als Projektplan um was zeigen zu können -> Umsetzung bis Sommer ausgeschlossen
- IS bei neuen Systemen
- Vorabkontrolle -> prüfen, ob IS im Formular ergänze werden muss, nicht nur DS sondern auch ISMS-Beauftragter muss prüfen
- Klassigizierung hinsichtlich Vertraulichkeit Integrietät ergänten -> Update der Asset-Bewertung nötig? -> Freigabe durch 2 Personen
- in Schulung aufnehmen
- Anfordeurngen an Netzwerkdienste
- Verfübarkeit Internetprovider, Cloud-Diensten, MS, ATOSS, SAP
- welche Anwendungen betreibt RES in der Cloud?
- SLAs und Garantien -> Sammel und Liste erstellen
- TODO Termin mit EK -> Slowenien nicht vergessen -> LQS #others
- Organisatorische Aufgabe
- wo liegen heute die NDAs? -> auch IT-Deinstleister im EK führen
- TODO Oliver schickt Beispiel Excel-Liste #others
- organisationsfremde IT-Dienste (Cloud)
- Daten aus der Cloud entfernen
- Ausstiegsstrategie schreiben
- Verträge prüfen -> Datenauslieferung bei Vertragskündigung? -> EK
- Betriebliche Informationen schwierig
- White-Paper von Microsoft
- -> Risikobewertung, dass geprüft wurde, ob Daten gelöscht werden können
- verweis daruf, dass MS TISAX Zertifiert ist
- welche weiteren Anbieter, Lieferanten sind TISAX zertifiziert, NTT? -> EK
- Schutz von Daten in der Cloud
- wie sind Informationen in der Cloud geschützt?
- Mandantentrennung
- Konzepte von Microsoft
- ATOSS? NTT?? -> EK
- welche Cloud Dienste nutzt RES?
- welche TOMs habe die einzelnen Anbieter?
- automatischen Prozess für die Zukunft etablieren
- EK in Docuware ablegen? -> Link an die IT schicken
- EK-Block 6 übersprungen
- Block 7 Compliance
- Datenschutz -> gut aufgetellt
- Datenschutzkonzept -> ist das freigegeben?
- Vertragsmanagement
- Matrix der Kundenanforderungen -> TISAX ergänzen, welche Kunde fordert TISAX
- Anforderungne aus Zoll-Versandt etc.
- Compliance und Datenschutz für Slowenien
- TODO Datenschutz kann VIA bisher nur für KRAH ein i.O. geben -> Datenschutz bei RES völlig offen -> Frage an Marcel klären #personal
- Ausblick:
- ISMS aufzubauen ist gut
- neue NIS2, EU-Richtlinie, zum Jahresende neue gesetzliche Anforderungen -> dann aber auch für ATHOS, HKR, WITEC etc.
- ab 50 MA -> fallen unter NIS2
- Orga:
- TODO Bedienung an der Dauerbeauftragung -> neue Bestellung nötig -> EK #personal
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Reference in New Issue View Git Blame Copy Permalink