chk
/
logseq_kauer
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
logseq_kauer/pages/%P TISAX Einführung KRA & R...

13 KiB
Raw Blame History

type:: Projekt icon:: 🛠️ team:: @Christopher Klein, @Philip Losch, @Stefan Fiebrich, @Eray Kara, @Blaž Zidanič, @Nejc Mlakar, @Andreas Steinberg status:: in Arbeit scope:: $KRAH jourfixe:: %J IT-Team, %J TISAX Management-Jourfixe start:: 2023-01-01

Historie

- **[[2023-01-25]]**:
	- ### [[Meeting]]: Vor-Ort Treefen mit IT & VIA
	  type:: [[Meeting]]
	  icon:: 📅
	  team:: todo
	  projekt:: [[%P TISAX Einführung KRA & RES]]
	  datum:: [[2023-01-25]]
	  uhrzeit:: [[08:53]]
		- #### Ziele:
			- Maßnahmenplan für IT-Team bei höchstem Schutzbedarf
			- Basis für Projektplan, der rückwärts gerechnet wird, schaffen
		- #### Notizen
			- Richtlinie vergleich
			- TODO hohe Schulungsquote sollte 90% sein -> Orga an LQS übergeben
				- System muss dafür vorhanden sein
				- Fragebogen für Wirksamkeitsprüfung
				- TODO Wer bereitet die Schulungsinhalte vor?
			- internes Audit, dass jährlich gemacht werden muss -> Nachweise erforderlich
				- Auditor benmänget, dass unfertiges System auditiert wurde
				- wie internes Audit bei Teams
				- Gaps ermitteln
				- Vorbereitung internes Audit
					- Sicherheitszonenkonzept
					- Compliance, Gesetze in Slowenien, Berater, Geschäftsfüher bekannt?, Gesetzeskartaster
					  id:: 63d0e75c-c832-489d-85eb-ad93c29303a1
					- Datenschutz Slowenien -> lokale Gesetze?
					- Verantwortlichen für jedes Control festlegen
					- Projektmananement (Kundenprojekte)
						- wie wird Informationssicherheit im Projektmanagment geregelt,
							- Teams nur durch IT mit Fragenkatalog (externe?, welche Dokumnete)
					- Strukturanalyse -> Verantwortliche festelgen
						- für RESISTEC kopieren -> was global gilt verweisen auf Drolshagen,
					- Risikobewertung (separates Dokument)
						- TODO Oliver schickt aktuelle liste #others
						- BSI grundgefährdungen
						- Sollte-Anforderungen sind bei ITSAX ein MUSS -> Dokumentation über die Risikobewertung (wenn eine Anforderung nicht erfüllt ist)
						- für Slowenien im Werk lokal erfragen, Gewerbegebiet, Naturkatastrophen -> LQS
					- Notfallübungen 1.5.1, 1.5.2 -> Teilprojekt
						- Ergebnisse bitsight
						- USV Prüfung
						- Brandmeldeanlage, Alarmanlage, Wachdienst Meldeketten prüfen
						- auch für SLO einsammeln
					- 1.5.1: Meldeprozess
						- TODO Oliver liefert Vorlage #others
						- Datenschutz bereits vorhanden
						- Unterkategorien für Ticketsystem: Datenschutzvorfall, Informationssicherheitsvorfall, Schwachstelle, Compliance-Meldung, Gesetzesverstoß
							- Hinweisgeberschutzgesetz: Whistle-Blower anonym mit abdecken
					- Personal
						- Einstellungsprozess, Identität überprüfen -> RS [[@Teresa Mason-Hermann]]
						- Stellen mit sensiblen Daten identifizierungen
							- Background-Checks
							- Führungszeugnis
							- vorhandene Checklisten ergänzen
							- TODO !! KURZFRISTIG -> Meeting mit HR organisieren #personal
						- Geheimhaltungsvereinbarung mit allen Mitarbeitern (auch alt eigesessenen)
						- -> Slowenien?
						- Gap zwischen Neueinstellungen und Schulung -> 2 Pager zur Informationssicherheit ergänzen
					- 2.1.4: Mobiles Arbeiten
						- Dienstreisen?
						- notebooks verschlüsselt
						- Notebook für Dienstreisen
					- TODO Kap 3: Sicherheitszonenkonzept LQS #others
						- Powerpoint mit den Layouts
						- Zonen definieren -> 3.1.1
							- Beispiel übernehmen und an KRAH anpassen
							  ![image.png](../assets/image_1674636582617_0.png)
							- Fenster überprüfen, Nachweise für Fenster vorhalten -> LQS
							- Besonderheiten zu Räuimen rausschreiben, z.B. Holzfenster
							- Layout wo welche Kameras mit Blickwinkel sind -> In Sicherheitszonenkonzept übernehmen
							- TODO Oliver schickt Beispiel #others
					- Notfallhandbuch
						- keine Chance das intern zu lösen-> extern machen
						- Interviews durch VIA
						- TODO Oliver schickt themen, ich nenne Verantwortlich -> Einzetermine #others
						-
					- TODO MDM, nur active Sync -> auf Intunes migrieren Teilprojekt für [[@Eray Kara]]
						- im Audit sagen, dass system im Aufbau ist und Laptos
					- Management von Identifikationsmitteln
						- Schlüssel, Verlust melden, Formular? -> Prozess beschreiben
						- Steuerung über HR, IT, Gebäudemanagement? Wie ist Slowenien?
						- -> LQS
						- TODO Kläruing der Verantwortlichkeit, ggf. Schlüssel-Prozess nach HR verlagern #personal
					- Zugang zu IT-Diensten
						- Wenn Vertrauliche Daten aus Assetbewertung zu einem System gehören -> MFA
					- Prozess Rechtevergabe
						- bei Admin-Konten (siehe sehr hoch)
						- regelmäßige Kontrollen der Rechte
						- Prüfung, wenn konten länger als X Monate nicht genutzt werden (Report in Desktop-Central vorhanden -> bisher nicht genutzt
							- Report alle 3 Monate durchführen und in Protokoll-Liste ablegen
							- Beschreibung erstellen, wie Report erstellt wird
							- TODO Teilprojekt für [[@Christopher Klein]] #others
					- Zugriffsberechtigungen
						- bei sehr hoch in kurzen abständen, mind. vierteljählich 4.2.1
						- TODO Access Rights Management von SolarWind prüfen
						- Angebot einholen, manuelle sind die Anforderungen nicht zu bearbeiten
							- [Get a Free Trial of SolarWinds Access Rights Manager](https://www.solarwinds.com/access-rights-manager/registration?a_bid=34f98d7b&CMP=BIZ-PAP-CMPRTCH-AccessRghts-ARM-DL&data1=123603&data2=&a_aid=BIZ-PAP-CMPRTCH)
							- TODO Angebot einholen
						- es gibt sehr viele Zusatzanforderungen an die Berechtigungsvergabe -> Fragebogen im Details geprüft werden
						  id:: 63d0f2ce-fab9-420a-ac29-bc02367c97da
						- alternativ MAtrix 42 prüfen
					- Kap. 5 IT-Security
						- Bitlocker
						- dateien verschlüsselt versenden, MA schulen
						- verbote definieren (DropBox)
						- TODO Oliver schickt Vorlage für eine Richtline #others -> prüfen und Benutzerrichtline ergänzen
							- Passwörter nicht auf dem gleichen Kanal versenden
					- Change-Management
						- TODO formelle Prozess kann Oliver schicken #others
						- übers Ticketsystem steuern
						- Änderungen an IT-Systemen
						- Problem: nicht nur IT-Changes -> Änderung in der Organisation und in Geschäftsprozessen
						- gleiche Problem wie bei Projekten
						- Der Change muss mit Frage auf "Einfluss auf Inf.-Sicherheit" geprüft werden -> ISMS-Beauftragten hinzuziehen
						- heute One-Note - Wie lösen?
							- Ticket für "interner Change"?
							- wenn es einfluss auf die Inforamtionssicherheit hat -> Bewertung des Tickets hinsichtlich Kritikalität
							- TODO Termin zum Brainstorming erstellen #personal
						- Konsequenz -> Produktivtät wird drastisch sinken, für viele Changes wird die Dokumentation aufwändiger werden, als der Change selbst
						- Idee WIKI?
						- TODO Oliver recherchiert mal, wie andere Firmen das machen #others
					- Entwicklungs- und Testumgebungen
						- niederschreiben was es gibt -> müssen in Risikobewertung auftauchen
						- Segmentierung / Trennung aufführen
						- TODO Beschreiben, wie man ohne Testsysteme arbeiten: erst IT, Test-Gruppe, Abteilungsweise ausrollen -> IT-Richlinie ergänzen -> wie nachweisen? #personal
						- Berechtigungen in den Testsystemen?
						- Produktivdaten im Testsystem vorhanden -> Risikobewertung -> abstellen
						- Tests für die Benutzerrichlinie und die IT-Richtlinie erstellen
					- Schadsoftware
						- genauer Lesen -> Endpoint-Protection, wie Sentinel -> technische Maßnahmen ableiten
						- [Microsoft Sentinel  SIEM-Lösung in der Cloud | Microsoft Security](https://www.microsoft.com/de-de/security/business/siem-and-xdr/microsoft-sentinel#tabxf4347445d2934e8ea6549c4a9a1a61cd)
						- [SentinelOne | Autonomous AI Endpoint Security Platform | s1.ai](https://de.sentinelone.com/)
						- TODO Einzelanforderungen prüfen [[@Philip Losch]] #others
							- Phishing-Mails, Nachschulen
						- XP und Win 7 System in Risikobewertung und Netzwerksegmentierung
							- Risikokennzahl um alte Systeme zu minimieren
					- Ereignisprotokolle
						- welche Protokolle sind vorhanden
						- -> CSOC -> Report für Auditor
						- [[@Philip Losch]]
						- PRTG
						- Netzwerküberwachung
						- Betriebsrat (Reglementierung, je nach dem was ausgewertet wird)
						- Überwachung von Regelverstößen -> Betriebsvereinbarung erstellen und auslisten
						- TODO Zugriffe auf geheime Daten lückenlos protokollieren -> File-Server ausgeschlossen -> Teilprojekt
					- Schwachstellenidentifizierung
						- Software für autom. Abfragen
						- dokumnentieren, welche Newsletter verfolgt werden
						- je nach Kritikalität -> Ticket öffnen und dokumentieren, wie sie behandelt wird, oder warum sie nicht behandelt wird.
						- Patch-Management
						- -> Full Time Job
						- -> Teilprojekt
					- technisch Überprüfung von Systemen
						- Reports von Dienstleister
						- BitSight
						- Pen-Tests (extern, nicht CSOC)
						- Rückfrage CSCO bezüglich Schwachstellenanalyse
						- TODO [GreenBone]([Vulnerability Management - Greenbone Networks](https://www.greenbone.net/en/)), freies Tool, KIS aus Siegen -> Dienstleister, der GreenBone ausführt und Reports aufbereitet -> [[@Christopher Klein]] #others
					- 5.2.7: Netzwerksegementierung
						- Netzwerkpläne, Netzwerksegemtierng, Maschinen-Netze
						- Teilprojekt für [[@Philip Losch]]
							- Netzwerkpläne DocuSnap
						- für Slowenien nur als Projektplan um was zeigen zu können -> Umsetzung bis Sommer ausgeschlossen
					- IS bei neuen Systemen
						- Vorabkontrolle -> prüfen, ob IS im Formular ergänze werden muss, nicht nur DS sondern auch ISMS-Beauftragter muss prüfen
						- Klassigizierung hinsichtlich Vertraulichkeit Integrietät ergänten -> Update der Asset-Bewertung nötig? -> Freigabe durch 2 Personen
						- in Schulung aufnehmen
					- Anfordeurngen an Netzwerkdienste
						- Verfübarkeit Internetprovider, Cloud-Diensten, MS, ATOSS, SAP
							- welche Anwendungen betreibt RES in der Cloud?
							- SLAs und Garantien -> Sammel und Liste erstellen
						- TODO Termin mit EK -> Slowenien nicht vergessen -> LQS #others
							- Organisatorische Aufgabe
						- wo liegen heute die NDAs? -> auch IT-Deinstleister im EK führen
						- TODO Oliver schickt Beispiel Excel-Liste #others
					- organisationsfremde IT-Dienste (Cloud)
						- Daten aus der Cloud entfernen
						- Ausstiegsstrategie schreiben
							- Verträge prüfen -> Datenauslieferung bei Vertragskündigung? -> EK
							- Betriebliche Informationen schwierig
								- White-Paper von Microsoft
								- -> Risikobewertung, dass geprüft wurde, ob Daten gelöscht werden können
						- verweis daruf, dass MS TISAX Zertifiert ist
						- welche weiteren Anbieter, Lieferanten sind TISAX zertifiziert, NTT? -> EK
					- Schutz von Daten in der Cloud
						- wie sind Informationen in der Cloud geschützt?
						- Mandantentrennung
						- Konzepte von Microsoft
						- ATOSS? NTT?? -> EK
						- welche Cloud Dienste nutzt RES?
						- welche TOMs habe die einzelnen Anbieter?
						- automatischen Prozess für die Zukunft etablieren
						- EK in Docuware ablegen? -> Link an die IT schicken
					- EK-Block 6 übersprungen
					- Block 7 Compliance
						- Datenschutz -> gut aufgetellt
						- Datenschutzkonzept -> ist das freigegeben?
						- Vertragsmanagement
							- Matrix der Kundenanforderungen -> TISAX ergänzen, welche Kunde fordert TISAX
							- Anforderungne aus Zoll-Versandt etc.
					- Compliance und Datenschutz für Slowenien
						- TODO Datenschutz kann VIA bisher nur für KRAH ein i.O. geben -> Datenschutz bei RES völlig offen -> Frage an Marcel klären #personal
					- Ausblick:
						- ISMS aufzubauen ist gut
						- neue NIS2, EU-Richtlinie, zum Jahresende neue gesetzliche Anforderungen -> dann aber auch für ATHOS, HKR, WITEC etc.
						- ab 50 MA -> fallen unter NIS2
					- Orga:
						- TODO Bedienung an der Dauerbeauftragung -> neue Bestellung nötig -> EK #personal
					-
					-
					-
						-
					-
						-
					-
					-
						-
						-
					-
						-
					-
				-