Header
  HOME  •  KONTAKT  •  SITEMAP Aktualisiert: 12.01.2010
Home
News
Presse
Leistungen
Informationssicherheit
A-R
S-Z
Publikationen
Karriere
Kontakt

Grundschutz

Grundschutz ist ein seit einigen Jahren bekannter Ansatz zur Realisierung von Informationssicherheit. Ziel des Grundschutzes ist es, zunächst ein durchgängig gleiches Sicherheitsniveau im gesamten Unternehmen einzuführen. In einem zweiten Schritt werden dann zusätzliche Maßnahmen für den erhöhten Schutzbedarf eingeführt.

Bei der Einführung von Grundschutz in Ihr Unternehmen oder in ihr IT-Projekt können Sie auf unsere Dienstleistungen wie folgt zurückgreifen:

  • Mit einem Sicherheits-Review ermitteln wir die notwendigen Maßnahmen und
  • unterstützen Sie bei der folgenden Planung und Implementierung.

bottom

Guidelines

Guidelines oder Richtlinien sind ein wichtiger Bestandteil eines Sicherheitskonzeptes. Darin wird festgelegt, welche Regelungen für bestimmte Themen verbindlich einzuhalten sind. Zweckmässig ist eine Unterscheidung organisatorischer gegenüber den eher technisch orientierten Richtlinien. Bei der Erstellung von Richtlinien und Standards können wir Sie begleiten.

bottom

Identity & Access Management

Unter Identity & Access Management sind alle Prozesse und Technologien, im Zusammenhang mit der Erstellung, Verwaltung und Nutzung von digitalen Identitäten und ihren Zugriffs- und Funktionsmöglichkeiten zu verstehen.

Unser Vorgehensmodell legt einen besonderen Schwerpunkt auf die Phase der Projektdefinition. In dieser Phase  wird unter geeigneter Berücksichtigung aller für das Projekt relevanten Aspekte eine fundierte Grundlage für die folgenden Projektphasen  "Lösungsdesign und -implementierung" und "Betriebseinführung" geschaffen. 

Eine Projektdefinition für IdM&AcM-Projekte setzt sich aus den vier Bausteine zusammen:

  • Abgrenzung (regional, organisatorisch, systemspezifisch)
  • Anforderungsdefinition
  • Marktbetrachtung
  • Kosten-Nutzen-Argumentation

bottom

Incident Handling

Incident Handling oder auch Behandlung von Sicherheitsvorfällen ist eine Prozess der Informationssicherheit, durch den Verletzungen der Sicherheitsvorgaben (Security Policy) erkannt werden, koordinierte Reaktionen erfolgen und Auswertungen stattfinden.

Nicht immer müssen dafür ganze Teams ausgebildet werden. Eine pragmatische Herangehensweise, die zur Unternehmenskultur passt, ist gefragt.

bottom

ISO 27001

ISO 27001, der internationale Standard für das Management von Informationssicherheit, ist aus der ISO 17799 hervorgegangen. In der TTS wird der ISO 27001 zu unterschiedlichen Zwecken verwendet. Neben Stärken hat dieser Standard nämlich auch Schwächen. Wer selbst bereits mit der Standardisierung zu tun hatte, weiss, wovon wir reden.

Wir können dafür sorgen, dass ihr gesamtes Unternehmen oder auch nur ein Teil davon, ISO 27001 konform ist.

bottom

KontraG

Wenn Sie dabei sind, Ihr Risikomanagement zu renovieren, bietet es sich an, die Sicherheit von Informationen als ein Geschäftsrisiko zu identifizieren und zu behandeln. Durch unsere strategisch orientierten Ansätze können die Resultate sehr einfach in ein Risikomanagement integriert werden.

bottom

Notfallplanung

Die Notfallplanung soll im Fall einer Havarie Ihrer Informationstechnik Zeit sparen, indem alle erforderlichen Ressourcen so effizient wie möglich eingesetzt werden. Gelingt dies, kann es helfen wertvolle Ressourcen zu retten. Machen Sie sich bitte jetzt darüber Gedanken, solange Sie die Zeit dafür haben.

Wir sind es gewohnt in Szenarien zu denken, die eigentlich nicht eintreten dürfen oder sollen. Wenn Sie jemanden brauchen, der Sie bei Ihrer Notfallplanung unterstützt, freuen wir uns über Ihre Kontaktaufnahme.

bottom

Produkte

Produkte sind sicher ein sehr wichtiger Bestandteil jeder modernen Sicherheitsarchitektur. Firewalls, Virenschutzsystem, Zugangs- und Zugriffskontrollsysteme, Scanner oder Baseline Analyser sind in vielen Unternehmen Standard geworden.

Dennoch: Vergessen Sie bitte nie, dass die schönste technische Lösung nicht viel wert ist, wenn man sie nicht richtig betreibt. Wir kennen Unternehmen, die bisher noch nicht einmal ihre Firewall vernünftig betreiben, aber schon darüber nachdenken, wie sie eine PKI-Lösung einführen. Die richtigen Prioritäten zu setzten ist auch bei der Einführung neuer Produkte und Lösungen entscheidend.

Wir würden Ihnen aber gerne dabei helfen, die richtigen Produkte zu finden und auch den passenden Integrationspartner. Wenn Ihnen unsere Einstellung dazu gefällt, schauen Sie doch hier weiter.

bottom

Provisioning

Im Bereich des Identity & Access Managements umfasst der Begriff Provisioning alle Prozesse, die im Zusammenhang mit der unternehmensweiten Einrichtung, Veränderung und Löschung von digitalen Identitäten und ihren Zugriffsrechten stehen.

bottom

Risikoanalyse

Eine formale Risikoanalyse wird meist verwendet in Bereichen mit erhöhtem Schutzbedarf oder dann wenn Grundschutzverfahren nicht anwendbar sind. Unser Vorgehen für formale Risikoanalysen setzt sich aus folgenden Schritten zusammen:

  • Abgrenzung des Analysegegenstandes
  • Informationswertanalyse
  • Bedrohungsanalyse
  • Schwachstellenanalyse
  • Definition ergänzender Sicherheitsmaßnahmen
  • Restrisikobewertung

Die Ergebnisse der Risikoanalyse sind dann Grundlage für ein systematisches Risikomanagement.

bottom

Risikomanagement

Das Risikomanagement betrachtet neben diversen Geschäftsrisiken natürlich auch Risiken aus dem Umgang mit Informationen. Dazu gehören Verletzungen der Vertraulichkeit oder Integrität von Informationen sowie deren Nicht-Verfügbarkeit. Die Risikoeinstufung hängt natürlich spezifisch von Ihrer Organisation ab.

Erforderlich für die Einbindung von Informationssicherheit in das Risikomanagement ist zunächst die Analyse und Bewertung von Sicherheitsrisiken und dann die Planung risikomindernder Maßnahmen.

bottom

Rollenbasierter Zugriffsschutz – RBAC

Zur effizienten Handhabung von Zugriffsschutzsicherheit ist ein Rollenkonzept sinnvoll. Mittlerweile sind praktikable Ansätze herangereift, mit denen es möglich ist, beherrschbare Rollenkonzepte abgestimmt auf ein Unternehmen mit seinen schützenswerten Geschäftsprozessen zu erstellen und zu pflegen.

Grundlage bildet oftmals der internationale Standard RBAC, der vom NIST in verschiedenen Ausprägungen veröffentlicht ist.

Bei der Nutzung von rollenbasiertem Zugriffsschutz werden Rollen als Bindeglied zwischen den Identitäten und den Zugriffsrechten verwendet. Rollen können sowohl zur Zusammenführung von Rechten passend zu bestimmten Organisationseinheiten als auch zugeschnitten auf die Erfordernisse bestimmter Geschäftsprozesse gestaltet werden.

Aus unserer Erfahrung haben sich bei der Erstellung von Rollenkonzepten grundsätzlich zwei Basisansätze bewährt. Mit dem einen Ansatz werden mit Hilfe von Data-Mining-Verfahren auf Basis der vergebenen Berechtigungen Rollen ermittelt (Bottom-Up). Bei dem anderen Ansatz werden auf Basis der für einzelne Geschäftsprozesse erforderlichen Zugriffsrechte Rollen modelliert (Top-Down).

In der Praxis führt nach unserer Erfahrung der Weg zum Rollenmodell meist über einen ausgewogenen Mix beider Ansätze.

bottom
Copyright © 2007 TTS GmbH