An dieser Stelle möchte ich alle Interessenten des Workshops begrüßen und gleichzeitig einladen diesen interessanten Workshop zu buchen. Ich moderiere den Workshop "Enterprise Security" nun zum vierten Jahr in Folge. Auch wenn der Workshop-Titel in den Jahren gleich geblieben ist, wurden jeweils unterschiedliche Themen behandelt. In diesem Jahr liegt der Fokus auf dem Thema "Compliance" bzgl. der rechtlichen, regulatorischen und institutionellen Vorgaben und Gesetze (SOX, EuroSOX). Dies Thema nimmt innerhalb des Informationssicherheitsmanagements eine Sonderstellung ein und wird ggf. ähnlich wie seiner Zeit die "Firewalls" zu einem Dauerthema werden. Grund genug für CAST sich die Entwicklungen in der Forschung, in der Praxis und in den Standards näher anzusehen.

• "SOX" und "EuroSOX"
• Welche sonstigen gesetzlichen Regelungen sind zu beachten?
• Compliance Management aus rechtlicher Sicht (Haftungsrisiken, Delegation und Automation, Complianceprofiling)

• SOX für Europa
• Gesetzliche Regelungen und die Auswirkungen auf die Gestaltung von Prozessen und der IT
• Aufbau eines Compliance Enterprise System
• 8-EU-Richtlinie - was ist das?
• Haftungsrisiken / Handlungsbedarf

• COBIT Anspruch und Wirklichkeit
• COBIT Grundprinzipien
• COBIT in der Praxis umsetzen
• Fazit und Ausblick

Viele Firmen erkennen, dass sie mit neuen gesetzlichen Vorgaben operieren. Diese Vorgaben verlangen einen fortlaufenden und erhöhten Aufwand und verstärkte Rechenschaftspflichten, u.a. auch von IT Abteilungen. Die meisten CIOs bemühen sich um einen besseren Überblick über interne Kontrollen des Unternehmens und entwickeln einen Compliance-Plan, um speziell die IT-Kontrollen zu adressieren. Identity & Access Management Systeme implementieren IT-Kontrollen in der Praxis und können durch Automatisierung, Kosteneffizienz und Geschwindigkeit eine größere Rolle bei der Compliance einer Organisation spielen, und dadurch manuelle Kontrollen ersetzen.

Es wird ein Modell zur Compliance-Analyse vorgestellt, dass auf das fallbasierte Schließen (CBR) in Kombination mit gerichteten Graphen (DAG) basiert. Es können definierte Pfade auf den Graphen und Pfadabweichungen als ein viel versprechender Ansatz eingestuft werden, um automatisierte Fragestellungen (W7) hinsichtlich einer Compliance beantworten zu können. Die in diesem Modell aus der Kriminalistik entlehnte Vorgehensweise wird als Compliance-Profiling bezeichnet.

In Organisationen werden Policies und Richtlinien für die Sicherheit erstellt die auch aus externen Anforderungen, wie SOX resultieren. Um zu zeigen, dass die Richtlinien eingehalten werden, müssen Kontrollen eingeführt werden. Dies wird oftmals durch Standard Frameworks wie ISO17799 erreicht. Der Vortrag soll zeigen, wie dies innerhalb eines SIEM umgesetzt werden kann.

• IT General Controls
• Compliance der Data Center
• Prozesse/Risiko/Steckbriefe
• SAS70 Typ I
• SAS70 Typ II
• Cobit 2nd Edition

Der ISO Standard 27001 fordert die Berücksichtigung von Compliance Anforderungen. Diese können sowohl Anforderungen aus Standards und Regularien sein, denen freiwillig gefolgt wird. So z.B. ISO 900X, Firmeneigene Standards, ITIL sowie Regularien die sich zwar abzeichnen aber noch nicht in Kraft getreten sind. Zudem gibt es regulative Anforderungen, d.h. Gesetze, Richtlinien und Verfahrensweisen denen gefolgt werden muss. Im Rahmen des Vortrags werden die Erfahrungen dargestellt, die ein IT-Sicherheitsauditor dabei macht wenn diese Punkte berührt werden.