Information Security

Information Security

Η ασφάλεια των πληροφοριών είναι η προϋπόθεση για την επιτυχή ψηφιοποίηση. Διαφορετικές προδιαγραφές, βέλτιστες πρακτικές, πρότυπα ή πιστοποιήσεις παρέχουν μια σταθερή τεχνική βάση και ένα ολοκληρωμένο εργαλείο εργασίας. Πρόκειται για μεθόδους, οδηγίες, συστάσεις και βοηθήματα αυτοβοήθειας για δημόσιες υπηρεσίες, εταιρείες και ιδρύματα που θέλουν να ασχοληθούν με την ασφάλεια των δεδομένων, των συστημάτων και των πληροφοριών τους. Το κλειδί εδώ είναι η υιοθέτηση μιας ολιστικής προσέγγισης στην ασφάλεια των πληροφοριών: Εκτός από τις τεχνικές πτυχές, εξετάζονται θέματα υποδομής, οργάνωσης και προσωπικού. Αυτό επιτρέπει μια συστηματική προσέγγιση για τον εντοπισμό και την εφαρμογή των απαραίτητων μέτρων ασφαλείας. Αυτός είναι ο τρόπος με τον οποίο το BSI ορίζει την ασφάλεια πληροφοριών.

Αυτή ακριβώς η ολιστική προσέγγιση είναι η πρώτη μας προτεραιότητα σε όλους τους τομείς, δηλαδή ξεκινώντας από τη στρατηγική και τις αντίστοιχες κατευθυντήριες γραμμές και τις προκύπτουσες διαδικασίες, μέχρι τα εργαστήρια και τις λύσεις ασφάλειας πληροφορικής. Αυτό διασφαλίζει την επιτυχία της αλληλεπίδρασης των επιμέρους στοιχείων. Οι ειδικοί μας είναι στη διάθεσή σας με ολοκληρωμένη συμβουλευτική υποστήριξη και υπηρεσίες. Δημιουργούμε εξατομικευμένες λύσεις μαζί σας και σας υποστηρίζουμε σε κάθε πιθανή πτυχή της ασφάλειας των πληροφοριών:

Sven Rössig
Head of Information Security
+49 5221 1013-402 Contact

Πτυχές της ασφάλειας των πληροφοριών

Ανάπτυξη, εφαρμογή και συντήρηση συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS)

Προετοιμασία για πιστοποιήσεις & απαιτήσεις που προκύπτουν από την ασφάλεια των πληροφοριών

Συμβουλευτική υποστήριξη για: ISO 27001/27002, ISO 27019 & IT-SiKat, TISAX®, BSI Grundschutz στη βάση του ISO27001, KRITIS, EΕ-ΓΚΠΔ

Systemaudits/First Audits/Internal Audits

Διαχείριση εκτάκτων αναγκών

Διαχείριση Κινδύνων/Risk Assessment

BSI 200-3, ISO27005

Επικοινωνία κρίσεων/διαχείριση κρίσεων

Εξατομικευμένες προσεγγίσεις εκπαίδευσης και ευαισθητοποίησης

Τα πλεονεκτήματά μας

Πραγματιστική προσέγγιση λύσεων

Προσαρμόζουμε τις διαδικασίες και τα μέτρα της επιχείρησής με τέτοιο τρόπο ώστε να μπορούν να ενσωματωθούν και να εφαρμοστούν πρακτικά με ελαχιστοποίηση των απαιτούμενων πόρων.

Μείωση κόστους

Η πραγματιστική προσέγγισή μας εξοικονομεί κόστος και φόρτο εργασίας.

Εμπειρία στην ασφάλεια πληροφοριών

Μέσα από τα πιο διαφορετικά έργα σε όλους τους πιθανούς τομείς, φέρνουμε μαζί μας ολοκληρωμένη εμπειρία και τεχνογνωσία.

Αναφορές & προτεινόμενες ενέργειες

Κατόπιν αιτήματος, θα λάβετε λεπτομερείς αναφορές από εμάς για όλα τα στάδια και τις διαδικασίες, οι οποίες περιλαμβάνουν προτάσεις σχετικά με συνιστώμενες ενέργειες, προσαρμοσμένες στη δομή της εταιρείας σας.

Οι υπηρεσίες

 

Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS)

Ακόμα και πριν την ψηφιοποίηση, οι πληροφορίες ήταν και συνεχίζουν να είναι ένα από τα πιο πολύτιμα περιουσιακά στοιχεία μιας εταιρείας και ως τέτοιο απαιτούν εκτεταμένη προστασία. Εμπορικά μυστικά, διαδικασίες παραγωγής, στοιχεία πελατών - η προστασία αυτών των δεδομένων από κακή χρήση, απώλεια ή υποκλοπή είναι απολύτως απαραίτητη. Η ασφάλεια πληροφοριών περιλαμβάνει τόσο ψηφιακά όσο και αναλογικά δεδομένα. Μια βιώσιμη στρατηγική διασφαλίζει ότι επιτυγχάνονται ή διατηρούνται οι στόχοι προστασίας της ασφάλειας των πληροφοριών.

  • Ακεραιότητα συστημάτων, δεδομένων και απαραίτητων αλλαγών
  • Απόρρητο δεδομένων
  • Διαθεσιμότητα συστημάτων και δεδομένων 
  • Αυθεντικότητα πληροφοριών και πηγών
  • Δεσμευτική εφαρμογή διαδικασιών, ενεργειών, στοιχείων συστήματος
  • Ανθεκτικότητα των συστημάτων πληροφορικής


Η υπηρεσία
Για να επιτευχθεί ένα επίπεδο ασφάλειας που να καλύπτει τις ανάγκες όλων των επιχειρηματικών διαδικασιών, πληροφοριών και συστημάτων πληροφορικής ενός οργανισμού, απαιτούνται περισσότερα από την απλή αγορά προϊόντων προστασίας από ιούς, τειχών προστασίας ή δημιουργίας αντιγράφων ασφαλείας δεδομένων. Σημασία έχει μια ολιστική προσέγγιση. Πάνω απ' όλα, αυτή περιλαμβάνει ένα λειτουργικό σύστημα διαχείρισης ασφάλειας ενταγμένο στις δομές του οργανισμού. Η διαχείριση της ασφάλειας πληροφοριών είναι εκείνο το μέρος της γενικής διαχείρισης κινδύνου που στοχεύει στη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας πληροφοριών, επιχειρηματικών διεργασιών, εφαρμογών και πληροφορικών συστημάτων. Πρόκειται για μια συνεχή διαδικασία, οι στρατηγικές και οι έννοιες της οποίας ελέγχονται διαρκώς ως προς την απόδοση και την αποτελεσματικότητά τους και αναθεωρούνται εφόσον χρειάζεται. Η ασφάλεια των πληροφοριών δεν είναι μόνο ζήτημα τεχνολογίας, αλλά εξαρτάται επίσης σε μεγάλο βαθμό από το οργανωτικό και προσωπικό πλαίσιο.

Όλο και περισσότερες επιχειρηματικές διεργασίες συνδέονται μέσω της τεχνολογίας πληροφοριών και επικοινωνιών. Αυτό συμβαδίζει με την αυξανόμενη πολυπλοκότητα των τεχνικών συστημάτων και τον υψηλό βαθμό εξάρτησης από τη σωστή λειτουργία της τεχνολογίας. Ως εκ τούτου, είναι απαραίτητη μια προγραμματισμένη και οργανωμένη προσέγγιση από όλα τα εμπλεκόμενα μέρη για την επιβολή και τη διατήρηση κατάλληλου και επαρκούς επιπέδου ασφάλειας. Η εδραίωση αυτής της διαδικασίας σε όλους τους τομείς μιας επιχείρησης μπορεί να διασφαλιστεί μόνο εφόσον υποστηριχτεί με συνέπεια από την ανώτατη διοίκηση. Η τελευταία ευθύνεται για τη στοχευμένη και εύρυθμη λειτουργία ενός οργανισμού, συνεπώς και για τη διασφάλιση της ασφάλειας των πληροφοριών εσωτερικά και εξωτερικά. Οφείλει επομένως να δρομολογήσει, να ελέγχει και να παρακολουθεί τη διαδικασία υλοποίησης ενός συστήματος ασφάλειας. Αυτό περιλαμβάνει στρατηγικές βασικές κατευθύνσεις για την ασφάλεια των πληροφοριών, εννοιολογικές προδιαγραφές και συνθήκες οργανωτικού πλαισίου, καθώς και επαρκείς πόρους για την επίτευξη της ασφάλειας πληροφοριών σε όλες τις επιχειρηματικές διεργασίες.
(Πηγή: BSI Bund 200-2 Grundschutz Standard)

Τι κάνει η DTS
Προκειμένου οι πιο σημαντικές επιχειρηματικές διεργασίες μιας εταιρείας να λειτουργούν απρόσκοπτα μακροπρόθεσμα, απαιτείται μια στρατηγική ασφάλειας η οποία να υλοποιείται συνειδητά καλύπτοντας όλους τους τομείς μιας εταιρείας ή μιας δημόσιας υπηρεσίας. Η ενσωμάτωση ενός ISMS μπορεί να αποδειχθεί αρκετά περίπλοκη στην πράξη. Είναι σημαντικό το κόνσεπτ της ασφάλειας να ενσωματωθεί στις υπάρχουσες οργανωτικές δομές και λειτουργικές διαδικασίες και να μην υπάρξει ριζική αλλαγή των επιχειρηματικών διαδικασιών ενός οργανισμού. Αυτό εγείρει τις ακόλουθες προκλήσεις που πρέπει να ληφθούν υπόψη:

  • Δομή και ορισμός των περιοχών ευθύνης ενός ISMS
  • Καθορισμός του πεδίου εφαρμογής
  • Καθιέρωση της απαραίτητης οργάνωσης και διαδικασίας ασφάλειας
  • Χάραξη κατάλληλης στρατηγικής ασφάλειας και θέσπιση στόχων ασφάλειας
  • Ένταξη της στρατηγικής ασφάλειας πληροφοριών στην υπάρχουσα εταιρική στρατηγική
  • Επιλογή κατάλληλων μέτρων ασφαλείας
  • Διατήρηση και συνεχής βελτίωση του επιπέδου ασφάλειας μόλις επιτευχθεί
  • Σαφής οριοθέτηση από την προστασία δεδομένων και την ασφάλεια πληροφορικής
  • Δημιουργία κατάλληλου οργανισμού ασφαλείας


Σας υποστηρίζουμε σε όλη τη διαδικασίας κατάρτισης του κόνσεπτ και υλοποίησης ενός ISMS κατά το πρότυπο ISO 27001 ή παρόμοια πρότυπα. Ο κύκλος PDCA χρησιμοποιείται ως βάση για την εφαρμογή ενός ISMS. Η εισαγωγή ενός ISMS χωρίζεται στη φάση σχεδιασμού, τη φάση υλοποίησης, τη φάση ελέγχου και αναθεώρησης και στη φάση βελτίωσης με αντίστοιχο επανασχεδιασμό. Σε όλο το έργο τη διαχείριση του έργου έχει ο κ. Sven Meier, εκπαιδευμένος και πιστοποιημένος υπεύθυνος ασφαλείας πληροφορικής από το 2012 (ISO, BSI basic προστασία, TISAX κ.λπ.). Είναι υπεύθυνος για το έργο και τους χρησιμοποιούμενους πόρους. Κατά τη φάση του έργου, ορίζονται αντίστοιχα βασικά στοιχεία που μπορούν να μετρήσουν και να αξιολογήσουν την αποτελεσματικότητα ενός ISMS.

Προετοιμασία για πιστοποιήσεις ασφάλειας πληροφοριών

Σας προετοιμάζουμε για όλες τις σημαντικές πιστοποιήσεις ασφάλειας πληροφοριών, σας συμβουλεύουμε για όλες τις απαραίτητες πτυχές και αναπτύσσουμε κόνσεπτ και στρατηγικές από κοινού.

  • ISO 27001 & 27002 Consulting
  • ISO 27019 & IT SiKat Consulting
  • TISAX® Consulting
  • BSI Grundschutz
  • KRITIS Consulting
  • EU GDPR Consulting / ISO 27018



Η υπηρεσία

ISO 27001 & 27002 Consulting
Διάφοροι νόμοι καθιστούν υποχρεωτική μία θεώρηση της τεχνολογίας των πληροφοριών κατά τρόπο καταλογιζόμενο και ολιστικό και προβλέπουν την νομικά δεσμευτική τεκμηρίωση για τη λήψη προστατευτικών μέτρων. Επιπλέον, η ασφάλεια των πληροφοριών είναι ένας διαρκώς αυξανόμενος παράγοντας που συμβάλει στην επιτυχία επιχειρήσεων και θεσμών και στη διασφάλιση της εμπιστοσύνης. Το διεθνές πρότυπο ISO/IEC 27001 συνιστά ένα από τα πιο γνωστά και πιο αναγνωρισμένα πλαίσια στο διεθνές περιβάλλον όσον αφορά την αποτύπωση ενός αξιόπιστου συστήματος διαχείρισης ασφάλειας πληροφοριών.

Κάθε υλοποίηση του προτύπου ISO/IEC 27001 βασίζεται στην ανάλυση του εύρους εφαρμογής (Scoping) που είναι προσανατολισμένη προς την επιχειρηματική στρατηγική ενός οργανισμού. Το μυστικό της επιτυχίας είναι να συνδυάζονται με ιδανικό τρόπο τόσο οι οικονομικές όσο και οι λειτουργικές πτυχές του εγχειρήματος. Στο πλαίσιο μιας ανάλυσης GAP, ορίζουμε τα απαραίτητα μέτρα για την ικανοποίηση των απαιτήσεων.

Στο έργο προσδιορίζουμε σε πρώιμο στάδιο ποια μέτρα πρέπει να εφαρμοστούν άμεσα και πού αρκεί μια μεταγενέστερη εφαρμογή. Τα αποτελέσματά μας σας υποδεικνύουν συγκεκριμένες δυνατότητες βελτίωσης. Στη βάση μιας αξιόπιστης μελέτης έργου, στην οποία αποτυπώνονται όλες οι δαπάνες και οι χρονικές απαιτήσεις, μπορείτε να αποφασίσετε μόνοι σας για τα σημεία στα οποία θα χρειαστείτε την υποστήριξή μας.

(Πηγή: www.hisolutions.com/security-consulting/informationssicherheit/iso-27001)



ISO 27019 & IT-SiKat Consulting - πρότυπο για την ασφάλεια πληροφοριών στον τομέα παροχή ενέργειας
Με το διεθνές πρότυπο για την ασφάλεια πληροφοριών για τον κλάδο του ενεργειακού εφοδιασμού, ορίζεται η κατευθυντήρια γραμμή για ένα σύστημα διαχείρισης ασφάλειας πληροφοριών (ISMS), το οποίο στοχεύει στη διασφάλιση της λειτουργικής και αξιόπιστης λειτουργίας της τεχνολογίας ελέγχου και αυτοματισμού. Στο πλαίσιο αυτό περιλαμβάνονται συστήματα και δίκτυα ελέγχου, ρύθμισης και παρακολούθησης των σταδίων εξόρυξης, παραγωγής, μεταφοράς, αποθήκευσης και διανομής ηλεκτρικής ενέργειας, φυσικού αερίου, πετρελαίου και θερμότητας. Ο όρος τεχνολογία ελέγχου διεργασιών περιλαμβάνει, μεταξύ άλλων, την τεχνολογία επικοινωνίας καθώς και τα συστήματα ελέγχου, αυτοματισμού, προστασίας, ασφάλειας και μέτρησης. Μια ολιστική θεώρηση, η οποία περιλαμβάνει τα σχετικά συστήματα πληροφορικής και OT, είναι απαραίτητη για τη διασφάλιση αξιόπιστου ενεργειακού εφοδιασμού. Επιπλέον, πρέπει να εξετάζονται όλες οι διαδικασίες και τα συστήματα που χρησιμοποιούνται σε έναν οργανισμό. Το ενημερωμένο πρότυπο απαιτεί, για παράδειγμα, οι φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας στον ενεργειακό τομέα να απαιτούν ισοδύναμο επίπεδο ασφάλειας από τους σημαντικούς παρόχους υπηρεσιών και να το τεκμηριώνουν αυτό. Η διαδικασία είναι ανάλογη με την πιστοποίηση κατά το πρότυπο ISO 27001.

Πλεονεκτήματα πιστοποίησης κατά το πρότυπο ISO 27001 ή 27019:
  • Διεθνώς διαπιστευμένη απόδειξη της αποτελεσματικότητας του συστήματος ασφάλειας
  • Μεγαλύτερη νομική ασφάλεια σε κρίσιμα για την ασφάλεια θέματα
  • Συστηματική υλοποίηση των στόχων προστασίας της ασφάλειας πληροφοριών
  • Διατήρηση και συνεχής αύξηση του επιπέδου ασφάλειας
  • Ενοποίηση κατάλληλων μέτρων άμυνας έναντι κάθε είδους απειλών
  • Ενίσχυση της ευαισθητοποίησης των εργαζομένων για θέματα ασφάλειας
  • Οικοδόμηση εμπιστοσύνης σχετικά με τη συνεργασία με εξωτερικούς οργανισμούς


TISAX® Consulting
Διαδικασία πιστοποίησης TISAX:

  • Ορισμός πεδίου εφαρμογής και επιπέδου αξιολόγησης
  • Έναρξη, έλεγχος εγγράφων και αυτοαξιολόγηση
  • Επιτόπια αξιολόγηση ή απομακρυσμένη αξιολόγηση με ενδιάμεση έκθεση
  • Σχεδιασμός, έγκριση, εφαρμογή και μετέπειτα αξιολόγηση διορθωτικών μέτρων
  • Επιθεώρηση για έλεγχο αποτελεσματικότητας
  • Ανάρτηση της τελικής έκθεσης στην ηλεκτρονική πλατφόρμα TISAX® και έκδοση των ετικετών δοκιμής


Οφέλη για μια εταιρεία:

  • Εξασφάλιση εμπιστοσύνης όλων των ενδιαφερομένων
  • Ικανοποίηση αναγκών και απαιτήσεων προμηθευτών και πελατών
  • Εκπλήρωση των υψηλών απαιτήσεων ασφάλειας στην αυτοκινητοβιομηχανία
  • Διεθνής αναγνώριση του επιπέδου ασφάλειας από την αυτοκινητοβιομηχανία
  • Αποφυγή πολλαπλών πιστοποιήσεων και αξιολογήσεων
  • Εξοικονόμηση χρόνου και κόστους χάρη στην υψηλότερη απόδοση
  • Αυξημένη διαφάνεια σε ολόκληρη την αλυσίδα εφοδιασμού
  • Έδραση της ασφάλειας πληροφοριών στην επιχείρηση
  • Συνεχής διατήρηση του επιπέδου ασφάλειας των πληροφοριών μόλις επιτευχθεί
  • Ανταγωνιστικό πλεονέκτημα μέσω της διαφοροποίησης από τους ανταγωνιστές της αγοράς


Βασική προστασία BSI κατά το πρότυπο ISO27001 Consulting
Η μεθοδολογία της επιτομής IT-Grundschutz ορίζεται στο Πρότυπο BSI 200-2 και περιλαμβάνει μια πρακτική περιγραφή της δομής και της λειτουργίας ενός ISMS. Τα πιο σημαντικά θέματα στο πλαίσιο αυτό είναι:

  • Καθήκοντα του ISMS
  • Ανάπτυξη οργανωτικής δομής για IS
  • Επιλογή των απαιτήσεων ασφαλείας & υλοποίηση κόνσεπτ ασφάλειας
  • Συνεχής βελτίωση και συντήρηση του IS
  • Επιλογή της διαδικασίας ή του επιπέδου προστασίας με βάση την αρχική καταγραφή, έτσι ώστε η βασική ασφάλεια IT να μπορεί να προσαρμοστεί στις απαιτήσεις οργανισμών διαφορετικών μεγεθών, βιομηχανιών και λειτουργιών ανάλογα με τις ανάγκες προστασίας.
  • Στόχος: Οικονομικά αποδοτικό και στοχευμένο ISMS, μείωση φόρτου 
    • Basic
      • Έναρξη της διαδικασίας ασφαλείας
      • Έναρξη ενός ISMS
      • Η ταχύτερη δυνατή μείωση των κινδύνων
      • Επακόλουθη λεπτομερής ανάλυση των πραγματικών απαιτήσεων ασφαλείας
    • Standard
      • Ολοκληρωμένη και σε βάθος μεθοδολογία
      • Προτιμώμενη από το BSI διαδικασία
      • Συμβατό με το ISO 27001
    • Core
      • Προστασία σε βάθος ιδιαίτερα σημαντικών επιχειρηματικών διαδικασιών και στοιχείων
      • Δυνατότητα επίσης ως εισαγωγή στη διαδικασία ασφάλειας για την ασφάλεια ιδιαίτερα απειλούμενων επιχειρηματικών τομέων


KRITIS Consulting
Ο νόμος για την ασφάλεια πληροφορικής που ψηφίστηκε το 2021 ενισχύει πρωτίστως τον ρόλο του BSI ως κεντρικής αρχής για την ασφάλεια των πληροφοριών και την ψηφιοποίηση. Ως αρχή αρμόδια για την ασφάλεια στον κυβερνοχώρο στη Γερμανία, διαθέτει, μεταξύ άλλων, διευρυμένες εξουσίες και αρμοδιότητες για τον εντοπισμό κενών ασφαλείας ή την απαγόρευση της χρήσης κρίσιμων στοιχείων σε κρίσιμους για την ασφάλεια τομείς. Κεντρικό στοιχείο του αναθεωρημένου νόμου είναι η αλλαγή σχετικά με την ασφάλεια των υπεύθυνων εκμετάλλευσης υποδομών ζωτικής σημασίας και των συστημάτων τους. Ο κανονισμός KRITIS διευρύνθηκε σημαντικά με τον νόμο IT-Sicherheitsgesetz 2.0. Στο νέο πλαίσιο, έχουν τεθεί σε ισχύ οι ακόλουθες αλλαγές:

  • Η ανίχνευση επιθέσεων είναι υποχρεωτική για τους υπεύθυνους εκμετάλλευσης υποδομών ζωτικής σημασίας. Στην πράξη, μπορεί κανείς να ανταποκριθεί σε αυτή η απαίτηση μέσω ενός SIEM και ενός SOC.
  • Σε περίπτωση διακοπής, οι υπεύθυνοι εκμετάλλευσης συστημάτων που υπάγονται στα πλαίσια KRITIS και η UNBÖFI υποχρεούνται να παρέχουν στο BSI όλα τα απαραίτητα δεδομένα για την αντιμετώπιση της διακοπής, κατόπιν σχετικού αιτήματος.
  • Το Υπουργείο Εσωτερικών πρέπει να ενημερωθεί για τη χρήση κρίσιμων στοιχείων από τους υπαγόμενους στο πλαίσιο KRITIS υπεύθυνους εκμετάλλευσης σε ορισμένους τομείς. Κρίσιμα στοιχεία είναι προϊόντα πληροφορικής στα συστήματα KRITIS, από τη λειτουργικότητα των οποίων εξαρτάται σε μεγάλο βαθμό η λειτουργία του συστήματος και η αστοχία ενός τέτοιου στοιχείου θα είχε σημαντικό αντίκτυπο στη λειτουργία του συστήματος.
  • Αμέσως μετά την ταυτοποίηση τους ως υπεύθυνοι εκμετάλλευσης συστημάτων KRITIS, πρέπει να εγγραφούν στο BSI και να ορίσουν έναν υπεύθυνο επικοινωνίας.
  • Η διεύρυνση του πεδίου εφαρμογής των τομέων KRITIS έχει συμπεριλάβει τον τομέα των διαχείρισης αστικών απορριμμάτων και τα όρια ένταξης στους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας έχουν μειωθεί σημαντικά ενώ έχουν προστεθεί νέες εγκαταστάσεις που υπάγονται στο πλαίσιο KRITIS.


Η υψηλής ακρίβειας προσαρμογή της εφαρμογής ISMS KRITIS πραγματοποιείται μαζί με εσάς ή για εσάς μέσα από τα ακόλουθα στάδια:

  • Στάδιο 1: Workshop/coaching για τον καθορισμό των βασικών δομών
  • Στάδιο 2: Ανάπτυξη και ενοποίηση συστήματος διαχείρισης ασφάλειας πληροφοριών
  • Στάδιο 3: Υλοποίηση των καθορισμένων μέτρων ασφάλειας πληροφοριών στις τοποθεσίες
  • Στάδιο 4: Υποστήριξη της επιθεώρησης προς εξακρίβωση σύμφωνα με το §8α του κανονισμού KRITIS


EU-GDPR Consulting / ISO 27018 ως διεθνώς πιστοποιημένο πρότυπο cloud
Το πρότυπο ορίζει τις απαιτήσεις προστασίας δεδομένων για παρόχους υπηρεσιών υπολογιστικού νέφους (cloud), οι οποίες άπτονται της επεξεργασίας προσωπικών δεδομένων. Η πιστοποίηση ISO 27018 είναι ένα αποφασιστικό κριτήριο για πολλούς όταν επιλέγουν έναν πάροχο υπηρεσιών cloud. Τα πλεονεκτήματα αυτής της πιστοποίησης είναι επομένως:

  • Ανταγωνιστικό πλεονέκτημα μέσω της διαφοροποίησης από τους ανταγωνιστές της αγοράς
  • Ενίσχυση της εμπιστοσύνης των πιθανών πελατών στην εταιρεία σας
  • Υψηλό επίπεδο συμμόρφωσης με τον ΓΚΠΔ και την Οδηγία της ΕΕ για την προστασία δεδομένων

Systemaudits / First Audits / Internal Audits

Πόσο δρόμο έχει διανύσει η εταιρεία σας στη διαδικασία πιστοποίησης ασφάλειας πληροφοριών; Ανεξάρτητα από το εάν πρόκειται για κάποιο από τα πρότυπα ISO 27001, βασική προστασία BSI, TISAX® ή άλλες προδιαγραφές για την ασφάλεια πληροφοριών - προκειμένου να ελέγξουμε τη συμμόρφωση του συστήματος διαχείρισης ασφάλειας πληροφοριών ή τμημάτων του με τις απαιτήσεις του προτύπου, διενεργούμε ελέγχους συστήματος με βάση τις καθορισμένες από εσάς απαιτήσεις. Για τον σκοπό αυτό, εξετάζουμε και αξιολογούμε την τεκμηρίωση, αλλά πραγματοποιούμε επίσης κατάλληλες επιτόπιες αξιολογήσεις των χώρων.

  • Systemaudits
  • First Audits
  • Internal Audits
  • ISO 27001, βασική προστασία BSI, TISAX® κ.λπ.



Η υπηρεσία

Το μοντέλο διαδικασίας αποτελείται από τα ακόλουθα στάδια:

Στάδιο 1:

  • Έναρξη προετοιμασίας
  • Καθορισμός των απαραίτητων προσώπων επικοινωνίας
  • Συντονισμός ραντεβού συνεντεύξεων
  • Επανεξέταση της τεκμηρίωσης του πελάτη με στόχο την κατανόηση των κανονισμών


Στάδιο 2:

  • Διενέργεια της επιθεώρησης συστήματος επιτόπου στον πελάτη
  • Έλεγχος των διαδικασιών στην πράξη
  • Έλεγχος της τεκμηρίωσης προδιαγραφών και επαλήθευσης
  • Έλεγχος των φυσικών και χωρικών συνθηκών επί τόπου στον πελάτη, συμπεριλαμβανομένων των κτιρίων και των υποδομών
  • Προσδιορισμός των GAP (κενών στα μέτρα)


Στάδιο 3:

  • Δημιουργία λεπτομερούς έκθεσης ελέγχου με συστάσεις για δράση (στόχοι του μέτρου αναφοράς)
  • Συζήτηση και παρουσίαση των αποτελεσμάτων, κατόπιν σχετικής επιθυμίας, και ενώπιον της διοίκησης


Στάδιο 4:

  • Ανάπτυξη σχεδίου δράσης με βάση τα ευρήματα
  • Κατάρτιση προγραμματισμού έργου για την υλοποίηση των ανεκπλήρωτων μέτρων αναφοράς
  • Υποστήριξη στη διεκπεραίωση των μέτρων μέχρι την επιτυχή ολοκλήρωσή τους
  • Δοκιμή αποτελεσματικότητας

Διαχείριση εκτάκτων αναγκών

Η προσέγγισή μας περιλαμβάνει μεθόδους και μέτρα για την ενσωμάτωση ενός συστήματος διαχείρισης εκτάκτων αναγκών στον οργανισμό ή τον θεσμό του Media Group Upper Franconia. Οι παρεχόμενες υπηρεσίες βασίζονται στο ισχύον πρότυπο 200-4 του BSI. Ωστόσο, οι επιμέρους δραστηριότητες μπορούν επίσης να οριστούν και σύμφωνα με άλλα πρότυπα.

  • Ολιστική αντίληψη διαχείρισης εκτάκτων αναγκών
  • Καταγραφή απαιτήσεων, προκαταρκτική ανάλυση & σύγκριση προβλεπόμενων/πραγματικών συνθηκών
  • Χάραξη γραμμής με ορισμό όλων των κύριων διαδικασιών
  • Ανάπτυξη συγκεκριμένων σχεδίων έκτακτης ανάγκης
  • Αναθεώρηση, αξιολόγηση & βελτιστοποίηση σχεδίων αντιμετώπισης εκτάκτων αναγκών



Η υπηρεσία

Οι παρεχόμενες υπηρεσίες περιλαμβάνουν:

  • Στάδιο 1: Initialization & Pre-Analysis & BIA – Kickoff Conception Workshop
    • Καταγραφή απαιτήσεων των κινήτρων του BCM
    • Καταγραφή απαιτήσεων της περιόδου του BCM που πρέπει να εξασφαλιστεί
    • Καταγραφή απαιτήσεων για τον προσδιορισμό του βαθμού κρισιμότητας/MTPD/RTO/RPO
    • Καταγραφή απαιτήσεων των διαθέσιμων πόρων
    • Καταγραφή απαιτήσεων των συστημάτων
    • Καταγραφή απαιτήσεων των χρησιμοποιούμενων κρίσιμων συστημάτων
    • Καταγραφή απαιτήσεων της αρχιτεκτονικής επικοινωνίας
    • Δυνατότητες δόμησης και κατασκευής αντιδραστικής τεκμηρίωσης έκτακτης ανάγκης
    • Υιοθέτηση των αποτελεσμάτων από τη διαχείριση κινδύνων και τους ορισμούς κινδύνου
    • Καθορισμός των στόχων και του πεδίου εφαρμογής του περιεχομένου
    • Ανασκόπηση των τρεχουσών πηγών πληροφοριών και τεκμηρίωσης
    • Οριοθέτηση/επέκταση σε εγχειρίδια και οδηγίες λειτουργίας
    • Καταγραφή της οργανωτικής δομής εσωτερικά και εξωτερικά
    • Προκαταρκτική ανάλυση των ΒΙΑ
    • Ανάλυση Επιχειρηματικών Επιπτώσεων
    • Σύγκριση πραγματικών/προβλεπόμενων συνθηκών
    • GFP
  • Στάδιο 2: Δημιουργία σχεδίων BCM για κύριες διεργασίες - Η δημιουργία ενός προτύπου εγγράφου για τον καθορισμό μιας κατευθυντήριας γραμμής
    • Κίνητρο για την κατασκευή του BCMS 
    • Ορισμός της περιόδου που χρήζει ασφάλισης
    • Πεδίο εφαρμογής του BCM
    • Ορισμός της συνολικής ευθύνης
    • Ορισμός αρμοδιοτήτων στο BCM
    • Ορισμός του BCM και των επιπέδων κλιμάκωσης «δυσλειτουργία», «έκτακτη ανάγκη», «κρίση»
    • Ορισμός επικοινωνίας δικτύου
    • Ορισμός Κρυπτογραφίας
    • Κεντρικοί ρόλοι στο BCMS
    • Διαθέσιμοι πόροι
  • Στάδιο 3: Κατάρτιση σχεδίων διαχείρισης εκτάκτων αναγκών πληροφορικών συστημάτων - Κατευθυντήρια γραμμή για τη δημιουργία ειδικής οργανωτικής δομής (BAO)
    • Συγκρότηση επιτελικής ομάδας διαχείρισης εκτάκτων αναγκών/κρίσεων
    • Συγκρότηση της βασικής ομάδας
    • Συγκρότηση προσωπικού ενίσχυσης σε συνάρτηση με συγκεκριμένες καταστάσεις (προαιρετικό)
    • Συγκρότηση επιτελικής υποστήριξης
    • Συγκρότηση ομάδας αντιμετώπισης εκτάκτων περιστατικών
    • Ορισμός/δημιουργία του καναλιού αναφοράς
    • Προδιαγραφές μεθόδων και κανόνων εργασίας επιτελικής ομάδας
    • Απαιτήσεις επικοινωνίας κατά την απόκριση έκτακτης ανάγκης
    • Καθορισμός κριτηρίων αποκλιμάκωσης
    • Καθορισμός κριτηρίων κατάργησης της ΒΑΟ
    • Ανάλυση αντιμετώπισης
    • Δημιουργία ή επέκταση σχεδίων έκτακτης ανάγκης
    • Διατήρηση και έλεγχος διαχείρισης έκτακτης ανάγκης
  • Στάδιο 4: Δοκιμή & Εξάσκηση - Τα καθορισμένα και εφαρμοσμένα μέτρα δοκιμάζονται μετά από την ενσωμάτωσή τους με τους υπεύθυνους στο Mediengruppe Oberfranken.
    • Ανασκόπηση του BCMS
  • Στάδιο 5: Βελτιστοποίηση
    • Υποστήριξη στη διαδικασία βελτιστοποίησης

Διαχείριση Κινδύνων / Εκτίμηση Κινδύνων

Σας δίνουμε τη δυνατότητα μιας ολοκληρωμένης διαχείρισης ή/και αξιολόγησης κινδύνου σύμφωνα με τα πρότυπα BSI 200-3 και το ISO 27005.

  • BSI Standard 200-3
  • ISO 27005
  • Ανάλυση κινδύνου, αξιολόγηση, αντιμετώπιση και παρακολούθηση



Η υπηρεσία

BSI Standard 200-3
Η διαδικασία ανάλυσης κινδύνου είναι ένας αναγνωρισμένος και αποδεδειγμένος τρόπος για την επίτευξη ενός προκαθορισμένου επιπέδου ασφάλειας πληροφοριών με εξοικονόμηση φόρτου εργασίας. Με βάση στοιχειώδεις κινδύνους, οι οποίοι χαρακτηρίζονται στην επιτομή IT-Grundschutz, μια εκτίμηση κινδύνου για περιοχές με κανονικές απαιτήσεις προστασίας περιλαμβάνεται ήδη στην ανάπτυξη των ενοτήτων της βασικής ασφάλειας των πληροφορικών συστημάτων. Το πλεονέκτημα αυτής της μεθόδου είναι ότι οι χρήστες του IT-Grundschutz δεν χρειάζεται να διενεργήσουν ξεχωριστή ανάλυση απειλών και τρωτών σημείων για τα περισσότερα πληροφορικά συστήματα, καθώς αυτό έχει ήδη γίνει από την BSI.
Ωστόσο, εάν το υπό εξέταση σύστημα πληροφοριών περιλαμβάνει αντικείμενα-στόχους που παρουσιάζουν υψηλές απαιτήσεις προστασίας, δεν μπορούν να μοντελοποιηθούν πλήρως με τις υπάρχουσες ενότητες του IT-Grundschutz ή λειτουργούν σε περιβάλλοντα στα οποία δεν είναι δυνατή η κάλυψη στο πλαίσιο της βασικής προστασίας, είναι απολύτως απαραίτητη η διενέργεια μιας ανάλυσης κινδύνων.

ISO 27005

  • Ορισμός των συνθηκών πλαισίου
    • Οριοθέτηση της εξεταζόμενης περιοχής
    • Εδραίωση μιας οργάνωσης για τη διαχείριση κινδύνων
    • Καθορισμός μεθόδων
    • Καθορισμός κριτηρίων για την αξιολόγηση, την αποδοχή και τις επιπτώσεις
  • Προσδιορισμός κινδύνων
    • Καταγραφή όλων των δεικτών της επιχείρησης. Αυτό περιλαμβάνει πληροφορίες, επιχειρηματικές διαδικασίες, προσωπικό, οργανισμούς και στοιχεία πληροφορικής
    • Προσδιορισμός όλων των σχετικών απειλών και των υφιστάμενων τρωτών σημείων
    • Προσδιορισμός υφιστάμενων και ήδη προγραμματισμένων μέτρων ασφαλείας
    • Προσδιορισμός πιθανών συνεπειών που θα μπορούσαν να προκύψουν σε περίπτωση εμφάνισης των σχετικών απειλών
  • Ανάλυση Κινδύνων
    • Αξιολόγηση της αναμενόμενης έκτασης της ζημιάς σε περίπτωση παραβίασης ενός από τους στόχους προστασίας της ασφάλειας πληροφοριών (εμπιστευτικότητα, ακεραιότητα ή διαθεσιμότητα)
    • Προσδιορισμός της πιθανότητας εμφάνισης μιας απειλής
    • Το επίπεδο κινδύνου μπορεί να προσδιοριστεί με τον συνδυασμό της έκτασης της ζημιάς και της πιθανότητας εμφάνισης
  • Εκτίμηση των κινδύνων
    • Η ιεράρχηση των κινδύνων με βάση το επίπεδο κινδύνου καθώς και τα κριτήρια αξιολόγησης και αποδοχής αποτελούν τη βάση λήψης αποφάσεων για την επακόλουθη αντιμετώπιση του κινδύνου
  • Αντιμετώπιση των κινδύνων
    • Καταρτίζοντας ένα σχέδιο αντιμετώπισης κινδύνων με βάση την αποτυπωμένη εικόνα των κινδύνων, μπορεί να αποφασιστούν οι τρόποι αντιμετώπισης των απειλών που εντοπίζονται. Στη συνέχεια, λαμβάνονται αποφάσεις σχετικά με τον τρόπο αντιμετώπισης των κινδύνων συνυπολογίζοντας τις οικονομικές συνέπειες των κινδύνων σε σχέση με το κόστος υλοποίησης μιας εύλογης αντιμετώπισης. Συνήθως, οι επιλογές αντιμετώπισης των κινδύνων εμπίπτουν σε μία από τις ακόλουθες τέσσερις κατηγορίες
    • Απόφαση, για το εάν ο κίνδυνος μπορεί να
      • περιοριστεί με τη βοήθεια ενδεδειγμένων μέτρων ασφαλείας
      • παραμείνει χωρίς αντιμετώπιση εφόσον πληρούνται τα κριτήρια αποδοχής των υπολειπόμενων κινδύνων
      • αποφευχθεί μέσω της παράλειψης ορισμένων διαδικασιών ή δραστηριοτήτων
      • διαμοιραστεί μέσω κατάλληλης μεταβίβασης σε τρίτους (π.χ. μέσω ασφάλισης).
  • Αποδοχή των κινδύνων
    • Με βάση το σχέδιο αντιμετώπισης κινδύνων, η διοίκηση ενός οργανισμού αποφασίζει για τις συνιστώμενες δράσεις που περιέχονται σε αυτό με σκοπό την εφαρμογή των μέτρων, συνυπολογίζοντας τη χρήση των πόρων. Κίνδυνοι έναντι των οποίων δεν λαμβάνονται μέτρα αντιμετώπισης, πρέπει να γίνονται αποδεκτοί.
  • Επικοινωνία των κινδύνων
    • Προκειμένου να διασφαλίζεται ότι τα αποτελέσματα και οι μέθοδοι που χρησιμοποιούνται είναι ενημερωμένα, η διαχείριση κινδύνων και οι υπεύθυνοι λήψης αποφάσεων πρέπει να κοινοποιούν συνεχώς πληροφορίες σχετικά με τους κινδύνους. Εφόσον αυτό είναι απαραίτητο, συνιστάται η συμμετοχή άλλων σχετικών εργαζόμενων στη διαδικασία και η συνεχής ανταλλαγή απόψεων μαζί τους.
  • Παρακολούθηση και αναθεώρηση των κινδύνων
    • Επιβάλλεται η διαρκής παρακολούθηση των μεταβολών στους παράγοντες που επηρεάζουν τη διαχείριση κινδύνων. Δεδομένου ότι το επιχειρηματικό και τεχνολογικό περιβάλλον υπόκειται πάντα σε μια διαδικασία αλλαγών, αυτές οι μεταβολές επηρεάζουν τόσο τις απειλές όσο και τα τρωτά σημεία ενός οργανισμού. Μια προσέγγιση διαχείρισης κινδύνου θα πρέπει επίσης να επανεξετάζεται περιοδικά ως προς την καταλληλότητά της.

Επικοινωνία κρίσης

Η προσφορά ενός ολιστικού κόνσεπτ για την επικοινωνία κρίσεων, από την αρχική σύλληψη μέχρι τον καθορισμό και την επικαιροποίηση των δομών διαχείρισης κρίσεων, είναι κάτι πρωτόγνωρο στον κλάδο της παροχής υπηρεσιών πληροφορικής.

  • Κόνσεπτ επικοινωνιακής αντιμετώπισης κρίσεων, συμπεριλαμβανομένης της αρχικής φάσης υιοθέτησης
  • Προετοιμασία της επικοινωνίας αντιμετώπισης κρίσεων
  • Ορισμός & προσαρμογή των επικοινωνιακών δομών
  • Κατάρτιση επικοινωνιακού σχεδίου διαχείρισης κρίσεων
  • Επικαιροποίηση των δομών διαχείρισης κρίσεων



Η υπηρεσία

  • Εναρκτήρια φάση
    • Καταγραφή απαιτήσεων των δομών της εταιρείας, του υφιστάμενου σχεδίου διαχείρισης εκτάκτων αναγκών & κρίσεων, της αρχιτεκτονικής της επικοινωνίας
    • Ανασκόπηση πηγών τεκμηρίωσης
  • (1) Προετοιμασία επικοινωνίας κρίσεων
    • Καθορισμός του βασικού και οργανωτικού πλαισίου επικοινωνίας κρίσεων
    • Ανάπτυξη/υλοποίηση/δοκιμή του επικοινωνιακού κύκλου κρίσης
    • Αξιολόγηση/δοκιμή/επικαιροποίηση των ροών επικοινωνίας και πληροφοριών
  • (2) Ορισμός/επικαιροποίηση δομών επικοινωνίας εντός της ομάδας διαχείρισης κρίσεων
    • Ορισμός/αξιολόγηση επικοινωνίας με γνώμονα την ομάδα-στόχο
    • Καθορισμός των δομών επικοινωνίας εντός/εκτός του οργανισμού
    • Προσδιορισμός εργασιών γραφείου τύπου
  • (3) Ανάπτυξη σχεδίου επικοινωνίας κρίσεων
    • Προπαρασκευαστικά μέτρα για το επικοινωνιακό πλάνο & κατάρτιση σχεδίου δράσης
  • (4) Καθορισμός και ενημέρωση των δομών διαχείρισης κρίσεων
    • Καθορισμός των αρμοδιοτήτων, των τομέων ευθύνης και των ρόλων της ομάδας διαχείρισης κρίσεων
    • Ορισμός των διαύλων επικοινωνίας
    • Έλεγχος του κέντρου επιχειρήσεων και του εξοπλισμού
    • Κατευθυντήριες γραμμές δημοσίων σχέσεων
    • Πρότυπο τεκμηρίωσης για την καταγραφή

Εξατομικευμένες προσεγγίσεις εκπαίδευσης και ευαισθητοποίησης

Οι εκστρατείες ευαισθητοποίησης (Awareness) και μια πλατφόρμα ηλεκτρονικής μάθησης δεν επαρκούν πάντα για να καλύψουν τις ανάγκες των χρηστών/εργαζομένων απευθυνόμενες σε αυτούς. Προσφέρουμε εξατομικευμένα εκπαιδευτικά προγράμματα, προσαρμοσμένα στις απαιτήσεις σας και τα οποία αναπτύσσουμε σύμφωνα με τις απαιτήσεις και ενσωματώνουμε στο εκπαιδευτικό σας σύστημα, διαθέσιμα υπό τη μορφή εκπαιδευτικών βίντεο ή μαθημάτων κατάρτισης επιτόπιας παρουσίας.

  • Προγράμματα εκπαίδευσης και ευαισθητοποίησης
  • Προσαρμογή στις απαιτήσεις του πελάτη
  • Ενσωμάτωση σε υπάρχοντα εκπαιδευτικά συστήματα
  • Εκπαιδευτικά βίντεο
  • Επιτόπια εκπαίδευση
Οι πελάτες
Τομείς της βιομηχανίας

    Let's have a talk!


    Αποκτήστε δωρεάν και μη δεσμευτική
    συμβουλές.


    Κανονίστε μια συνάντηση

    Sven Rössig
    Head of Information Security
    sven.roessig@dts.de+49 5221 1013-402
    Contact
    Support
    Newsletter
    Cloud Portal

    Πώς να επικοινωνήσετε μαζί μας:

    Γραφείο υποστήριξης

    Τηλεφωνική γραμμή

    Για να ανοίξετε ένα δελτίο υποστήριξης, απλά καλέστε την τηλεφωνική μας γραμμή 24/7:

     

    +49 5221 101 303-2

    email

    Για να ανοίξετε ένα δελτίο υποστήριξης, απλώς στείλτε μας ένα email με το τεχνικό σας αίτημα στη διεύθυνση:
     

    support@dts.de

    Webfrontend

    Εισαγάγετε νέα δελτία υποστήριξης στο Webfrontend, δείτε και ταξινομήστε όλα τα ανοιχτά δελτία υποστήριξης κ.λπ:

    support.dts.de

    Απομακρυσμένη υποστήριξη

    Ενεργοποιεί απομακρυσμένες συνδέσεις με τις τερματικές συσκευές σας:
     

    support-remote.dts.de

    Εγγραφείτε τώρα!

    Τρέχουσες πληροφορίες για το DTS, τα προϊόντα μας, εκδηλώσεις και άλλα νέα για ολόκληρο τον επιχειρηματικό όμιλο.

    DTS γενικά

    Σύνδεση

    DTS Systeme Münster

    Σύνδεση

    DTS Cloud Portal

    Το DTS Cloud Portal είναι το εργαλείο μας για να προσθέτετε και να διαχειρίζεστε εύκολα και ευέλικτα τα προϊόντα και τις υπηρεσίες DTS Cloud. Η διαισθητική πλατφόρμα σάς επιτρέπει να διαμορφώνετε τα επιλεγμένα προϊόντα ξεχωριστά και να τα προσαρμόζετε έτσι ακριβώς στις απαιτήσεις σας.