Einstieg in ein kommunales Informationssicherheits
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales InformationssicherheitsManagementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter Landkreis Oberhavel Landkreis Oberhavel Im Norden des Landes Brandenburg Ausdehnung von der nördlichen Landesgrenze Berlins bis nach Mecklenburg-Vorpommern 1.798 km² Fläche, 203.284 Einwohner (Stand: 31.12.2014) Kreisverwaltung mit ≈ 1.100 Beschäftigte ≈ 150 Elektronische Fachverfahren ≈ 30 Nachgelagerte Einrichtungen 2 Einstieg in ein kommunales ISMS Überblick zum Vortrag • Ausgangssituation • Zielsetzung und Erfolgsfaktoren eines ISMS • Internationale und nationale Standards • Hilfestellung für Kommunen 3 Informationssicherheit am praktischen Beispiel Ausgangssituation zum Informationssicherheits-Managementsystem Alles sicher! Management der Informationssicherheit Bereich in dem die Sicherheitsrisiken beherrschbar sind oder toleriert werden. Sicherheitsniveau ? Dringender Handlungsbedarf und ggf. Risikoübernahme durch die Verwaltungsleitung! Total unsicher! 4 Am Anfang IT-Sicherheitsbeauftragter Zeitlicher Ablauf Sicherheitsstrategien und –ziele für ein ISMS Zielsetzung für ein Informationssicherheits-Managementsystems • Was soll ein ISMS bringen? – Die Auswirkungen sicherheitsrelevanter Vorfälle, verursacht beim Einsatz von Informationstechnik oder hervorgerufen durch Schwachstellen, sollen verhindert oder vermieden werden. • Wie kann dieses Ziel erreicht werden? – Ein Sicherheitsniveau wird anhand geeigneter Kriterien vorgegeben, überprüft und regelmäßig aktualisiert. – Auf Vorfälle ist angemessen zu reagieren. 5 • Warum sind die Ziele und Kriterien wichtig? Qualitätssicherung des Verwaltungshandelns Erfolgsfaktoren für ein Informationssicherheits-Managementsystem • Gesetze und Vorschriften berücksichtigen – Leitlinie des IT-PLR, Datenschutz, TKG, KRITIS, … • Organisation der Geschäftsprozesse – Wichtige Geschäftsprozesse, Notfallplanung, … • Öffentliches Interesse berücksichtigen – Vertrauen der Bevölkerung in die Verwaltung, … • Finanzielle Ausgaben einplanen – Wirtschaftlichkeitsbetrachtung, Investitionsschutz, Kosten durch Vorfälle, … 6 • Weitere Faktoren? (z. B. Gefährdungen) Standards zur Informationssicherheit Nationale und internationale Standards • IT-Grundschutz-Standards – BSI-Standard 100-1 : Managementsysteme für Informationssicherheit (ISMS) – Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI) • ISO/IEC 27000-Reihe – ISO/IEC 27001:2013 : Anforderungen an ein ISMS – Herausgeber: Internationale Organisation für Normung • Weitere Werkzeuge und Verbände 7 – z. B. ISIS12; ISACA, COBIT; ITSM, ITIL; … Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ – Herausgeber: • Erarbeitet von IT-Sicherheitsbeauftragten und Praktikern des IT-Sibe-Forums • Abgestimmt in der UAG Handreichung der AG Cybersicherheit und AG InfoSic 8 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Inhalt der Handreichung zur ISLL – Erläutert den Aufbau und den Inhalt der Leitlinie des IT-Planungsrates, – Befasst sich hauptsächlich mit der Planung und dem Aufbau eines kommunalen ISMS und – Geht speziell auf Entwicklung und Gestaltung einer Informationssicherheitsleitlinie ein. • Welche Unterschiede bestehen zwischen IT-Grundschutz, ISO/IEC 27001 und ISIS12? • Welche Rolle spielen externe Dienstleister? 9 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Fazit der Handreichung – Jede Kommune sollte eine Informationssicherheitsleitlinie erstellen, diese regelmäßig prüfen und aktualisieren. – Jede Kommune kann mit ISO 27001 beginnen und sich dabei am IT-Grundschutz orientieren, ohne gleich den ganzen IT-Verbund zu zertifizieren. – IT-Grundschutz ist ein etablierter Standard bei den kommunalen Dienstleistern. 10 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Fazit der Handreichung – Mit der Leitlinie für die Informationssicherheit fordert der IT-Planungsrat ebenen-übergreifende Informationssicherheit für Bund, Länder und Kommunalverwaltungen. – Eine interkommunale Zusammenarbeit ist nicht nur aus Wirtschaftlichkeitsaspekten, sondern auch zur erfolgreichen Umsetzung einheitlicher Sicherheitsstandards nötig. • Web-Link zum Deutschen Städtetag http://www.staedtetag.de/publikationen/materialien/071884/index.html 11 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Wirtschaftlichkeit von Sicherheitsmaßnahmen Optimum Finanzielle Mittel 8 Mögliche Schäden 0 12 20 40 60 Sicherheitsniveau in Prozent Verfügbare Mittel 80 100 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Plan-Do-Check-Act (PDCA) Größtmögliche Sicherheit wird nicht durch ein einmaliges Projekt erreicht, sondern bedarf eines Regelkreises zur kontinuierlichen Verbesserung. • Pareto-Prinzip 80% der Ergebnisse lassen sich in 20% der Gesamtzeit erreichen. Für die verbleibenden 20% der Ergebnisse sind 80% der Zeit zu berücksichtigen, da sie die meiste Arbeit verursachen. 13 Informationen zum Autor und Referent Stefan Wojciechowski IT-Sicherheitsbeauftragter Landkreis Oberhavel E-Mail: [email protected] Tel.: 03301 – 60 13 608 14
© Copyright 2024