Einstieg in ein kommunales Informationssicherheits

Transcription

Einstieg in ein kommunales Informationssicherheits
32.Forum Kommunikation und Netze
25. und 26. März 2015 in Rotenburg a. d. Fulda
Einstieg in
ein kommunales
InformationssicherheitsManagementsystem (ISMS)
Stefan Wojciechowski
IT-Sicherheitsbeauftragter
Landkreis Oberhavel
Landkreis Oberhavel
Im Norden des Landes Brandenburg
Ausdehnung von der nördlichen Landesgrenze
Berlins bis nach Mecklenburg-Vorpommern
1.798 km² Fläche, 203.284 Einwohner (Stand: 31.12.2014)
Kreisverwaltung mit
≈ 1.100 Beschäftigte
≈ 150 Elektronische Fachverfahren
≈ 30 Nachgelagerte Einrichtungen
2
Einstieg in ein kommunales ISMS
Überblick zum Vortrag
• Ausgangssituation
• Zielsetzung und Erfolgsfaktoren eines ISMS
• Internationale und nationale Standards
• Hilfestellung für Kommunen
3
Informationssicherheit am praktischen Beispiel
Ausgangssituation zum Informationssicherheits-Managementsystem
Alles sicher!
Management der Informationssicherheit
Bereich in dem die Sicherheitsrisiken
beherrschbar sind oder toleriert werden.
Sicherheitsniveau
?
Dringender Handlungsbedarf und ggf. Risikoübernahme durch die Verwaltungsleitung!
Total unsicher!
4
Am
Anfang
IT-Sicherheitsbeauftragter
Zeitlicher
Ablauf
Sicherheitsstrategien und –ziele für ein ISMS
Zielsetzung für ein Informationssicherheits-Managementsystems
• Was soll ein ISMS bringen?
– Die Auswirkungen sicherheitsrelevanter Vorfälle,
verursacht beim Einsatz von Informationstechnik
oder hervorgerufen durch Schwachstellen,
sollen verhindert oder vermieden werden.
• Wie kann dieses Ziel erreicht werden?
– Ein Sicherheitsniveau wird anhand
geeigneter Kriterien vorgegeben, überprüft
und regelmäßig aktualisiert.
– Auf Vorfälle ist angemessen zu reagieren.
5
• Warum sind die Ziele und Kriterien wichtig?
Qualitätssicherung des Verwaltungshandelns
Erfolgsfaktoren für ein Informationssicherheits-Managementsystem
• Gesetze und Vorschriften berücksichtigen
– Leitlinie des IT-PLR, Datenschutz, TKG, KRITIS, …
• Organisation der Geschäftsprozesse
– Wichtige Geschäftsprozesse, Notfallplanung, …
• Öffentliches Interesse berücksichtigen
– Vertrauen der Bevölkerung in die Verwaltung, …
• Finanzielle Ausgaben einplanen
– Wirtschaftlichkeitsbetrachtung,
Investitionsschutz, Kosten durch Vorfälle, …
6
• Weitere Faktoren? (z. B. Gefährdungen)
Standards zur Informationssicherheit
Nationale und internationale Standards
• IT-Grundschutz-Standards
– BSI-Standard 100-1 : Managementsysteme
für Informationssicherheit (ISMS)
– Herausgeber: Bundesamt für Sicherheit
in der Informationstechnik (BSI)
• ISO/IEC 27000-Reihe
– ISO/IEC 27001:2013 : Anforderungen an ein ISMS
– Herausgeber: Internationale Organisation
für Normung
• Weitere Werkzeuge und Verbände
7
– z. B. ISIS12; ISACA, COBIT; ITSM, ITIL; …
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• „Handreichung zur Ausgestaltung der
Informationssicherheitsleitlinie in
Kommunalverwaltungen“
– Herausgeber:
• Erarbeitet von IT-Sicherheitsbeauftragten
und Praktikern des IT-Sibe-Forums
• Abgestimmt in der UAG Handreichung der
AG Cybersicherheit und AG InfoSic
8
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Inhalt der Handreichung zur ISLL
– Erläutert den Aufbau und den Inhalt der
Leitlinie des IT-Planungsrates,
– Befasst sich hauptsächlich mit der Planung und
dem Aufbau eines kommunalen ISMS und
– Geht speziell auf Entwicklung und Gestaltung
einer Informationssicherheitsleitlinie ein.
• Welche Unterschiede bestehen zwischen
IT-Grundschutz, ISO/IEC 27001 und ISIS12?
• Welche Rolle spielen externe Dienstleister?
9
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Fazit der Handreichung
– Jede Kommune sollte eine
Informationssicherheitsleitlinie erstellen,
diese regelmäßig prüfen und aktualisieren.
– Jede Kommune kann mit ISO 27001 beginnen
und sich dabei am IT-Grundschutz orientieren,
ohne gleich den ganzen IT-Verbund zu
zertifizieren.
– IT-Grundschutz ist ein etablierter Standard
bei den kommunalen Dienstleistern.
10
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Fazit der Handreichung
– Mit der Leitlinie für die Informationssicherheit
fordert der IT-Planungsrat ebenen-übergreifende
Informationssicherheit für Bund, Länder und
Kommunalverwaltungen.
– Eine interkommunale Zusammenarbeit ist nicht
nur aus Wirtschaftlichkeitsaspekten, sondern
auch zur erfolgreichen Umsetzung einheitlicher
Sicherheitsstandards nötig.
• Web-Link zum Deutschen Städtetag
http://www.staedtetag.de/publikationen/materialien/071884/index.html
11
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
Wirtschaftlichkeit von Sicherheitsmaßnahmen
Optimum
Finanzielle Mittel
8
Mögliche
Schäden
0
12
20
40
60
Sicherheitsniveau in Prozent
Verfügbare
Mittel
80
100
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Plan-Do-Check-Act (PDCA)
Größtmögliche Sicherheit wird nicht
durch ein einmaliges Projekt erreicht,
sondern bedarf eines Regelkreises
zur kontinuierlichen Verbesserung.
• Pareto-Prinzip
80% der Ergebnisse lassen sich in 20% der Gesamtzeit
erreichen. Für die verbleibenden 20% der Ergebnisse
sind 80% der Zeit zu berücksichtigen, da sie die meiste
Arbeit verursachen.
13
Informationen zum Autor und Referent
Stefan Wojciechowski
IT-Sicherheitsbeauftragter
Landkreis Oberhavel
E-Mail: stefan.wojciechowski@oberhavel.de
Tel.: 03301 – 60 13 608
14