Einstieg in ein kommunales Informationssicherheits
Transcription
Einstieg in ein kommunales Informationssicherheits
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales InformationssicherheitsManagementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter Landkreis Oberhavel Landkreis Oberhavel Im Norden des Landes Brandenburg Ausdehnung von der nördlichen Landesgrenze Berlins bis nach Mecklenburg-Vorpommern 1.798 km² Fläche, 203.284 Einwohner (Stand: 31.12.2014) Kreisverwaltung mit ≈ 1.100 Beschäftigte ≈ 150 Elektronische Fachverfahren ≈ 30 Nachgelagerte Einrichtungen 2 Einstieg in ein kommunales ISMS Überblick zum Vortrag • Ausgangssituation • Zielsetzung und Erfolgsfaktoren eines ISMS • Internationale und nationale Standards • Hilfestellung für Kommunen 3 Informationssicherheit am praktischen Beispiel Ausgangssituation zum Informationssicherheits-Managementsystem Alles sicher! Management der Informationssicherheit Bereich in dem die Sicherheitsrisiken beherrschbar sind oder toleriert werden. Sicherheitsniveau ? Dringender Handlungsbedarf und ggf. Risikoübernahme durch die Verwaltungsleitung! Total unsicher! 4 Am Anfang IT-Sicherheitsbeauftragter Zeitlicher Ablauf Sicherheitsstrategien und –ziele für ein ISMS Zielsetzung für ein Informationssicherheits-Managementsystems • Was soll ein ISMS bringen? – Die Auswirkungen sicherheitsrelevanter Vorfälle, verursacht beim Einsatz von Informationstechnik oder hervorgerufen durch Schwachstellen, sollen verhindert oder vermieden werden. • Wie kann dieses Ziel erreicht werden? – Ein Sicherheitsniveau wird anhand geeigneter Kriterien vorgegeben, überprüft und regelmäßig aktualisiert. – Auf Vorfälle ist angemessen zu reagieren. 5 • Warum sind die Ziele und Kriterien wichtig? Qualitätssicherung des Verwaltungshandelns Erfolgsfaktoren für ein Informationssicherheits-Managementsystem • Gesetze und Vorschriften berücksichtigen – Leitlinie des IT-PLR, Datenschutz, TKG, KRITIS, … • Organisation der Geschäftsprozesse – Wichtige Geschäftsprozesse, Notfallplanung, … • Öffentliches Interesse berücksichtigen – Vertrauen der Bevölkerung in die Verwaltung, … • Finanzielle Ausgaben einplanen – Wirtschaftlichkeitsbetrachtung, Investitionsschutz, Kosten durch Vorfälle, … 6 • Weitere Faktoren? (z. B. Gefährdungen) Standards zur Informationssicherheit Nationale und internationale Standards • IT-Grundschutz-Standards – BSI-Standard 100-1 : Managementsysteme für Informationssicherheit (ISMS) – Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI) • ISO/IEC 27000-Reihe – ISO/IEC 27001:2013 : Anforderungen an ein ISMS – Herausgeber: Internationale Organisation für Normung • Weitere Werkzeuge und Verbände 7 – z. B. ISIS12; ISACA, COBIT; ITSM, ITIL; … Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ – Herausgeber: • Erarbeitet von IT-Sicherheitsbeauftragten und Praktikern des IT-Sibe-Forums • Abgestimmt in der UAG Handreichung der AG Cybersicherheit und AG InfoSic 8 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Inhalt der Handreichung zur ISLL – Erläutert den Aufbau und den Inhalt der Leitlinie des IT-Planungsrates, – Befasst sich hauptsächlich mit der Planung und dem Aufbau eines kommunalen ISMS und – Geht speziell auf Entwicklung und Gestaltung einer Informationssicherheitsleitlinie ein. • Welche Unterschiede bestehen zwischen IT-Grundschutz, ISO/IEC 27001 und ISIS12? • Welche Rolle spielen externe Dienstleister? 9 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Fazit der Handreichung – Jede Kommune sollte eine Informationssicherheitsleitlinie erstellen, diese regelmäßig prüfen und aktualisieren. – Jede Kommune kann mit ISO 27001 beginnen und sich dabei am IT-Grundschutz orientieren, ohne gleich den ganzen IT-Verbund zu zertifizieren. – IT-Grundschutz ist ein etablierter Standard bei den kommunalen Dienstleistern. 10 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Fazit der Handreichung – Mit der Leitlinie für die Informationssicherheit fordert der IT-Planungsrat ebenen-übergreifende Informationssicherheit für Bund, Länder und Kommunalverwaltungen. – Eine interkommunale Zusammenarbeit ist nicht nur aus Wirtschaftlichkeitsaspekten, sondern auch zur erfolgreichen Umsetzung einheitlicher Sicherheitsstandards nötig. • Web-Link zum Deutschen Städtetag http://www.staedtetag.de/publikationen/materialien/071884/index.html 11 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Wirtschaftlichkeit von Sicherheitsmaßnahmen Optimum Finanzielle Mittel 8 Mögliche Schäden 0 12 20 40 60 Sicherheitsniveau in Prozent Verfügbare Mittel 80 100 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie • Plan-Do-Check-Act (PDCA) Größtmögliche Sicherheit wird nicht durch ein einmaliges Projekt erreicht, sondern bedarf eines Regelkreises zur kontinuierlichen Verbesserung. • Pareto-Prinzip 80% der Ergebnisse lassen sich in 20% der Gesamtzeit erreichen. Für die verbleibenden 20% der Ergebnisse sind 80% der Zeit zu berücksichtigen, da sie die meiste Arbeit verursachen. 13 Informationen zum Autor und Referent Stefan Wojciechowski IT-Sicherheitsbeauftragter Landkreis Oberhavel E-Mail: stefan.wojciechowski@oberhavel.de Tel.: 03301 – 60 13 608 14