Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
16. Kommunales IuK-Forum Niedersachsen am 04.08.2016 in Gosslar Sylwia Henhappel Referentin Informationssicherheit, Cybersicherheit, E-Government Niedersächsisches Ministerium für Inneres und Sport
Der niedersächsische Weg –
das Beste aus zwei Welten
Agenda
Wozu Informationssicherheit?
Beschlüsse zur Informationssicherheit
IT-Grundschutz
ISO 27001
Unterschiede ISO 27001 vs. IT-Grundschutz
Der „Niedersächsische Weg“ in der Praxis
Modernisierung des IT-Grundschutzes
2
Wozu Informationssicherheit?
3
Informationssicherheitsleitlinie des Bundes
10. IT-Planungsrat Beschluss 2013/01
Punkt 2: Geltungsbereich und Umsetzung:
Die Leitlinie für die Informationssicherheit gilt nach Verabschiedung durch den IT-PLR für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Den Kommunen, den Verwaltungen des Deutschen Bundestages und der Landesparlamente, den Rechnungshöfen von Bund und Ländern sowie den Beauftragten für den Datenschutz in Bund und Ländern wird die Anwendung der Leitlinie für die Informationssicherheit empfohlen.
Punkt 3: Ziele der Informationssicherheit und Umsetzungsstrategien – Informationssicherheitsmanagement (ISMS)
Das Ziel der Leitlinie ist der Aufbau und die Etablierung eines ISMS nach einheitlichen verwaltungsübergreifenden Mindestanforderungen orientiert am IT-Grundschutz des BSI. Zur Einführung genügt im ersten Schritt ein ISMS auf Basis ISO 27001.
4
Informationssicherheitsmanagementsystem
Definition
Das ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die
Informationssicherheit dauerhaft zu definieren, zu steuern, zu
kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
5
Informationssicherheitsleitlinie des Bundes
10. IT-Planungsrat Beschluss 2013/01
Punkt 2: Geltungsbereich und Umsetzung:
Die Leitlinie für die Informationssicherheit gilt nach Verabschiedung durch den IT-PLR für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Den Kommunen, den Verwaltungen des Deutschen Bundestages und der Landesparlamente, den Rechnungshöfen von Bund und Ländern sowie den Beauftragten für den Datenschutz in Bund und Ländern wird die Anwendung der Leitlinie für die Informationssicherheit empfohlen.
Punkt 3: Ziele der Informationssicherheit und Umsetzungsstrategien – Informationssicherheitsmanagement (ISMS)
Das Ziel der Leitlinie ist der Aufbau und die Etablierung eines ISMS nach einheitlichen verwaltungsübergreifenden Mindestanforderungen orientiert am IT-Grundschutz des BSI. Zur Einführung genügt im ersten Schritt ein ISMS auf Basis ISO 27001.
6
Überblick BSI-Standards / IT-Grundschutz
Fakten:
IT-Grundschutz Kataloge gekoppelt mit 4
Standards
BSI-Standard 100-1: Managementsysteme für
Informationssicherheit (ISMS)
BSI-Standard 100-2: IT-Grundschutz-
Vorgehensweise
BSI-Standard 100-3: Risikoanalyse auf der Basis
von IT-Grundschutz
BSI-Standard 100-4: Notfallmanagement
7
[ZELLBEREI
CH] [WERT]
[ZELLBEREI
CH] [WERT]
[ZELLBEREI
CH] [WERT]
IT-Grundschutzkataloge
4068 Seiten
Überblick BSI-Standards / IT-Grundschutz
Anwendungsrahmen
Gesamte Infrastruktur
8
Überblick ISO 27001
Fakten:
ISO/IEC 2700x - Familie
ISO/IEC 27001 – Zertifizierungsstandard (ISMS)
ISO/IEC 27002 – Best-Practices
ISO/IEC 27003 – Implementierungsrichtlinien
ISO/IEC 27004 – Messwerte
ISO/IEC 27005 – Risikomanagement
9
[ZELLBEREI
CH] [WERT]
[ZELLBEREI
CH] [WERT]
[ZELLBEREI
CH] [WERT]
ISO-IEC 27001 und 27002
170 Seiten
Überblick ISO 27001
Anwendungsrahmen
Wichtige Prozesse
und Werte
Geeignete
Sicherheits-mechanismen
10
11
Unterschiede ISO 27001 vs. IT-Grundschutz
IT-Grundschutz
Nationaler Standard
Vorgegebene Methodik
Detaillierte Dokumentation
(mehr als 4000 Seiten)
Hierarchischer Ansatz
Keine Risikoanalyse bzw. nur bei
einem erhöhtem Schutzbedarf
Kostenlos
Kostenintensive Umsetzung
ISMS
12
Eierlegende Wollmilchsau ?
existiert nicht…
Die Auswahl sollte immer auf
den Bedürfnissen und Anforderungen basieren !
Informationssicherheitsleitlinie des Landes
Niedersachsen
Kabinettsbeschluss 2011/07
Punkt 1: Gegenstand und Geltungsbereich:
Die ISLL beschriebt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Landeverwaltung auf Grundlage des Standards ISO/IEC 27001
Ziel:
Etablierung eines ressortübergreifenden ISMS in der Landesverwaltung Niedersachsen auf der Grundlage des Standards ISO 27001
Risikoanalysen
Risikobehandlung
Angemessenes Verhältnis zwischen Aufwand und Nutzen
13
Nds. Informationssicherheitsmanagement (ISMS)
14
Landesregierung
Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne
Informationssicherheits-beauftragter
der Landesregierung
15
Idee eines Sicherheitskonzepts
Nutzung der Gefahren- und Maßnahmenkataloge
Kriterien für das Schadensausmaß
Verstoß gegen Gesetze, Datenschutz, Image,
Aufgabenerfüllung, finanzielle Auswirkungen
Kategorien für die Informationsklassifizierung des Schadensausmaßes
normal / hoch / sehr hoch
Das Beste aus zwei Welten – IT-Grundschutz
16
Das Beste aus zwei Welten – ISO
Aufgaben - Analyse
Erhebung der schutzbedürftigen Informationen
Ressourcen - Analyse
Erhebung der Ressourcen (Sachmittel + Personal) mit Gefahrenpotential
Gefahren-Analyse
Einwirkung von Bedrohungen auf Schwachstellen
Risiko-Analyse
Bewertung der Gefahren
Dokumentenhierarchie Modularer Aufbau: Dokumentenhierarchie
17
IT-Dienstleister
erstellt
Domänen-Risiko
Behördenleitung
Behörde / Fachverwaltung
erstellt
In „7“ Schritten zum Sicherheitskonzept
„ISRL – Konzeption“
Risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen
Mindestanforderungen an eine risikoorientierte Vorgehensweise
Dokumentenstruktur von Sicherheitskonzepten und von Risikobeschreibungen
Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen ressortübergreifend vergleichbar feststellen und fortlaufend verbessern
18
In „7“ Schritten zum Sicherheitskonzept – Schritt 1
19
In „7“ Schritten zum Sicherheitskonzept – Schritt 2
20
In „7“ Schritten zum Sicherheitskonzept – Schritt 3
21
In „7“ Schritten zum Sicherheitskonzept – Schritt 4
22
In „7“ Schritten zum Sicherheitskonzept – Schritt 5
23
In „7“ Schritten zum Sicherheitskonzept – Schritt 6
24
In „7“ Schritten zum Sicherheitskonzept – Schritt 7
25
Management Summary
Betrachtungsgegenstand
TOP-Risiken
TOP-Maßnahmen
Handlungsstrategie
Servicerisiko-Bewertung
26
Ergebnisdokumente:
Sicherheitskonzept als
„Entscheidungsvorschlag“
Management Summary
Betrachtungsgegenstand
TOP-Risiken
Sicherheitsfeatures
Servicerisiken
Maßnahmenvorschläge
Risikobeschreibung als
„Beipackzettel“
Behördenleitung Leistungsempfänger
Dokumentenhierarchie Modularer Aufbau: Risikoverantwortung
Rest- Risiko
(Domänenrisiko)
Sicherheitskonzept Domänenrisiko
Sicherheitskonzept + Verfahrensrisikobeschreibung
Sicherheitskonzept
+ Servicerisikobeschreibung
Service-Risiko Behördenleitung
Behördenleitung verantwortet
Sicherheitsdomäne
erstellt
Verfahrens-Risiko Behördenleitung
27
SRB
VRB
DRB
28
Das neue Vorhaben des BSI
Modernisierung des IT-Grundschutzes – Ziele
29
Optimierung und Flexibilisierung der Vorgehensweisen
Verschlankung und bessere Strukturierung der IT-Grundschutz-Kataloge
Profilbildung - Anpassung an Größe und Schutzbedarf der Institution
Modernisierter IT-Grundschutz
Profile
Bausteine
Vorgehensweisen
Modernisierung IT-GS - Neue Vorgehensweisen
30
Modernisierter IT-Grundschutz
Vorgehens-weisen
31
Modernisierter IT-Grundschutz
Bausteine
Modernisierung IT-GS - Bausteine
Neue Dokumentenstruktur der Bausteine und Umsetzungshinwiesen:
Bausteine: Umfang - ca. 10 Seiten,
Konkrete Gliederung (Beschreibung,
Einleitung, Zielsetzung, Abgrenzung,
Verantwortlichkeiten), Spezifische
Gefährdungslage, Anforderungen
Umsetzungshinweise: Umfang - beliebig,
Gliederung angelehnt an Bausteine,
Maßnahmen als Umsetzungshilfen,
Referenzen auf weiterführende
Informationen
Modernisierung IT-GS - Profile
32
Modernisierter IT-Grundschutz
Profile
Werkzeug für anwenderspezifische Empfehlungen
Möglichkeit der individuellen Anpassung des IT-Grundschutzes an die jeweiligen Bedürfnisse
Berücksichtigung der Möglichkeiten und Risiken der Institution
Profiltypische IT-Szenarien, z.B.
Kommunalverwaltung in Bundesland XY,
Krankenhaus, Wasserwerk als kritische
Infrastruktur usw.
Modernisierung IT-GS - Veröffentlichungsprozess
33
Sylwia Henhappel Referentin Informationssicherheit, Cybersicherheit, E-Government Niedersächsisches Ministerium für Inneres und Sport Tel. 0511 / 120 – 4807 [email protected]
Kontakte