Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 201-2150
[email protected] www.gwdg.de
Die Sicherheitsleitlinie der GWDG Die Sicherheitsleitlinie der GWDG Motivation, Konzeption und ErfahrungenMotivation, Konzeption und Erfahrungen
Bernhard Neumair
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 2
Gesellschaftsstruktur der GWDGGesellschaftsstruktur der GWDG
GWDG: Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Gegründet 1970 durch Max-Planck-Gesellschaft und Land Niedersachsen
Gemeinsames Rechenzentrum für Universität und Max-Planck-Institute in Göttingen
Demnächst Übertragung der Gesellschaftsanteile des Landes auf die Universität Göttingen
Damit eigene Sicherheitsleitlinie nötig
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 3
Kernaufgaben der GWDGKernaufgaben der GWDG
Planung und Betrieb des GÖNET (Hochgeschwindigkeitsnetz für die Göttinger Wissenschaftseinrichtungen)
Hochleistungs-, Parallelrechner
Internet-Dienste (eMail, WWW, …)
IT-Sicherheit (PKI, Firewall, …)
File-Services, Backup, (LZ-)Archivierung
Forschungsdatenbanken, Spezialserver
eLearning-Systeme
Verzeichnisdienste
Spezielle Ausgabegeräte
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 4
Einordnung im SicherheitsprozessEinordnung im Sicherheitsprozess
1. Initiierung des IT-Sicherheitsprozesses
• Erstellung einer IT-Sicherheitsleitlinie (IT-Dienstleister!!)
- Basis IT Grundschutzhandbuch des BSI
- Zielsetzungen und Strukturen
• Einrichtung eines IT-Sicherheitsmanagement (IT-Dienstleister!!)
- Zunächst eine organisatorische Aufgabe
2. Erstellung eines IT-Sicherheitskonzepts
• IT-Strukturanalyse
• Schutzbedarfsfeststellung
• IT-Grundschutzanalyse, ggf. ergänzende Sicherheitsanalyse
• Realisierungsplanung
3. Umsetzung
4. Überprüfung
5. Aufrechterhaltung im laufenden Betrieb
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 5
Sicherheit als umfassende AufgabeSicherheit als umfassende Aufgabe
IT-Sicherheit durch nur punktuelle/technische Maßnahmen nicht zu gewährleisten
• Firewall allein ist noch kein Sicherheitskonzept
• Virenscanner ist nur ein Betrag zur Sicherheit
• Datensicherung, …
Wesentliche Punkte sind auch
• Allgemeines Sicherheitsbewusstsein (auch auf Leitungsebene)
• Gesamtkonzept
• Ständige Weiterbildung
• Organisationsstrukturen
• Regelung von Verantwortlichkeiten
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 6
Struktur der Sicherheitsleitlinie der GWDGStruktur der Sicherheitsleitlinie der GWDG
Sicherheitsziele und -strategie
• Stellenwert der IT-Sicherheit
• Sicherheitsbewusstsein
• Sicherheitsziele
• Sicherheitsstrategie
Umsetzung
• Organisation
• Konzeption
• Sicherheitsdokumentation
• Schulung und Einweisung
• Im Auftrag betriebene IT-Systeme
Verantwortlichkeiten
• Gesamtverantwortung
• Delegation von Verantwortung
• Geschäftsführung
• Gruppenleiter
• Systemverantwortliche
• Externe Dienstleister
• Sicherheitsmanagement
• Nutzer
Durchsetzung
Übergangsregelungen
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 7
SicherheitszieleSicherheitsziele
Bedeutung, Stellenwert der IT-Sicherheit
Sicherheitsbewusstsein, Appell an MitarbeiterInnen
Allgemeine Sicherheitsziele
• Vertraulichkeit, Integrität, Verbindlichkeit
• Verfügbarkeit
• Rechtskonformität
• Orientierung am Risiko
• Regelung von Verantwortlichkeiten
Sicherheitstrategie: Grundkonzepte zur Erreichung der Sicherheitsziele
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 8
SicherheitstrategieSicherheitstrategie
Schulung der Mitarbeiter und Nutzer
Betrieb von Server-Systemen in verschlossenen und zugangsüberwachten Räumen
personenbezogene Authentifizierung für Systemzugriffe (außer für ausdrücklich anonyme Dienste)
Beschränkung von Zugriffsrechten auf zur Aufgabenerfüllung notwendige Rechte
sichere Konfiguration der IT-Systeme durch Beschränkung installierter Software und aktivierter Dienste auf die für die Funktion der Systeme notwendigen Komponenten
sichere Konfiguration der IT-Systeme durch zeitnahe Implementation sicherheitsrelevanter Softwarekorrekturen
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 9
Sicherheitsstrategie (2)Sicherheitsstrategie (2)
Strukturierung des Netzes nach benötigen Sicherheitsniveaus, Unterbindung nicht notwendiger Zugriffsmöglichkeiten auf IT-Systeme,
Verzicht auf Systeme, die eine Übertragung unverschlüsselter Passwörter oder passwortähnlicher Informationen verlangen,
Einführung sicherer Authentifizierungsverfahren
Einsatz verschlüsselter Übertragungsverfahren soweit technisch realisierbar und soweit eine Vertraulichkeit der Inhalte gegeben
verschlüsselte Speicherung sensibler Daten
Datenhaltung auf dedizierten Daten-Servern, tägliche Sicherung
räumliche Trennung von Daten-Servern und Backup-Systemen
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 10
Umsetzung: OrganisationUmsetzung: Organisation
Einrichtung eines Sicherheitsmanagements• IT-Sicherheitsbeauftragter• Stellvertreter• IT-Sicherheitsmanagement-Team
Festlegung der Rollenverteilung• Geschäftsführung• Gruppenleiter• Systembetreuer• ggf. externe Dienstleister
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 11
Umsetzung: SicherheitskonzeptUmsetzung: Sicherheitskonzept
IT-Sicherheitsleitlinie: Ziele, Strategien, Strukturen
Allgemeine Sicherheitsstandards
• Basis: BSI Grundschutzhandbuch
• ggf. mit Ergänzungen oder Modifikationen
Systemspezifische Sicherheitsrichtlinien
• Richtlinien für spezifische System (Rechner, Anwendung, Verfahren)
• auf Basis der allgemeinen Sicherheitsstandards
• Berücksichtigung von Einsatzzweck, Risikoanalyse und resultierender Sicherheitsklassifikation
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 12
Umsetzung: Dokumentation und SchulungUmsetzung: Dokumentation und Schulung
Sicherheitsdokumentation
• Systemspezifische Richtlinien
• Dokumentation der Umsetzung der Richtlinien
• regelmäßig Prüfungen der Richtlinien und deren Umsetzung
Schulung und Einweisung
• Einweisung neuer Mitarbeiter
• Regelmäßige Einweisung / Schulung
• Intern oder extern
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 13
VerantwortlichkeitenVerantwortlichkeiten
Gesamtverantwortung: immer bei Geschäftsführung
Delegation
• Delegation von Verantwortung für Sicherheit parallel mit der Verantwortung für die originäre Aufgabe
• Verantwortung für IT-System incl. Sicherheit zunächst beim Gruppenleiter
Geschäftsführung verantwortlich für
• Einrichtung und Unterstützung des Sicherheitsmanagements
• Entscheidung bei Konflikten zwischen Nutzungs- und Sicherheitskonzepten für IT-Systeme
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 14
Verantwortlichkeiten: GruppenleiterVerantwortlichkeiten: Gruppenleiter
Benennung und Schulung von Systemverantwortlichen,
Überprüfung der Einhaltung der Sicherheitsrichtlinien,
Festlegung des Einsatzzwecks der IT-Systeme
Information des Sicherheitsmanagements über neue IT-Systeme
Erfassung und Sicherheitsklassifizierung der IT-Systeme
Unterstützung der Systemverantwortlichen bei Risikoanalyse, Schutzbedarfsfeststellung und Erstellung von systemspezifischen Sicherheitsrichtlinien
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 15
Verantwortlichkeiten: SystemverantwortlicheVerantwortlichkeiten: Systemverantwortliche
Analyse von Sicherheitsrisiko und Schutzbedarfs, Klassifizierung der IT-Systeme anhand Einsatzzweck, Sicherheitsleitlinie und allgemeiner Standards
Erstellung systemspezifischer Sicherheitsrichtlinien, Vorlage an Gruppenleiter und Sicherheitsmanagement
Einhaltung allgemeiner Sicherheitsstandards und systemspezifischer Sicherheitsrichtlinien,
Einrichtung von Zugriffsrechten auf IT-Systeme
Systemverantwortliche unterstützt durch Gruppenleiter und Sicherheitsmanagement
Vertretungsregelung
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 16
Verantwortlichkeiten: SicherheitsmanagementVerantwortlichkeiten: Sicherheitsmanagement
Erstellung, Überprüfung, Entwicklung, Fortschreibung und Veröffentlichung der IT-Sicherheitsleitlinie und der allgemeinen Sicherheitsstandards
Überprüfung der Klassifizierung von IT-Systemen nach Sicherheitsrisiko und Schutzbedarf
Stellungnahme zu systemspezifischen Sicherheitsrichtlinien (Entscheidung im Konfliktfall bei Geschäftsführung)
Veranlassung/Durchführung von Einweisungen und Schulungen
Berichte zur IT-Sicherheit an Geschäftsführung
Veranlassung von Überprüfungen durch die Systemverantwortlichen oder durch Dritte
Eskalation nach dem Sicherheitskonzept nicht vorgesehener Risikoübernahmen an die Geschäftsführung
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 17
Verantwortlichkeiten: Externe DienstleisterVerantwortlichkeiten: Externe Dienstleister
Hinweis auf Sicherheitskonzept (Standards, Richtlinien)
Klare Anweisungen / Formulierungen, damit Dienstleister
diese einhalten können
Prüfung der Einhaltung durch Systemverantwortliche
und / oder schriftliche Bestätigung durch den
Dienstleister
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 18
Verantwortlichkeiten: NutzerVerantwortlichkeiten: Nutzer
Für ihre eigenen Handlungen verantwortlich Insbesondere Einhaltung der Nutzungsordnungen Schulung Weitermeldung von Verdacht auf Gefährdung der IT-
Sicherheit
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 19
Zusammenhänge im ÜberblickZusammenhänge im Überblick
Richtlinie
SMGF
GL SV
Kon
form
ität
Konform
ität
bestimmt
Leitlinieallgemeine Ziele,
Strategien
Standardsallgemeine Prinzipien
Einsatzzweck
spezielle Ziele
Risikoanalyse
Abwägung Risiken /Nutzen
Einrichtung
(Weiter-) Entwicklung
Festlegung
Unterstützung
Durchführung
Unterstützung
erstellt
Stellungnahme
benennt
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 20
ErfahrungenErfahrungen Verantwortung und Mitbestimmungspflicht
• Abstimmung mit Betriebsrat zeitaufwändig
Ahndung bei Zuwiderhandlung
• Allein der Verweis auf gesetzlich/dienstrechtlich festgelegte Sanktionen erhöht Sicherheitsbewusstsein
• Unterschrift durch alle Mitarbeiter
Weisungsbefugnis
• Weisungsbefugnis längs Aufbauorganisation
• Ausregelung Zielkonflikt Effizienz/Kosten vs. Sicherheit durch GF bzw. GL
• Berichtslinie Sicherheitsbeauftragter/-management - GF
Informationsfluss, Sicherheit und „Verpflichtung zur Selbstanzeige“