Einstieg in ein kommunales Informationssicherheits

32.Forum Kommunikation und Netze
25. und 26. März 2015 in Rotenburg a. d. Fulda
Einstieg in
ein kommunales
InformationssicherheitsManagementsystem (ISMS)
Stefan Wojciechowski
IT-Sicherheitsbeauftragter
Landkreis Oberhavel
Landkreis Oberhavel
Im Norden des Landes Brandenburg
Ausdehnung von der nördlichen Landesgrenze
Berlins bis nach Mecklenburg-Vorpommern
1.798 km² Fläche, 203.284 Einwohner (Stand: 31.12.2014)
Kreisverwaltung mit
≈ 1.100 Beschäftigte
≈ 150 Elektronische Fachverfahren
≈ 30 Nachgelagerte Einrichtungen
2
Einstieg in ein kommunales ISMS
Überblick zum Vortrag
• Ausgangssituation
• Zielsetzung und Erfolgsfaktoren eines ISMS
• Internationale und nationale Standards
• Hilfestellung für Kommunen
3
Informationssicherheit am praktischen Beispiel
Ausgangssituation zum Informationssicherheits-Managementsystem
Alles sicher!
Management der Informationssicherheit
Bereich in dem die Sicherheitsrisiken
beherrschbar sind oder toleriert werden.
Sicherheitsniveau
?
Dringender Handlungsbedarf und ggf. Risikoübernahme durch die Verwaltungsleitung!
Total unsicher!
4
Am
Anfang
IT-Sicherheitsbeauftragter
Zeitlicher
Ablauf
Sicherheitsstrategien und –ziele für ein ISMS
Zielsetzung für ein Informationssicherheits-Managementsystems
• Was soll ein ISMS bringen?
– Die Auswirkungen sicherheitsrelevanter Vorfälle,
verursacht beim Einsatz von Informationstechnik
oder hervorgerufen durch Schwachstellen,
sollen verhindert oder vermieden werden.
• Wie kann dieses Ziel erreicht werden?
– Ein Sicherheitsniveau wird anhand
geeigneter Kriterien vorgegeben, überprüft
und regelmäßig aktualisiert.
– Auf Vorfälle ist angemessen zu reagieren.
5
• Warum sind die Ziele und Kriterien wichtig?
Qualitätssicherung des Verwaltungshandelns
Erfolgsfaktoren für ein Informationssicherheits-Managementsystem
• Gesetze und Vorschriften berücksichtigen
– Leitlinie des IT-PLR, Datenschutz, TKG, KRITIS, …
• Organisation der Geschäftsprozesse
– Wichtige Geschäftsprozesse, Notfallplanung, …
• Öffentliches Interesse berücksichtigen
– Vertrauen der Bevölkerung in die Verwaltung, …
• Finanzielle Ausgaben einplanen
– Wirtschaftlichkeitsbetrachtung,
Investitionsschutz, Kosten durch Vorfälle, …
6
• Weitere Faktoren? (z. B. Gefährdungen)
Standards zur Informationssicherheit
Nationale und internationale Standards
• IT-Grundschutz-Standards
– BSI-Standard 100-1 : Managementsysteme
für Informationssicherheit (ISMS)
– Herausgeber: Bundesamt für Sicherheit
in der Informationstechnik (BSI)
• ISO/IEC 27000-Reihe
– ISO/IEC 27001:2013 : Anforderungen an ein ISMS
– Herausgeber: Internationale Organisation
für Normung
• Weitere Werkzeuge und Verbände
7
– z. B. ISIS12; ISACA, COBIT; ITSM, ITIL; …
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• „Handreichung zur Ausgestaltung der
Informationssicherheitsleitlinie in
Kommunalverwaltungen“
– Herausgeber:
• Erarbeitet von IT-Sicherheitsbeauftragten
und Praktikern des IT-Sibe-Forums
• Abgestimmt in der UAG Handreichung der
AG Cybersicherheit und AG InfoSic
8
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Inhalt der Handreichung zur ISLL
– Erläutert den Aufbau und den Inhalt der
Leitlinie des IT-Planungsrates,
– Befasst sich hauptsächlich mit der Planung und
dem Aufbau eines kommunalen ISMS und
– Geht speziell auf Entwicklung und Gestaltung
einer Informationssicherheitsleitlinie ein.
• Welche Unterschiede bestehen zwischen
IT-Grundschutz, ISO/IEC 27001 und ISIS12?
• Welche Rolle spielen externe Dienstleister?
9
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Fazit der Handreichung
– Jede Kommune sollte eine
Informationssicherheitsleitlinie erstellen,
diese regelmäßig prüfen und aktualisieren.
– Jede Kommune kann mit ISO 27001 beginnen
und sich dabei am IT-Grundschutz orientieren,
ohne gleich den ganzen IT-Verbund zu
zertifizieren.
– IT-Grundschutz ist ein etablierter Standard
bei den kommunalen Dienstleistern.
10
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Fazit der Handreichung
– Mit der Leitlinie für die Informationssicherheit
fordert der IT-Planungsrat ebenen-übergreifende
Informationssicherheit für Bund, Länder und
Kommunalverwaltungen.
– Eine interkommunale Zusammenarbeit ist nicht
nur aus Wirtschaftlichkeitsaspekten, sondern
auch zur erfolgreichen Umsetzung einheitlicher
Sicherheitsstandards nötig.
• Web-Link zum Deutschen Städtetag
http://www.staedtetag.de/publikationen/materialien/071884/index.html
11
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
Wirtschaftlichkeit von Sicherheitsmaßnahmen
Optimum
Finanzielle Mittel
8
Mögliche
Schäden
0
12
20
40
60
Sicherheitsniveau in Prozent
Verfügbare
Mittel
80
100
Hilfestellung für die kommunale Verwaltung
Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie
• Plan-Do-Check-Act (PDCA)
Größtmögliche Sicherheit wird nicht
durch ein einmaliges Projekt erreicht,
sondern bedarf eines Regelkreises
zur kontinuierlichen Verbesserung.
• Pareto-Prinzip
80% der Ergebnisse lassen sich in 20% der Gesamtzeit
erreichen. Für die verbleibenden 20% der Ergebnisse
sind 80% der Zeit zu berücksichtigen, da sie die meiste
Arbeit verursachen.
13
Informationen zum Autor und Referent
Stefan Wojciechowski
IT-Sicherheitsbeauftragter
Landkreis Oberhavel
E-Mail: stefan.wojciechowski@oberhavel.de
Tel.: 03301 – 60 13 608
14