Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Transkript

1 Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research Center of the Helmholtz Association

2 Was ist die Herausforderung? Die IT-Sicherheit ausgewogen zu organisieren DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

3 Informationssicherheitsmanagement am KIT IT-Sicherheitspolitik STEINBUCH CENTRE FOR COMPUTING - SCC KIT Universität des Landes 22. Baden-Württemberg DFN-Konferenz und Sicherheit in vernetzten Systemen - Andreas Lorenz nationales Forschungszentrum in der Helmholtz-Gemeinschaft

4 Details / Änderungen Etablierte IT-Sicherheitspolitik KIT IT- Sicherheitsleitlinie CIO Organisatorischer Aufbau, Ziele und Strategien KIT IT- Sicherheitskonzept IT-Sicherheitsbeauftragter Abstrakte Beschreibung von Maßnahmen KIT IT- Sicherheitsrichtlinien IT-Sicherheitsbeauftragter Bündelung von Einzelrichtlinien Technische Anweisungen IT-Sicherheitsteam Konkrete Maßnahmen DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

5 IT-Sicherheit am KIT - Leitlinie Zielsetzungen Das KIT schützt seine Interessen und sein Ansehen in der Öffentlichkeit durch die Sicherung seiner Arbeitsfähigkeit, Vertrauenswürdigkeit und Zuverlässigkeit. Zu den IT- Sicherheitszielen des KIT zählen: INSTITUTS-, FAKULTÄTS-, ABTEILUNGSNAME (in der Masteransicht ändern) Struktur Präambel Geltungsbereich Zielsetzungen Organisation IT-Sicherheitsprozess Sachverwandte Themen die Gewährleistung der Verfügbarkeit der IT-Systeme, Programme und Daten, der Schutz der Integrität der IT- Systeme, Programme und Daten, die Verhinderung des Missbrauchs der IT-Systeme, Programme und Daten (zweckwidrige Nutzung, Nutzung durch Unbefugte), sowohl aus Gründen des Selbstschutzes als auch zum Schutz Dritter, die Handhabung der vertraulichen Informationen unabhängig von der Art ihrer Aufzeichnung derart, dass ihre Vertraulichkeit jederzeit sichergestellt ist, die Sicherstellung der Integrität, Funktionsfähigkeit und Vertraulichkeit von Arbeitsergebnissen und von Projektdaten, die Einhaltung der einschlägigen Gesetze und sonstigen rechtlichen Bestimmungen, Wahrung der Persönlichkeitsrechte der Mitglieder und der Angehörigen DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

6 IT-Sicherheitskonzept - Sinn und Zweck (nach BSI) dient Umsetzung der Sicherheitsstrategie beschreibt geplante Vorgehensweise um die gesetzten Sicherheitsziele zu erreichen zentrales Dokument im Sicherheitsprozess - jede konkrete Maßnahme muss sich letztlich darauf zurückführen lassen IT-Sicherheitskonzept muss sorgfältig geplant und umgesetzt sowie regelmäßig überprüft werden INSTITUTS-, FAKULTÄTS-, ABTEILUNGSNAME (in der Masteransicht ändern) verschiedene IT-Sicherheitskonzepte für verschiedene Organisationsbereiche, Geschäftsprozesse oder Anwendungen möglich umfasst alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in diesem Anwendungsbereich der Informationsverarbeitung dienen DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

7 Struktur IT-Sicherheitskonzept des KIT Einleitung/Präambel 1. Das IT-Sicherheitskonzept 2. Aufbau und Vorgehensweise Organisationsweite Aspekte des IT- Sicherheitsmanagements 1. IT-Sicherheitsbauftragter des KIT 2. IT-Sicherheitsmanagement-Team des KIT INSTITUTS-, FAKULTÄTS-, ABTEILUNGSNAME (in der Masteransicht ändern) 3. IT-Sicherheitsleitlinie, Ziele und Strategie 4. IT-Sicherheitsrichtlinien 5. Organisatorische Verantwortung IT-Beauftragte im KIT 8. Kontinuierliche IT-Sicherheitsprozesse Technische Maßnahmen für die Umsetzung der IT- Sicherheitsarchitektur 1. Änderungsmanagement 2. Behandlung von Sicherheitsvorfällen KIT-CERT 3. Datensicherung und Datenarchivierung 4. IT-Sicherheitssensibilisierung und schulung 5. Kryptographie 6. Mobile Geräte 7. Netzwerksicherheit 8. Notfallvorsorge 9. Passwörter 10. Patchmanagement 11. Personal/Identitätsmanagement 12. Schutz vor Schadprogrammen 13. Schwachstellenmanagement 14. Zugangsregelung Serverräume DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

8 Verantwortung/Aufgabenteilung: IT-Sicherheits(teil)konzept für dedizierte Informationsverbünde Kapitel 1 Einführung/Motivation Kapitel 2 Strukturanalyse Kapitel 3 Schutzbedarfsfeststellung INSTITUTS-, FAKULTÄTS-, ABTEILUNGSNAME (in der Masteransicht ändern) Kapitel 4 - Modellierung des Informationsverbunds Kapitel 5 Sicherheitsmaßnahmen Kapitel 6 ergänzende Sicherheitsanalyse bei hohem oder sehr hohem Schutzbedarf Kapitel 7 Risikoanalyse ITSB OE/Projekt OE/Projekt OE/Projekt ITSB ITSB OE/Projekt DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

9 Informationssicherheitsmanagement am KIT Organisatorische Verantwortung STEINBUCH CENTRE FOR COMPUTING - SCC KIT Universität des Landes 22. Baden-Württemberg DFN-Konferenz und Sicherheit in vernetzten Systemen - Andreas Lorenz nationales Forschungszentrum in der Helmholtz-Gemeinschaft

10 Organisatorische Verantwortung Präsidium / CIO Ausschuss für Informationsverarbeitung und versorgung (IV-A) IT-Sicherheitsbeauftragter Arbeitsstab IT-Sicherheit, Datenschutz und Recht (ASDUR) SCC und Computernotfallteam (KIT-CERT) IT-Beauftragte der OEs und Nutzer Strategisch Taktisch Operativ DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

11 Informationssicherheitsmanagement am KIT Operativer Umgang mit IT-Sicherheit am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT Universität des Landes 22. Baden-Württemberg DFN-Konferenz und Sicherheit in vernetzten Systemen - Andreas Lorenz nationales Forschungszentrum in der Helmholtz-Gemeinschaft

12 IT-Sicherheitsbeauftragter ITSB ist für strategische Ausrichtung der IT-Sicherheit federführend. Präsidium / CIO Ausschuss für Informationsverarbeitung und versorgung (IV-A) IT-Sicherheitsbeauftragter Arbeitsstab IT-Sicherheit, Datenschutz und Recht (ASDUR) SCC und Computernotfallteam (KIT- CERT) IT-Beauftragte der OEs und Nutzer DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

13 ASDUR: IT-Sicherheit, Datenschutz und IT-Rechtskonformität Arbeitsstab des CIO Bearbeitet themenübergreifende Fragestellungen aus den Bereichen IT-Sicherheit, Datenschutz und IT-Rechtskonformität. Erarbeitet Empfehlungen für strategische Richtlinien oder Regelungen. Präsidium / CIO Ausschuss für Informationsverarbeitung und versorgung (IV-A) IT-Sicherheitsbeauftragter Arbeitsstab IT-Sicherheit, Datenschutz und Recht (ASDUR) SCC und Computernotfallteam (KIT- CERT) IT-Beauftragte der OEs und Nutzer DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

14 SCC und Computernotfallteam (KIT-CERT) neben den Aufgaben im Forschungs-, Lehr- und Entwicklungsumfeld: Betreiber der zentralen IT-Dienste des KIT. Umsetzung der sicherheitstechnischen Maßnahmen im zentralen Betrieb. Erarbeitung von Leitfäden und Dokumentation für Nutzer. Unterweisung der Nutzer in relevante IT-Sicherheitsmaßnahmen. Betreibt KIT-CERT. Präsidium / CIO Ausschuss für Informationsverarbeitung und versorgung (IV-A) IT-Sicherheitsbeauftragter Arbeitsstab IT-Sicherheit, Datenschutz und Recht (ASDUR) SCC und Computernotfallteam (KIT- CERT) IT-Beauftragte der OEs und Nutzer DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

15 IT-Beauftragte der OEs und Nutzer ITB sind Ansprechpartner für alle IT-relevanten Aspekte in der OE. Setzen Richtlinien des KIT in den OEs um. Vorbildfunktion im Umgang mit der IT und IT-Sicherheit. Tragende Rolle im Aufgabenspektrum IT-Sicherheit für die OE. Präsidium / CIO Ausschuss für Informationsverarbeitung und versorgung (IV-A) IT-Sicherheitsbeauftragter Arbeitsstab IT-Sicherheit, Datenschutz und Recht (ASDUR) SCC und Computernotfallteam (KIT- CERT) IT-Beauftragte der OEs und Nutzer DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

16 IT-Beauftragte der OEs und Nutzer Aufgabenspektrum IT-Sicherheit in der OE: Organisation, Koordination und Veranlassung von IT-Sicherheits-Maßnahmen innerhalb der OE Die Aufrechterhaltung der IT-Sicherheit in der OE Die Vertretung der Belange der jeweiligen OE beim IT-Sicherheitsbeauftragten des KIT Die Unterstützung der Instituts- bzw. Einrichtungsleiter sowie deren Mitarbeiter bei der Einhaltung von Sicherheitsmaßnahmen Die Koordinierung von Gegenmaßnahmen bei Sicherheitsvorfällen Die Schulung und Information in Sachen IT-Sicherheit von Mitarbeitern und die für die jeweilige OE tätigen Dritten mit Zugang zum KIT-Gelände bzw. der IT- Infrastruktur Die Erstellung von (Teil-) IT-Sicherheitskonzepten im Bedarfsfall der jeweiligen OE, abgestimmt mit dem IT-Sicherheitsbeauftragten des KIT und basierend auf dem IT- Sicherheitskonzept des KIT und den besonderen IT-Sicherheitsanforderungen der OE DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

17 oft reicht Vorstufe zu IT-Sicherheitskonzept STEINBUCH CENTRE FOR COMPUTING - SCC KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in der Helmholtz-Gemeinschaft

18 IT-Sicherheitsbetrachtung Vorstufe zu IT-Sicherheitskonzept Selektive Betrachtung der für dieses System relevanten Kapitel aus dem IT-Sicherheitskonzept des KIT Lediglich grobe Strukturanalyse Lediglich grobe Modellierung des Informationsverbunds Feststellung der relevanten technischen und organisatorischen Maßnahmen pro Kapitel INSTITUTS-, FAKULTÄTS-, ABTEILUNGSNAME (in der Masteransicht ändern) Feststellung der federführenden Organisation und der Beteiligten Feststellung des Standes der Umsetzung der Maßnahmen Ggf. konkrete Planung der Verbesserung der Maßnahmen Anmerkungen des IT-Sicherheitsbeauftragten Jährliche Revision DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

19 weiter IT-Sicherheitsbetrachtung INSTITUTS-, FAKULTÄTS-, ABTEILUNGSNAME (in der Masteransicht ändern) Ergebnis IT-Sicherheitsbetrachtungen ab Schutzbedarf hoch Kondensierte Betrachtung mit Blick auf s Wesentliche Praktikable Vorgehensweise DFN-Konferenz Sicherheit in vernetzten Systemen - Andreas Lorenz

20 Herzlichen Dank für Ihre Aufmerksamkeit STEINBUCH CENTRE FOR COMPUTING - SCC KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in der Helmholtz-Gemeinschaft