Der Informationssicherheitsprozess in der Niedersächsischen Landesverwaltung

Transkript

1 6. September 2012 Der Informationssicherheitsprozess in der Niedersächsischen Landesverwaltung Informationssicherheitsmanagement, übergreifende Regelungen, Bedrohungen aus dem Cyberraum und das N-CERT

2 Strategische Ziele im Informationssicherheitsprozess Informationssicherheit zur Leitungsaufgabe machen Bedrohungen der IT sind eine Gefahr für die innere Sicherheit (StS in Dr. Sandra von Klaeden im e-journal zur PITS 2012) Informationssicherheit ist kein IT-Thema Etablierung einer Risikokultur Risiken erkennen und bis zur Entscheidung eskalieren Maßnahmen zur Risikobehandlung ergreifen oder Risiko übernehmen Informationssicherheit wirtschaftlich gewährleisten quick-wins finden / Priorisierung von Maßnahmen Ausgewogenheit zwischen Maßnahmeneinsatz und Risikoübernahme 100%-ige Sicherheit ist unwirtschaftlich

3 7. Juni 2012 Beschluss des Kabinetts Initiierung eines ISMS auf Basis ISO Leitlinie zur Gewährleistung der Informationssicherheit (ISLL)

4

5 Übergreifende Richtlinien zur Informationssicherheit (ISRL) 1. Behördenleitungen zum Handeln veranlassen ISRL adressieren die jeweilige Behördenleitung 2. Rahmen für die inhaltliche Ausgestaltung vorgeben ISRL enthalten Mindeststandards 3. Umsetzungsvorschläge unterbreiten ISRL enthalten i.d.r. Muster für organisatorische Regelungen

6 Konkrete Implementierung von ISRL Anwenderrichtlinie Verhalten bei Sicherheitsvorfällen Zutritts- und Zugangsregelungen Passwortregelungen Private Nutzung dienstlicher IT Dienstliche Nutzung privater IT Einsatz mobiler Speichermedien Installation bzw. Einsatz von Software durch Anwender Speicherung dienstlicher Daten außerhalb des Landesnetzes Einsatz mobiler Endgeräte Schutz vor Diebstahl und unberechtigtem Zugriff Sicherung durch Passwort/PIN Speicherung dienstlicher Daten Schnittstellen und Peripherie Installation von Apps Verhalten bei Verlust

7 Informationssicherheit 2.0 Bedrohungen aus dem Cyberraum

8 Cybersicherheitsstrategie für Niedersachsen Rahmenbedingungen nationale Cybersicherheitsstrategie nationaler Cybersicherheitsrat (Bund + zwei Ländervertreter) nationales Cyberabwehrzentrum des Bundes (beim BSI) zentralen Aufgaben des Abwehrzentrums: Prävention, Information und Frühwarnung gegen Cyber-Angriffe strategische Ziele für Niedersachsen eigenes Sicherheitsniveau weiter verbessern bestehende Krisenbewältigungsorganisation auf IT-Krisen vorbereiten Informationsfluss zwischen Bund, Land, Kommunen und niedersächsischer Wirtschaft sicherstellen

9 Niedersachsen Computer Emergency Response Team (N-CERT) ein CERT für Niedersachsen beim LSKN enge strategische und personelle Einbindung von Polizei, Steuerverwaltung und Justiz N-CERT 1.0: Basisleistungen Warnung und Alarmierung Sicherheitsempfehlungen Koordinierung domänenübergreifender Sicherheitsvorfälle Schwachstellenverwaltung Zusammenarbeit mit anderen CERTs (DFN-CERT, CERT-BUND, etc.) täglicher IT-Lagebericht

10 Niedersachsen Computer Emergency Response Team im Krisenfall strategisch operativ Perspektive für N-CERT 2.0

11 Perspektive N-CERT 2.0 Einbindung weiterer Organisationen forensische Netzüberwachung (Intrusion Detection & Prevention) Dienstleistungen Evaluation von Softwareprodukten Penetrationstests...

12 6. September 2012 Herzlichen Dank für Ihre Aufmerksamkeit! (0511)