Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Größe: px

Ab Seite anzeigen:

Download "Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)"

Gerhardt Fertig
vor 8 Jahren
Abrufe

1 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter Landkreis Oberhavel

2 Landkreis Oberhavel Im Norden des Landes Brandenburg Ausdehnung von der nördlichen Landesgrenze Berlins bis nach Mecklenburg-Vorpommern km² Fläche, Einwohner (Stand: ) Kreisverwaltung mit Beschäftigte 150 Elektronische Fachverfahren 30 Nachgelagerte Einrichtungen 2

798 km² Fläche, 203.284 Einwohner (Stand: 31.12.

3 Einstieg in ein kommunales ISMS Überblick zum Vortrag Ausgangssituation Zielsetzung und Erfolgsfaktoren eines ISMS Internationale und nationale Standards Hilfestellung für Kommunen 3

4 Informationssicherheit am praktischen Beispiel Ausgangssituation zum Informationssicherheits-Managementsystem Alles sicher! Management der Informationssicherheit Bereich in dem die Sicherheitsrisiken beherrschbar sind oder toleriert werden. Sicherheitsniveau? Dringender Handlungsbedarf und ggf. Risikoübernahme durch die Verwaltungsleitung! 4 Total unsicher! Am Anfang IT-Sicherheitsbeauftragter Zeitlicher Ablauf

Management der Informationssicherheit Bereich in dem die Sicherheitsrisiken beherrschbar sind oder

5 Sicherheitsstrategien und ziele für ein ISMS Zielsetzung für ein Informationssicherheits-Managementsystems 5 Was soll ein ISMS bringen? Die Auswirkungen sicherheitsrelevanter Vorfälle, verursacht beim Einsatz von Informationstechnik oder hervorgerufen durch Schwachstellen, sollen verhindert oder vermieden werden. Wie kann dieses Ziel erreicht werden? Ein Sicherheitsniveau wird anhand geeigneter Kriterien vorgegeben, überprüft und regelmäßig aktualisiert. Auf Vorfälle ist angemessen zu reagieren. Warum sind die Ziele und Kriterien wichtig?

Schwachstellen, sollen verhindert oder vermieden werden. Wie kann dieses Ziel erreicht werden?

6 Qualitätssicherung des Verwaltungshandelns Erfolgsfaktoren für ein Informationssicherheits-Managementsystem 6 Gesetze und Vorschriften berücksichtigen Leitlinie des IT-PLR, Datenschutz, TKG, KRITIS, Organisation der Geschäftsprozesse Wichtige Geschäftsprozesse, Notfallplanung, Öffentliches Interesse berücksichtigen Vertrauen der Bevölkerung in die Verwaltung, Finanzielle Ausgaben einplanen Wirtschaftlichkeitsbetrachtung, Investitionsschutz, Kosten durch Vorfälle, Weitere Faktoren? (z. B. Gefährdungen)

Geschäftsprozesse, Notfallplanung, Öffentliches Interesse berücksichtigen Vertrauen der Bevölkerung in die Verwaltung,

7 Standards zur Informationssicherheit Nationale und internationale Standards 7 IT-Grundschutz-Standards BSI-Standard : Managementsysteme für Informationssicherheit (ISMS) Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI) ISO/IEC Reihe ISO/IEC 27001:2013 : Anforderungen an ein ISMS Herausgeber: Internationale Organisation für Normung Weitere Werkzeuge und Verbände z. B. ISIS12; ISACA, COBIT; ITSM, ITIL;

Sicherheit in der Informationstechnik (BSI) ISO/IEC 27000-Reihe ISO/IEC 27001:2013 : Anforderungen an ein

8 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen Herausgeber: 8 Erarbeitet von IT-Sicherheitsbeauftragten und Praktikern des IT-Sibe-Forums Abgestimmt in der UAG Handreichung der AG Cybersicherheit und AG InfoSic

Informationssicherheitsleitlinie in Kommunalverwaltungen Herausgeber: 8 Erarbeitet von

9 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Inhalt der Handreichung zur ISLL Erläutert den Aufbau und den Inhalt der Leitlinie des IT-Planungsrates, Befasst sich hauptsächlich mit der Planung und dem Aufbau eines kommunalen ISMS und Geht speziell auf Entwicklung und Gestaltung einer Informationssicherheitsleitlinie ein. Welche Unterschiede bestehen zwischen IT-Grundschutz, ISO/IEC und ISIS12? Welche Rolle spielen externe Dienstleister? 9

Planung und dem Aufbau eines kommunalen ISMS und Geht speziell auf Entwicklung und Gestaltung einer

10 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Fazit der Handreichung Jede Kommune sollte eine Informationssicherheitsleitlinie erstellen, diese regelmäßig prüfen und aktualisieren. Jede Kommune kann mit ISO beginnen und sich dabei am IT-Grundschutz orientieren, ohne gleich den ganzen IT-Verbund zu zertifizieren. IT-Grundschutz ist ein etablierter Standard bei den kommunalen Dienstleistern. 10

11 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Fazit der Handreichung Mit der Leitlinie für die Informationssicherheit fordert der IT-Planungsrat ebenen-übergreifende Informationssicherheit für Bund, Länder und Kommunalverwaltungen. Eine interkommunale Zusammenarbeit ist nicht nur aus Wirtschaftlichkeitsaspekten, sondern auch zur erfolgreichen Umsetzung einheitlicher Sicherheitsstandards nötig. Web-Link zum Deutschen Städtetag 11

12 Finanzielle Mittel Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Wirtschaftlichkeit von Sicherheitsmaßnahmen Optimum 8 Mögliche Schäden Verfügbare Mittel Sicherheitsniveau in Prozent

Informationssicherheitsleitlinie Wirtschaftlichkeit von

Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Plan-Do-Check-Act (PDCA) Größtmögliche Sicherheit wird nicht durch ein einmaliges

13 Hilfestellung für die kommunale Verwaltung Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie Plan-Do-Check-Act (PDCA) Größtmögliche Sicherheit wird nicht durch ein einmaliges Projekt erreicht, sondern bedarf eines Regelkreises zur kontinuierlichen Verbesserung. 13 Pareto-Prinzip 80% der Ergebnisse lassen sich in 20% der Gesamtzeit erreichen. Für die verbleibenden 20% der Ergebnisse sind 80% der Zeit zu berücksichtigen, da sie die meiste Arbeit verursachen.

eines Regelkreises zur kontinuierlichen Verbesserung.

14 Informationen zum Autor und Referent Stefan Wojciechowski IT-Sicherheitsbeauftragter Landkreis Oberhavel Tel.:

Ähnliche Dokumente

Informationssicherheit

Informationssicherheit Informationssicherheit im Freistaat Sachsen Eine moderne Verwaltung funktioniert heutzutage nicht mehr ohne Computer. Als Dienstleister stellt der Freistaat Sachsen für Bürger und