Sicherheitsaspekte der kommunalen Arbeit

Transkript

1 Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig?

2 Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen, Bürgern und Behörden, ist es von großer Bedeutung, dass die Sicherheit gewährleistet ist, vor allem beim Bearbeiten, Speichern und Versenden von Daten vor allem sensiblen Daten. 8. Mai 2009 Franz Fahrngruber 2

3 Sicherheitsaspekte Informationssicherheit Technische Aspekte Datenschutz Risikoanalyse Maßnahmen 8. Mai 2009 Franz Fahrngruber 3

4 Ziele Gewährleistung der aus den gesetzlichen Vorgaben resultierenden Anforderungen Gewährleistung des Vertrauens der Öffentlichkeit in die Organisation und damit in die öffentliche Verwaltung Verlässlichkeit des Handelns (Vertraulichkeit, Richtigkeit und Rechtzeitigkeit) 8. Mai 2009 Franz Fahrngruber 4

5 Ziele Sicherheit erhöhen Risiko minimieren Ausfälle verhindern Richtlinien Leitlinien für die Sicherheit eines Systems Keine Implementierungsvorschriften 8. Mai 2009 Franz Fahrngruber 5

6 Umsetzung der Sicherheit Machbarkeit Finanzierbarkeit Dringlichkeit Notwendigkeit Gesetzlichkeit Schriftlichkeit 8. Mai 2009 Franz Fahrngruber 6

7 Verantwortlichkeit Jeder 8. Mai 2009 Franz Fahrngruber 7

8 Sicherheit in der IT Technische Sicherheitsmaßnahmen Arbeitsplatz Server Datenhaushalt Datensicherung Datenübermittlung Back-Up 8. Mai 2009 Franz Fahrngruber 8

9 Sicherheit in der IT Organisatorische Sicherheitsmaßnahmen Richtlinien für die Gemeindeorganisation Sensibilisierung Schulungsmaßnahmen Beurteilung der Effizienz und Effektivität Zugangsrichtlinien 8. Mai 2009 Franz Fahrngruber 9

10 Sicherheit in der IT SLA das Service Level Agreement Bildet die Verbindung zwischen IT und Fachbereich Geregelte Möglichkeit für Outsourcing Schafft Überprüfungsmöglichkeiten der Abläufe Optimierungspotential 8. Mai 2009 Franz Fahrngruber 10

11 Sicherheit in der IT Sicherstellung des Security-Levels Erreichtes muss erhalten bleiben Anpassungen an Umfeld-Änderungen sind laufend notwendig IT-Aktualisierung entscheidend 8. Mai 2009 Franz Fahrngruber 11

12 Sicherheit in der IT Laufender Betrieb Support und Wartung der Sicherheitseinrichtungen Messung der Effektivität durch Kennzahlen (Information Security Management) Überprüfung von Sicherheits-Maßnahmen (Security Compliance Checking) Überwachung der IT-Systeme (Monitoring) Reaktion auf sicherheitsrelevante Ereignisse (Incident Handling) 8. Mai 2009 Franz Fahrngruber 12

13 Datensicherheit und Datenschutz Welche Daten sind besonders schützenswert? Welche Auswirkungen hätte ein Verlust? Welche Entscheidungen hängen von der Integrität und Verfügbarkeit der Daten ab? Welche wichtigen Aufgaben können bei Kompromittierung nicht mehr erfüllt werden? Welche Aufgaben sind ohne IT-Unterstützung nicht mehr möglich? 8. Mai 2009 Franz Fahrngruber 13

14 Datensicherheit und Datenschutz Sicherung der Daten vor Kompromittierung: Firewall Virenschutz Intrusion Detection System Spam-Filter Kontrolle 8. Mai 2009 Franz Fahrngruber 14

15 Datensicherheit und Datenschutz IKT-Sicherheit Vertraulichkeit: Keine Möglichkeit zur unbemerkten und unautorisierten Kenntnisnahme der Daten Integrität: Die Vollständigkeit und Richtigkeit der Daten wird bestätigt und Datenmanipulationen werden festgestellt Verbindlichkeit: Die Rechtsgültigkeit von Aktionen ist zu gewährleisten 8. Mai 2009 Franz Fahrngruber 15

16 Datensicherheit und Datenschutz IKT-Sicherheit Authentizität: Die Echtheit und Glaubwürdigkeit von Objekten muss garantiert sein Verfügbarkeit: Systeme und Dienste müssen verfügbar und funktionsfähig sein Privatsphäre, Datenschutz und Datensicherheit: Im Sinne des Datenschutzes wird die Anonymität und die Verhinderung der Profilerstellung über Einzelne sichergestellt (DSG 2000, E-Gov-Gesetz u.a.) 8. Mai 2009 Franz Fahrngruber 16

17 Datenverarbeitung Verantwortlichkeiten der Einzelnen bei der: Verarbeitung der Daten Verwendung der Daten Weitergabe der Daten Sicherstellung der Daten Speicherung der Daten 8. Mai 2009 Franz Fahrngruber 17

18 Sicherheit und Risiko Risikomanagement: Eine wesentliche Voraussetzung für Informationssicherheit ist die Einschätzung und Bewertung von Sicherheitsrisiken. Mittels einer Risikoanalyse werden diese erkannt, bewertet und damit das Gesamtrisiko ermittelt. Dieses Risiko muss möglichst weit reduziert werden, so dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird. 8. Mai 2009 Franz Fahrngruber 18

19 Risikoanalyse - Details IT-Systeme (plus Gebäude und Infrastruktur) Ermittlung der Werte Ermittlung des Bedrohungspotentials Identifikation der Schwachstellen Sicherheitsmaßnahmen kritisch beurteilen Einzel- und Gesamtrisiken auswerten Gesamtsituation festhalten - Maßnahmen planen und durchführen 8. Mai 2009 Franz Fahrngruber 19

20 Sicherheit in der Gemeinde Vertrauen ist gut, Kontrolle ist besser. (Lenin) Du bist zeitlebens für das verantwortlich, was du dir vertraut gemacht hast. (Antoine de Saint-Exupéry) 8. Mai 2009 Franz Fahrngruber 20

21 veranstaltet: Seminare für Umsetzung der IT-Sicherheit und Risikomanagement in Gemeinden Sie sind herzlich eingeladen! Informationen, Folder und Anmeldung bei der Fachtagung oder auf der Universität, im Zentrum für Praxisorientierte Informatik bei: Claudia Paulhart, Telefon: +43 (0) , Fax: +43 (0) , 8. Mai 2009 Franz Fahrngruber 21