Leitlinie für die Informationssicherheit

Transkript

1 Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor René Koch Datum Klassifizierung öffentlich Status Dokument befindet sich in Bearbeitung Dokument befindet sich in Abstimmung Dokument ist formal freigegeben

2 Änderungsübersicht Version ISMS Datum Änderung Bemerkung D Erstveröffentlichung D Gesetzliche und regulatorische Anforderungen (ITSiG) berücksichtigt Dieses Dokument ist innerhalb der Flughafen Köln/Bonn GmbH (FKB) für alle Mitarbeiter sowie Dritte, die im Rahmen einer Beauftragung für die FKB tätig sind, bindend. Dieses Dokument wurde im Original durch die Geschäftsführung der FKB unterzeichnet. Aus Gründen der besseren Lesbarkeit wurde im Text nur die männliche Form verwandt. Impressum Vorsitzender des Aufsichtsrates: Bundesminister a. D. Dr. Volker Hauff AG Köln HRB 226 Geschäftsführer: Michael Garvens, Vors. Athanasios Titonis ID-Nr.: DE Anschrift Flughafen Köln/Bonn GmbH Geschäftsbereich Informationstechnologie Köln Heinrich-Steinmann-Straße 12 Copyright 2015 Flughafen Köln Bonn GmbH Weitergabe sowie Vervielfältigung dieser Unterlage, Verwertung und Mitteilung ihres Inhalts nicht gestattet, soweit nicht ausdrücklich zugestanden. Zuwiderhandlungen verpflichten zu Schadensersatz. Alle Rechte vorbehalten. Dateiname: ISMS-1-1-D Seite 2 von 6

3 Inhaltsverzeichnis 1. Management Summary Ziele der Informationssicherheit Planung der Informationssicherheit Implementierung der Informationssicherheit Kontrolle und kontinuierliche Verbesserung Inkrafttreten... 6 Dateiname: ISMS-1-1-D Seite 3 von 6

4 1. Management Summary Informationen, die mit IT-Systemen der Flughafen Köln/Bonn GmbH gespeichert und verarbeitet werden, sind einerseits die Grundlage vieler Geschäftsprozesse, sie unterliegen andererseits der Gefahr von Missbrauch und Sabotage. Dies kann zu negativen Folgen für die Flughafen Köln/Bonn GmbH führen. Nutzer der IT-Systeme der Flughafen Köln/Bonn GmbH erwarten, dass ihre Informationen vor diesen Gefahren geschützt werden und zwar in Art und Umfang, welche dem Wert der Informationen Rechnung trägt. Alle technischen und organisatorischen Maßnahmen, die dem Schutz von Informationen - also der Informationssicherheit - dienen, sind mithin für die Flughafen Köln/Bonn GmbH von strategischer Bedeutung. Der Erhalt der Informationssicherheit ist bei der Flughafen Köln/Bonn GmbH kein einmaliger Vorgang, sondern ein laufender Prozess aus Planung, Implementierung, Kontrolle und kontinuierliche Verbesserung: Bei der Planung werden alle relevanten internen und externen Anforderungen erfasst und Maßnahmen zur Umsetzung dieser Anforderungen in Anlehnung an unsere Richtlinien sowie an Normen und Standards abgeleitet. Bei der Implementierung der Maßnahmen sorgen dedizierte Sicherheitsprozesse, die durch IT- Werkzeuge unterstützt werden, für Nachhaltigkeit und Kontinuität. Verantwortung für Informationssicherheit findet sich dabei auf allen organisatorischen Ebenen wieder. Die IT- Sicherheit der Flughafen Köln/Bonn GmbH wird sowohl durch automatisierte Sicherheitssysteme, als auch durch geschulte und aufmerksame Mitarbeiter, unterstützt. Es erfolgt eine angemessene Kontrolle um die Wirksamkeit der Maßnahmen zu erfassen und diese kontinuierlich zu verbessern. Trotz aller Sorgfalt bei der Auswahl und Implementierung von Schutzmaßnahmen können wir Missbrauch und Sabotage nicht vollständig ausschließen. Dies bedeutet einerseits, dass wir den Schutzbedarf von Informationen und die Aufwände für Prävention gegenüber den Folgen von Schäden abwägen und anschließend Restrisiken akzeptieren, andererseits das wir ausreichend hinreichend Sorge tragen, dass Schadensereignisse zeitnah erkannt und eingetretene Schäden begrenzt werden. Die Leitlinie und alle daraus resultierenden Dokumente gelten für alle Mitarbeiter der Flughafen Köln/Bonn GmbH sowie grundsätzlich auch für Externe (Lieferanten, Partner, etc.). 2. Ziele der Informationssicherheit Die Gefahren für Informationen führen zu Schäden, wenn bestimmte Eigenschaften von Informationen nicht mehr ausreichend vorhanden sind. Die Wahrung dieser Eigenschaften sind Unternehmensziele der Flughafen Köln/Bonn GmbH, welche als Schutzziele der Informationssicherheit bezeichnet werden. Die Flughafen Köln/Bonn GmbH erreicht diese Schutzziele durch Maßnahmen, die dem Wert der Informationen und einem möglichen Schaden bei Nichterreichung des Ziels angemessen sind. Die Schutzziele der Informationssicherheit sind: Vertraulichkeit stellt sicher, dass Informationen nur einem bestimmten Personenkreis zugänglich sind. Typische vertrauliche Informationen bei der Flughafen Köln/Bonn GmbH sind Personaldaten und Finanzdaten. Integrität erfordert, dass Informationen entweder nicht verändert werden können oder deren Veränderung verlässlich festgestellt werden kann. Besondere Integritätsanforderungen haben beispielsweise Finanzdaten, wenn diese zum Jahresabschluss herangezogen werden. Verfügbarkeit bedeutet, dass Informationen zur rechten Zeit am rechten Ort bereit stehen. Dateiname: ISMS-1-1-D Seite 4 von 6

5 3. Planung der Informationssicherheit Die Herstellung und Erhaltung von Informationssicherheit erfordert eine Planung, die mit der Identifikation von Anforderungen beginnt. Dazu zählen gesetzliche und regulatorische Erfordernisse, die von außen an die Flughafen Köln/Bonn GmbH herangetragen werden, z.b. Datenschutz, das IT- Sicherheitsgesetz, KRITIS (Transport und Verkehr, Energieversorgung) oder von der EASA (AMC). Interne Anforderungen ergeben sich aus Analysen des Schutzbedarfes von Informationen und IT-Systemen oder von der inneren Revision. Bei der Planung von Maßnahmen möchten wir uns an nationalen und internationalen Standards orientieren. 4. Implementierung der Informationssicherheit Die während der Planung erarbeiten Maßnahmen werden wir im Rahmen eines Informationssicherheitsmanagements (ISMS) implementieren. Das ISMS umfasst dabei Sicherheitsprozesse, Organisation, Rollen und Verantwortlichkeiten sowie Werkzeuge. Die Sicherheitsprozesse sorgen für den kontinuierlichen und effizienten Erhalt der Informationssicherheit. Sie werden durch eine Organisation, die sich aus dedizierten Rollen und Verantwortlichkeiten für Informationssicherheit zusammensetzt, vorangetrieben. Eine wesentliche Rolle bei der Flughafen Köln/Bonn GmbH nimmt der IT-Sicherheitsbeauftragte ein, der die Steuerung des Informationssicherheitsprozesses verantwortet sowie die hierzu erforderlichen strategischen Entscheidungen umsetzt. Das ICT Security Board als zentrales Gremium für Informationssicherheit, erarbeitet Anforderungen und Umsetzungsvorschläge, bezogen auf den Schutz der Informationssysteme und trifft in diesem Zusammenhang maßgebliche Entscheidungen. Identifizierte Risiken, welche die Schutzziele der Informationssicherheit berühren, werden durch dieses Gremium bewertet und bei entsprechender Auswirkung in das Risikomanagement der Flughafen Köln/Bonn GmbH überführt. Auf die Organisation und die Sicherheitsprozesse zugeschnittene Werkzeuge unterstützen die verantwortlichen Rollen für Informationssicherheit bei ihrer Aufgabenerfüllung. Die Richtlinie für Informationssicherheit der Flughafen Köln/Bonn GmbH gibt dem ISMS, seinen Prozessen und Maßnahmen einen Rahmen vor, der dafür sorgt, dass stets interne und externe Anforderungen erfüllt werden. Ein jährlicher Bericht zur Lage der Informationssicherheit der Flughafen Köln/Bonn GmbH und ein Quartalsbericht des IT-Sicherheitsbeauftragten sorgen für Transparenz und erlaubt die Steuerung des ISMS. 5. Kontrolle und kontinuierliche Verbesserung Die Sicherheitsprozesse und damit einhergehende Maßnahmen erfordern Kontrolle, da menschliches Fehlverhalten oder technisches Versagen nie auszuschließen sind. Darüber hinaus fordert der Gesetzgeber mit dem IT-Sicherheitsgesetz die Flughäfen auf, Kontrollmaßnahmen zu treffen um Schäden durch fehlende Informationssicherheit in größerem Ausmaß zu vermeiden oder zu begrenzen. Das Gesetz verpflichtet die Flughafen Köln/Bonn GmbH auch, Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden; dies setzt eine geeignete Kontrollstruktur voraus. Dateiname: ISMS-1-1-D Seite 5 von 6

6 Die Kontrollmaßnahmen müssen bei der Flughafen Köln/Bonn GmbH mit dem Bewusstsein etabliert, durchgeführt und akzeptiert werden, dass Schäden durch Informationssicherheit, als auch der Verstoß gegen externe Compliance-Anforderungen, gravierende Folgen für die Flughafen Köln/Bonn GmbH haben können. Die Kontrollmaßnahmen bestehen sowohl aus Prävention um Schäden von vorneherein zu vermeiden Detektion um Schäden frühzeitig zu entdecken, in Fällen, in denen Prävention nicht möglich oder zu aufwändig ist und Reaktion um Schäden umgehend zu begrenzen und zukünftig zu vermeiden. Durch veränderte oder neue Gefahren für die Informationssicherheit oder neue Technologien für Schutzmaßnahmen besteht die Notwendigkeit das ISMS regelmäßig zu überprüfen und kontinuierlich anzupassen und zu verbessern. Diese Leitlinie wird daher alle zwei Jahre einer Prüfung unterzogen. Sicherheitsrichtlinien werden bei Bedarf angepasst und einmal jährlich einer Prüfung unterzogen. 6. Inkrafttreten Diese Regelung tritt mit Veröffentlichung im Informationssicherheitsmanagement der FKB in Kraft. Köln, Sachlich richtig Sachlich richtig IT-Sicherheitsbeauftragter René Koch Leiter GB Informationstechnologie Oliver Reindl Geschäftsführung Vorsitzender der Geschäftsführung Michael Garvens Technischer Geschäftsführer Athanasios Titonis Dateiname: ISMS-1-1-D Seite 6 von 6