Die IT-Sicherheitsverordnung der EKD

Größe: px

Ab Seite anzeigen:

Download "Die IT-Sicherheitsverordnung der EKD"

Karl Dennis Weiß
vor 7 Jahren
Abrufe

1 Die IT-Sicherheitsverordnung der EKD und ihre Auswirkungen SK-Consulting Group Mittwoch, 27. April 2016

2 Über mich Daniel Engelke Seit Geschäftsführer der SK-Consulting Group GmbH IT-Sicherheitsbeauftragter (UDIS) Universität Regensburg Universität Hamburg 2

3 3

4 Situation 4

5 ITSVO-EKD Die Kernaussagen des ITSVO 1 II S.1 ITSVO-EKD Ein IT-Sicherheitskonzept ist zu erstellen und laufend fortzupflegen 5

6 ITSVO-EKD Die Kernaussagen des ITSVO 1 III S.1 ITSVO-EKD Der Sicherheitsstandard soll dem BSI- Grundschutz (100-x) entsprechen 6

7 ITSVO-EKD Die Kernaussagen des ITSVO Ergebnisbericht der AG IT-Sicherheitskonzepte der EKD Die Komplexität der Umsetzung ist von der Größe der Institution abhängig 7

8 ITSVO-EKD Die Kernaussagen des ITSVO 2 I Nr.2 ITSVO-EKD Es muss ein qualifizierter Datenschutzbeauftragter vorhanden sein 8

9 ITSVO-EKD Die Kernaussagen des ITSVO 2 II ITSVO-EKD Es muss eine Regelung zur Verwaltung privater Endgeräte im eigenen Netzwerk geben, falls private Endgeräte vorhanden sind 9

10 ITSVO-EKD Die Kernaussagen des ITSVO 4 I ITSVO-EKD Die Mitarbeiter sind durch qualifizierte Maßnahmen zu schulen 10

11 ITSVO-EKD Die Kernaussagen des ITSVO 5 ITSVO-EKD i.v.m. BSI M2.193 Ein IT-Sicherheitsbeauftragter kann/muss bestellt werden 11

12 ITSVO-EKD Die Kernaussagen des ITSVO 7 ITSVO-EKD Das IT-Sicherheitskonzept ist bis zum zu erstellen 12

13 ITSVO-EKD Die Kernaussagen des ITSVO 7 ITSVO-EKD Die Vollständige Umsetzung aller Maßnahmen hat bis zum zu erfolgen 13

14 Datenschutz und IT-Sicherheit Datenschutz IT-Sicherheit Geschützt: Natürliche Personen Gefahr: Verletzung von Persönlichkeitsrechten Im Fokus steht die einzelne Person 9 DSG- EKD Geschützt: Daten, die mit der IT erhoben wurden Gefahr: Unberechtigter Zugriff, Verlust, Vertraulichkeit, Integrität, Verfügbarkeit Im Fokus stehen Kirchliche Stellen 14

15 Klein, mittel, oder groß? Kleine Einrichtungen Kein geschultes IT-Personal Minimale IT-Infrastruktur Überwiegend dezentrale Datenhaltung Keine oder wenig Server Mittlere und große Einrichtungen Geschultes IT-Personal (intern oder extern) IT-Infrastruktur mit Servern und Netzwerken Überwiegend zentrale Datenhaltung 15

16 Zielsetzung Angemessener Schutz für die Verfügbarkeit, Vertraulichkeit und Integrität Dieser sollte angemessen und ausreichend sein Mit den Maßnahmen des BSI-Ansatzes Sollte mit einen Angemessenen personellen Aufwand realisierbar sein 16

17 Methodische Vorgehensweise zur Erstellung eines IT-Sicherheitskonzeptes Klärung der Zuständigkeiten und einrichten einer Arbeitsgruppe Bestandsaufnahme der bereits eingesetzten und geplanten IT-Systeme Feststellung der Angriffspunkte bzw. Schwachstellen Entwicklung einer IT-Sicherheitspolitik Festlegung von Sicherheitsmaßnahmen in einen Sicherheitskonzept Verantwortliche Personen: IT-Leiter IT-Mitarbeiter Datenschutzbeauftragter Entscheidungsträger der Geschäftsführung 17

18 Inhalt eines IT- Sicherheitskonzeptes 1. Zielrichtung 2. Allgemeiner Grundschutz 3. Arbeitsplatzebene 4. Zentralrechnerebene 5. Verfahren 6. Administration 7. Revision/Kontrolle 8. Notfallvorsorge 9. Schwachstellen/Risikoanalyse 10. Art der Fortschreibung 18

19 Initiierung des IT-Sicherheitskonzeptes Verantwortung der Leitungsebene Konzeption und Planung des Sicherheitsprozesses Aufbau einer Sicherheitsorganisation, Bereitstellung von Ressourcen, Erstellung der Leitlinie Erstellung eines IT-Sicherheitskonzeptes Umsetzung Realisierung der Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallmanagement Sensibilisierung und Schulung Aufrechterhaltung im laufenden Betrieb 19

20 20

21 Initiierung des IT-Sicherheitskonzeptes Verantwortung der Leitungsebene Konzeption und Planung des Sicherheitsprozesses Aufbau einer Sicherheitsorganisation, Bereitstellung von Ressourcen, Erstellung der Leitlinie Erstellung eines IT-Sicherheitskonzeptes Umsetzung Realisierung der Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallmanagement Sensibilisierung und Schulung Aufrechterhaltung im laufenden Betrieb 21

22 Erstellung einer Sicherheitsleitlinie Initiierung SI-konzept Umsetzung Erhaltung Definition der Verantwortung der Leitung der Organisation für IT-Sicherheit Stellenwert von IT-Sicherheit, Unternehmenskultur etc. Geltungsbereich festlegen Gesamte Institution oder Teilbereich Einberufung einer Entwicklungsgruppe für die IT-Sicherheitsleitlinie M Aufbau einer geeigneten Organisationsstruktur Bestimmung der IT-Sicherheitsziele und -strategien Informationen und Systeme klassifizieren Fest definierte Schutzbedarfs-Niveaus (EKD): Sehr hoch: Totaler Zusammenbruch der Organisation Hoch: Handlungsunfähigkeit zentraler Bereiche Normal: Beeinträchtigung der Organisation 22

23 Beispiel Allgemeiner Grundschutz 2.1 Infrastruktur Für zentralen IT-Systeme sind geeignete Räumlichkeiten bereitzustellen. Es ist im Zentralrechnerraum eine ausreichende Klimatisierung sicherzustellen. Es ist eine Gefahrenmeldeanlage zu installieren. Im Zentralrechnerraum sind die IT-Systeme an gesonderte Stromkreise anzuschließen. Ein Handfeuerlöscher ist vorgesehen. Der Zutritt zu Netzwerkleitungen und verteilern ist zu regeln. Fenster und Türen müssen abschließbar sein. 23

24 Infrastruktur Nr. Beschreibung Plattform Anzahl Ort Status Anwender/ Admin S001 Windows 2008 PBD Windows S Windows 2008 R2 Schutzbedarf Beurteilung / Begründung Vertraulichkeit Integrität Verfügbarkeit 23 S01-S02 Aktiv IT-Abteilung Vertraulichkeit: Es gibt besondere rechtliche Verschwiegenheitsbeschränkungen (z. B. Gesundheitsdaten, Patientendaten, ärztliche Schweigepflicht). Integrität: Eine Gefährdung von Leib und Leben kann nicht ausgeschlossen werden. Windows 2008 R2 12 S01-S02 Aktiv IT-Abteilung ohne Gefährdung 24

25 Aufwand-Nutzen-Relation Initiierung SI-konzept Umsetzung Erhaltung 25

26 BSI Initiierung SI-konzept Umsetzung Erhaltung IT-Strukturanalyse Erfassung der IT und der IT-Anwendungen Gruppenbildung Schutzbedarfsfeststellung IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen vgl. BSI-Standard

27 Individuelle Aufwandseinschätzung Aktion Aufwand in Tagen Häufigkeit in zwei Jahren Menge in Tagen Initiirung des Sicherheitsprozesses Aufnahmeaudit Realisierung von Sicherheitsmaßnahmen Einführung BSI-Grundschutz Einführung eines Notfallmanagements Betreuter Betrieb Jährliche Managementzusammenfassung Mitarbeiterschulung 1,5 3 4,5 Gesamtaufwand in Tagen 60,5 27

28 Weiteres Vorgehen: 2015 Erstellung eines IT-Sicherheitskonzeptes Step 1: Step 2: Step 3: Step 4: Step 5: Entscheidung für eine interne oder externe Umsetzung Sicherheitsanalyse Erstellung eines Bereinigten Netzplans Eröffnungsworkshop: Erarbeitung eines IT-Sicherheitskonzeptes Erstellung eines IT-Sicherheitskonzeptes Umsetzung BSI 100-x Step 1: Umsetzung INDART Step 2: Umsetzung INDITOR Step 3 (bis ): Umsetzung aller Maßnahmen gem. BSI 100-x 28

29 Wichtig! Die Leitungsebene (Geschäftsführung, Abteilungsleitung) trägt die Verantwortung für die von ihrem Bereich verarbeiteten Daten. Sie ist zuständig für die Festlegung des Sicherheitsniveaus. 29

30 Anforderungen an eine Softwarelösung BSI-Anforderungen Interne Anforderungen Notfallplanung Business Impact Analyse Datenschutzkonzept Mandantenfähigkeit ITS-Konzept Rechte- und Rollenverteilung Kryptokonzept Hard-und Softwareinventur Datensicherungskonzept SLA-Verwaltung Firewallkonzept Schnittstellen Brandschutzkonzept Dokumentenmanagement 30

31 Softwarelösungen Enterpriselösungen Basislösungen 31

32 Zertifizierung IT-Grundschutz-Zertifikat Seit 2002 erhältlich Seit 2006 Anpassung an internationale Zertifizierung 2 Vorstufen, werden von BSI-lizenzierten Auditoren vergeben IT-Grundschutz Einstiegsstufe IT-Grundschutz Aufbaustufe ISO Zertifikate auf Basis von IT-Grundschutz Überprüfung durch einen BSI-lizenzierten ISO Grundschutz-Auditor: Sichtung der Referenzdokumente, Vor-Ort-Prüfung, Report BSI entscheidet auf Basis des Audit-Reports und des ISO Grundschutz- Zertifizierungsschemas ( 32

33 Warum mit der SKC? Fundiertes technisches, betriebswirtschaftliches und juristisches Fachwissen Es ist immer ein neutraler Ansprechpartner (auch bei Sicherheitsvorfällen) vorhanden Wir arbeiten praxis- und lösungsorientiert Stellvertreter bei Fragen während der Abwesenheit Sie profitieren von den Erfahrungen anderer Unternehmen (Synergieeffekte) Bei kritischen Infrastrukturen: Jemand der den BSI-Sicherheitsvorfälle meldet Durch den Einsatz des externen IT-Sicherheitsbeauftragten vermeiden Sie folgende Aspekte: Ausbildungskosten für interne IT-Sicherheitsbeauftragte Schulungs- und Weiterbildungskosten für den IT-Sicherheitsbeauftragten 33

34 Vielen Dank für Ihre Aufmerksamkeit. Meine Kontaktdaten: Daniel Engelke /

Ähnliche Dokumente

Der externe IT-SB; Informationssicherheit durch das krz

Der externe IT-SB; Informationssicherheit durch das krz von Frank Lehnert Dienstag, den 11.06.2013 Wir integrieren Innovationen 1 Agenda Der (externe) IT-SB Sicherheitsorganisation Aufgaben und Anforderungen,