Der niedersächsische Weg das Beste aus zwei Welten

Größe: px

Ab Seite anzeigen:

Download "Der niedersächsische Weg das Beste aus zwei Welten"

Ursula Buchholz
vor 7 Jahren
Abrufe

1 Der niedersächsische Weg das Beste aus zwei Welten 16. Kommunales IuK-Forum Niedersachsen am in Gosslar Sylwia Henhappel Referentin Informationssicherheit, Cybersicherheit, E-Government Niedersächsisches Ministerium für Inneres und Sport

2 Agenda Wozu Informationssicherheit? Beschlüsse zur Informationssicherheit IT-Grundschutz ISO Unterschiede ISO vs. IT-Grundschutz Der Niedersächsische Weg in der Praxis Modernisierung des IT-Grundschutzes 2

3 Wozu Informationssicherheit? 3

4 Informationssicherheitsleitlinie des Bundes 10. IT-Planungsrat Beschluss 2013/01 Punkt 2: Geltungsbereich und Umsetzung: Die Leitlinie für die Informationssicherheit gilt nach Verabschiedung durch den IT-PLR für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Den Kommunen, den Verwaltungen des Deutschen Bundestages und der Landesparlamente, den Rechnungshöfen von Bund und Ländern sowie den Beauftragten für den Datenschutz in Bund und Ländern wird die Anwendung der Leitlinie für die Informationssicherheit empfohlen. Punkt 3: Ziele der Informationssicherheit und Umsetzungsstrategien Informationssicherheitsmanagement (ISMS) Das Ziel der Leitlinie ist der Aufbau und die Etablierung eines ISMS nach einheitlichen verwaltungsübergreifenden Mindestanforderungen orientiert am IT-Grundschutz des BSI. Zur Einführung genügt im ersten Schritt ein ISMS auf Basis ISO

5 Informationssicherheitsmanagementsystem Definition Das ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. 5

6 Informationssicherheitsleitlinie des Bundes 10. IT-Planungsrat Beschluss 2013/01 Punkt 2: Geltungsbereich und Umsetzung: Die Leitlinie für die Informationssicherheit gilt nach Verabschiedung durch den IT-PLR für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Den Kommunen, den Verwaltungen des Deutschen Bundestages und der Landesparlamente, den Rechnungshöfen von Bund und Ländern sowie den Beauftragten für den Datenschutz in Bund und Ländern wird die Anwendung der Leitlinie für die Informationssicherheit empfohlen. Punkt 3: Ziele der Informationssicherheit und Umsetzungsstrategien Informationssicherheitsmanagement (ISMS) Das Ziel der Leitlinie ist der Aufbau und die Etablierung eines ISMS nach einheitlichen verwaltungsübergreifenden Mindestanforderungen orientiert am IT-Grundschutz des BSI. Zur Einführung genügt im ersten Schritt ein ISMS auf Basis ISO

7 Überblick BSI-Standards / IT-Grundschutz Fakten: IT-Grundschutz Kataloge gekoppelt mit 4 Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise [ZELLBEREI CH] [WERT] [ZELLBEREI CH] [WERT] [ZELLBEREI CH] [WERT] BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement IT-Grundschutzkataloge 4068 Seiten 7

8 Überblick BSI-Standards / IT-Grundschutz Anwendungsrahmen Gesamte Infrastruktur 8

9 Überblick ISO Fakten: ISO/IEC 2700x - Familie ISO/IEC Zertifizierungsstandard (ISMS) ISO/IEC Best-Practices ISO/IEC Implementierungsrichtlinien ISO/IEC Messwerte ISO/IEC Risikomanagement [ZELLBEREI CH] [WERT] [ZELLBEREI CH] [WERT] [ZELLBEREI CH] [WERT] ISO-IEC und Seiten 9

10 Überblick ISO Anwendungsrahmen Wichtige Prozesse und Werte Geeignete Sicherheitsmechanismen 10

11 Unterschiede ISO vs. IT-Grundschutz IT-Grundschutz Nationaler Standard Vorgegebene Methodik Detaillierte Dokumentation (mehr als 4000 Seiten) Hierarchischer Ansatz Keine Risikoanalyse bzw. nur bei einem erhöhtem Schutzbedarf Kostenlos Kostenintensive Umsetzung ISMS 11

12 Eierlegende Wollmilchsau? existiert nicht Die Auswahl sollte immer auf den Bedürfnissen und Anforderungen basieren! 12

13 Informationssicherheitsleitlinie des Landes Niedersachsen Kabinettsbeschluss 2011/07 Punkt 1: Gegenstand und Geltungsbereich: Die ISLL beschriebt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Landeverwaltung auf Grundlage des Standards ISO/IEC Ziel: Etablierung eines ressortübergreifenden ISMS in der Landesverwaltung Niedersachsen auf der Grundlage des Standards ISO Risikoanalysen Risikobehandlung Angemessenes Verhältnis zwischen Aufwand und Nutzen 13

14 Nds. Informationssicherheitsmanagement (ISMS) Landesregierung Informationssicherheitsbeauftragter der Landesregierung Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne 14

15 Das Beste aus zwei Welten IT-Grundschutz Idee eines Sicherheitskonzepts Nutzung der Gefahrenund Maßnahmenkataloge Kriterien für das Schadensausmaß Verstoß gegen Gesetze, Datenschutz, Image, Aufgabenerfüllung, finanzielle Auswirkungen Kategorien für die Informationsklassifizierung des Schadensausmaßes normal / hoch / sehr hoch 15

16 Das Beste aus zwei Welten ISO Aufgaben - Analyse Erhebung der schutzbedürftigen Informationen Ressourcen - Analyse Erhebung der Ressourcen (Sachmittel + Personal) mit Gefahrenpotential Gefahren-Analyse Einwirkung von Bedrohungen auf Schwachstellen Risiko-Analyse Bewertung der Gefahren 16

17 Dokumentenhierarchie Modularer Aufbau: Dokumentenhierarchie Domänen-Risiko Behördenleitung Behörde / Fachverwaltung erstellt IT-Dienstleister erstellt 17

18 In 7 Schritten zum Sicherheitskonzept ISRL Konzeption Risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen Mindestanforderungen an eine risikoorientierte Vorgehensweise Dokumentenstruktur von Sicherheitskonzepten und von Risikobeschreibungen Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen ressortübergreifend vergleichbar feststellen und fortlaufend verbessern 18

19 In 7 Schritten zum Sicherheitskonzept Schritt 1 19

20 In 7 Schritten zum Sicherheitskonzept Schritt 2 20

21 In 7 Schritten zum Sicherheitskonzept Schritt 3 21

22 In 7 Schritten zum Sicherheitskonzept Schritt 4 22

23 In 7 Schritten zum Sicherheitskonzept Schritt 5 23

24 In 7 Schritten zum Sicherheitskonzept Schritt 6 24

25 In 7 Schritten zum Sicherheitskonzept Schritt 7 25

26 Ergebnisdokumente: Sicherheitskonzept als Entscheidungsvorschlag Risikobeschreibung als Beipackzettel Management Summary Management Summary Betrachtungsgegenstand Betrachtungsgegenstand TOP-Risiken TOP-Risiken TOP-Maßnahmen Sicherheitsfeatures Handlungsstrategie Servicerisiken Servicerisiko-Bewertung Maßnahmenvorschläge Behördenleitung Leistungsempfänger 26

27 Dokumentenhierarchie Modularer Aufbau: Risikoverantwortung Behördenleitung verantwortet Rest- Risiko (Domänenrisiko) DRB Sicherheitsdomäne erstellt Sicherheitskonzept Domänenrisiko VRB Verfahrens-Risiko Behördenleitung Sicherheitskonzept + Verfahrensrisikobeschreibung SRB Service-Risiko Behördenleitung Sicherheitskonzept + Servicerisikobeschreibung 27

28 Das neue Vorhaben des BSI 28

29 Modernisierung des IT-Grundschutzes Ziele Optimierung und Flexibilisierung der Vorgehensweisen Verschlankung und bessere Strukturierung der IT- Grundschutz-Kataloge Bausteine Vorgehensweisen Profilbildung - Anpassung an Größe und Schutzbedarf der Institution Profile Modernisierter IT-Grundschutz 29

30 Modernisierung IT-GS - Neue Vorgehensweisen Vorgehens -weisen Modernisierter IT-Grundschutz 30

31 Modernisierung IT-GS - Bausteine Neue Dokumentenstruktur der Bausteine und Umsetzungshinwiesen: Bausteine Modernisierter IT-Grundschutz Bausteine: Umfang - ca. 10 Seiten, Konkrete Gliederung (Beschreibung, Einleitung, Zielsetzung, Abgrenzung, Verantwortlichkeiten), Spezifische Gefährdungslage, Anforderungen Umsetzungshinweise: Umfang - beliebig, Gliederung angelehnt an Bausteine, Maßnahmen als Umsetzungshilfen, Referenzen auf weiterführende Informationen 31

32 Modernisierung IT-GS - Profile Profile Werkzeug für anwenderspezifische Empfehlungen Möglichkeit der individuellen Anpassung des IT-Grundschutzes an die jeweiligen Bedürfnisse Berücksichtigung der Möglichkeiten und Risiken der Institution Profiltypische IT-Szenarien, z.b. Modernisierter IT-Grundschutz Kommunalverwaltung in Bundesland XY, Krankenhaus, Wasserwerk als kritische Infrastruktur usw. 32

33 Modernisierung IT-GS - Veröffentlichungsprozess 33

34 Kontakte Sylwia Henhappel Referentin Informationssicherheit, Cybersicherheit, E-Government Niedersächsisches Ministerium für Inneres und Sport Tel / sylwia.henhappel@mi.niedersachsen.de

Ähnliche Dokumente

Die Modernisierung des IT-Grundschutzes

Die Modernisierung des IT-Grundschutzes Holger Schildt IT-Grundschutz 22.03.2017, CeBIT Security Stage IT-Grundschutz in der Praxis Das Managementsystem für Informationssicherheit des BSI Institutionsübergreifende