Weiterentwicklung IT-Sicherheitskonzeption: Entwicklung neuer BSI-Grundschutz in den Kommunen

Transkript

1 Weiterentwicklung IT-Sicherheitskonzeption: Entwicklung neuer BSI-Grundschutz in den Kommunen

2 Wo stehen wir? stetig steigende Komplexität der IT-Infrastrukturen Bedrohungen werden vielfältiger: Daten sind die Rohstoffe des 21. Jahrhunderts (Angela Merkel während des Besuchs der CeBIT 2016) Gewährleistung des sicheren IT-Betriebes rückt stärker in den Fokus (sicherheits-) fachliche Anforderungen an das IT-Personal und auch an externe Dienstleister steigen; anders sind die künftigen Herausforderungen nicht mehr zu stemmen

3 Wo stehen wir? Lösungen: intensive und regelmäßige Weiterbildungen des IT-Personals in fachlicher und sicherheitsbezogener Hinsicht IT (teil-) konsolidieren, wo sie nicht mehr eigenverantwortlich betrieben werden kann verstärkte Einbindung externer Dienstleister zur Betreuung der IT erhöhter Abstimmungsbedarf mit externer Dienstleister (Verfügbarkeit der IT-Infrastruktur)

4 Wo stehen wir? Halbwertzeit des Wissens von IT-Fachpersonal: 2 Jahre! Aus: E. Spring: Mediamatiker neue Ausbildungsphilosophie

5 Wo stehen wir? Aber: trotz verstärkter externer Unterstützung wird das IT-Fachpersonal im Hause nicht überflüssig! eigenes IT-Personal hat durch externe Entlastung potenziell mehr Kapazitäten für andere (IT-) Aufgaben im Hause z.b. als zentraler Ansprechpartner: Betreuung der IT-Nutzer Benutzerverwaltung IT-Feuerwehr diese Aufgaben kann kein IT-Dienstleister zu akzeptablen Preisen gewährleisten, da eine permanente Verfügbarkeit vor Ort erforderlich ist

6 Informationssicherheit in den Kommunen LfDI M-V fordert nach wie vor, dass in jeder Kommune der BSI- Grundschutz umgesetzt wird: Wir halten an unserer Empfehlung an die Kommunen aus dem Elften Tätigkeitsbericht fest, die Vorgaben der Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung umzusetzen, und erwarten, dass sie für Verfahren zur automatisierten Verarbeitung personenbezogener Daten die Grundschutzmethodik des BSI in vollem Umfang anwenden. (12. Tätigkeitsbericht 2014/2015, S. 38, 3. Mai 2016) Problem: der klassische BSI-Grundschutz ist für kleinere Kommunen zu komplex alternative Ansätze?

7 Informationssicherheit in den Kommunen ZV-Rahmensicherheitskonzept seit 2008 verfügbar 2014 grundlegend überarbeitet steht für alle Mitglieder des Zweckverbandes ego-mv kostenfrei zur Verfügung in Anlehnung an den BSI-Grundschutz; zur besseren Handhabbarkeit stark eingekürzt

8 Informationssicherheit in den Kommunen Informationssicherheit in 12 Schritten (ISIS12) Projekt aus Bayern für kleine Unternehmen und Behörden verkürztes Rahmenwerk aus den Anforderungen des BSI-Grundschutz und der ISO 27001; aufwärtskompatibel zu beiden Standards IT-Planungsrat des Bundes hat ISIS12 offiziell für den Einsatz im kommunalen Umfeld empfohlen kommunale Spitzenverbände: ISIS12 ist eine gute Grundlage für die Einführung eines Informationssicherheitsmanagements in den Kommunen (Quelle: Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen ) weitere Informationen:

9 Informationssicherheit in den Kommunen ISIS12: Bayerischer IT-Sicherheitscluster e.v.

10 Informationssicherheit in den Kommunen VdS 3473 Richtlinien für Informationssicherheit Initiative der Versicherungswirtschaft kostenfrei verfügbare Checklisten zum Abarbeiten Restrisiken können durch spezielle Cyberversicherungen abgedeckt werden weitere Informationen: Richtlinientext:

11 Informationssicherheit in den Kommunen neuer BSI-Grundschutz Neustrukturierung des bisherigen Grundschutzes 2016 erste, zur Kommentierung freigegebene Entwürfe der Bausteine 2017 Veröffentlichung neuer BSI-Standards und Grundschutzkataloge Basisabsicherung: Sicherheitsniveau knapp oberhalb der groben Fahrlässigkeit; Umsetzung der Mindestmaßnahmen ist Pflicht Kernabsicherung: für Kommunen weniger relevant (?) z.b. Schutz von Forschungsergebnissen vor Wirtschaftsspionage; hoch schutzbedürftige Fachverfahren Standardabsicherung: klassischer Grundschutz

12 Informationssicherheit in den Kommunen neuer BSI-Grundschutz: Bundesamt für Sicherheit in der Informationstechnik

13 Informationssicherheit in den Kommunen neuer BSI-Grundschutz: Ziele leichterer Einstieg in das Informationssicherheitsmanagement auch für kleine Institutionen schnellere Bereitstellung neuer und aktualisierter Inhalte Verschlankung der Grundschutz-Bausteine bessere Skalierbarkeit bessere Berücksichtigung anwenderspezifischer Anforderungen

14 Informationssicherheit in den Kommunen neuer BSI-Grundschutz speziell angepasste Grundschutzprofile für bestimmte Branchen ZV ego-mv beteiligt sich in einer bundesweiten Arbeitsgruppe an der Erarbeitung des Profils Basisabsicherung für Kommunalverwaltungen Zusammenstellung der wichtigsten BSI-Grundschutz-Bausteine unter Berücksichtigung der kommunalen Belange Arbeitsergebnis muss vom BSI als Profil freigegeben werden; ein Profil kann branchenweit gelten, z.b. Kommune, Wasserwerk etc. genauer Zeitplan noch unklar, Freigabe des Profils wird aber erst nach der Veröffentlichung des neuen BSI-Grundschutzes kommen

15 Verband der Sachversicherer Informationssicherheit in den Kommunen

16 Rechtslage und Ausblick derzeit keine direkte gesetzliche Verpflichtung zur Umsetzung von BSI- Grundschutz oder vergleichbarer Methodiken bisher lediglich Spezialbereiche wie Personenstandswesen, Nationales Waffenregister oder kritische Infrastrukturen betroffen es ist absehbar, dass mittelfristig konkrete Rechtsgrundlagen zur Umsetzung eines ISMS in allen öffentlichen Einrichtungen in Kraft gesetzt werden künftig nicht mehr einzelne Bereiche mit hohem Schutzbedarf, sondern die gesamte Verwaltung betreffend Empfehlung: frühzeitig mit dieser Materie befassen!

17 Rechtslage und Ausblick ZV ego-mv befasst sich derzeit mit der Beschaffung eines ISMS-Tools IT-Sicherheitskonzeptionen können damit softwarebasiert erarbeitet werden Revision durch die Fachaufsichten werden vereinfacht Ziel: Erwerb einer Landeslösung, die durch alle Verbandsmitglieder lizenzkostenfrei genutzt werden kann derzeit Markterkundung und Test einzelner Anwendungen im Fokus stehen derzeit drei Anbieter

18 Rüdiger Kramp Gemeinsamer Datenschutzbeauftragter Zweckverband Elektronische Verwaltung in M-V Eckdrift Schwerin Telefon: 0385 / Telefax: 0385 / Internet: datenschutz@ego-mv.de Fragen? ULD Schleswig-Holstein