IT-Sicherheits-Management in der Justiz

Transkript

1

2 IT-Stelle der hessischen Justiz IT-Sicherheits-Management in der Justiz 21. EGT, Saarbrücken, Richter am VG Dr. Lorenz

3 IT-Sicherheits-Management in der Justiz Achtung! IT-Sicherheit ist IHR Problem! Justiz braucht IT-Sicherheits-Strukturen nach Maß! Keine Zukunfts-Projekte ohne IT-Sicherheits-Management!

4 IT-Sicherheits-Management 1. IT-Sicherheit 2. IT-Sicherheits-Normen 3. IT-Sicherheits-Maßnahmen

5 IT-Sicherheit

6 IT-Sicherheit Aktivitäten zum Schutz von Daten vor Risiken beeinträchtigen Daten verletzen Risikoquellen Schutzgüter im Bezug auf Grundwerte höhere Gewalt organisatorisches/technisches Versagen fahrlässiges/vorsätzliches Handeln Vertraulichkeit Integrität Verfügbarkeit körperliche Unversehrtheit informationelle Selbstbestimmung Eigentum Normen/Verträge allgemein Funktionsfähigkeit/Ansehen Unabhängigkeit/Legalitätsprinzip

7 IT-Sicherheit Strategien der Risiko-Behandlung Risiken Beseitigung der Angriffspunkte Risikotransfer auf andere Schutz- Maßnahmen Akzeptanz des Restrisikos Verzicht auf IT Redesign der IT Überwachung Dritter Transparentmachung IT-Sicherheits- Analysen

8 IT-Sicherheit Zunehmende Relevanz Stetige Risiko-Zunahme Neue Angriffsmittel: Schadsoftware Neues Angriffsziel: IT-Infrastrukturen Neue IT-Landschaft: Offenheit Notwendige Konsolidierung der IT-Infrastrukturen Bedeutungs-Zuwachs der IT: Elektronischer Rechtsverkehr/e-Akte Qualitäts-Sicherung: Begleitende IT-Sicherheits-Maßnahmen Erhöhte Kontrolldichte der Mitbestimmungs-Gremien (IT-Kontrollkommission) der Rechnungshöfe (Richtlinien 2010)

9 IT-Sicherheit Veränderte Risiken durch neue IT-Landschaft Zentralisierung von IT-Systemen ( Fort-Knox-Methode ) Virtualisierung von IT-Systemen (IT as a service) Server: Virtualisierungs-Hosts (Server als Software) Clients: Terminal-Server (Client als Software) Durchlässigkeit der Netzwerk-Grenzen Mitarbeiter: mobile Datenträger/Endgeräte Verfahrens-Beteiligte: e-rechtsverkehr/e-akte Outsourcing von IT-Dienstleistungen Betrieb von Übertragungs-Wegen durch Dritte Online-Support durch Dritte

10 IT-Sicherheit Sieben verbreitete Irrtümer 1. Bisher ist nichts passiert, daher wird auch künftig nichts passieren neue IT eröffnet neuartige Risiken und neuartige Angriffsziele 2. IS-Maßnahmen werden auch ohne IS-Management getroffen unzusammenhängend und nicht aufeinander abgestimmt 3. IT-Dienstleister treffen von allein die erforderlichen Maßnahmen nur soweit dies konkret beauftragt (und bezahlt) wurde 4. Der IT-Sicherheitsbeauftragte trägt die Verantwortung Verantwortung für IS liegt beim Nutzer und beim IT-Management

11 IT-Sicherheit Sieben verbreitete Irrtümer 5. IT-Sicherheits-Maßnahmen sind zu teuer Improvisierte Schadensbehebung ist teurer als Prävention 6. Zuerst bringen wir die IT zum Laufen, dann machen wir sie sicher Dann ist es für viele Maßnahmen zu spät 7. Für IS-Analysen ist keine Zeit, wir übernehmen das Restrisiko Ein ungeklärtes Restrisiko kann nicht sinnvoll übernommen werden

12 IT-Sicherheits- Management-System Struktur

13 IT-Sicherheits-Management-System Definition Risiko-Behandlung auf der Basis eines definierten Standards durchgehend/nachvollziehbar dokumentiert System funktionale Rollen zyklisch wiederholte Prozesse verbindliche IS-Normen

14 IT-Sicherheits-Management-System Standards BSI Grundschutz-Standards bis : IS-Management-Systeme (ISMS) 100-2: IS-Prozess(e) (IS-Konzepte) 100-3: Ergänzende Risiko-Analyse 100-4: Notfall-Management Grundschutz-Handbuch: Grundschutz-Kataloge DIN ISO ff 27000: ISMS - Übersicht 27001: ISMS - Anforderungen 27002: ISMS - Leitfaden (Maßnahmen-Kataloge) 27003: ISMS - praktische Umsetzung 27005: ISMS - Risiko-Management

15 IT-Sicherheits-Management-System Lenkungs- und Ausführungsebene Lenkungs-Ebene (IS-Normen) IS-Rollen Strukturen zur Erzeugung von IS-Prozessen IS-Prozesse Verfahren zur Erzeugung von IS-Maßnahmen IS-Maßnahmen Vorkehrungen zur Behandlung von IS-Risiken Ausführungs-Ebene (IS-Maßnahmen)

16 IT-Sicherheits-Management-System Haupt-Rollen Lenkungsebene: IS-Normen HMdJIE IT-SiB Justiz Gerichte Behörden IT-Stelle HZD Ausführungsebene: IS-Maßnahmen

17 IT-Sicherheits- Management-System Lenkungs-Ebene

18 Rollen IT-Sicherheits-Beauftragter

19 IT-Sicherheits-Beauftragter Stabstelle IT-Sicherheit der IT-Stelle Abt. 1 Präsident Vize-Präsident Abt. 2 IT-Sicherheit Abt. 3 Verwaltung Abt. 4 Koordination und Projektcontrolling Abt. 5 Fachanwendungen Ordentliche Gerichtsbarkeit Abt. 6 Fachanwendungen Staatsanwaltschaften Abt. 7 Fachanwendungen Justizvollzug Abt. 8 Fachanwendungen Fachgerichtsbarkeiten Abt. 9 Gemeinsame Überwachungsstelle der Länder Personal Projektbüro Entwicklung Zentralaufgaben Projekte Registerverfahren Haushalt & Beschaffung Querschnittsverfahren EUREKA Koordination HZD UHD / VOB

20 IT-Sicherheits-Beauftragter Hauptaufgaben Wächter der Verfahrensabläufe Sorgt im Auftrag des IT-Managements dafür, dass die notwendigen IS-Normen geschaffen und aktualisiert werden die IS-Prozesse konzipiert und zum Einsatz gebracht werden IS-Risiken analysiert und behandelt werden die Umsetzung und Aktualisierung von IS-Maßnahmen überprüft wird Sicherheitsvorfällen nachgegangen wird Berät die übrigen Funktionsträger in Fragen der IS Ist nicht dafür zuständig IS-Risiken selbst abschließend zu beurteilen IS-Maßnahmen selbst zu konzipieren oder zu genehmigen die Umsetzung von Maßnahmen selbst zu überprüfen

21 IT-Sicherheits-Beauftragte Produkt- und Linien-IT-SiBs IT-Management IS-Board Ressort IT-SiB Justiz IT-SiB HMdJIE IT-SiBs Geschäftsbereiche IT-SiB IT-Stelle IT-SiBs Abteilungen IT-SiBs Projekte IT-SiBs Behörden Eigensicherung HMdJIE Eigensicherung Geschäftsbereiche Eigensicherung IT-Stelle Produktsicherheit IT-Stelle

22 Rollen: Abstimmungs-Mechanismen Länder IT-SiBs HMdJIE Abteilung I AK IS HZD HZD Hünfeld Wiesbaden AK IS Länder (halbj.) Quartalsgespräch Quartalsgespräch IT-SiB Halbjahresgespräch HDSB IT-SiB Justiz IT-Beirat Jour Fixe (mtl.) IT-Stelle Leitung Abteilungen AK IS Hessen (mtl.) Projektrat IT-Kontrollkommission Hessen Ressorts IS Board IT-SiBs Mittelbehörden Großprojekte Justiz IT-Referenten Gremien

23 Rollen IT-Kontroll-Kommission

24 IT-Kontrollkommission Netzklage-Urteil OLG FFM v Begründung In der (vom HMdJIE gegenüber der HZD) zu erlassenden Verwaltungsvorschrift sind folgende Regelungen mindestens geboten: (1) Auf richterliche Dokumente (Protokolle. Ladungen, Voten, Hinweise, Entwürfe usw.) dürfen Mitarbeiter der HZD inhaltlich nur Zugriff nehmen, wenn (2) Richterliche Dokumente dürfen von der HZD nicht weitergegeben werden (3) Eine Speicherung oder Weitergabe von Metadaten über richterliche Dokumente ist nicht zulässig. (4) Ausnahmen von (2) und (3) (5) Berechtigte Inhaber des Masterpassworts sind zu bestimmen und die Bedingungen einer Weitergabe festzulegen (6) Die Einhaltung der vorstehenden Regelungen ist durch eine regelmäßige Geschäftsprüfung durch den JM zu überwachen unter gleichberechtigter Mitwirkung von gewählten Vertretern der Richterschaft. Dieser Kommission ist uneingeschränktes Auskunfts- und Einsichtsrecht zu gewähren.

25 IT-Kontrollkommission Gesetz über die Errichtung der IT-Stelle v Fachaufsicht über die Hessische Zentrale für Datenverarbeitung Soweit die HZD Aufgaben für den Geschäftsbereich des HMdJ wahrnimmt, untersteht sie dessen Fachaufsicht. Die Kontrolle der Tätigkeit der HZD auf die Einhaltung aller Bestimmungen, die der Gewährleistung der IT-Sicherheit der Daten der hessischen Justiz dienen, erfolgt durch die IT-Stelle. 3 IT-Kontrollkommission Soweit im Rahmen der Fachaufsicht nach 2 Satz 2 Überprüfungen zum Schutz vor unbefugten Zugriffen durch Mitarbeiterinnen und Mitarbeiter der Hessischen Zentrale für Datenverarbeitung erfolgen sollen, wirkt eine einzurichtende IT- Kontrollkommission mit. Die IT-Kontrollkommission besteht aus.

26 IT-Kontrollkommission Mitglieder und Organe Organe Außen-Vertretung 3 Abs. 2 u. 7 GeschO Vorsitzender Stellv. Vorsitzender 3 GeschO Geschäftsstelle 4 Abs. 1 GeschO Interne Geschäftsabläufe 4 Abs. 2 GeschO Mitglieder ( 3 Abs. 2 ITSG, 2 Abs. 1 GeschO) IT-Stelle der hessischen Justiz Bezirksrichterrat Oberlandesgericht Frankfurt/Main Bezirksrichterrat Hessisches Landesarbeitsgericht Bezirksrichterrat Hessisches Landessozialgericht Bezirksrichterrat Hessischer Verwaltungsgerichtshof Richterrat Hessisches Finanzgericht Bezirksstaatsanwaltsrat Generalstaatsanwalt beim OLG Hauptpersonalrat HMdJIE

27 IT-Kontrollkommission Aktivitäten 1. Sitzung 2. Sitzung 3. Sitzung Geschäftsordnung Logistik Vorsitzender Geschäftsstelle RiLi-Entwurf Netzadministration Auskünfte Ortstermin HZD Experten-Anhörung Sicherheits- Vorfälle

28 Normen - Prozesse

29 IT-Sicherheits-Management-System Normen-Hierarchie IS-Leitlinie Grundlagen des ISMS IS-Richtlinien Detailvorgaben für Einzelprozesse IS-Analysen Ableitung von IS-Maßnahmen Dienst-Anweisungen Umsetzungs-Anweisungen

30 IT-Sicherheits-Management-System Leitlinie und Richtlinien IS-Leitlinie Justiz Hessen IS-Richtlinien für Einzelprozesse Kernprozesse IS-Organisation IS-Analysen Berichte und Prüfungen Prozesse IT-Betrieb Administration Justiznetz Datenschutz- Verfahren Prozesse IT-Nutzung Internet Mobile Computing Besondere Prozesse Incident- Management Notfall- Management

31 IT-Sicherheits- Management-System Maßnahmen-Ebene

32 IT-Sicherheits-Maßnahmen Einzel- und Gesamtbetrachtung IS-Gesamt-Betrachtung IS-Einzel-Betrachtung Vorhaben ohne IS-Konzept neue Risikoquelle eingetretene Verletzung Geschäftsprüfung IS-Verfahren IS-Infrastruktur IS-Problem IS-Warnung IS-Vorfall IS-Audit IS-Konzept IS-Analyse IS-Maßnahmen it-technisch organisatorisch

33 IT-Sicherheits-Maßnahmen Grundschutz-Kataloge Gefährdungs-Kataloge Grundschutz-Bausteine Maßnahmen-Kataloge G1 Höhere Gewalt G 1.1 Personalausfall G 1.2. Systemausfall. G2 Organisatorische Mängel G 2.1 Fehlende Regelungen G 2.2 Fehlende Kenntnisse. G3 Menschliches Versagen G 3.2 Zerstörung von Geräten G 3.2 Nichtbeachten von Maßnahmen. B1 Übergreifende Aspekte B Notfallmanagement B Datensicherung. B2 Immobilien B 2.1 Gebäude B 2.2 Büroräume. B3 IT-Systeme B Allgemeine Server B Unix-Server. B4 Netze B 4.1 Heterogene Netze. B5 IT-Anwendungen B 5.4 Web-Server B 5.7 Datenbanken. M1 Immobilien M 1.4 Blitzschutz M 1.7 Feuerlöscher. M2 Organisation M 2.1 Verantwortlichkeiten. M3 Personal M 3.1 Einweisung M 3.2 Vertretungen M4 Hard- u. Software M 4.1 Passwortschutz M 4.2 Bildschirmsperre.

34 IT-Sicherheits-Maßnahmen PDCA-Prozess Maßnahmen- Planung Maßnahmen- Umsetzung P(lan) D(o) A(ct) C(heck) Maßnahmen- Korrektur Maßnahmen- Kontrolle

35 IT-Sicherheits-Maßnahmen IT-Sicherheits-Konzepte Plan Struktur-Analyse Schutzbedarfs-Analyse Grundschutz- Analyse Maßnahmen-Modellierung Basis-Sicherheits-Check Ergänzende Risiko-Analyse Do Check Act Umsetzungs-Plan Kontroll-Plan Aktualisierungs-Plan

36 IT-Sicherheits-Maßnahmen Fach-Sicherheits-Konzepte - Basis-Sicherheits-Konzept Basis-Sicherheitskonzept Teil 1 Übergeordnete Aspekte Daten Fach-Sicherheitskonzept SolumStar Fach-Sicherheitskonzept e-crom Fach-Sicherheitskonzept DOMEA Fach-Sicherheitskonzept NeFa Anwendungs- Software System- Software Basis-Sicherheitskonzept Teil 2 Standard-Anwendungen Basis-Sicherheitskonzept Teil 3 IT-Systeme: Clients, Server Hardware Netze Immobilien (Gebäude, Räume) Basis-Sicherheitskonzept Teil 4 Netze Basis-Sicherheitskonzept Teil 5 Räume

37 IT-Sicherheits-Maßnahmen Basis-Sicherheits-Konzept Komponenten-Inventar Maßnahmen-Katalog Server Standard-Server Windows-Server 2003 Maßnahme 1 Maßnahme Maßnahme 1 Maßnahme 2 Unix-Server Virtualisierungs-Hosts Terminal-Server Clients PC-Clients Mobile Clients Thin-Clients Peripherie-Geräte Anwendungen Netze

38 IT-Sicherheits-Maßnahmen Kurz-Analyse Struktur-Analyse (IT-Nutzer) Beschreibung des Problems Skizze der Struktur-Komponenten Risiko-Analyse (IT-Dienstleister) Neuralgische Punkte identifizieren Risiko-Szenarien beschreiben Maßnahmen-Optionen/Kosten darstellen Entscheidung (IT-Management) Maßnahmen-Auswahl treffen Restrisiken übernehmen

39 IT-Sicherheits-Management Arbeitsschritte Einrichtung des ISMS Normen Fach-Konzepte Basis-Konzept Leitlinie Justiz RiLi Organisation Inventar Verbünde Struktur-Analysen Inventar Infrastruktur Priorität 1 RiLi IS-Analysen RiLi Justiznetz Schutzbedarf Priorisierung Maßnahmen-Liste Priorität 2 Weitere Richtlinien Einzelne Konzepte Maßnahmen-Pläne

40 IT-Sicherheits-Management in der Justiz Achtung! IT-Sicherheit ist IHR Problem! Justiz braucht IT-Sicherheits-Strukturen nach Maß! Keine Zukunfts-Projekte ohne IT-Sicherheits-Management!

41 IT-Stelle der hessischen Justiz IT-Sicherheits-Management in der Justiz 21. EGT, Saarbrücken, Richter am VG Dr. Lorenz

42