Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Transkript

1 Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann

2 Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische / organisatorische Rahmenbedingungen Schutzbedarf Der BSI-GS Vorgehen Erstellung Sicherheitskonzept gem. BSI GS Initiierung Sicherheitsprozess Leitlinie zur Informationssicherheit Der Informationsverbund Schutzbedarfsfeststellung Modellierung Berichte Vorgehen / Risikofaktoren Fazit Ziel / Ausblick 2

3 Die HannIT (AöR) Bis Eigenbetrieb der Region Hannover Gründung der HannIT (AöR) zum Derzeit 22 Träger (Region Hannover, 21 Städte und Gemeinden der Region Hannover) Vorstand Verwaltungsrat IT-Arbeitskreis Beschäftigte: Auszubildende Umsatz 2011: ca. 12 Mio. IT-Dienstleister für die Träger und externe Kunden Entwicklung Programmierung Bereitstellung Pflege Beratungsleistungen 3

4 Leistungsumfang HannIT Mobilität / ÖPNV Soziales Gesundheit Personalmanagement KFZ GIS Jugend Sicherheitsrechenzentrum Signaturkarten Finanzwesen OWI Bezüge Gebäudemanagement DMS PC- Service EWO Telekommunikation Telefon- Service

6 Das Personenstandswesen Daten über Geburt Eheschließung Begründung einer Lebenspartnerschaft Tod Beurkundung Führen der Personenstandsregister Geburtsregister Heiratsregister Sterberegister Lebenspartnerschaftsregister 6

7 gesetzliche Rahmenbedingungen (PStV) - 9 Personenstandsregister können seit dem elektronisch geführt werden (verpflichtend ab ) PStG vom Claudia Hautumm / Pixelio / [ ] Personenstandsregister bestehen aus Registereinträgen, die auf Dauer lesbar und unveränderbar zu speichern sind. Die Registereinträge enthalten die[ ] erforderlichen Daten, einschließlich der dauerhaft überprüfbaren qualifizierten elektronischen Signatur des beurkundenden Standesbeamten [ ]. Th. Reinhardt / Pixelio / 7

8 gesetzliche Rahmenbedingungen (PStV) - 10 Gewährleistung der Sicherheit von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit Umsetzung von Maßnahmen, die die Sicherheit von Daten mit hohem Schutzbedarf gewährleisten Beachtung und Gewährleistung der technisch organisatorischen Maßnahmen (TOMs) gemäß Anlage zu 9 Bundesdatenschutzgesetz (BDSG) Erstellung und Pflege eines Sicherheits- und Betriebskonzeptes 8

9 Betrieb bei HannIT Betrieb der Fachanwendung AutiSTA und des epr seit Kunden 9

10 Sicherheitskonzept (aktuell) Umsetzung der in der Anlage zu 9 BDSG beschriebenen technisch organisatorischen Maßnahmen ( toms ) Richtlinien / Regelungen für Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Getrennte Verarbeitung von Daten (Trennungskontrolle) 10

11 Sicherheitskonzept (aktuell) Maßnahmen entsprechen den Anforderungen der PStV ABER: kein übergreifender Sicherheitsstandard wie nach BSI-GS Entscheidung Vorstand Ausrichtung der IT-Sicherheit bei HannIT auf Basis von BSI-GS Einführung eines ISMS Benennung IT-Sicherheitsbeauftragter Ziel: Umfassende, übergreifende Gewährleistung der IT- Sicherheit auf Basis des BSI-GS-Standards 11

12 Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PersStVO) technische / organisatorische Rahmenbedingungen Schutzbedarf Der BSI-GS Vorgehen Erstellung Sicherheitskonzept gem. BSI GS Initiierung Sicherheitsprozess Leitlinie zur Informationssicherheit Der Informationsverbund Schutzbedarfsfeststellung Modellierung Berichte Vorgehen / Risikofaktoren Fazit Ziel / Ausblick 12

13 Der BSI-GS BSI-Standards bis BSI-Standard Managementsysteme für Informationssicherheit (ISMS) BSI-Standard IT- Grundschutz- Vorgehensweise BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard Notfallmanagement 13

14 Der BSI-GS Grundschutz-Kataloge Schichtenmodell mit Bausteinen Übergreifende Aspekte Infrastruktur IT-Systeme Netze Anwendungen Gefährdungskataloge Maßnahmenkataloge 14

15 Der BSI-GS GS-Tool Erfassen Modellieren Risikoanalyse Berichte 15

16 Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PersStVO) technische / organisatorische Rahmenbedingungen Schutzbedarf Der BSI-GS Vorgehen Erstellung Sicherheitskonzept gem. BSI GS Initiierung Sicherheitsprozess Leitlinie zur Informationssicherheit Der Informationsverbund Schutzbedarfsfeststellung Modellierung Berichte Vorgehen / Risikofaktoren Fazit Ausblick 16

17 Initiierung Sicherheitsprozess Vorgabe durch Vorstand Ausrichtung der IT-Sicherheit auf Basis von BSI-GS Benennung IT- Sicherheitsbeauftragter Definition der Sicherheitsstrategie und ziele Ableiten der Sicherheitsleitlinie aus der Sicherheitsstrategie Informationsveranstaltung für alle Beschäftigten 17

18 Leitlinie zur Informationssicherheit Erstellen und Verabschiedung einer Sicherheitsleitlinie enthält Aussagen zu Stellenwert der IT und damit der IT-Sicherheit für HannIT (AöR) übergreifenden Zielen Detailzielen Informationssicherheitsmanagement Sicherheitsmaßnahmen Verbesserung der Sicherheit Aktuelle Sicherheitsleitlinie (Security-Policy) im Rahmen der Anpassung an BSI-GS 18

19 Leitlinie Informationssicherheit übergreifende Ziele Sicherstellung von Vertraulichkeit Verfügbarkeit Integrität Authentizität Verbindlichkeit von Informationen durch geeignete und angemessene technische und organisatorische Maßnahmen Nutzung von Standards (BSI-GS, ISO 27001) Gesetzliche Anforderungen sind zwingend einzuhalten Sensibilisierung der Beschäftigten Informationsreihe zu Zweck und Inhalten der Leitlinie (mit Pflicht zur Teilnahme) Priorisierung von Maßnahmen 19

20 Der Informationsverbund Informationsverbund Personenstandswesen Umfasst die gesamte Infrastruktur der Server bei HannIT (AöR) Clientseitige Betrachtung nicht möglich, da dezentral in den Standesämtern der Städte und Gemeinden vorhanden nicht in Verantwortung von HannIT (AöR) Gebäude Geschäftsstelle der HannIT Rechenzentrum in der Geschäftsstelle Büroräume IT-Systeme AutiSta Terminalserver AutiSta-Server epr-server Domaincontroller Datenbanken Speichersysteme (NAS, SAN) Signaturserver Netze ( VPN) Anwendung Mitarbeiter 20

21 Der Informationsverbund 21

22 Schutzbedarfsfeststellung Schutzbedarf ergibt sich aus 10 PStVO Hoher Schutzbedarf 22

23 Schutzbedarfsfeststellung Zusätzlich eigene Schutzbedarfsfeststellung erstellt Schutzbedarfskategorien normal hoch sehr hoch Maximalprinzip unter der Fragestellung: Was wäre wenn,? Sechs Schadenskategorien Verstoß gegen Gesetze / Vorschriften / Verträge Beeinträchtigung des informationellen Selbstbestimmungsrechts Beeinträchtigung der personellen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung Negative Innen- oder Außenwirkung Finanzielle Auswirkungen Bewertung unter den Aspekten Verlust der Vertraulichkeit Verlust der Integrität Verlust der Verfügbarkeit Verlust der Authentizität Verlust der Verbindlichkeit Ergebnis: Hoher Schutzbedarf 23

24 Schutzbedarfsfeststellung 24

25 Modellierung 25

26 Modellierung 26

27 Modellierung 27

28 Modellierung 28

29 Modellierung 29

30 Berichte 30

31 Berichte 31

32 Berichte 32

33 Maßnahmen Umzusetzende Maßnahmen für den IT-Verbund Personenstandswesen Insgesamt 868, davon übergreifende Aspekte 260, davon Siegelstufe A 143 Siegelstufe B 37 Siegelstufe C 26 zusätzlich 54 Gebäude 63, davon Siegelstufe A 28 Siegelstufe B 12 Siegelstufe C 4 zusätzlich 19 Raum (RZ) 32, davon Siegelstufe A 14 Siegelstufe B 6 Siegelstufe C 4 zusätzlich 8 IT-Systeme, Anwendung, Zusammenfassung und Vererben von Maßnahmen durch Gruppierungen möglich 33

34 Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische / organisatorische Rahmenbedingungen Schutzbedarf Der BSI-GS Vorgehen Erstellung Sicherheitskonzept gem. BSI GS Initiierung Sicherheitsprozess Leitlinie zur Informationssicherheit Der Informationsverbund Schutzbedarfsfeststellung Modellierung Berichte Vorgehen / Risikofaktoren Fazit Ausblick 34

35 Vorgehen / Risikofaktoren Vorgehen: Befragungen / Interviews Sichten vorhandener Richtlinien / Konzepte / Dokumentationen ggf. anpassen bzw. neu erstellen z.b. M 1.20 Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht (A-Maßnahme) Auswahl von Kabeln u.a. nach folgenden Kriterien: Temperatur, umgebendes Medium, Nagetierschutz, Spatenstichfestigkeit, Risikofaktoren Viele Beteiligte / Zuständige (IT-Leiter, Administratoren, Fachanwendungsbetreuer, Gebäudemanagement, ) Erfordert hohen Abstimmungsaufwand Faktor Zeit (erforderliche Ressourcen) 35

36 Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische / organisatorische Rahmenbedingungen Schutzbedarf Der BSI-GS Vorgehen Erstellung Sicherheitskonzept gem. BSI GS Initiierung Sicherheitsprozess Leitlinie zur Informationssicherheit Der Informationsverbund Schutzbedarfsfeststellung Modellierung Berichte Vorgehen / Risikofaktoren Fazit Ausblick 36

37 Fazit Vorgehen nach BSI-GS und Einsatz GS-Tool ermöglichen die sichere, transparente, messbare, einheitliche und betriebsübergreifende Gewährleistung von IT-Sicherheit 37

39 Ziel / Ausblick Quelle Bild: 39

40 Vielen Dank für Ihre Aufmerksamkeit! Marco Puschmann 0511/