ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN REFERENT: ANDREAS HECKER

Transkript

1 ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN REFERENT: ANDREAS HECKER

2 AGENDA 1. Vorstellung des Bayerischen IT-Sicherheitscluster e.v. 2. IT Planungsrat Mindestanforderungen & Beschlusslage 3. Bayerisches egovernment-gesetz 4. Förderprogramm für Kommunen in Bayern 5. ISIS12 Informations-SIcherheitsmanagementSystem in 12 Schritten 6. ISIS12-Blaupause für Kommunen 2 Bayerischer IT-Sicherheitscluster e.v

3 BAYERISCHER IT-SICHERHEITSCLUSTER E.V. Gründung: 2006 als Netzwerk (Cluster) in Regensburg 2012 Eröffnung der Geschäftsstelle Augsburg 2013 Überführung in einen Verein Geschäfte des Vereins führt die R-Tech GmbH über einen Geschäftsbesorgungsvertrag Mitglieder: Unternehmen der IT-Wirtschaft Unternehmen, die Sicherheitstechnologien nutzen Hochschulen und Weiterbildungseinrichtungen Juristen 3 Bayerischer IT-Sicherheitscluster e.v

4 BAYERISCHER IT-SICHERHEITSCLUSTER E.V. 4 Bayerischer IT-Sicherheitscluster e.v

5 IT-PLANUNGSRAT MINDESTANFORDERUNGEN Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung (Stand ) Version 1.8 (10. IT-Planungsrat Beschluss 2013/01): Die Mindestanforderungen an das ISMS umfassen: Erstellung von jeweiligen verbindlichen Leitlinien für die Informationssicherheit Erstellung und Umsetzung von Sicherheitskonzepten für Behörden und Einrichtungen Festlegung und Dokumentation der Abläufe bei IT- Sicherheitsvorfällen Information, Weiterbildung, Sensibilisierung aller Beschäftigten der öffentlichen Verwaltung zu Themen der Informationssicherheit. Hierzu gehört auch die Etablierung und Durchführung regelmäßiger Sensibilisierungsmaßnahmen für die oberste Leitungsebene 5 Bayerischer IT-Sicherheitscluster e.v

6 IT-PLANUNGSRAT - BESCHLUSSLAGE Einsatzbereich zur Umsetzung der Leitlinie Kommunen mit bis zu 500 MA => Förderprogramm 500 IT- Arbeitsplätze Homogene IT-Basisinfrastruktur Keine über öffentliche Netze ungeschützt angebundene Außenstellen Grenzen: ISIS12 eignet sich nicht für den Einsatz bei Hochverfügbarkeitsanforderungen Kritischen Infrastrukturen Hohen Schutzbedarfsanforderungen 6 Bayerischer IT-Sicherheitscluster e.v

7 DAS BAYERISCHE EGOVERNMENT-GESETZ Inhalt Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und erechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9: Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften, BayVwVfG,BayDSG, Auskunftsrecht etc. Art. 10: Übergangs und Schlussvorschriften 7 Bayerischer IT-Sicherheitscluster e.v

8 DAS BAYERISCHE EGOVERNMENT-GESETZ Art. 1: Anwendungsbereich 8 Bayerischer IT-Sicherheitscluster e.v

9 DAS BAYERISCHE EGOVERNMENT-GESETZ Art. 8: IT-Sicherheit und Datenschutz 9 Bayerischer IT-Sicherheitscluster e.v

10 FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN Förderfähig sind Ausgaben für: Die Beratung und Begleitung bei der Implementierung durch qualifizierte ISIS12-Dienstleister Schulungen für Mitarbeiter durch zertifizierte Anbieter Die (Erst-)Zertifizierung des Managementsystem zur Informationssicherheit nach ISIS12 10 Bayerischer IT-Sicherheitscluster e.v

11 FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN Art und Umfang der Zuwendung: 50 % der Kosten für Beratung, Dienstleistung und Zertifizierung werden finanziell gefördert; der Höchstbetrag der Förderung ist jedoch auf max begrenzt Förderung von Beratungsleistungen ist auf max (brutto) je Beratertag beschränkt Mind. zuwendungsfähige Kosten in Höhe von (Bagatellgrenze) 11 Bayerischer IT-Sicherheitscluster e.v

12 FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN eure und Rollen 12 Bayerischer IT-Sicherheitscluster e.v

13 ISIS12 - HINTERGRUND Gründung des Netzwerkes Informationssicherheit für den Mittelstand innerhalb des Clusters Ziel: Entwicklung eines einfachen Vorgehensmodell zur Einführung von Informationssicherheit Zunächst für KMU 13 Bayerischer IT-Sicherheitscluster e.v

14 ISIS12 Informations- SIcherheitsmanagementSystem in 12 Schritten ISIS12 ist ein Verfahren zur Einführung und Verbesserung der Informationssicherheit in mittelständischen Unternehmen und Organisationen gilt als Vorstufe zum BSI IT-Grundschutz-Zertifikat Handbuch und Katalog können über das Cluster bezogen werden Einführung kann durch zertifizierte ISIS12-Dienstleister begleitet werden Workflow wird durch ein vom Netzwerk entwickeltes Softwaretool dargestellt 14 Bayerischer IT-Sicherheitscluster e.v

15 ISIS12 WAS IST NEU? Verständlich beschriebener 12-stufiger Prozess, zur Etablierung eines ISMS (ISIS12-Handbuch) Integration ISMS mit IT-Service Management (IT-SM) Spezifischer ISIS12-Maßnahmensatz (ISIS12-Katalog) 12-stufiger Prozess wird als Workflow abgebildet 15 Bayerischer IT-Sicherheitscluster e.v

16 ZERTIFIZIERUNG NACH ISIS12 Möglichkeit zur Zertifizierung durch die DQS GmbH Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12- Auditoren Unterstützung durch ISIS12-Dienstleister möglich 16 Bayerischer IT-Sicherheitscluster e.v

17 ISMS 17 Bayerischer IT-Sicherheitscluster e.v

18 BESONDERHEITEN ISIS12 KMU VS. Kommunen ISIS12 wurde ursprünglich für KMU entwickelt Was ist der Unterschied zwischen KMU und Kommunen? Geschäftszweck/Fachaufgaben Rechtliche Grundlagen Sprache Förderung für Kommunen in Bayern für KMU nicht 18 Bayerischer IT-Sicherheitscluster e.v

19 BLAUPAUSE ISIS12 FÜR KOMMUNEN Ziele Kommunen und ISIS12-Dienstleister die Arbeit zu erleichtern Die Qualität des ISMS soll intersubjektiv vergleichbar werden (Standardisierung) Ständige Aktualisierung der Arbeitshilfe Kein neues ISIS12-Handbuch sondern konkrete Ergänzungen für jeden der 12 Schritte Vorgehensweise Erfahrungen aus BSI IT-Grundschutz-Projekten Erfahrungen aus den ersten ISIS12 Projekten mit Kommunen Workshops mit Kommunen Publikationen 19 Bayerischer IT-Sicherheitscluster e.v

20 STATUS QUO Handbuch Version 1.7, Katalog Version 1.3 Blaupause ISIS12 für Kommunen 36 zertifizierte ISIS12-Berater deutschlandweit 25 ISIS12 Beratungsprojekte in KMU (Stand Oktober 15) 3 Zertifizierungen nach ISIS12 (Stand Januar 16) 31 genehmigte Förderanträge für die Einführung von ISIS12 in Kommunen (2 Förderanträge in Bearbeitung; Stand Januar 2016) 20 Bayerischer IT-Sicherheitscluster e.v

21 INFORMATIONSSICHERHEIT IN 12 SCHRITTEN Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte Bayerischer IT-Sicherheitscluster e.v

22 SCHRITT 1 LEITLINIE ERSTELLEN Im ISIS12 Vorgehensmodell spielt die Sicherheitsleitlinie ein zentrale Rolle Für Kommunen wurde eine Muster-Sicherheitsleitlinie erstellt (Dienstanweisung) Diese kann mit wenig Aufwand an die jeweilige Kommune angepasst werden 22 Bayerischer IT-Sicherheitscluster e.v

23 SCHRITT 2 MITARBEITER SENSIBILISIEREN Entwicklung von speziellen Präsentation für verschiedene Zielgruppen (Leitung, Personalrat, Mitarbeiter) Empfehlungen für die kontinuierliche Sensibilisierung von Mitarbeitern Mitarbeiter als die wichtigste Firewall Mitarbeiter als Sicherheitsschwachstelle 23 Bayerischer IT-Sicherheitscluster e.v

24 SCHRITT 3 INFORMATIONSSICHERHEITS-TEAM AUFBAUEN Bestellung eines Informationssicherheitsbeauftragen (ISB) Vorschläge für die Zusammensetzung des Informationssicherheits-Teams Spezifische Aufgaben des Informationssicherheits-Teams in Kommunen 24 Bayerischer IT-Sicherheitscluster e.v

25 SCHRITT 4 IT-DOKUMENTATION ERSTELLEN Vorschläge für die Struktur der IT-Dokumentation Musterdokumente als Arbeitsgrundlage Empfehlungen und Hinweise für die erforderlichen Arbeitsschritte 25 Bayerischer IT-Sicherheitscluster e.v

26 SCHRITT 5 IT-SERVICE MANAGEMENT PROZESSE EINFÜHREN Gibt es spezifische kommunale IT-SM-Prozesse? Externe Dienstleister sind in der Regel bei Kommunen im Vergleich zu KMU häufiger aktiv. Dies erfordert bei der der Prozessmodellierung eine entsprechende Berücksichtigung. Die externen Dienstleister müssen in die internen IT-SM- Prozesse integriert werden. Empfehlungen und Prozessmodellierung der IT-SM-Prozesse Wartung, Änderungsmanagement und Störungsbeseitigung. 26 Bayerischer IT-Sicherheitscluster e.v

27 SCHRITT 6 KRITISCHE ANWENDUNGEN IDENTIFIZIEREN Nur Anwendungen sind zu erfassen, die bezogen auf mindestens einer der Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit als kritisch einzustufen sind Abhängig von Größe und Struktur der Behörde, sind sie für viele Fachaufgaben zuständig und verantwortlich Bildung sinnvollerweise Gruppen von Anwendungen zu Clustern ( Reduktion von Komplexität ) Identifizierte Anwendungen werden bezogen auf die drei Grundwerte hin untersucht und klassifiziert: Schutzbedarfsfeststellung Entwicklung spezifischer Schutzbedarfskategorien 27 Bayerischer IT-Sicherheitscluster e.v

28 SCHRITT 7 IT-STRUKTUR ANALYSIEREN In ISIS12 Schritt 7 werden die für in Schritt 6 für den Betrieb erforderlichen Zielobjekte erfasst und mit den Anwendungen verknüpft. Nach Abschluss der Verknüpfung wird der in Schritt 6 erfasste Schutzbedarfs an die Zielobjekte vererbt. Anpassung an spezifische kommunale Besonderheiten Muster eines bereinigten Netzwerkplans Die spezielle Rolle von Behördennetzen (kommunale Behördennetze: KomBN und Bayerisches Behördennetzwerk) ist zu berücksichtigen. 28 Bayerischer IT-Sicherheitscluster e.v

29 SCHRITT 8 IT-SICHERHEITSMAßNAHMEN MODELLIEREN Im ISIS12-Katalog sind KMU typische Bausteine, mit den entsprechenden Sicherheitsmaßnahmen, enthalten. Modellierung spezifischer Bausteine für Kommunen, die (noch) nicht im ISIS12-Katalog enthalten sind. 29 Bayerischer IT-Sicherheitscluster e.v

30 SCHRITT 9 IST SOLL VERGLEICHEN Die IST-SOLL-Erhebung gibt Auskunft über den Umsetzungsgrad der geforderten Sicherheits-Maßnahmen (Ja, Nein, Teilweise, Nicht notwendig) Hier spielen externe Dienstleister/Softwareentwickler eine wichtige Rolle: Wer sonst als Hersteller kommunaler Software kann entsprechende Antworten geben (z.b.: SQL- Injection )? Gespräche mit Softwarefirmen um diesen Schritt zentral zu erledigen, um damit den Aufwand für Kommunen gering zu halten! 30 Bayerischer IT-Sicherheitscluster e.v

31 SCHRITT 10 UMSETZUNG PLANEN Die aus dem IST-SOLL-Vergleich (Schritt 9) erhaltenen, noch zu realisierenden Maßnahmen werden im Rahmen der Realisierungsplanung konsolidiert und priorisiert Berücksichtigung der kommunalen Prozesse der Budgetierung bzw. Haushaltsplanung Die Zeitachse muss für den Projektverlauf frühzeitig berücksichtigt werden (etwa das Einstellen von erforderlichen Haushaltspositionen) 31 Bayerischer IT-Sicherheitscluster e.v

32 SCHRITT 11 UMSETZEN Aus Schritt 10 resultiert ein konsolidierter und genehmigter Katalog von umzusetzenden Sicherheitsmaßnahmen Die Umsetzung der noch offenen Maßnahmen vervollständigt die Informationssicherheitskonzeption Für jede Maßnahme werden die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festgelegt Die Kompetenz den Initiator und Umsetzer zu bestimmen ist noch genauer zu klären und entsprechend zu beschreiben 32 Bayerischer IT-Sicherheitscluster e.v

33 SCHRITT 12 REVISION ISIS12 Schritt 12 stellt den letzten Schritt dar und ist zugleich der immerwährende Auftrag, das ISMS auf Aktualität und Wirksamkeit hin zu überprüfen und anzupassen (PDCA). Grundsätzlich sind die Schritte 1 bis 11 jährlich zu durchlaufen und auf Änderungen, Anpassungen und Ergänzungen hin zu überprüfen. 33 Bayerischer IT-Sicherheitscluster e.v

34 Grad der technischen Detaillierung Zertifizierungsaufwand Zertifizierungsstellen Verbindung mit Risikomanagement ISIS12 FAKTEN (I) ISO/IEC 27001:2013 Schreibt keine technischen Umsetzungsdetails vor; Maßnahmenziele und Maßnahmen gelten nicht mehr (seit 2013) verpflichtend; risikoorientierter Ansatz Aufwand wird nach ISO kalkuliert und ist abhängig von Mitarbeiteranzahl des Geltungsbereich; beginnt bei 5 PT für Erst-Audit Zehn akkreditierte Zertifizierungsstellen Freie Wahl einer angemessenen Risikomethodik (vgl. z.b. ISO 27005), Fokus auf die Risiken BSI-Grundschutz (auf Basis ISO/IEC 27001) Technisch sehr detailliert, konkret und umfangreich Aufwand mind. 15 PT unabhängig vom Geltungsbereich BSI Sollte mit der Risikoanalyse des BSI einhergehen, andere zulässig ISIS12 Konkrete Handlungsempfehlungen, stark geführt, basiert auf dem IT- Grundschutz-Vorgehensweise und -Katalogen Erst-Zertifizierungs-Audit dauert i.d.r. 2 PT und Überwachungs-Audit - 1 PT DQS GmbH Immanente Risikoanalyse, bei einem höheren Schutzbedarf wird eine Risikoanalyse nach BSI-Standard empfohlen 34 Bayerischer IT-Sicherheitscluster e.v Quelle: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung; Fraunhofer AISEC; November 2014

35 ISIS12 FAKTEN (II) Werkzeuge zur Unterstützung Voraussetzung für Zertifizierung Kombination mit anderen Zertifikaten ISO/IEC 27001:2013 Verschiede Tools Verfügbar. Anwendung und Zertifizierung auch ohne Tools möglich. Das ISMS sollte mindestens bereits 6 Monate betrieben werden. Zertifizierung ist kombinierbar, z.b. mit ISO 9001 (im Kombi- Audit ca. 30% weniger Aufwand) 35 Bayerischer IT-Sicherheitscluster e.v BSI-Grundschutz (auf Basis ISO/IEC 27001) Mehrere (auch kostenfreie) Tools am Markt verfügbar. Das BSI hat ein eigenes Tool. Tooleinsatz wird dringend empfohlen. Das ISMS sollte mindestens bereits 6 Monate betrieben werden. Die Kombination mit einer anderen Zertifizierung ist beim BSI nicht möglich ISIS12 Tooleinsatz wird empfohlen; ISIS12-Software, und kommerzielles Tool stehen zur Verfügung. Einsatz des Tools wird empfohlen. Die 12 Schritte des ISMS müssen einmal komplett durchlaufen und wirksam umgesetzt worden sein. Kombinierbar mit ISO 9000 (Qualitätsmanagement) und ISO (Umweltmanagement) und ISO (IT- Servicemanagement) Quelle: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung; Fraunhofer AISEC; November 2014

36 ZUSAMMENFASSUNG ISIS12 ist ein pragmatischen und dennoch effektive IT- Grundschutz-Profil für Kommunen Radikal auf das Notwendige reduzierter Maßnahmenkatalog im BSI-Vergleich Handbuch und Katalog kostenfrei für alle Kommunen; Online- Bestellung über Auf Initiative Bayerns hat der IT-Planungsrat ISIS12 zur Umsetzung seiner Mindestsicherheitsanforderungen anerkannt Auch BSI will mit der Modernisierung des IT-Grundschutzes ein IT-Grundschutz-Profil für Kommunen erarbeiten: Wer hat s erfunden? Bayern fördert ISIS12 Einführung in Kommunen mit 50% (bis max ) 36 Bayerischer IT-Sicherheitscluster e.v

37 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Kontakt: Sandra Wiesbeck Bayerischer IT-Sicherheitscluster e.v. Bruderwöhrdstr. 15 b Regensburg Tel.: 0941/ Mail: sandra.wiesbeck@it-sec-cluster.de 37 Bayerischer IT-Sicherheitscluster e.v