DE 098/2008. IT- Sicherheitsleitlinie

Transkript

1 DE 098/2008 IT- Sicherheitsleitlinie Chemnitz, 12. November 2008

2 Inhalt 1 Zweck der IT-Sicherheitsrichtlinie Verantwortung für IT- Sicherheit Sicherheitsziele und Sicherheitsniveau IT-Sicherheitsmanagement Sicherheitsstrategie Umsetzung und Verbesserung Inkraftsetzung Zweck der IT-Sicherheitsrichtlinie Eine zuverlässig funktionierende Informationsverarbeitung spielt eine Schlüsselrolle für die Aufgabenerfüllung der Stadtverwaltung Chemnitz. Ausnahmslos alle Bereiche der Stadtverwaltung Chemnitz werden bei ihren Aufgaben und Prozessen wesentlich von Informationstechnik (IT) unterstützt. Ohne IT können zentrale Aufgaben gar nicht, oder nur mit erheblichem Mehraufwand erfüllt werden. Wichtige, strategische Entscheidungen der Stadt Chemnitz beruhen auf der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen, welche in den Informationsverarbeitungssystemen gespeichert und verarbeitet werden. Diese Grundwerte sind durch innere und äußere Gefährdungen, die technischer oder organisatorischer Natur sind, bedroht. Das macht ein effektives IT-Sicherheitsmanagement für die Stadt Chemnitz unerlässlich. Die IT-Sicherheitsleitlinie definiert das angestrebte IT-Sicherheitsniveau, mit dem die Aufgaben der Stadt Chemnitz erfüllt werden, und sie beinhaltet die von der Stadt Chemnitz angestrebten IT-Sicherheitsziele sowie die verfolgten IT-Sicherheitsstrategien. Sie ist somit das Leitdokument für die Einhaltung des angestrebten IT-Sicherheitsniveaus auf allen Ebenen und Bestandteil des Risikomanagements. 2 Verantwortung für IT- Sicherheit Die Gesamtverantwortung für die Sicherheit des gesamten IT- Systems hat die Behördenleitung. Sie wird dabei bei der Erstellung und Überwachung vom IT-Sicherheitsbeauftragten unterstützt. Die Beschäftigten der Stadt Chemnitz tragen Verantwortung für die Einhaltung der IT- Sicherheitsvorgaben in ihrem jeweiligen Aufgabenbereich. Detaillierte Verantwortlichkeiten für einzelne Teilbereiche sind in den Sicherheitsrichtlinien definiert. Seite 2 von 5

3 3 Sicherheitsziele und Sicherheitsniveau Die Sicherheitsziele der Stadt Chemnitz, ausgehend vom Stellenwert der IT für die Erfüllung ihrer Hauptaufgaben, sind: die Vertraulichkeit der Daten der Stadt Chemnitz als auch Dritter muss angemessen gesichert sein, besondere Beachtung müssen die personenbezogenen Daten erhalten, dabei ist ein hohes Niveau an Vertraulichkeit sicherzustellen die Integrität der Informationen muss im jeweils nötigen Umfang sichergestellt sein, dabei ist ein normales Niveau zu erreichen die IT-Systeme müssen in den definierten Zeiten verfügbar und damit die Abwicklung der Arbeitsabläufe innerhalb der Stadtverwaltung gesichert sein, ein normales Niveau ist dabei ausreichend gesetzliche und vertragliche Verpflichtungen müssen erfüllt werden können die in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte müssen erhalten werden (Investitionsschutz) die im Schadensfall entstehenden Kosten müssen minimiert werden (sowohl durch Schadensvermeidung wie Schadensminimierung) sicher betriebene Informationssysteme sollen zum Erhalt der positiven Außenwirkung der Stadt Chemnitz bei den Bürgern und der Öffentlichkeit beitragen. Die dazu nötigen IT-Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen, sich am jeweiligen Betriebsrisiko ausrichten und sich an der Gesetzeskonformität orientieren. 4 IT-Sicherheitsmanagement Das Sicherheitsmanagement der Stadt Chemnitz richtet sich nach den Vorgaben von ISO Die Umsetzung erfolgt auf Grundlage der Methoden des BSI zum IT- Grundschutz. Es ist ein IT-Sicherheitsbeauftragter benannt worden. Zur Erreichung der IT-Sicherheitsziele wurde ein IT-Sicherheitsteam eingerichtet. Dem gehören der IT- Sicherheitsbeauftragte sowie die IT-Koordinatoren der einzelnen Ämter an. Das IT- Sicherheitsteam ist verantwortlich für die Erstellung, Überprüfung und Veröffentlichung der IT-Sicherheitsmaßnahmen sowie für die Veranlassung oder Durchführung von Sensibilisierungs- und Schulungsmaßnahmen hinsichtlich IT-Sicherheit für alle IT-Benutzer. Der IT-Sicherheitsbeauftragte berichtet in seiner Funktion direkt der Behördenleitung. Jedes Verfahren und jede Information hat einen Eigentümer. Dieser ist für die Einordnung der Relevanz der jeweiligen Informationen und des damit verbundenen Schutzbedarfes verantwortlich. Außerdem legt er die erforderlichen Zugriffsrechte fest. Der Informationstreuhänder (Amt für Organisation und Informationsverarbeitung) ist für dessen Umsetzung verantwortlich und muss den Eigentümer über mögliche Risiken informieren. Dem IT-Sicherheitsbeauftragten werden von der Leitung ausreichende Ressourcen zur Verfügung gestellt, die Maßnahmen umzusetzen, um die festgelegten IT-Sicherheitsziele zu erreichen. Es wurde ein Datenschutzkoordinator berufen. Dieser berichtet dem sächsischen Datenschutzschutzbeauftragten. Der Datenschutzkoordinator hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Der IT-Sicherheitsbeauftragte ist frühzeitig in alle Projekte einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen. Sofern personenbezogene Daten betroffen sind, gilt gleiches für den Datenschutzkoordinator. Die IT-Benutzer haben sich an die Anweisungen zur IT-Sicherheit zu halten. Verstöße können mit arbeitsrechtlichen Konsequenzen geahndet werden. Seite 3 von 5

4 5 Sicherheitsstrategie Die Stadt Chemnitz ist bestrebt, das geplante Sicherheitsniveau durch geeignete Maßnahmen und Strategien zu erreichen und einzuhalten. Kernpunkte der IT- Sicherheitsstrategie sind: Die Risiken im Bereich der IT sind aufzuzeigen und zu minimieren. Für alle Teile des gesamten IT- Systems (Technik, Daten und Verfahren) müssen namentlich Systemverantwortliche ernannt werden. Informationen müssen klassifiziert werden. Der Informationseigentümer legt dabei den Schutzbedarf der jeweiligen Verfahren/ Informationen fest. Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass Vertreter ihre Aufgaben erfüllen können. Räumlichkeiten, in denen IT genutzt wird, werden durch ausreichende Zutrittskontrollen geschützt Der Zugang zu IT-Systemen und der Zugriff auf Daten werden durch Authentisierung und ein restriktives Berechtigungskonzept geschützt. Auf allen PCs und Servern werden Computer-Viren-Schutzprogramme eingesetzt. Diese sind stets aktuell zu halten. Internetzugänge werden durch ein geeignetes Sicherheitsgateway gesichert. regelmäßige und umfassende Datensicherung in allen Bereichen und Aufbewahrung von Sicherungsmedien an getrennten Orten Einsatz redundanter Systeme in allen Bereichen mit hohen Anforderungen an Verfügbarkeit Erstellung von Notfallplänen, um bei Ausfällen die Verfügbarkeit in tolerierbarer Zeitspanne wiederherzustellen Etablierung eines Prozesses zur Behandlung von Sicherheitsvorfällen IT-Benutzer nehmen regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Verbot der Nutzung nichtdienstlicher IT zu dienstlichen Zwecken nach Möglichkeit verschlüsselte Datenübertragung vertraulicher Informationen nach außen Alle Mitarbeiter und die Leitung der Stadtverwaltung sind sich ihrer Verantwortung beim Umgang mit IT bewusst und unterstützen die IT- Sicherheitsstrategie nach besten Kräften. 6 Umsetzung und Verbesserung Die IT-Sicherheitsleitlinie sowie deren Umsetzung wird regelmäßig durch das IT-Sicherheitsmanagement-Team der Stadtverwaltung Chemnitz in Zusammenarbeit mit den zuständigen Abteilungen unter Berücksichtigung aktueller Gegebenheiten auf Wirksamkeit und Aktualität geprüft und angepasst. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Behördenleitung der Stadt Chemnitz wird regelmäßig vom IT-Sicherheitsbeauftragten zum aktuellen Stand des Sicherheitsniveaus informiert. Seite 4 von 5

5 Die Umsetzung der IT- Sicherheitsleitlinie wird konkretisiert durch die IT-Sicherheitsrichtlinien, deren untergeordnete Dokumente und die Dienstanweisung IT-Sicherheit. Diese regeln die interne Benutzung der IT-Strukturen durch die Mitarbeiter, deren Beachtung Voraussetzung für einen störungsfreien und sicheren Betrieb des IT-Systems ist. Für die Benutzer gibt es Merkblätter, in denen für sie relevante Festlegungen allgemein verständlich beschrieben sind. Diese haben verbindlichen Charakter. Alle IT-Nutzer werden über Änderungen von Anweisungen, die ihr Arbeitsgebiet betreffen durch die IT-Koordinatoren informiert und eingewiesen. Die Nichteinhaltung oder bewusste Verletzung der IT-Sicherheitsleitlinie und ihr untergeordneter Anweisungen führt zu arbeitsrechtlichen Maßnahmen. Die Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben. Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheitsniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der Technik und Gefährdungssituation zu halten. 7 Inkraftsetzung Die Behördenleitung der Stadt Chemnitz verabschiedet hiermit diese IT- Sicherheitsleitlinie und setzt sie mit dem Tag der Bekanntmachung für den gesamten IT-Verbund der Stadt Chemnitz in Kraft. Seite 5 von 5