Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

Größe: px

Ab Seite anzeigen:

Download "Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management"

Martha Weber
vor 8 Jahren
Abrufe

1 Schutz sensibler Personendaten im e-government-umfeld Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

2 OeSD im Überblick Gründung: 1804 Mitarbeiter: 180 Produktion: 1,3 Mio. personalisierte Sicherheitsdokumente p.a. ca. 5 Mio. Sicherheitsdokumente insgesamt e-government ID-Dokumente Wertdruck Portfolio

3 Strategische Meilensteine 2000 Privatisierung 2002 Übersiedlung in neue Produktionsstätte in Wien Zertifiziert nach ISO 9001 Einstufung als High Security Printer Übereinkommen mit BMI staatlicher Kontrolldienst 2006 Sicherheitsreisepass mit Chip & Führerschein im Scheckkartenformat Einführung des One-Stop-Shop Prinzips Versand der Reisepässe innerhalb von fünf Werktagen Neudefinition OeSD Kernwerte Sicherheitsreisepass mit Fingerabdruck Eröffnung des OeSD Forschungs- und Qualitätszentrums 2011 Zertifizierung nach ISO Einführung Zulassungsschein im Chipkartenformat & Einführung Aufenthaltstitel im Chipkartenformat Notierung an der Wiener Börse Zertifiziert nach ISO 27001

Versand der Reisepässe innerhalb von fünf Werktagen Neudefinition OeSD Kernwerte Sicherheitsreisepass mit Fingerabdruck Eröffnung des OeSD Forschungs- und Qualitätszentrums 2011

4 Portfolio egovernment ID-Dokumente Wertdruck Services - Personalisierung - Datenmanagement - Rückmeldung/Prot okollierung - Sicherer Versand Solutions - Beratung bei der Implementierung neuer Identitätsdokumente und Behördendienstleistungen Reisepässe - ereisepass - Biometrischer Reisepass - Sicherheitsdesign - Booklet-Produktion Personalausweise Führerschein Visa Aufenthaltstitel Scheckkartenzulassungsschein Briefmarken - Offset - Intaglio - Photogravur - Innovationen Gutscheine Wertmarken

Reisepässe - ereisepass - Biometrischer Reisepass - Sicherheitsdesign - Booklet-Produktion Personalausweise Führerschein

5 OeSD International Produktion von Sicherheitsdokumenten und Wertdrucken für Auftraggeber in mehr als 50 Staaten auf 5 Kontinenten

6 OeSD als integrierter Technologie- Dienstleister & Berater Security Design Printing Personalisierung Datenschutz Logistik Dienstleistung Analyse Prozessmanagement Software Implementierung Beratung Strategische Beratung Cyber Security

Logistik Dienstleistung Analyse Prozessmanagement Software

7 Enrollment Identity Management Integrator

8 Österreichischer Reisepass Registrierung Zentrales Melderegister [BM.I] Personalisierung OeSD Kuvertierung OeSD Versand OeSD (Post AG) Versand Definition Sicherheitsmerkmale Behörden- Helpdesk OeSD Passbuchproduktion OeSD Datenvernichtung

9 OeSD ID-Dokumente

10 Informationssicherheit Mehrfache Bedeutung Schutz von Informationen Schutz gegenüber Missbrauch Wahrung gesetzlicher Bedingungen Sicherheit ist ein Prozess Gebäude Produkte Personen Prozesse

11 3 Grundprinzipien Vertraulichkeit Integrität Verfügbarkeit Umsetzung erfordert Ganzheitliche Betrachtungsweise Beharrliche Suche nach dem weakest link

12 Ganzheitliches Security-Modell Unternehmenssicherheit Informationssicherheit IT-Sicherheit

13 Schutz von Informationen Physikalische Absicherung Bauliche Trennung sensibler Bereiche (Personalisierung und Rechenzentren) gegenüber restlicher Infrastruktur Flächendeckende Kameraüberwachung Restriktiver Zutritt Employee Screening (BVT)

Rechenzentren) gegenüber restlicher Infrastruktur

14 IT-Systemlandschaft Mehrstufige Sicherheitszonen, getrennte Netze Zentralisierte IT-Services Einsatz moderner Technologie restriktive technische IT-Sicherheitsmaßnahmen Schaffung durchgängiger Redundanzen Überwachungs- und Alarmsysteme für Eindringungsversuche Restriktive Kommunikation der Produktionsmaschinen Standardisierung Betreuung 100 % inhouse eigene IT & Security Competence Teams

durchgängiger Redundanzen Überwachungs- und Alarmsysteme für Eindringungsversuche Restriktive

15 Datenübermittlung & Datenhandling Fokus auf end-to-end Sicherheit Verschlüsselter und gesicherter Datentransfer 4-Augen-Prinzip z.b.: eigene & direkte Leitung zwischen Sicherheitsbereichen OeSD <-> BM.I Hausaufgaben für die Implementierung eines ISMS gemacht!

16 Umsetzung des ISMS Informationssicherheit ist in den Unternehmensgrundsätzen der OeSD verankert! Voraussetzungen für ISMS: Management Commitment IT Security Policy Technische Basis geschaffen

17 Schrittweise Implementierung (1/2) Aufbau eines durchgängigen Asset Management Systems Klassifizierung von Informationen Business Impact Analyse BIA ist die Basis für das Risiko-Management der IS Strukturierte Behandlung von Incidents und Sicherheitsvorfällen Problem Management System

Analyse BIA ist die Basis für das Risiko-Management der IS

18 Schrittweise Implementierung (2/2) Notfallkonzept Ermöglicht die Ableitung der Kritikalität von Risiken daraus lassen sich die Prioritäten von Maßnahmen festlegen IT as a Service IT ist hoch komplex und in allen Prozessen implementiert Verständnis der IT als interner Dienstleister Awareness Schulungen

Maßnahmen festlegen IT as a Service IT ist hoch komplex und in allen

19 Internes Kontrollsystem (1/2) Wirksamkeitsprüfung des Systems durch gezielte Werkzeuge, um Schwachstellen aufzuzeigen und eine kontinuierliche Verbesserung voranzutreiben: IT-Systeme stehen in Abhängigkeit zu einander technische Evaluierung aus dem täglichen Betrieb Brainstorming IT-Grundschutz Kontinuierliche Risikobetrachtung der Fachabteilungen Interne Audits Externe Systemaudits

stehen in Abhängigkeit zu einander technische Evaluierung aus dem täglichen Betrieb

20 Internes Kontrollsystem (2/2) System- und Penetrationtests Teilnahme an Informationsforen, Austausch mit Externen Laufende Evaluierung der Lieferanten Sensibilisierung der Mitarbeiter / Awareness Interner Securitydienst Staatlicher Kontrolldienst des BM.I

Evaluierung der Lieferanten Sensibilisierung der Mitarbeiter /

21 Lessions Learned (1/2) Standardisierung ist eine sinnvolle Basis ISMS bringt nicht nur Lösungen, sondern zeigt Schwächen auf Unterschiedliche Betrachtungsweisen von Betriebsprozessen und Normen sind nicht einfach anwendbar Prozesse sind dynamisch und verändern sich, daher sind diese laufend zu hinterfragen IT ist ein interner Serviceprovider

22 Lessions Learned (2/2) Sicherheitsmaßnahmen individuell und abgestimmt auf Prozesse und deren Risiken umsetzen die richtige Flughöhe finden Präventionsmaßnahmen sind zumeist deutlich kostengünstiger als etwaige Schäden Informationssicherheit unterstützt das Unternehmen bei der Wertschöpfung Auch für ein Hochsicherheitsunternehmen bringt die Einführung eines ISMS neue Erkenntnisse und Lösungen

23 Besten Dank für Ihre Aufmerksamkeit!

Ähnliche Dokumente

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit