Informationssicherheit in der kommunalen Verwaltung - Schaffung eines IT- Grundschutzniveaus für kl. und mittlere Gemeinden 04.Juni 2014 ADV egovernment-konferenz 2014 Dipl.-Ing. in Sandra Heissenberger (CISO) Magistratsdirektion der Stadt Wien
Projektauftrag Sicherheitsprofil für kleine bis mittlere Gemeinden zur Implementierung eines Minimum-Standards im Bereich der Informationssicherheit aus BLSG-Arbeitsgruppe Recht und Sicherheit aus der Verwaltungsreform des BKA 04.06.2014 MD-OS/PIKT 2
Projektpartner Projektpartner 04.06.2014 MD-OS/PIKT 3
Projektdaten Zielsetzung Entwicklung einer Sicherheitspolicy für kleine und mittlere Gemeinden niederschw. Ansatz Risikomanagement als Basis Awareness der verantwortlichen Personen steigern Zielgruppengerechte Umsetzung Dauer Projektbeginn Q4/2011, Projektende Q1/2014 04.06.2014 MD-OS/PIKT 4
Zieldefinition Ermittlung der Zielgruppe für wen ist das Ergebnis bestimmt? Beschreibung der Methode Risikomanagementprozess oder Checkliste? Beschreibung der Besonderheiten Portalverbund, Sicherheitsklassen, Definition der gewünschten Ergebnisse 04.06.2014 MD-OS/PIKT 5
Zieldefinition 04.06.2014 MD-OS/PIKT 6
Zieldefinition 04.06.2014 MD-OS/PIKT 7
Vorgehensweise geplante Umsetzung Erarbeitung eines Gefährdungskataloges Beschreibung der Maßnahmen Umsetzung als Checkliste für kleine und mittlere Gemeinden 04.06.2014 MD-OS/PIKT 8
Größen der Gemeinden Quelle: Österr. Gemeindebund 04.06.2014 MD-OS/PIKT 9
Vorgehensweise Umsetzung des Projektes in 3 Phasen in Kooperation mit Forschung und Lehre Projektabwicklung durch Projektpartner Kooperation mit FH Hagenberg Durchführung der Gemeindebefragung Erstellung des Referenzmodells Ermittlung der Gefährdungen Auswahl der Sicherheitsmaßnahmen 04.06.2014 MD-OS/PIKT 10
Projektphase 1 Ermittlung des Profils einer kleinen bzw. mittleren Standardgemeinde Umsetzung durch Studentinnen der FH Hagenberg als Projektarbeit Recherche vor Ort bei mehreren Gemeinden Beschreibung der Prozesse Beschreibung der Infrastruktur 04.06.2014 MD-OS/PIKT 11
Projektphase 1 Ergebnis zeigt Umgang mit IT Infrastruktur Grundlegende Aspekte der Sicherheit Beschreibung der Infrastruktur Bereitgestellte Leistungen Definition der Mustergemeinden 04.06.2014 MD-OS/PIKT 12
Projektphase 1 04.06.2014 MD-OS/PIKT 13
Projektphase 2 In Anlehnung an das Österreichische Sicherheitshandbuch und an den BSI- Grundschutzkatalog Umsetzung durch Studentinnen der FH Hagenberg als Projektarbeit Erarbeitung eines Bedrohungskataloges und eines Maßnahmenkataloges Erarbeitung einer Checkliste 04.06.2014 MD-OS/PIKT 14
Projektphase 2 Ergebnis Checkliste ca. 220 ausgewählte Prüfpunkte 21 Kapitel 6 Themenbereiche Beschreibung der Maßnahmen für jeden Prüfpunkte auf Basis des Informationssicherheitshandbuches 04.06.2014 MD-OS/PIKT 15
Projektphase 2 Checkliste Nr. Frage Umgesetzt? Relevante Maßnahmen 1 Organisation 1.1 1.2 Werden die Sicherheitsmaßnahmen allen Mitarbeitern kommuniziert? Wird regelmäßig überprüft, ob die Sicherheitsmaßnahmen vollständig und korrekt umgesetzt sind? Ja Nein 2.1. Informationssicherheitsmanagement Ja Nein 2.1. Informationssicherheitsmanagement 1.3 Werden Daten und Informationen klassifiziert? Ja Nein 2.2. Regelungen zum Umgang mit klassifizierten Informationen 1.4 Werden klassifizierte Informationen gemäß ihrer Klassifizierungsstufe behandelt? Ja Nein 2.2. Regelungen zum Umgang mit klassifizierten Informationen 1.5 Ist festgelegt, wer für die Klassifizierung der Daten verantwortlich ist? Ja Nein 2.2. Regelungen zum Umgang mit klassifizierten Informationen 1.6 Ist schriftlich festgehalten, welche Mitarbeiter für welche Aufgaben und Bereiche zuständig sind? Ja Nein 2.3.Verantwortlichkeiten 1.7 Für den Fall, dass Dienstleistungen ausgelagert sind: ist dies vertraglich geregelt? Ja Nein 2.4. Auslagerung von IT-Dienstleistungen (Outsourcing) 1.8 Für den Fall, dass Dienstleistungen ausgelagert sind: Sind die Anforderungen aus dem Dokument Vertragliche Regelungen.pdf erfüllt? Ja Nein 2.4. Auslagerung von IT-Dienstleistungen (Outsourcing) 2 Maßnahmen für die kommunale Verwaltung 2.1 Wird der PIN der Bürgerkarte geheim gehalten (nicht aufgeschrieben und nicht weitergegeben)? Ja Nein 3. Maßnahmen für die kommunale Verwaltung 04.06.2014 MD-OS/PIKT 16
Projektphase 3 Umsetzung der Checkliste in eine Anwendung Anonymer Selbstcheck der Gemeinde Gewichtung der Checkliste (risikobasierter Ansatz) Ausrollung an die Zielgemeinden durch den Gemeindebund Integration der Ergebnisse in das Österreichische Sicherheitshandbuch 04.06.2014 MD-OS/PIKT 17
Projektphase 3 04.06.2014 MD-OS/PIKT 18
Projektphase 3 04.06.2014 MD-OS/PIKT 19
Projektphase 3 04.06.2014 MD-OS/PIKT 20
Projektphase 3 04.06.2014 MD-OS/PIKT 21
Mathematik 1 Auswertung = Zwischenergebnis * Gewichtungsfaktor Gewichtung der Prüfpunkte 1-3 Gewichtung der Umsetzung 0 3 vollständig 0 In großen Teilen 1 In einigen Teilen 2 Kaum oder gar nicht 3 Nicht anwendbar 0 04.06.2014 MD-OS/PIKT 22
Projektphase 3 04.06.2014 MD-OS/PIKT 23
Projektphase 3 04.06.2014 MD-OS/PIKT 24
Mathematik 2 Berechnung des Handlungsbedarf Pro Auswertungskategorie (Hauptkategorie) wird der Maximale Gewichtungsfaktor ermittelt Gewichtung 3: 100% Gewichtung 2: 66,67% (2 / 3) Gewichtung 1: 33,33% (1 / 3) 04.06.2014 MD-OS/PIKT 25
Projektphase 3 04.06.2014 MD-OS/PIKT 26
Projektphase 3 04.06.2014 MD-OS/PIKT 27
Eckpunkte des Projektes Ermittlung des Gemeindeprofils Bereitschaft der Mitarbeit der Gemeinden Entwicklung eine Checkliste Umsetzung durch die FH Hagenberg keine Informationen vorhanden neutrale Herangehensweise der Studentinnen Kostengünstig durch Kooperation mit FH Hagenberg 04.06.2014 MD-OS/PIKT 28
Mögliche Ausbaustufen Auswertung der Ergebnisse Anonym (kein Gemeindenamen) Bundesland als kleinste Einheit Sicherheitslandkarte der Gemeinden und vieles mehr 04.06.2014 MD-OS/PIKT 29
Informationen 04.06.2014 MD-OS/PIKT 30
Danke Dipl.-Ing. in Sandra Heissenberger (CISO) Magistratsdirektion der Stadt Wien Sandra.Heissenberger@wien.gv.at 04.06.2014 MD-OS/PIKT 31
Mathematik 2 Berechnung des Handlungsbedarf: 7 * 100% = 7, 2 * 66,67% = 1,33, 3 * 33,33% = 1 Ergibt eine Gewichtung von: 9,33 (7 + 1,33 + 1) Alle Fragen mit 3 beantwortet: ((7*3*3)+(2*2*3)+(3*1*3)) = 84 Dividiert durch die Gewichtung von 9,33 = 9,00 Handlungsbedarf = 9 04.06.2014 MD-OS/PIKT 32