Die IT-Sicherheitsverordnung der EKD

Ähnliche Dokumente
Der externe IT-SB; Informationssicherheit durch das krz

Mitglieder- und Partnertag 10 Jahre ego-mv

ISO Zertifizierung auf der Basis von IT-Grundschutz

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

DE 098/2008. IT- Sicherheitsleitlinie

krz - Forum 2012 Fachforum Datensicherheit 10.00h Begrüßung / Einführung Reinhard Blome, krz

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Erfahrungen bei der Erstellung und Umsetzung von Sicherheitskonzepten im IT-Verbund IMISE/KKSL

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

IT Sicherheitsbeauftragte in der öffentlichen Verwaltung

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz


Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Thomas W. Harich. IT-Sicherheit im Unternehmen

IT-Sicherheit beim Landkreis Goslar

Amtliche Bekanntmachung der Universität Konstanz

Security. Voice +41 (0) Fax +41 (0) Mobile +41 (0) Web

Verbindliche Prüfthemen für die IS-Kurzrevision

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Glücklich mit Grundschutz Isabel Münch

DS-GVO und IT-Grundschutz

Leitlinien für Informationssicherheit. Düsseldorf,

Datenschutz und IT-Grundschutz für Museen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Zertifizierung gemäß ISO/IEC 27001

IT-Sicherheit an der Freien Universität Berlin

IT-Sicherheitsmanagement bei der Polizei

Regelwerk der Informationssicherheit: Ebene 1

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IS-Revision in der Verwaltung

BSI Grundschutz & ISMS nach ISO 27001

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

zum Stand der Diskussion

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

IT-Grundschutz umsetzen mit GSTOOL

IT-Grundschutzhandbuch

Vorgehensweisen des neuen IT-Grundschutzes

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 7. Übungsblattes IT-Grundschutzhandbuch

Brandschutzbeauftragter (TÜV )

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

Informationssicherheit für den Mittelstand

IT-Sicherheitsleitlinie der Universität Bayreuth

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

IT-Sicherheit in der Landesverwaltung 7

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

IT-NOTFALL ÜBEN MACHT STARK! 15. Oktober 2015

Penetrationstests Risiko Sicherheitslücken in IT-Netzwerken

Zertifizierung IT-Sicherheitsbeauftragter

IT-Grundschutz-Methodik im Kontext von Outsourcing

BSI IT-Grundschutz, ISO & Datenschutz

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Zentrum für Informationssicherheit

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Sicherheitshinweise für IT-Benutzer. - Beispiel -

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

IT-Grundschutz Profile: Beispiele zur Anwendung des IT-Grundschutzes für ein effektives IT-Sicherheitsmanagement

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Titel der Präsentation Folie 2

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Informationssicherheit

Cloud für Verwaltung - Vertrauen braucht Sicherheit

Modernisierung des IT-Grundschutzes

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

Datenschutz und Datensicherheit.

IT ist Nebenaufgabe (z.b. mit 0,5 Stellenanteilen) IT-Know-How eher generalistisch Internes IT-Sicherheits-Know-How oft nicht vorhanden

Praktischer Datenschutz

Datenschutz und IT-Sicherheit an der UniBi

Cloud : sicher. Dr. Clemens Doubrava, BSI. it-sa Nürnberg

Die Zertifizierungen von VOI CERT und TÜViT. Dr. Klaus-Peter Elpel (VOI)

Behördliche Datenschutzbeauftragte des Staatsministeriums für Kultus Straße, Hausnummer: Carolaplatz 1 Postleitzahl: 01097

Kirchlicher Datenschutz

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

BSI Technische Richtlinie

Mitteilung zur Kenntnisnahme

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Die Umsetzung von IT-Sicherheit in KMU

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

IT-Grundschutz Einführung und Anwendung auf Datenbanken

Transkript:

Die IT-Sicherheitsverordnung der EKD und ihre Auswirkungen SK-Consulting Group Mittwoch, 27. April 2016

Über mich Daniel Engelke Seit 01.01.2015 Geschäftsführer der SK-Consulting Group GmbH IT-Sicherheitsbeauftragter (UDIS) Universität Regensburg Universität Hamburg 2

3

Situation 4

ITSVO-EKD Die Kernaussagen des ITSVO 1 II S.1 ITSVO-EKD Ein IT-Sicherheitskonzept ist zu erstellen und laufend fortzupflegen 5

ITSVO-EKD Die Kernaussagen des ITSVO 1 III S.1 ITSVO-EKD Der Sicherheitsstandard soll dem BSI- Grundschutz (100-x) entsprechen 6

ITSVO-EKD Die Kernaussagen des ITSVO Ergebnisbericht der AG IT-Sicherheitskonzepte der EKD Die Komplexität der Umsetzung ist von der Größe der Institution abhängig 7

ITSVO-EKD Die Kernaussagen des ITSVO 2 I Nr.2 ITSVO-EKD Es muss ein qualifizierter Datenschutzbeauftragter vorhanden sein 8

ITSVO-EKD Die Kernaussagen des ITSVO 2 II ITSVO-EKD Es muss eine Regelung zur Verwaltung privater Endgeräte im eigenen Netzwerk geben, falls private Endgeräte vorhanden sind 9

ITSVO-EKD Die Kernaussagen des ITSVO 4 I ITSVO-EKD Die Mitarbeiter sind durch qualifizierte Maßnahmen zu schulen 10

ITSVO-EKD Die Kernaussagen des ITSVO 5 ITSVO-EKD i.v.m. BSI M2.193 Ein IT-Sicherheitsbeauftragter kann/muss bestellt werden 11

ITSVO-EKD Die Kernaussagen des ITSVO 7 ITSVO-EKD Das IT-Sicherheitskonzept ist bis zum 31.12.2015 zu erstellen 12

ITSVO-EKD Die Kernaussagen des ITSVO 7 ITSVO-EKD Die Vollständige Umsetzung aller Maßnahmen hat bis zum 31.12.2017 zu erfolgen 13

Datenschutz und IT-Sicherheit Datenschutz IT-Sicherheit Geschützt: Natürliche Personen Gefahr: Verletzung von Persönlichkeitsrechten Im Fokus steht die einzelne Person 9 DSG- EKD Geschützt: Daten, die mit der IT erhoben wurden Gefahr: Unberechtigter Zugriff, Verlust, Vertraulichkeit, Integrität, Verfügbarkeit Im Fokus stehen Kirchliche Stellen 14

Klein, mittel, oder groß? Kleine Einrichtungen Kein geschultes IT-Personal Minimale IT-Infrastruktur Überwiegend dezentrale Datenhaltung Keine oder wenig Server Mittlere und große Einrichtungen Geschultes IT-Personal (intern oder extern) IT-Infrastruktur mit Servern und Netzwerken Überwiegend zentrale Datenhaltung 15

Zielsetzung Angemessener Schutz für die Verfügbarkeit, Vertraulichkeit und Integrität Dieser sollte angemessen und ausreichend sein Mit den Maßnahmen des BSI-Ansatzes Sollte mit einen Angemessenen personellen Aufwand realisierbar sein 16

Methodische Vorgehensweise zur Erstellung eines IT-Sicherheitskonzeptes Klärung der Zuständigkeiten und einrichten einer Arbeitsgruppe Bestandsaufnahme der bereits eingesetzten und geplanten IT-Systeme Feststellung der Angriffspunkte bzw. Schwachstellen Entwicklung einer IT-Sicherheitspolitik Festlegung von Sicherheitsmaßnahmen in einen Sicherheitskonzept Verantwortliche Personen: IT-Leiter IT-Mitarbeiter Datenschutzbeauftragter Entscheidungsträger der Geschäftsführung 17

Inhalt eines IT- Sicherheitskonzeptes 1. Zielrichtung 2. Allgemeiner Grundschutz 3. Arbeitsplatzebene 4. Zentralrechnerebene 5. Verfahren 6. Administration 7. Revision/Kontrolle 8. Notfallvorsorge 9. Schwachstellen/Risikoanalyse 10. Art der Fortschreibung 18

Initiierung des IT-Sicherheitskonzeptes Verantwortung der Leitungsebene Konzeption und Planung des Sicherheitsprozesses Aufbau einer Sicherheitsorganisation, Bereitstellung von Ressourcen, Erstellung der Leitlinie Erstellung eines IT-Sicherheitskonzeptes Umsetzung Realisierung der Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallmanagement Sensibilisierung und Schulung Aufrechterhaltung im laufenden Betrieb 19

20

Initiierung des IT-Sicherheitskonzeptes Verantwortung der Leitungsebene Konzeption und Planung des Sicherheitsprozesses Aufbau einer Sicherheitsorganisation, Bereitstellung von Ressourcen, Erstellung der Leitlinie Erstellung eines IT-Sicherheitskonzeptes Umsetzung Realisierung der Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallmanagement Sensibilisierung und Schulung Aufrechterhaltung im laufenden Betrieb 21

Erstellung einer Sicherheitsleitlinie Initiierung SI-konzept Umsetzung Erhaltung Definition der Verantwortung der Leitung der Organisation für IT-Sicherheit Stellenwert von IT-Sicherheit, Unternehmenskultur etc. Geltungsbereich festlegen Gesamte Institution oder Teilbereich Einberufung einer Entwicklungsgruppe für die IT-Sicherheitsleitlinie M 2.193 Aufbau einer geeigneten Organisationsstruktur Bestimmung der IT-Sicherheitsziele und -strategien Informationen und Systeme klassifizieren Fest definierte Schutzbedarfs-Niveaus (EKD): Sehr hoch: Totaler Zusammenbruch der Organisation Hoch: Handlungsunfähigkeit zentraler Bereiche Normal: Beeinträchtigung der Organisation 22

Beispiel Allgemeiner Grundschutz 2.1 Infrastruktur Für zentralen IT-Systeme sind geeignete Räumlichkeiten bereitzustellen. Es ist im Zentralrechnerraum eine ausreichende Klimatisierung sicherzustellen. Es ist eine Gefahrenmeldeanlage zu installieren. Im Zentralrechnerraum sind die IT-Systeme an gesonderte Stromkreise anzuschließen. Ein Handfeuerlöscher ist vorgesehen. Der Zutritt zu Netzwerkleitungen und verteilern ist zu regeln. Fenster und Türen müssen abschließbar sein. 23

Infrastruktur Nr. Beschreibung Plattform Anzahl Ort Status Anwender/ Admin S001 Windows 2008 PBD Windows S002 2008 Windows 2008 R2 Schutzbedarf Beurteilung / Begründung Vertraulichkeit Integrität Verfügbarkeit 23 S01-S02 Aktiv IT-Abteilung Vertraulichkeit: Es gibt besondere rechtliche Verschwiegenheitsbeschränkungen (z. B. Gesundheitsdaten, Patientendaten, ärztliche Schweigepflicht). Integrität: Eine Gefährdung von Leib und Leben kann nicht ausgeschlossen werden. Windows 2008 R2 12 S01-S02 Aktiv IT-Abteilung ohne Gefährdung 24

Aufwand-Nutzen-Relation Initiierung SI-konzept Umsetzung Erhaltung 25

BSI 100-2 Initiierung SI-konzept Umsetzung Erhaltung IT-Strukturanalyse Erfassung der IT und der IT-Anwendungen Gruppenbildung Schutzbedarfsfeststellung IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen vgl. BSI-Standard 100-2 26

Individuelle Aufwandseinschätzung Aktion Aufwand in Tagen Häufigkeit in zwei Jahren Menge in Tagen Initiirung des Sicherheitsprozesses 5 1 5 Aufnahmeaudit 2 1 2 Realisierung von Sicherheitsmaßnahmen 2 3 6 Einführung BSI-Grundschutz 24 1 24 Einführung eines Notfallmanagements 5 1 5 Betreuter Betrieb 4 3 12 Jährliche Managementzusammenfassung 1 2 2 Mitarbeiterschulung 1,5 3 4,5 Gesamtaufwand in Tagen 60,5 27

Weiteres Vorgehen: 2015 Erstellung eines IT-Sicherheitskonzeptes Step 1: Step 2: Step 3: Step 4: Step 5: Entscheidung für eine interne oder externe Umsetzung Sicherheitsanalyse Erstellung eines Bereinigten Netzplans Eröffnungsworkshop: Erarbeitung eines IT-Sicherheitskonzeptes Erstellung eines IT-Sicherheitskonzeptes 2016-2017 Umsetzung BSI 100-x Step 1: Umsetzung INDART Step 2: Umsetzung INDITOR Step 3 (bis 31.12.2017): Umsetzung aller Maßnahmen gem. BSI 100-x 28

Wichtig! Die Leitungsebene (Geschäftsführung, Abteilungsleitung) trägt die Verantwortung für die von ihrem Bereich verarbeiteten Daten. Sie ist zuständig für die Festlegung des Sicherheitsniveaus. 29

Anforderungen an eine Softwarelösung BSI-Anforderungen Interne Anforderungen Notfallplanung Business Impact Analyse Datenschutzkonzept Mandantenfähigkeit ITS-Konzept Rechte- und Rollenverteilung Kryptokonzept Hard-und Softwareinventur Datensicherungskonzept SLA-Verwaltung Firewallkonzept Schnittstellen Brandschutzkonzept Dokumentenmanagement 30

Softwarelösungen Enterpriselösungen Basislösungen 31

Zertifizierung IT-Grundschutz-Zertifikat Seit 2002 erhältlich Seit 2006 Anpassung an internationale Zertifizierung 2 Vorstufen, werden von BSI-lizenzierten Auditoren vergeben IT-Grundschutz Einstiegsstufe IT-Grundschutz Aufbaustufe ISO 27001-Zertifikate auf Basis von IT-Grundschutz Überprüfung durch einen BSI-lizenzierten ISO 27001- Grundschutz-Auditor: Sichtung der Referenzdokumente, Vor-Ort-Prüfung, Report BSI entscheidet auf Basis des Audit-Reports und des ISO 27001-Grundschutz- Zertifizierungsschemas (http://www.bsi.de/gshb/zert/iso27001/schema.htm) 32

Warum mit der SKC? Fundiertes technisches, betriebswirtschaftliches und juristisches Fachwissen Es ist immer ein neutraler Ansprechpartner (auch bei Sicherheitsvorfällen) vorhanden Wir arbeiten praxis- und lösungsorientiert Stellvertreter bei Fragen während der Abwesenheit Sie profitieren von den Erfahrungen anderer Unternehmen (Synergieeffekte) Bei kritischen Infrastrukturen: Jemand der den BSI-Sicherheitsvorfälle meldet Durch den Einsatz des externen IT-Sicherheitsbeauftragten vermeiden Sie folgende Aspekte: Ausbildungskosten für interne IT-Sicherheitsbeauftragte Schulungs- und Weiterbildungskosten für den IT-Sicherheitsbeauftragten 33

Vielen Dank für Ihre Aufmerksamkeit. Meine Kontaktdaten: Daniel Engelke de@sk-consulting.com 05731 / 15026-10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback