Die IT-Sicherheitsverordnung der EKD und ihre Auswirkungen SK-Consulting Group Mittwoch, 27. April 2016
Über mich Daniel Engelke Seit 01.01.2015 Geschäftsführer der SK-Consulting Group GmbH IT-Sicherheitsbeauftragter (UDIS) Universität Regensburg Universität Hamburg 2
3
Situation 4
ITSVO-EKD Die Kernaussagen des ITSVO 1 II S.1 ITSVO-EKD Ein IT-Sicherheitskonzept ist zu erstellen und laufend fortzupflegen 5
ITSVO-EKD Die Kernaussagen des ITSVO 1 III S.1 ITSVO-EKD Der Sicherheitsstandard soll dem BSI- Grundschutz (100-x) entsprechen 6
ITSVO-EKD Die Kernaussagen des ITSVO Ergebnisbericht der AG IT-Sicherheitskonzepte der EKD Die Komplexität der Umsetzung ist von der Größe der Institution abhängig 7
ITSVO-EKD Die Kernaussagen des ITSVO 2 I Nr.2 ITSVO-EKD Es muss ein qualifizierter Datenschutzbeauftragter vorhanden sein 8
ITSVO-EKD Die Kernaussagen des ITSVO 2 II ITSVO-EKD Es muss eine Regelung zur Verwaltung privater Endgeräte im eigenen Netzwerk geben, falls private Endgeräte vorhanden sind 9
ITSVO-EKD Die Kernaussagen des ITSVO 4 I ITSVO-EKD Die Mitarbeiter sind durch qualifizierte Maßnahmen zu schulen 10
ITSVO-EKD Die Kernaussagen des ITSVO 5 ITSVO-EKD i.v.m. BSI M2.193 Ein IT-Sicherheitsbeauftragter kann/muss bestellt werden 11
ITSVO-EKD Die Kernaussagen des ITSVO 7 ITSVO-EKD Das IT-Sicherheitskonzept ist bis zum 31.12.2015 zu erstellen 12
ITSVO-EKD Die Kernaussagen des ITSVO 7 ITSVO-EKD Die Vollständige Umsetzung aller Maßnahmen hat bis zum 31.12.2017 zu erfolgen 13
Datenschutz und IT-Sicherheit Datenschutz IT-Sicherheit Geschützt: Natürliche Personen Gefahr: Verletzung von Persönlichkeitsrechten Im Fokus steht die einzelne Person 9 DSG- EKD Geschützt: Daten, die mit der IT erhoben wurden Gefahr: Unberechtigter Zugriff, Verlust, Vertraulichkeit, Integrität, Verfügbarkeit Im Fokus stehen Kirchliche Stellen 14
Klein, mittel, oder groß? Kleine Einrichtungen Kein geschultes IT-Personal Minimale IT-Infrastruktur Überwiegend dezentrale Datenhaltung Keine oder wenig Server Mittlere und große Einrichtungen Geschultes IT-Personal (intern oder extern) IT-Infrastruktur mit Servern und Netzwerken Überwiegend zentrale Datenhaltung 15
Zielsetzung Angemessener Schutz für die Verfügbarkeit, Vertraulichkeit und Integrität Dieser sollte angemessen und ausreichend sein Mit den Maßnahmen des BSI-Ansatzes Sollte mit einen Angemessenen personellen Aufwand realisierbar sein 16
Methodische Vorgehensweise zur Erstellung eines IT-Sicherheitskonzeptes Klärung der Zuständigkeiten und einrichten einer Arbeitsgruppe Bestandsaufnahme der bereits eingesetzten und geplanten IT-Systeme Feststellung der Angriffspunkte bzw. Schwachstellen Entwicklung einer IT-Sicherheitspolitik Festlegung von Sicherheitsmaßnahmen in einen Sicherheitskonzept Verantwortliche Personen: IT-Leiter IT-Mitarbeiter Datenschutzbeauftragter Entscheidungsträger der Geschäftsführung 17
Inhalt eines IT- Sicherheitskonzeptes 1. Zielrichtung 2. Allgemeiner Grundschutz 3. Arbeitsplatzebene 4. Zentralrechnerebene 5. Verfahren 6. Administration 7. Revision/Kontrolle 8. Notfallvorsorge 9. Schwachstellen/Risikoanalyse 10. Art der Fortschreibung 18
Initiierung des IT-Sicherheitskonzeptes Verantwortung der Leitungsebene Konzeption und Planung des Sicherheitsprozesses Aufbau einer Sicherheitsorganisation, Bereitstellung von Ressourcen, Erstellung der Leitlinie Erstellung eines IT-Sicherheitskonzeptes Umsetzung Realisierung der Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallmanagement Sensibilisierung und Schulung Aufrechterhaltung im laufenden Betrieb 19
20
Initiierung des IT-Sicherheitskonzeptes Verantwortung der Leitungsebene Konzeption und Planung des Sicherheitsprozesses Aufbau einer Sicherheitsorganisation, Bereitstellung von Ressourcen, Erstellung der Leitlinie Erstellung eines IT-Sicherheitskonzeptes Umsetzung Realisierung der Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal, Technik, Kommunikation und Notfallmanagement Sensibilisierung und Schulung Aufrechterhaltung im laufenden Betrieb 21
Erstellung einer Sicherheitsleitlinie Initiierung SI-konzept Umsetzung Erhaltung Definition der Verantwortung der Leitung der Organisation für IT-Sicherheit Stellenwert von IT-Sicherheit, Unternehmenskultur etc. Geltungsbereich festlegen Gesamte Institution oder Teilbereich Einberufung einer Entwicklungsgruppe für die IT-Sicherheitsleitlinie M 2.193 Aufbau einer geeigneten Organisationsstruktur Bestimmung der IT-Sicherheitsziele und -strategien Informationen und Systeme klassifizieren Fest definierte Schutzbedarfs-Niveaus (EKD): Sehr hoch: Totaler Zusammenbruch der Organisation Hoch: Handlungsunfähigkeit zentraler Bereiche Normal: Beeinträchtigung der Organisation 22
Beispiel Allgemeiner Grundschutz 2.1 Infrastruktur Für zentralen IT-Systeme sind geeignete Räumlichkeiten bereitzustellen. Es ist im Zentralrechnerraum eine ausreichende Klimatisierung sicherzustellen. Es ist eine Gefahrenmeldeanlage zu installieren. Im Zentralrechnerraum sind die IT-Systeme an gesonderte Stromkreise anzuschließen. Ein Handfeuerlöscher ist vorgesehen. Der Zutritt zu Netzwerkleitungen und verteilern ist zu regeln. Fenster und Türen müssen abschließbar sein. 23
Infrastruktur Nr. Beschreibung Plattform Anzahl Ort Status Anwender/ Admin S001 Windows 2008 PBD Windows S002 2008 Windows 2008 R2 Schutzbedarf Beurteilung / Begründung Vertraulichkeit Integrität Verfügbarkeit 23 S01-S02 Aktiv IT-Abteilung Vertraulichkeit: Es gibt besondere rechtliche Verschwiegenheitsbeschränkungen (z. B. Gesundheitsdaten, Patientendaten, ärztliche Schweigepflicht). Integrität: Eine Gefährdung von Leib und Leben kann nicht ausgeschlossen werden. Windows 2008 R2 12 S01-S02 Aktiv IT-Abteilung ohne Gefährdung 24
Aufwand-Nutzen-Relation Initiierung SI-konzept Umsetzung Erhaltung 25
BSI 100-2 Initiierung SI-konzept Umsetzung Erhaltung IT-Strukturanalyse Erfassung der IT und der IT-Anwendungen Gruppenbildung Schutzbedarfsfeststellung IT-Grundschutzanalyse Modellierung nach IT-Grundschutz Basis-Sicherheitscheck mit Soll-Ist-Vergleich Ergänzende Sicherheitsanalyse bei hohem Schutzbedarf bei zusätzlichem Analysebedarf Konsolidierung der Maßnahmen Realisierung der Maßnahmen vgl. BSI-Standard 100-2 26
Individuelle Aufwandseinschätzung Aktion Aufwand in Tagen Häufigkeit in zwei Jahren Menge in Tagen Initiirung des Sicherheitsprozesses 5 1 5 Aufnahmeaudit 2 1 2 Realisierung von Sicherheitsmaßnahmen 2 3 6 Einführung BSI-Grundschutz 24 1 24 Einführung eines Notfallmanagements 5 1 5 Betreuter Betrieb 4 3 12 Jährliche Managementzusammenfassung 1 2 2 Mitarbeiterschulung 1,5 3 4,5 Gesamtaufwand in Tagen 60,5 27
Weiteres Vorgehen: 2015 Erstellung eines IT-Sicherheitskonzeptes Step 1: Step 2: Step 3: Step 4: Step 5: Entscheidung für eine interne oder externe Umsetzung Sicherheitsanalyse Erstellung eines Bereinigten Netzplans Eröffnungsworkshop: Erarbeitung eines IT-Sicherheitskonzeptes Erstellung eines IT-Sicherheitskonzeptes 2016-2017 Umsetzung BSI 100-x Step 1: Umsetzung INDART Step 2: Umsetzung INDITOR Step 3 (bis 31.12.2017): Umsetzung aller Maßnahmen gem. BSI 100-x 28
Wichtig! Die Leitungsebene (Geschäftsführung, Abteilungsleitung) trägt die Verantwortung für die von ihrem Bereich verarbeiteten Daten. Sie ist zuständig für die Festlegung des Sicherheitsniveaus. 29
Anforderungen an eine Softwarelösung BSI-Anforderungen Interne Anforderungen Notfallplanung Business Impact Analyse Datenschutzkonzept Mandantenfähigkeit ITS-Konzept Rechte- und Rollenverteilung Kryptokonzept Hard-und Softwareinventur Datensicherungskonzept SLA-Verwaltung Firewallkonzept Schnittstellen Brandschutzkonzept Dokumentenmanagement 30
Softwarelösungen Enterpriselösungen Basislösungen 31
Zertifizierung IT-Grundschutz-Zertifikat Seit 2002 erhältlich Seit 2006 Anpassung an internationale Zertifizierung 2 Vorstufen, werden von BSI-lizenzierten Auditoren vergeben IT-Grundschutz Einstiegsstufe IT-Grundschutz Aufbaustufe ISO 27001-Zertifikate auf Basis von IT-Grundschutz Überprüfung durch einen BSI-lizenzierten ISO 27001- Grundschutz-Auditor: Sichtung der Referenzdokumente, Vor-Ort-Prüfung, Report BSI entscheidet auf Basis des Audit-Reports und des ISO 27001-Grundschutz- Zertifizierungsschemas (http://www.bsi.de/gshb/zert/iso27001/schema.htm) 32
Warum mit der SKC? Fundiertes technisches, betriebswirtschaftliches und juristisches Fachwissen Es ist immer ein neutraler Ansprechpartner (auch bei Sicherheitsvorfällen) vorhanden Wir arbeiten praxis- und lösungsorientiert Stellvertreter bei Fragen während der Abwesenheit Sie profitieren von den Erfahrungen anderer Unternehmen (Synergieeffekte) Bei kritischen Infrastrukturen: Jemand der den BSI-Sicherheitsvorfälle meldet Durch den Einsatz des externen IT-Sicherheitsbeauftragten vermeiden Sie folgende Aspekte: Ausbildungskosten für interne IT-Sicherheitsbeauftragte Schulungs- und Weiterbildungskosten für den IT-Sicherheitsbeauftragten 33
Vielen Dank für Ihre Aufmerksamkeit. Meine Kontaktdaten: Daniel Engelke de@sk-consulting.com 05731 / 15026-10