16. Kommunales IuK-Forum Niedersachsen am 04.08.2016 in Gosslar Sylwia Henhappel Referentin Informationssicherheit, Cybersicherheit, E-Government Niedersächsisches Ministerium für Inneres und Sport

Der niedersächsische Weg –

das Beste aus zwei Welten

Agenda

Wozu Informationssicherheit?

Beschlüsse zur Informationssicherheit

IT-Grundschutz

ISO 27001

Unterschiede ISO 27001 vs. IT-Grundschutz

Der „Niedersächsische Weg“ in der Praxis

Modernisierung des IT-Grundschutzes

2

Wozu Informationssicherheit?

3

Informationssicherheitsleitlinie des Bundes

10. IT-Planungsrat Beschluss 2013/01

Punkt 2: Geltungsbereich und Umsetzung:

Die Leitlinie für die Informationssicherheit gilt nach Verabschiedung durch den IT-PLR für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Den Kommunen, den Verwaltungen des Deutschen Bundestages und der Landesparlamente, den Rechnungshöfen von Bund und Ländern sowie den Beauftragten für den Datenschutz in Bund und Ländern wird die Anwendung der Leitlinie für die Informationssicherheit empfohlen.

Punkt 3: Ziele der Informationssicherheit und Umsetzungsstrategien – Informationssicherheitsmanagement (ISMS)

Das Ziel der Leitlinie ist der Aufbau und die Etablierung eines ISMS nach einheitlichen verwaltungsübergreifenden Mindestanforderungen orientiert am IT-Grundschutz des BSI. Zur Einführung genügt im ersten Schritt ein ISMS auf Basis ISO 27001.

4

Informationssicherheitsmanagementsystem

Definition

Das ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die

Informationssicherheit dauerhaft zu definieren, zu steuern, zu

kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

5

Informationssicherheitsleitlinie des Bundes

10. IT-Planungsrat Beschluss 2013/01

Punkt 2: Geltungsbereich und Umsetzung:

Die Leitlinie für die Informationssicherheit gilt nach Verabschiedung durch den IT-PLR für alle Behörden und Einrichtungen der Verwaltungen des Bundes und der Länder. Den Kommunen, den Verwaltungen des Deutschen Bundestages und der Landesparlamente, den Rechnungshöfen von Bund und Ländern sowie den Beauftragten für den Datenschutz in Bund und Ländern wird die Anwendung der Leitlinie für die Informationssicherheit empfohlen.

Punkt 3: Ziele der Informationssicherheit und Umsetzungsstrategien – Informationssicherheitsmanagement (ISMS)

Das Ziel der Leitlinie ist der Aufbau und die Etablierung eines ISMS nach einheitlichen verwaltungsübergreifenden Mindestanforderungen orientiert am IT-Grundschutz des BSI. Zur Einführung genügt im ersten Schritt ein ISMS auf Basis ISO 27001.

6

Überblick BSI-Standards / IT-Grundschutz

Fakten:

IT-Grundschutz Kataloge gekoppelt mit 4

Standards

BSI-Standard 100-1: Managementsysteme für

Informationssicherheit (ISMS)

BSI-Standard 100-2: IT-Grundschutz-

Vorgehensweise

BSI-Standard 100-3: Risikoanalyse auf der Basis

von IT-Grundschutz

BSI-Standard 100-4: Notfallmanagement

7

[ZELLBEREI

CH] [WERT]

[ZELLBEREI

CH] [WERT]

[ZELLBEREI

CH] [WERT]

IT-Grundschutzkataloge

4068 Seiten

Überblick BSI-Standards / IT-Grundschutz

Anwendungsrahmen

Gesamte Infrastruktur

8

Überblick ISO 27001

Fakten:

ISO/IEC 2700x - Familie

ISO/IEC 27001 – Zertifizierungsstandard (ISMS)

ISO/IEC 27002 – Best-Practices

ISO/IEC 27003 – Implementierungsrichtlinien

ISO/IEC 27004 – Messwerte

ISO/IEC 27005 – Risikomanagement

9

[ZELLBEREI

CH] [WERT]

[ZELLBEREI

CH] [WERT]

[ZELLBEREI

CH] [WERT]

ISO-IEC 27001 und 27002

170 Seiten

Überblick ISO 27001

Anwendungsrahmen

Wichtige Prozesse

und Werte

Geeignete

Sicherheits-mechanismen

10

11

Unterschiede ISO 27001 vs. IT-Grundschutz

IT-Grundschutz

Nationaler Standard

Vorgegebene Methodik

Detaillierte Dokumentation

(mehr als 4000 Seiten)

Hierarchischer Ansatz

Keine Risikoanalyse bzw. nur bei

einem erhöhtem Schutzbedarf

Kostenlos

Kostenintensive Umsetzung

ISMS

12

Eierlegende Wollmilchsau ?

existiert nicht…

Die Auswahl sollte immer auf

den Bedürfnissen und Anforderungen basieren !

Informationssicherheitsleitlinie des Landes

Niedersachsen

Kabinettsbeschluss 2011/07

Punkt 1: Gegenstand und Geltungsbereich:

Die ISLL beschriebt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Landeverwaltung auf Grundlage des Standards ISO/IEC 27001

Ziel:

Etablierung eines ressortübergreifenden ISMS in der Landesverwaltung Niedersachsen auf der Grundlage des Standards ISO 27001

Risikoanalysen

Risikobehandlung

Angemessenes Verhältnis zwischen Aufwand und Nutzen

13

Nds. Informationssicherheitsmanagement (ISMS)

14

Landesregierung

Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne Sicherheitsdomäne

Informationssicherheits-beauftragter

der Landesregierung

15

Idee eines Sicherheitskonzepts

Nutzung der Gefahren- und Maßnahmenkataloge

Kriterien für das Schadensausmaß

Verstoß gegen Gesetze, Datenschutz, Image,

Aufgabenerfüllung, finanzielle Auswirkungen

Kategorien für die Informationsklassifizierung des Schadensausmaßes

normal / hoch / sehr hoch

Das Beste aus zwei Welten – IT-Grundschutz

16

Das Beste aus zwei Welten – ISO

Aufgaben - Analyse

Erhebung der schutzbedürftigen Informationen

Ressourcen - Analyse

Erhebung der Ressourcen (Sachmittel + Personal) mit Gefahrenpotential

Gefahren-Analyse

Einwirkung von Bedrohungen auf Schwachstellen

Risiko-Analyse

Bewertung der Gefahren

Dokumentenhierarchie Modularer Aufbau: Dokumentenhierarchie

17

IT-Dienstleister

erstellt

Domänen-Risiko

Behördenleitung

Behörde / Fachverwaltung

erstellt

In „7“ Schritten zum Sicherheitskonzept

„ISRL – Konzeption“

Risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen

Mindestanforderungen an eine risikoorientierte Vorgehensweise

Dokumentenstruktur von Sicherheitskonzepten und von Risikobeschreibungen

Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen ressortübergreifend vergleichbar feststellen und fortlaufend verbessern

18

In „7“ Schritten zum Sicherheitskonzept – Schritt 1

19

In „7“ Schritten zum Sicherheitskonzept – Schritt 2

20

In „7“ Schritten zum Sicherheitskonzept – Schritt 3

21

In „7“ Schritten zum Sicherheitskonzept – Schritt 4

22

In „7“ Schritten zum Sicherheitskonzept – Schritt 5

23

In „7“ Schritten zum Sicherheitskonzept – Schritt 6

24

In „7“ Schritten zum Sicherheitskonzept – Schritt 7

25

Management Summary

Betrachtungsgegenstand

TOP-Risiken

TOP-Maßnahmen

Handlungsstrategie

Servicerisiko-Bewertung

26

Ergebnisdokumente:

Sicherheitskonzept als

„Entscheidungsvorschlag“

Management Summary

Betrachtungsgegenstand

TOP-Risiken

Sicherheitsfeatures

Servicerisiken

Maßnahmenvorschläge

Risikobeschreibung als

„Beipackzettel“

Behördenleitung Leistungsempfänger

Dokumentenhierarchie Modularer Aufbau: Risikoverantwortung

Rest- Risiko

(Domänenrisiko)

Sicherheitskonzept Domänenrisiko

Sicherheitskonzept + Verfahrensrisikobeschreibung

Sicherheitskonzept

+ Servicerisikobeschreibung

Service-Risiko Behördenleitung

Behördenleitung verantwortet

Sicherheitsdomäne

erstellt

Verfahrens-Risiko Behördenleitung

27

SRB

VRB

DRB

28

Das neue Vorhaben des BSI

Modernisierung des IT-Grundschutzes – Ziele

29

Optimierung und Flexibilisierung der Vorgehensweisen

Verschlankung und bessere Strukturierung der IT-Grundschutz-Kataloge

Profilbildung - Anpassung an Größe und Schutzbedarf der Institution

Modernisierter IT-Grundschutz

Profile

Bausteine

Vorgehensweisen

Modernisierung IT-GS - Neue Vorgehensweisen

30

Modernisierter IT-Grundschutz

Vorgehens-weisen

31

Modernisierter IT-Grundschutz

Bausteine

Modernisierung IT-GS - Bausteine

Neue Dokumentenstruktur der Bausteine und Umsetzungshinwiesen:

Bausteine: Umfang - ca. 10 Seiten,

Konkrete Gliederung (Beschreibung,

Einleitung, Zielsetzung, Abgrenzung,

Verantwortlichkeiten), Spezifische

Gefährdungslage, Anforderungen

Umsetzungshinweise: Umfang - beliebig,

Gliederung angelehnt an Bausteine,

Maßnahmen als Umsetzungshilfen,

Referenzen auf weiterführende

Informationen

Modernisierung IT-GS - Profile

32

Modernisierter IT-Grundschutz

Profile

Werkzeug für anwenderspezifische Empfehlungen

Möglichkeit der individuellen Anpassung des IT-Grundschutzes an die jeweiligen Bedürfnisse

Berücksichtigung der Möglichkeiten und Risiken der Institution

Profiltypische IT-Szenarien, z.B.

Kommunalverwaltung in Bundesland XY,

Krankenhaus, Wasserwerk als kritische

Infrastruktur usw.

Modernisierung IT-GS - Veröffentlichungsprozess

33

Sylwia Henhappel Referentin Informationssicherheit, Cybersicherheit, E-Government Niedersächsisches Ministerium für Inneres und Sport Tel. 0511 / 120 – 4807 sylwia.henhappel@mi.niedersachsen.de

Kontakte