ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN

ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN

REFERENT: ANDREAS HECKER

2 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016

1. Vorstellung des Bayerischen IT-Sicherheitscluster e.V. 2. IT Planungsrat Mindestanforderungen & Beschlusslage3. Bayerisches eGovernment-Gesetz4. Förderprogramm für Kommunen in Bayern 5. ISIS12 – Informations-SIcherheitsmanagementSystem in

12 Schritten 6. ISIS12-Blaupause für Kommunen

AGENDA


Gründung: 2006 als Netzwerk (Cluster) in Regensburg 2012 Eröffnung der Geschäftsstelle Augsburg 2013 Überführung in einen Verein Geschäfte des Vereins führt die R-Tech GmbH über einen

Geschäftsbesorgungsvertrag

Mitglieder: Unternehmen der IT-Wirtschaft Unternehmen, die Sicherheitstechnologien nutzen Hochschulen und Weiterbildungseinrichtungen Juristen

BAYERISCHER IT-SICHERHEITSCLUSTER E.V.


BAYERISCHER IT-SICHERHEITSCLUSTER E.V.


Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung (Stand 19.02.2013) Version 1.8 (10. IT-Planungsrat Beschluss 2013/01):Die Mindestanforderungen an das ISMS umfassen: Erstellung von jeweiligen verbindlichen Leitlinien für die

Informationssicherheit Erstellung und Umsetzung von Sicherheitskonzepten für

Behörden und Einrichtungen Festlegung und Dokumentation der Abläufe bei IT-

Sicherheitsvorfällen Information, Weiterbildung, Sensibilisierung aller

Beschäftigten der öffentlichen Verwaltung zu Themen der Informationssicherheit. Hierzu gehört auch die Etablierung und Durchführung regelmäßiger Sensibilisierungsmaßnahmen für die oberste Leitungsebene

IT-PLANUNGSRAT – MINDESTANFORDERUNGEN


Einsatzbereich zur Umsetzung der Leitlinie Kommunen mit bis zu 500 MA => Förderprogramm 500 IT-

Arbeitsplätze Homogene IT-Basisinfrastruktur Keine über öffentliche Netze ungeschützt angebundene

AußenstellenGrenzen: ISIS12 eignet sich nicht für den Einsatz bei Hochverfügbarkeitsanforderungen Kritischen Infrastrukturen Hohen Schutzbedarfsanforderungen

IT-PLANUNGSRAT - BESCHLUSSLAGE


Inhalt Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und eRechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9: Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften,

BayVwVfG,BayDSG, Auskunftsrecht etc. Art. 10: Übergangs und Schlussvorschriften

DAS BAYERISCHE EGOVERNMENT-GESETZ


Art. 1: Anwendungsbereich



Art. 8: IT-Sicherheit und Datenschutz



Förderfähig sind Ausgaben für: Die Beratung und Begleitung bei der Implementierung durch

qualifizierte ISIS12-Dienstleister Schulungen für Mitarbeiter durch zertifizierte Anbieter Die (Erst-)Zertifizierung des Managementsystem zur

Informationssicherheit nach ISIS12

FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN


Art und Umfang der Zuwendung: 50 % der Kosten für Beratung, Dienstleistung und

Zertifizierung werden finanziell gefördert; der Höchstbetrag der Förderung ist jedoch auf max. 15.000 € begrenzt

Förderung von Beratungsleistungen ist auf max. 1200 €(brutto) je Beratertag beschränkt

Mind. zuwendungsfähige Kosten in Höhe von 2.500 €(Bagatellgrenze)



eure und Rollen



Gründung des Netzwerkes „Informationssicherheit für den Mittelstand“ innerhalb des Clusters“

Ziel: Entwicklung eines einfachen Vorgehensmodell zur Einführung von Informationssicherheit

Zunächst für KMU

ISIS12 - HINTERGRUND


ISIS12 – Informations-SIcherheitsmanagementSystem in 12 Schritten

ISIS12 ist ein Verfahren zur Einführung und Verbesserung der

Informationssicherheit in mittelständischen Unternehmen und Organisationen

gilt als Vorstufe zum BSI IT-Grundschutz-Zertifikat

Handbuch und Katalog können über das Cluster bezogen werden

Einführung kann durch zertifizierte ISIS12-Dienstleister begleitet werden

Workflow wird durch ein vom Netzwerk entwickeltes Softwaretool dargestellt


• Verständlich beschriebener 12-stufiger Prozess, zur Etablierung eines ISMS (ISIS12-Handbuch)

• Integration ISMS mit IT-Service Management (IT-SM)

• Spezifischer ISIS12-Maßnahmensatz (ISIS12-Katalog)

• 12-stufiger Prozess wird als Workflow abgebildet

ISIS12 – WAS IST NEU?


Möglichkeit zur Zertifizierung durch die DQS GmbH

Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits

Auditierung durch zertifizierte ISIS12-Auditoren

Unterstützung durch ISIS12-Dienstleister möglich

ZERTIFIZIERUNG NACH ISIS12


ISMS


KMU VS. Kommunen ISIS12 wurde ursprünglich für KMU entwickelt Was ist der Unterschied zwischen KMU und Kommunen?

– Geschäftszweck/Fachaufgaben– Rechtliche Grundlagen– „Sprache“– Förderung für Kommunen in Bayern – für KMU nicht

BESONDERHEITEN ISIS12


Ziele Kommunen und ISIS12-Dienstleister die Arbeit zu erleichtern Die Qualität des ISMS soll intersubjektiv vergleichbar werden

(Standardisierung) Ständige Aktualisierung der Arbeitshilfe Kein neues ISIS12-Handbuch sondern konkrete Ergänzungen

für jeden der 12 SchritteVorgehensweise Erfahrungen aus BSI IT-Grundschutz-Projekten Erfahrungen aus den ersten ISIS12 Projekten mit

Kommunen Workshops mit Kommunen Publikationen

„BLAUPAUSE“ ISIS12 FÜR KOMMUNEN


Handbuch Version 1.7, Katalog Version 1.3 „Blaupause“ ISIS12 für Kommunen 36 zertifizierte ISIS12-Berater deutschlandweit 25 ISIS12 Beratungsprojekte in KMU (Stand Oktober 15) 3 Zertifizierungen nach ISIS12 (Stand Januar 16) 31 genehmigte Förderanträge für die Einführung von ISIS12

in Kommunen (2 Förderanträge in Bearbeitung; Stand Januar 2016)

STATUS QUO


Initialisierungsphase Schritte 1-2

Aufbau- und Ablauforganisation

Schritte 3-5

Entwicklung und Umsetzung ISIS12

KonzeptSchritte 6-12

INFORMATIONSSICHERHEIT IN 12 SCHRITTEN


SCHRITT 1LEITLINIE ERSTELLEN

Im ISIS12 Vorgehensmodell spielt die Sicherheitsleitlinie ein zentrale Rolle

Für Kommunen wurde eine Muster-Sicherheitsleitlinie erstellt (Dienstanweisung)

Diese kann mit wenig Aufwand an die jeweilige Kommune angepasst werden


SCHRITT 2MITARBEITER SENSIBILISIEREN

Entwicklung von speziellen Präsentation für verschiedene Zielgruppen (Leitung, Personalrat, Mitarbeiter)

Empfehlungen für die kontinuierliche Sensibilisierung von Mitarbeitern

– Mitarbeiter als die wichtigste Firewall– Mitarbeiter als Sicherheitsschwachstelle


SCHRITT 3INFORMATIONSSICHERHEITS-TEAM AUFBAUEN

Bestellung eines Informationssicherheitsbeauftragen (ISB) Vorschläge für die Zusammensetzung des

Informationssicherheits-Teams Spezifische Aufgaben des Informationssicherheits-Teams in

Kommunen


SCHRITT 4IT-DOKUMENTATION ERSTELLEN

Vorschläge für die Struktur der IT-Dokumentation Musterdokumente als Arbeitsgrundlage Empfehlungen und Hinweise für die erforderlichen

Arbeitsschritte


SCHRITT 5 IT-SERVICE MANAGEMENT PROZESSE EINFÜHREN

Gibt es spezifische kommunale IT-SM-Prozesse? Externe Dienstleister sind in der Regel bei Kommunen im

Vergleich zu KMU häufiger aktiv. Dies erfordert bei der der Prozessmodellierung eine

entsprechende Berücksichtigung. Die externen Dienstleister müssen in die internen IT-SM-

Prozesse integriert werden. Empfehlungen und Prozessmodellierung der IT-SM-Prozesse

Wartung, Änderungsmanagement und Störungsbeseitigung.


SCHRITT 6KRITISCHE ANWENDUNGEN IDENTIFIZIEREN

Nur Anwendungen sind zu erfassen, die bezogen auf mindestens einer der Grundwerte „Vertraulichkeit“, „Integrität“ oder „Verfügbarkeit“ als kritisch einzustufen sind

Abhängig von Größe und Struktur der Behörde, sind sie für viele Fachaufgaben zuständig und verantwortlich

Bildung sinnvollerweise Gruppen von Anwendungen zu Clustern („Reduktion von Komplexität“)

Identifizierte Anwendungen werden bezogen auf die drei Grundwerte hin untersucht und klassifiziert: Schutzbedarfsfeststellung

Entwicklung spezifischer Schutzbedarfskategorien


SCHRITT 7IT-STRUKTUR ANALYSIEREN

In ISIS12 Schritt 7 werden die für in Schritt 6 für den Betrieb erforderlichen Zielobjekte erfasst und mit den Anwendungen verknüpft.

Nach Abschluss der Verknüpfung wird der in Schritt 6 erfasste Schutzbedarfs an die Zielobjekte vererbt.

Anpassung an spezifische kommunale Besonderheiten Muster eines bereinigten Netzwerkplans Die spezielle Rolle von Behördennetzen (kommunale

Behördennetze: KomBN und Bayerisches Behördennetzwerk) ist zu berücksichtigen.


SCHRITT 8IT-SICHERHEITSMAßNAHMEN MODELLIEREN

Im ISIS12-Katalog sind KMU typische Bausteine, mit den entsprechenden Sicherheitsmaßnahmen, enthalten.

Modellierung spezifischer Bausteine für Kommunen, die (noch) nicht im ISIS12-Katalog enthalten sind.


SCHRITT 9IST – SOLL VERGLEICHEN

Die IST-SOLL-Erhebung gibt Auskunft über den Umsetzungsgrad der geforderten Sicherheits-Maßnahmen(Ja, Nein, Teilweise, Nicht notwendig)

Hier spielen externe Dienstleister/Softwareentwickler eine wichtige Rolle: Wer sonst als Hersteller kommunaler Software kann entsprechende Antworten geben (z.B.: „SQL-Injection“)?

Gespräche mit Softwarefirmen um diesen Schritt zentral zu erledigen, um damit den Aufwand für Kommunen gering zu halten!


SCHRITT 10UMSETZUNG PLANEN

Die aus dem IST-SOLL-Vergleich (Schritt 9) erhaltenen, noch zu realisierenden Maßnahmen werden im Rahmen der Realisierungsplanung konsolidiert und priorisiert

Berücksichtigung der kommunalen Prozesse der Budgetierung bzw. Haushaltsplanung

Die Zeitachse muss für den Projektverlauf frühzeitig berücksichtigt werden (etwa das Einstellen von erforderlichen Haushaltspositionen)


SCHRITT 11UMSETZEN

Aus Schritt 10 resultiert ein konsolidierter und genehmigter Katalog von umzusetzenden Sicherheitsmaßnahmen

Die Umsetzung der noch offenen Maßnahmen vervollständigt die Informationssicherheitskonzeption

Für jede Maßnahme werden die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festgelegt

Die Kompetenz den Initiator und Umsetzer zu bestimmen ist noch genauer zu klären und entsprechend zu beschreiben


SCHRITT 12 REVISION

ISIS12 Schritt 12 stellt den letzten Schritt dar und ist zugleich der immerwährende Auftrag, das ISMS auf Aktualität und Wirksamkeit hin zu überprüfen und anzupassen (PDCA).

Grundsätzlich sind die Schritte 1 bis 11 jährlich zu durchlaufen und auf Änderungen, Anpassungen und Ergänzungen hin zu überprüfen.


ISIS12 – FAKTEN (I)ISO/IEC 27001:2013 BSI-Grundschutz

(auf Basis ISO/IEC 27001)

ISIS12

Grad der technischen Detaillierung

Schreibt keine technischen Umsetzungsdetails vor; Maßnahmenziele und Maßnahmen gelten nicht mehr (seit 2013) verpflichtend; risikoorientierter Ansatz

Technisch sehr detailliert, konkret und umfangreich

Konkrete Handlungs-empfehlungen, stark geführt, basiert auf dem IT-Grundschutz-Vorgehensweise und -Katalogen

Zertifizierungs-aufwand

Aufwand wird nach ISO 27006 kalkuliert und ist abhängig von Mitarbeiteranzahl des Geltungsbereich; beginnt bei 5 PT für Erst-Audit

Aufwand mind. 15 PT unabhängig vom Geltungsbereich

Erst-Zertifizierungs-Audit dauert i.d.R. 2 PT und Überwachungs-Audit - 1 PT

Zertifizierungs-stellen

Zehn akkreditierte Zertifizierungsstellen

BSI DQS GmbH

Verbindung mit Risikomana-gement

Freie Wahl einer angemessenen Risikomethodik (vgl. z.B. ISO 27005), Fokus auf die Risiken

Sollte mit der Risikoanalyse 100-3 des BSI einhergehen,andere zulässig

Immanente Risikoanalyse, bei einem höheren Schutzbedarf wird eine Risikoanalyse nach BSI-Standard 100-3 empfohlen

Quelle: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung; Fraunhofer AISEC; November 2014


ISIS12 – FAKTEN (II)

ISO/IEC 27001:2013

BSI-Grundschutz (auf Basis ISO/IEC

27001)

ISIS12

Werkzeuge zur Unterstützung

Verschiede Tools Verfügbar. Anwendung und Zertifizierung auch ohne Tools möglich.

Mehrere (auch kostenfreie) Tools am Markt verfügbar. Das BSI hat ein eigenes Tool. Tooleinsatz wird dringend empfohlen.

Tooleinsatz wird empfohlen; ISIS12-Software, und kommerzielles Tool stehen zur Verfügung. Einsatz des Tools wird empfohlen.

Voraussetzung für Zertifizierung

Das ISMS sollte mindestens bereits 6 Monate betrieben werden.

Das ISMS sollte mindestens bereits 6 Monate betrieben werden.

Die 12 Schritte des ISMS müssen einmal komplett durchlaufen und wirksam umgesetzt worden sein.

Kombination mit anderen Zertifikaten

Zertifizierung ist kombinierbar, z.B. mit ISO 9001 (im Kombi-Audit ca. 30% weniger Aufwand)

Die Kombination mit einer anderen Zertifizierung ist beim BSI nicht möglich

Kombinierbar mit ISO 9000 (Qualitätsmanagement) und ISO 14000 (Umweltmanagement) und ISO 20000 (IT-Servicemanagement)

Quelle: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung; Fraunhofer AISEC; November 2014


ISIS12 ist ein pragmatischen und dennoch effektive IT-Grundschutz-Profil für Kommunen Radikal auf das Notwendige reduzierter Maßnahmenkatalog im

BSI-Vergleich Handbuch und Katalog kostenfrei für alle Kommunen; Online-

Bestellung über www.it-sicherheit-bayern.de Auf Initiative Bayerns hat der IT-Planungsrat ISIS12 zur

Umsetzung seiner Mindestsicherheitsanforderungen anerkannt Auch BSI will mit der Modernisierung des IT-Grundschutzes ein

IT-Grundschutz-Profil für Kommunen erarbeiten: „Wer hat‘s erfunden?“

Bayern fördert ISIS12 – Einführung in Kommunen mit 50% (bis max. 15.000 €)

ZUSAMMENFASSUNG


Kontakt:

Sandra WiesbeckBayerischer IT-Sicherheitscluster e.V.Bruderwöhrdstr. 15 b93055 RegensburgTel.: 0941/604 88 9 18Mail: [email protected]

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!

Documents

ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN