Upload
hahuong
View
242
Download
8
Embed Size (px)
Citation preview
Die IT-Sicherheitsverordnung der EKD
und ihre Auswirkungen
SK-Consulting GroupMittwoch, 27. April 2016
Daniel Engelke
Seit 01.01.2015 Geschäftsführer der SK-Consulting Group GmbH
IT-Sicherheitsbeauftragter (UDIS)
Universität Regensburg
Universität Hamburg
Über mich
2
3
Situation
4
ITSVO-EKD
5
Die Kernaussagen des ITSVO
§ 1 II S.1 ITSVO-EKDEin IT-Sicherheitskonzept ist zu erstellen
und laufend fortzupflegen
ITSVO-EKD
6
Die Kernaussagen des ITSVO
§ 1 III S.1 ITSVO-EKDDer Sicherheitsstandard soll dem BSI-
Grundschutz (100-x) entsprechen
ITSVO-EKD
7
Die Kernaussagen des ITSVO
Ergebnisbericht der AG IT-Sicherheitskonzepte der EKDDie Komplexität der Umsetzung ist von der
Größe der Institution abhängig
ITSVO-EKD
8
Die Kernaussagen des ITSVO
§ 2 I Nr.2 ITSVO-EKD
Es muss ein qualifizierter Datenschutzbeauftragter vorhanden sein
ITSVO-EKD
9
Die Kernaussagen des ITSVO
§ 2 II ITSVO-EKD
Es muss eine Regelung zur Verwaltung privater Endgeräte im eigenen Netzwerk geben, falls private Endgeräte vorhanden
sind
ITSVO-EKD
10
Die Kernaussagen des ITSVO
§ 4 I ITSVO-EKD
Die Mitarbeiter sind durch qualifizierte Maßnahmen zu schulen
ITSVO-EKD
11
Die Kernaussagen des ITSVO
§ 5 ITSVO-EKD i.V.m. BSI M2.193
Ein IT-Sicherheitsbeauftragter kann/muss bestellt werden
ITSVO-EKD
12
Die Kernaussagen des ITSVO
§ 7 ITSVO-EKD
Das IT-Sicherheitskonzept ist bis zum 31.12.2015 zu erstellen
ITSVO-EKD
13
Die Kernaussagen des ITSVO
§ 7 ITSVO-EKD
Die Vollständige Umsetzung aller Maßnahmen hat bis zum 31.12.2017 zu
erfolgen
§ 9
DSG-
EKD
Geschützt:Natürliche Personen
Gefahr:Verletzung von Persönlichkeitsrechten
Im Fokus stehtdie einzelne Person
Geschützt:Daten, die mit der IT erhoben wurden
Gefahr: Unberechtigter Zugriff, Verlust, Vertraulichkeit, Integrität, Verfügbarkeit
Im Fokus stehenKirchliche Stellen
Datenschutz IT-Sicherheit
Datenschutz und IT-Sicherheit
14
Klein, mittel, oder groß?
Kleine Einrichtungen
Kein geschultes IT-Personal
Minimale IT-Infrastruktur
Überwiegend dezentrale Datenhaltung
Keine oder wenig Server
Mittlere und große Einrichtungen
Geschultes IT-Personal (intern oder extern)
IT-Infrastruktur mit Servern und Netzwerken
Überwiegend zentrale Datenhaltung
15
Angemessener Schutz für die Verfügbarkeit, Vertraulichkeit und Integrität
Dieser sollte angemessen und ausreichend sein
Mit den Maßnahmen des BSI-Ansatzes
Sollte mit einen Angemessenen personellen Aufwand realisierbar sein
Zielsetzung
16
Klärung der Zuständigkeiten und einrichten einer Arbeitsgruppe
Bestandsaufnahme der bereits eingesetzten und geplanten IT-Systeme
Feststellung der Angriffspunkte bzw. Schwachstellen
Entwicklung einer IT-Sicherheitspolitik
Festlegung von Sicherheitsmaßnahmen in einen Sicherheitskonzept
Verantwortliche Personen:
IT-Leiter
IT-Mitarbeiter
Datenschutzbeauftragter
Entscheidungsträger der Geschäftsführung
Methodische Vorgehensweise zur Erstellung eines IT-Sicherheitskonzeptes
17
1. Zielrichtung
2. Allgemeiner Grundschutz
3. Arbeitsplatzebene
4. Zentralrechnerebene
5. Verfahren
6. Administration
7. Revision/Kontrolle
8. Notfallvorsorge
9. Schwachstellen/Risikoanalyse
10. Art der Fortschreibung
Inhalt eines IT-Sicherheitskonzeptes
18
19
Initiierung des IT-Sicherheitskonzeptes• Verantwortung der Leitungsebene• Konzeption und Planung des Sicherheitsprozesses• Aufbau einer Sicherheitsorganisation, Bereitstellung von
Ressourcen, Erstellung der Leitlinie
Erstellung eines IT-Sicherheitskonzeptes
Umsetzung• Realisierung der Maßnahmen in den Bereichen Infrastruktur,
Organisation, Personal, Technik, Kommunikation und Notfallmanagement
• Sensibilisierung und Schulung
Aufrechterhaltung im laufenden Betrieb
20
21
Initiierung des IT-Sicherheitskonzeptes• Verantwortung der Leitungsebene• Konzeption und Planung des Sicherheitsprozesses• Aufbau einer Sicherheitsorganisation, Bereitstellung von
Ressourcen, Erstellung der Leitlinie
Erstellung eines IT-Sicherheitskonzeptes
Umsetzung• Realisierung der Maßnahmen in den Bereichen Infrastruktur,
Organisation, Personal, Technik, Kommunikation und Notfallmanagement
• Sensibilisierung und Schulung
Aufrechterhaltung im laufenden Betrieb
Definition der Verantwortung der Leitung der Organisation für IT-Sicherheit
Stellenwert von IT-Sicherheit, Unternehmenskultur etc.
Geltungsbereich festlegen
Gesamte Institution oder Teilbereich
Einberufung einer Entwicklungsgruppe für die IT-Sicherheitsleitlinie
M 2.193 Aufbau einer geeigneten Organisationsstruktur
Bestimmung der IT-Sicherheitsziele und -strategien
Informationen und Systeme klassifizieren
Fest definierte Schutzbedarfs-Niveaus (EKD):
Sehr hoch: Totaler Zusammenbruch der Organisation
Hoch: Handlungsunfähigkeit zentraler Bereiche
Normal: Beeinträchtigung der Organisation
Erstellung einer Sicherheitsleitlinie
22
Initiierung
SI-konzept
Umsetzung
Erhaltung
Allgemeiner Grundschutz
2.1 Infrastruktur
Für zentralen IT-Systeme sind geeignete Räumlichkeiten bereitzustellen.
Es ist im Zentralrechnerraum eine ausreichende Klimatisierung sicherzustellen.
Es ist eine Gefahrenmeldeanlage zu installieren.
Im Zentralrechnerraum sind die IT-Systeme an gesonderte Stromkreise anzuschließen.
Ein Handfeuerlöscher ist vorgesehen.
Der Zutritt zu Netzwerkleitungen und –verteilern ist zu regeln.
Fenster und Türen müssen abschließbar sein.
Beispiel
23
Nr. Beschreibung Plattform Anzahl Ort Status Anwender/Admin Schutzbedarf Beurteilung / Begründung
Vertrau-lichkeit
Inte-grität
Verfüg-barkeit
S001 Windows 2008 PBD
Windows 2008 R2
23 S01-S02 Aktiv IT-Abteilung Vertraulichkeit: Es gibt besondere rechtliche Verschwiegenheitsbeschränkungen (z. B. Gesundheitsdaten, Patientendaten, ärztliche Schweigepflicht).Integrität: Eine Gefährdung von Leib und Leben kann nicht ausgeschlossen werden.
S002Windows 2008
Windows 2008 R2 12 S01-S02 Aktiv IT-Abteilung ohne Gefährdung
Infrastruktur
24
Aufwand-Nutzen-Relation
25
Initiierung
SI-konzept
Umsetzung
Erhaltung
BSI 100-2
26
Initiierung
SI-konzept
Umsetzung
Erhaltung
IT-Strukturanalyse• Erfassung der IT und der IT-Anwendungen• Gruppenbildung
Schutzbedarfsfeststellung
IT-Grundschutzanalyse• Modellierung nach IT-Grundschutz• Basis-Sicherheitscheck mit Soll-Ist-Vergleich
Ergänzende Sicherheitsanalyse• bei hohem Schutzbedarf• bei zusätzlichem Analysebedarf
Konsolidierung der Maßnahmen
Realisierung der Maßnahmenvgl. BSI-Standard 100-2
Aktion Aufwand in Tagen Häufigkeit in zwei Jahren
Menge in Tagen
Initiirung des Sicherheitsprozesses 5 1 5
Aufnahmeaudit 2 1 2
Realisierung von Sicherheitsmaßnahmen 2 3 6
Einführung BSI-Grundschutz 24 1 24
Einführung eines Notfallmanagements 5 1 5
Betreuter Betrieb 4 3 12
Jährliche Managementzusammenfassung 1 2 2
Mitarbeiterschulung 1,5 3 4,5
Gesamtaufwand in Tagen 60,5
Individuelle Aufwandseinschätzung
27
2015 Erstellung eines IT-Sicherheitskonzeptes
Step 1: Entscheidung für eine interne oder externe Umsetzung
Step 2: Sicherheitsanalyse
Step 3: Erstellung eines Bereinigten Netzplans
Step 4: Eröffnungsworkshop: Erarbeitung eines IT-Sicherheitskonzeptes
Step 5: Erstellung eines IT-Sicherheitskonzeptes
2016-2017 Umsetzung BSI 100-x
Step 1: Umsetzung INDART
Step 2: Umsetzung INDITOR
Step 3 (bis 31.12.2017): Umsetzung aller Maßnahmen gem. BSI 100-x
Weiteres Vorgehen:
28
Die Leitungsebene (Geschäftsführung, Abteilungsleitung) trägt die Verantwortung für die von ihrem Bereich verarbeiteten Daten. Sie
ist zuständig für die Festlegung des Sicherheitsniveaus.
Wichtig!
29
Anforderungen an eine Softwarelösung
BSI-Anforderungen
Notfallplanung
Datenschutzkonzept
ITS-Konzept
Kryptokonzept
Datensicherungskonzept
Firewallkonzept
Brandschutzkonzept
Dokumentenmanagement
Interne Anforderungen
Business Impact Analyse
Mandantenfähigkeit
Rechte- und Rollenverteilung
Hard-und Softwareinventur
SLA-Verwaltung
Schnittstellen
30
Softwarelösungen
31
Enterpriselösungen
Basislösungen
IT-Grundschutz-Zertifikat
Seit 2002 erhältlich
Seit 2006 Anpassung an internationale Zertifizierung
2 Vorstufen, werden von BSI-lizenzierten Auditoren vergeben
IT-Grundschutz Einstiegsstufe
IT-Grundschutz Aufbaustufe
ISO 27001-Zertifikate auf Basis von IT-Grundschutz
Überprüfung durch einen BSI-lizenzierten ISO 27001- Grundschutz-Auditor: Sichtung der Referenzdokumente, Vor-Ort-Prüfung, Report
BSI entscheidet auf Basis des Audit-Reports und des ISO 27001-Grundschutz-Zertifizierungsschemas (http://www.bsi.de/gshb/zert/ISO27001/schema.htm)
Zertifizierung
32
Fundiertes technisches, betriebswirtschaftliches und juristisches Fachwissen
Es ist immer ein neutraler Ansprechpartner (auch bei Sicherheitsvorfällen) vorhanden
Wir arbeiten praxis- und lösungsorientiert
Stellvertreter bei Fragen während der Abwesenheit
Sie profitieren von den Erfahrungen anderer Unternehmen (Synergieeffekte)
Bei kritischen Infrastrukturen: Jemand der den BSI-Sicherheitsvorfälle meldet
Durch den Einsatz des externen IT-Sicherheitsbeauftragten vermeiden Sie folgende Aspekte:
Ausbildungskosten für interne IT-Sicherheitsbeauftragte
Schulungs- und Weiterbildungskosten für den IT-Sicherheitsbeauftragten
Warum mit der SKC?
33
Vielen Dank für Ihre Aufmerksamkeit.
Meine Kontaktdaten:
Daniel Engelke
05731 / 15026-10