Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte –

Ähnliche Präsentationen


Präsentation zum Thema: "IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte –"—  Präsentation transkript:

1 IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte –
Workshop und Erfahrungsaustausch Matthias Hög Senatsverwaltung für Inneres und Sport ZS C Jens Redlich Senatsverwaltung für Stadtentwicklung und Umwelt

2 Aktuelle IT-Sicherheitsvorfälle
heise.de: News-Meldung vom Kundendaten bei Online-Brillenladen Mister Spex geklaut Unbekannte konnten bei einem Hackerangriff auf den Internetoptiker Mister Spex auf die Kundendatenbank zugreifen. Laut dem Berliner Unternehmen hatten die Angreifer dabei Zugriff auf Adressdaten und Passwörter und habe diese möglicherweise auch kopiert. Gehasht waren die Passwörter demnach nicht. Zahlungsinformationen seien nicht betroffen, da diese laut Mister Spex nicht gespeichert werden.

3 Aktuelle IT-Sicherheitsvorfälle
heise.de News-Meldung vom :40 Oracles Sicherheitslücke im Dateikonverter gefährdet nicht nur Server-Dienste Einige der vergangene Woche von Oracle eigentlich geschlossenen Sicherheitslücken ziehen große Kreise. Denn die Bibliothek Oracle Outside In kommt in vielen Produkten zum Einsatz, um Dateien verschiedenster Formate zu konvertieren. Neben Microsofts Exchange und Sharepoint sind auch Produkte von Cisco, HP, IBM, Novell, Symantec, McAfee und anderen betroffen.

4 Aktuelle IT-Sicherheitsvorfälle
heise.de: News-Meldung vom :35 Hintertür in Netzwerk-Hardware für Industrieanlagen Das Betriebssystem Rugged Operating System (ROS) des Herstellers RuggedCom enthält eine undokumentierte Hintertür. Die Siemens-Tochter hat sich auf Netzwerk-Equipment für industriellen Einsatz in "rauen Umgebungen" spezialisiert; sie wirbt unter anderem für die Verwendung der Switches und Server in Kraftwerken, Öl-Raffinerien, beim Militär und in der Verkehrsüberwachung. Besonders erschütternd ist die Timeline dieses Vorgangs. Die Entdecker des Problems nahmen nämlich vor über einem Jahr Kontakt mit RuggedCom auf. Dort bestätigte man demnach zwar, von der Existenz dieser Hintertür zu wissen, zeigte jedoch anscheinend keine Bereitschaft, sie zu entfernen.

5 Aktuelle IT-Sicherheitsvorfälle
heise.de News-Meldung vom :15 Hacker nahmen EU-Politiker ins Visier Chinesische Hacker sollen unter anderem die s von EU-Ratschef Herman Van Rompuy und anderen europäischen Spitzenpolitikern ausspioniert haben. Das berichtete die Nachrichtenagentur Bloomberg. Der Rat (die Vertretung der EU-Staaten) wollte den Angriff gegenüber der Nachrichtenagentur dpa am Dienstag weder dementieren noch bestätigen. … Im Visier hätten die Hacker Investment-Banken oder Ölfirmen gehabt – oder eben europäische Spitzenpolitiker und -beamte.

6 Aktuelle IT-Sicherheitsvorfälle
Warnmeldung BSI vom Kritische Schwachstelle in allen 7er Versionen von JAVA Ausführung von Remote-Code beim Besuch von Web-Sites möglich Exploits verfügbar, Schwachstelle wird bereits ausgenutzt BSI empfiehlt, grundsätzlich auf den Einsatz von Java in den Browser-Plug-Ins beim Besuch von Internetseiten zu verzichten.

7 Aktuelle IT-Sicherheitsvorfälle
Warnmeldung BSI vom Kritische Schwachstelle im Internet Explorer 6, 7, 8 und 9 Ausführung von Remote-Code beim Besuch von Web-Sites möglich Exploits verfügbar, Schwachstelle wird bereits ausgenutzt BSI empfiehlt, bis zur Verfügbarkeit eines Patches einen alternativen Browser einzusetzen. grundsätzlich eine Zwei-Browser-Strategie, um bei aktuellen Schwachstellen eines Browsers ggf. auf das andere Produkt umschalten zu können.

8 Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin
IT-Sicherheitsprozess IT-Sicherheitskonzept

9 IT-Sicherheitsbeauftragte
IT-Sicherheitsgrundsätze Tz. 3.7 IT-Sicherheitsbeauftragter - begleitet die Umsetzung und Fortschreibung eines behördlichen IT-Sicherheitskonzeptes, - organisiert die Zusammenarbeit mit anderen Bereichen der Behörde, die sicherheitsrelevante Aufgaben wahrnehmen (z. B. Brandschutzbeauftragter, Datenschutzbeauftragter usw.), - koordiniert und kontrolliert das Zusammenspiel zwischen den verfahrensspezifischen IT-Sicherheitskonzepten und dem behördlichen IT-Sicherheitskonzept und - moderiert, sofern eingerichtet, das IT-Sicherheitsmanagementteam. Die Einrichtung eines ständigen IT-Sicherheitsmanagementteams wird insbesondere bei großen Behörden mit vielfältigem IT-Einsatz empfohlen.

10 IT-Sicherheitsbeauftragte
IT-Grundschutzkatalog Maßnahme M 2.193 „Die Funktion des IT-Sicherheitsbeauftragten muss … in jeder Institution eingerichtet werden, da er für alle Belange der Informationssicherheit zuständig ist.“

11 Aufgaben IT-Sicherheitsbeauftragte
Informationssicherheitsprozess steuern und koordinieren, Leitungsebene bei Erstellung der Leitlinie zur Informationssicherheit unterstützen Erstellung des Sicherheitskonzepts koordinieren, Realisierungsplan für die Sicherheitsmaßnahmen erstellen und Realisierung initiieren und überprüfen, Leitungsebene und IS-Management-Team über Status Quo der Informationssicherheit berichten, sicherheitsrelevante Projekte koordinieren und Informationsfluss zwischen Beteiligten sicherstellen, sicherheitsrelevante Zwischenfälle untersuchen Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und steuern. (IT-Grundschutzkatalog Maßnahme M 2.193, BSI Tz 3.4.4)

12 Aufgabenwahrnehmung Empfehlung BSI: Rolle als Stabsstelle einrichten
In kleinen Institutionen kann die Funktion des IT-Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Ausreichend Zeit für Aufgabenwahrnehmung qualifizierte Vertretung benennen (IT-Grundschutzkatalog Maßnahme M 2.193, BSI Tz 3.4.4)

13 Anforderungen IT-Sicherheitsbeauftragte
Wissen und Erfahrung in den Gebieten Informationssicherheit und Informationstechnik Überblick über Aufgaben und Ziele der Behörde Identifikation mit den Zielsetzungen der Informationssicherheit Kooperations- und Teamfähigkeit Fähigkeit zum selbständigen Arbeiten Durchsetzungsvermögen Erfahrungen im Projektmanagement (IT-Grundschutzkatalog Maßnahme M 2.193, BSI Tz 3.4.4)

14 Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin
IT-Sicherheitsprozess IT-Sicherheitskonzept

15 Regelungen im Land Berlin Übersicht
AöR–Gesetz zu ITDZ VV IT-Steuerung IT-Organisationsgrundsätze IT-Sicherheitsgrundsätze IT-Standards „best practices“ Bericht zur Informationssicherheit (IS-Bericht)

16 Zusammenhang der Regelungen
AöR-Gesetz ITDZ VV IT-Steuerung IT-Sicherheitsgrundsätze IT-Orggrundsätze Standards zu IT-Sicherheit IS-Bericht ModellSiKo IT-GSKat Best practice Best practice

17 IT-Sicherheitsgrundsätze (1) Senatsbeschluss vom 11
IT-Sicherheitsgrundsätze (1) Senatsbeschluss vom 11. Dezember 2007 (Rundschreiben Inn Nr. 57/2007) definieren Sicherheitspolitik (security policy) für Berliner Verwaltung Grundanforderungen an sicheren IT-Einsatz Legen Rollen und Aufgaben bzgl. IT-Sicherheit fest Sicherheitskonzepte als Voraussetzung für IT-Einsatz Controlling durch IT-Sicherheitsbericht Konkretisierung durch Standards zur IT-Sicherheit AG IT-Sicherheit als ständige Arbeitsgruppe

18 IT-Sicherheitsgrundsätze (2) Eckpunkte
IT-Sicherheit Voraussetzung und Bestandteil des IT-Einsatzes IT-Sicherheit ist integraler Bestandteil der Fachaufgabe. Damit verbleibt, ausgehend von der fachlichen Verantwortung, die letztendliche Verantwortung für IT-Sicherheit bei der jeweiligen Behörde. Verzicht bei untragbaren Restrisiken IT-Sicherheit als Prozess gestalten Die Gewährleistung von IT-Sicherheit ist als fortlaufender Prozess zu gestalten. Dazu zählen insbesondere die regelmäßige Überprüfung der Umsetzung und Wirksamkeit von Sicherheitsmaßnahmen und die Fortschreibung der IT-Sicherheitskonzepte.

19 IT-Sicherheitsgrundsätze (3) Eckpunkte
Zuweisung der Aufgaben an Rollen gemäß IT-OrgGS Verhältnismäßigkeit Bei der Auswahl und Realisierung von Sicherheitsmaßnahmen ist das Verhältnismäßigkeitsgebot (aufzuwendende Mittel im Verhältnis zum Grad der Sicherheitsverbesserung) zu beachten. Behördliche und verfahrensspezifische IT-Sicherheitskonzepte Standards und IT-Grundschutz Vorgehensmethodik und Anforderungen bzgl. notwendiger Sicherheitskonzepte und -maßnahmen basieren auf den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). IT-Sicherheitsbericht als Controllinginstrument

20 Standards zu IT-Sicherheit
VV IT-Steuerung IT-Sicherheitsgrundsätze IT-Orggrundsätze Standards zu IT-Sicherheit IS-Bericht ModellSiKo IT-GSKat Best practice Best practice

21 IT-Standards Bis 2006: IT-Warenkorb und IT-Sicherheitsstandards
IT-Sicherheitsstandards sind in IT-Standards integriert (Abschnitt „IT-Sicherheit“)

22 Bericht zur Informationssicherheit (IS-Bericht)
VV IT-Steuerung IT-Sicherheitsgrundsätze IT-Orggrundsätze Standards zu IT-Sicherheit IS-Bericht ModellSiKo IT-GSKat Best practice Best practice

23 Bericht zur Informationssicherheit
„Controlling“ von IT-Sicherheit Jährlich erstellt und im IT-Koordinierungsausschuss (ITK) beraten Sachstandsdarstellung, Beschreibung neuer Risiken, Maßnahmenvorschläge (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html#berichte)

24 AG IT-Sicherheit IT-Sicherheitsgrundsätze:
„Das ITK richtet eine ständige Arbeitsgruppe „IT-Sicherheit“ … mit folgenden Aufgaben ein: Mitarbeit am jährlichen IT-Sicherheitsbericht Bearbeitung konkreter Aufträge des ITK zu Fragen der IT-Sicherheit Mitwirkung an der Fortschreibung der Standards zur IT-Sicherheit Regelmäßiger Informations- und Erfahrungsaustausch zu allen relevanten Fragen der ITSicherheit. Weitere Aufgaben können der AG bei Bedarf zugewiesen werden.“

25 AG IT-Sicherheit Derzeit 15 Behörden in AG vertreten
(RH, BlnBDI, ITDZ, Bezirke, SV, nachgeordnete Einrichtungen) Regelmäßige Sitzungen (i. A. jeden zweiten Monat) Protokolle im Intranet (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html) Beispiel für Tagesordnung: Sicheres Cloud Computing Intrusion Detection (IDS) Sicherer Einsatz mobiler Endgeräte

26 IT-Sicherheit im Intranet http://www. verwalt-berlin

27 Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin
IT-Sicherheitsprozess IT-Sicherheitskonzept

28 Grundlagen BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ISO / Information technology – Security techniques – Information security management systems – Requirements

29 Kernelemente ISMS Organisation Rollen und Aufgaben festlegen
Organisationsstruktur aufbauen IT-Sicherheitsbeauftragter / IS-Beauftragter IS-Management Team genaue Ausprägung der Struktur abhängig von Größe und Aufgaben der Behörde

30 IS als Prozess gestalten
Kernelemente ISMS IS als Prozess gestalten Planen (Plan) Rahmenbedingungen beschreiben IS-Leitlinie erstellen und verabschieden IS-Organisation aufbauen und bei Bedarf anpassen Umsetzen (Do) IT-Sicherheitskonzepte erstellen und umsetzen Erfolgkontrolle (Check) Sachstand und Wirksamkeit der Maßnahmen regelmäßig bewerten Optimierung (Act) erforderliche Optimierungsmaßnahmen veranlassen

31 Verantwortung Behördenleitung
Kernelemente ISMS Verantwortung Behördenleitung Übernahme der Gesamtverantwortung für die IS Bestellung IS-Beauftragten für Konzeption, Koordinierung und Prüfung der IS Integration der IS in alle Prozesse und Projekte der Institution Steuerung und Aufrechterhaltung der IS IS-Leitlinie verabschieden organisatorischen Rahmenbedingungen für IS schaffen ausreichende Ressourcen zur Gewährleistung der IS bereit stellen Zielerreichung überwachen Motivation der Beschäftigten, Gewährleistung ausreichender Schulungs- und Sensibilisierungsmaßnahmen Übernahme der Vorbildfunktion

32 Kernelemente ISMS Kommunikation
Die ausreichende und adressatengerechte Kommunikation zu Fragen der IS ist notwendig. Das bedeutet u. a. Regelmäßige Managementberichte an Leitungsebene durch IS-Management Informationsfluss Richtung Anwenderinnen und Anwender sicherstellen Aktuelle, konsistente und für die davon Betroffenen abrufbare Dokumentation

33 IS-Leitlinie Leitaussagen zur Informationssicherheitsstrategie in einer Behörde: Geltungsbereich Stellenwert der IS Sicherheitsziele Strategische IS-Maßnahmen IS-Organisation Erfolgskontrolle (vgl. Muster für IS-Leitlinie

34 Prozess Sicherheitsvorfälle
AG IT-Sicherheit hat verbindliches Konzept zur Behandlung von IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen erstellt: Wesentliche Inhalte: Einordnung von Sicherheitsvorfällen Verhaltensregeln beim Auftreten eines Sicherheitsvorfalls Abläufe und Meldewege Nachbereitung und Auswertung

35 Prozess Sicherheitsvorfälle Aufbau Berlin-CERT (geplant)
CERT - Computer Emergency Response Team - Organisationseinheit, um IT-Sicherheitsvorfällen wirksam begegnen zu können Aufgaben (Beispiel CERT-Bund) erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung, weist auf Schwachstellen in Hardware- und Software-Produkten hin, schlägt Aktionen vor, um bekannte Sicherheitslücken zu beheben, unterstützt bei der Reaktion auf IT-Sicherheitsvorfälle, empfiehlt reaktive Maßnahmen zur Schadensbegrenzung oder -beseitigung

36 Prozess Sicherheitsvorfälle Aufbau Berlin-CERT (geplant)
IT-Planungsrat hat den Aufbau einer Bund-Länder-übergreifenden CERT-Struktur beschlossen in jedem Bundesland ist ein CERT aufzubauen Berlin: ausgehend von vorhandenen Elementen Aufbau eines Berlin-CERT Konzept zum Vorgehen wird derzeit in AG IT-Sicherheit vorbereitet, dazu möglichst umfassend Erfahrungen anderer Bundesländer nutzen.

37 Agenda IT-Sicherheitsbeauftragte Regelungen im Land Berlin
IT-Sicherheitsprozess IT-Sicherheitskonzept

38 IT-Sicherheitskonzepte Themen
Behördliche und verfahrensspezifische IT-Sicherheitskonzepte Grundschutzkatalog des BSI Modellsicherheitskonzept

39 IT-Grundschutz - ModellSiKo
Der IT-Grundschutz ist auf Basis der Sicherheitsmaßnahmen gemäß dem Grundschutzkatalog des BSI in der jeweils aktuellen Fassung zu gewährleisten. Für das Erstellen von Sicherheitskonzepten sind die methodischen Vorgaben des BSI (BSI-Standards 100-x) zu beachten. Das ModellSiKo konkretisiert die Maßnahmen des Grundschutzkatalogs und unterstützt die Realisierung behördlicher IT-Sicherheitskonzepte.

40 Behördliche IT-Sicherheitskonzepte
Fokus auf IT-Grundschutz für IT-Infrastruktur in der Behörde Behörde kann aus mehreren Teildomänen (z. B. Standorten) bestehen Ergänzungen für Domänen mit hohem Schutzbedarf prüfen Beispiel: ModellSiKo

41 Verfahrensspezifische IT-Sicherheitskonzepte
Fokus auf verfahrensspezifischen IT-Sicherheitsmaßnahmen Setzt auf realisiertem Grundschutz in Behörde auf Abstimmung erforderlich AG IT-Sicherheit und AG IT-Verfahren haben unter Mitwirkung des BlnBDI eine Mustervorlage für ein verfahrensspezifisches IT-Sicherheitskonzept erstellt.

42 Schutz der Daten, Authentisierung, Zugriffsrechte, Administration, …
Schnittstellen SiKo Verfahren A SiKo Verfahren B SiKo Verfahren C Schutz der Daten, Authentisierung, Zugriffsrechte, Administration, … Datenträger, Datensicherung, Protokollierung, Notfallvorsorge, Wartung, … Behördliches SiKo Virenschutz, Firewall, Zugangsregeln, Sichere Räume, Netze, , PC, Betriebssysteme, …

43 IT-Grundschutz Wesentliche Elemente
Normaler Schutzbedarf (vgl. BSI 100-2) Standardsicherheitsmaßnahmen (IT-GSKat) Typische IT-Systeme Typische Gefährdungen, pauschalisierte Risikobetrachtung

44 Grundschutzkatalog - BSI
IT-Grundschutz-Kataloge (GSKat) umfassen Gefährdungslage und Maßnahmenempfehlungen für verschiedene Komponenten und IT-Systeme Baukastenprinzip (Bausteine) Bausteine sind in Kapitel gruppiert: Übergeordnete Aspekte der IT-Sicherheit Sicherheit der Infrastruktur Sicherheit der IT-Systeme Sicherheit im Netz Sicherheit in Anwendungen

45 Modellsicherheitskonzept Ziele
Unterstützung des Prozesses, behördliche IT-Sicherheitskonzepte zu erstellen und umzusetzen. Konkretisierung der Bausteine des GS-Kat Umsetzung gemäß dezentralen Anforderungen obliegt einzelnen Behörden

46 Modellsicherheitskonzept Gegenstand
Behördliches IT-Sicherheitskonzept für die dezentrale IT-Infrastruktur auf Basis der Gefährdungen, Maßnahmen und Bausteine des IT-Grundschutzkatalogs Die empfohlenen Maßnahmen decken den normalen Schutzbedarf ab, Sicherheitsdomänen mit höherem Schutzbedarf sind eigenständig zu betrachten Die Schnittstellen zu IT-Verfahren und zu behördenübergreifenden Maßnahmen werden aufgezeigt/berücksichtigt. Datenschutz (personenbezogene Daten) ist nur Gegenstand, soweit verfahrensunabhängige Maßnahmen mit IT-Bezug und normalem Schutzbedarf betroffen sind.

47 Modellsicherheitskonzept Maßnahmen
Inhaltlich/sachlich zusammenhängende Maßnahmen sind in Komponenten zusammengefasst Unterteilung der Komponenten Übergreifende: Maßnahmen, die unabhängig von der konkreten Ausprägung der IT-Systeme (z. B. Betriebssysteme) durchgeführt werden müssen. Spezifische: spezifische Maßnahmen für bestimmte IT-Systeme

48 Übergreifende Komponenten
Organisation/Personal/Schulung Notfallvorsorge Datensicherung/Umgang mit Datenträgern Virenschutz Sichere Administration Sichere Protokollierung Gebäude/Räume/Zutrittsregelung Verhinderung unberechtigter Zugriff Heterogene Netze/WLAN Wartung Softwarefreigabe

49 Spezifische Komponenten
Notebook Internet-PC Firewall LAN-LAN Kopplung Bürokommunikation im Intranet und Extranet / Zusammenarbeit im Internet (Collaboration) WWW-Server Mobile Endgeräte (Allgemein) Mobile Endgeräte - Smartphones Sichere Virtualisierung WLAN

50 Maßnahmen in ausgewählten Komponenten
Datensicherung/Datenträger Gebäude/Räume Sichere Virtualisierung Mobile Endgeräte

51 Komponente Datensicherung/Datenträger
Durch die IT-Stelle werden grundsätzlich nur zentral gehaltene Anwenderdaten gesichert. Die Sicherung lokaler Daten obliegt dem Anwender. Es werden folgende Daten zentral gesichert: ... (tabellarische Auflistung der Daten/Verzeichnisse/Fileserver) Zur Datensicherung wird ... (Produkt/System) eingesetzt. Von Originaldatenträger eingesetzter Systemkomponenten wird vor der Softwareinstallation durch die IT-Stelle eine Sicherungskopie erstellt und im Datenträgerraum aufbewahrt. (Alternativ: Nach der Installation Sicherungskopie erzeugen) Entsprechende Konfigurationsdateien werden nach jeder Änderung gesichert. Die Datensicherung der Anwenderdaten an mobilen Geräten erfolgt durch den Anwender in eigener Verantwortung (mit externen Datenträgern oder temporärer Anschluss ans Netz). Die Mittel für diese Datensicherung werden durch die IT-Stelle bereitgestellt. Die Systemkonfiguration der mobilen Systeme wird nach jeder Veränderung durch die IT-Stelle gesichert.

52 Komponente Datensicherung/Datenträger
Datenträgerverwaltung (2.3, 6.20) Die zur Datensicherung verwendeten Datenträger werden eindeutig gekennzeichnet Die Sicherungsdatenträger werden getrennt (d. h. in einem anderen Brandabschnitt) von den gesicherten Systemen in Raum ... (in anderem Gebäude) (in einem Datenträgerschrank ...) aufbewahrt. Der Zugang zu diesem Raum ist besonders geschützt (vgl. Räume). Die Datenträger für Datensicherung an mobilen Systemen werden vom Anwender verwaltet. Sie sind geschützt vor unbefugtem Zugriff auf zu bewahren bzw. der IT-Stelle zu übergeben. Geeignete Datenträger werden von der IT-Stelle zur Verfügung gestellt. Der Anwender muss mit diesen Medien sorgsam umgehen (Verlust, Beschädigung vermeiden).

53 Komponente Datensicherung/Datenträger
Entsorgen/Löschen (2.167, 4.234) Datenträger werden durch die IT-Stelle entsorgt. Sie werden vorher (außer CD-R) mittels ... sicher gelöscht. Die Vernichtung ist zu dokumentieren. Die Maßnahmen zum sicheren Löschen sind in Abhängigkeit vom Schutzbedarf der Daten auszuwählen: Kein bis niedriger Schutzbedarf – keine Maßnahmen erforderlich Normaler Schutzbedarf – sicheres Löschen durch entsprechende Software Ab hohem (bzw. bei unbekanntem) Schutzbedarf – physikalische Vernichtung Die physikalische Vernichtung muss durch beauftragte Firmen vorgenommen werden.

54 Komponente Gebäude/Räume
Schutz von Räumen für IT-Infrastruktur (1.10, 1.12, 1.15, 1.18, 1.19, 1.24, 1.25, 1.26, 1.27, 1.28, 1.31, 1.58) Der Raum liegt in einem eigenen Brandabschnitt (gemäß DIN 4102) und ist rauchdicht. Die Räume sind mit einer einbruchshemmenden, rauchdichten und löschwasserfesten Sicherheitstür (DIN 4102, EN 1047, DIN 18095, DIN 18103) ausgerüstet. Der Raum hat keine Fenster (Alternativ: Fenster entsprechend sichern) Bei der Einrichtung des Raumes werden unnötige Brandlasten (z. B durch Mobiliar, Verpackung, Dokumentation) vermieden. Die Räume sind mit Rauchmeldern/Brandmeldeanlage ausgerüstet. In den Räumen werden keine ortsveränderlichen Elektrogeräte aufgestellt. Die Beleuchtung ist durch Metallgehäuse gesichert. (Alternativ: Einsatz von Sicherheitsstartern) Die Räume sind mit Klimatisierung, lokaler USV ausgerüstet. Die Räume enthalten keine wasserführenden Leitungen. (Die Notwendigkeit von weiteren Maßnahmen ist gesondert zu prüfen)

55 Komponente Sichere Virtualisierung
Maßnahmen – Phase Planung und Konzeption Detaillierte Planung wegen hoher Komplexität unerlässlich. Alle betroffenen (Administrations)bereiche einbeziehen. Festlegung der zu virtualisierenden Systeme (Modellierung) – welche Serversysteme, welche Anwendungen sollen laufen Sinnvolle Aufteilung der Funktionen und Anwendungen auf die virtuellen Server unter Berücksichtigung vorhandener unterschiedlicher Vertrauens- bzw. Sicherheitszonen Zugriffe auf andere benötigte Ressourcen berücksichtigen (physische Netzverbindungen, Verbindung zu Speichernetzen, Zugriffe auf Infrastruktursysteme wie DNS-, DHCP- oder Verzeichnisdienstserver) In nicht homogenen Umgebungen bei Clusterbildung beachten, dass ggf. keine Live Migration. zwischen (hardwaremäßig) unterschiedlichen Blades möglich ist

56 Komponente Sichere Virtualisierung
Maßnahmen – Phase Planung und Konzeption Anforderungen an Backup berücksichtigen --> Komponente „Datensicherung“ anpassen. Die Datensicherung soll auf gesonderter physischer Hardware erfolgen. Anforderungen an Verfügbarkeit definieren. Zur Hochverfügbarkeit ggf. Cluster von Virtualisierungsservern bilden. Weitere Aspekte bzgl. Verfügbarkeit (z. B. Verteilung auf mehrere Standorte, Auswirkungen unterschiedlicher IP-Adressbereiche) prüfen. Besondere Anforderungen an Managementserver (z. B. erhöhte Ausfallsicherheit) beachten (z. B. durch „stand-alone“ System) Auswirkungen der Virtualisierung auf vorhandene Lizenzierung prüfen, ggf. Lizenzierung anpassen Prüfen, ob der Herstellersupport für die Anwendungen auch für Betrieb in virtuellen Umgebungen gilt Existierende Regeln insgesamt auch auf Lebenszyklus virtueller Systeme anwenden. Insbesondere Vorgehen zur Bereitstellung (incl. Finanzierung), Dokumentation, Inventarisierung festlegen

57 Komponente Mobile Endgeräte
Maßnahmen zur sicheren Anbindung von zur dienstlichen Nutzung bereitgestellten mobilen Endgeräten an Ressourcen des Berliner Landesnetzes. Betrachtet werden Smartphones und Tablet-PC. Mobile Endgeräte werden als Bestandteil der dezentralen IT-Infrastruktur betrachtet. Damit finden für sie grundsätzlich die für stationäre Arbeitsplätze geltenden Regeln und Prozesse Anwendung.

58 Komponente Mobile Endgeräte
Ausgewählte Maßnahmen Wenn für das jeweilige Betriebssystem Virenschutzlösungen verfügbar sind, sind die mobilen Endgeräte mit einem wirksamen Virenschutz auszustatten und eine regelmäßige Aktualisierung sicher zu stellen. Eingesetzte Geräte müssen über eine Hardwareverschlüsselung verfügen, die sicherstellt, dass bei direktem Zugriff auf die Datenträger keine Daten verfügbar sind. Apps unterliegen wie sonstige Software grundsätzlich einem geregelten Freigabeprozess. Dazu zählt auch eine sicherheitstechnische Bewertung vor Nutzung der Apps. Keine Daten auf dem mobilen Endgerät speichern Nicht benötigte Schnittstellen sind standardmäßig zu deaktivieren. Defekt, Diebstahl u. ä. sowie Verdacht auf Missbrauch des überlassenen mobilen Endgerätes umgehend dem IT-Infrastrukturbetreiber melden.


Herunterladen ppt "IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte –"

Ähnliche Präsentationen


Google-Anzeigen