Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheit für behördliche IT- Sicherheitsbeauftragte – Workshop und Erfahrungsaustausch.

Ähnliche Präsentationen


Präsentation zum Thema: "Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheit für behördliche IT- Sicherheitsbeauftragte – Workshop und Erfahrungsaustausch."—  Präsentation transkript:

1 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheit für behördliche IT- Sicherheitsbeauftragte – Workshop und Erfahrungsaustausch Matthias Hög Senatsverwaltung für Inneres und Sport ZS C Jens Redlich Senatsverwaltung für Stadtentwicklung und Umwelt

2 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aktuelle IT-Sicherheitsvorfälle heise.de: News-Meldung vom Kundendaten bei Online-Brillenladen Mister Spex geklaut Unbekannte konnten bei einem Hackerangriff auf den Internetoptiker Mister Spex auf die Kundendatenbank zugreifen. Laut dem Berliner Unternehmen hatten die Angreifer dabei Zugriff auf Adressdaten und Passwörter und habe diese möglicherweise auch kopiert. Gehasht waren die Passwörter demnach nicht. Zahlungsinformationen seien nicht betroffen, da diese laut Mister Spex nicht gespeichert werden.

3 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aktuelle IT-Sicherheitsvorfälle heise.de News-Meldung vom :40 Oracles Sicherheitslücke im Dateikonverter gefährdet nicht nur Server-Dienste Einige der vergangene Woche von Oracle eigentlich geschlossenen Sicherheitslücken ziehen große Kreise. Denn die Bibliothek Oracle Outside In kommt in vielen Produkten zum Einsatz, um Dateien verschiedenster Formate zu konvertieren. Neben Microsofts Exchange und Sharepoint sind auch Produkte von Cisco, HP, IBM, Novell, Symantec, McAfee und anderen betroffen.

4 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aktuelle IT-Sicherheitsvorfälle heise.de: News-Meldung vom :35 Hintertür in Netzwerk-Hardware für Industrieanlagen Das Betriebssystem Rugged Operating System (ROS) des Herstellers RuggedCom enthält eine undokumentierte Hintertür. Die Siemens-Tochter hat sich auf Netzwerk- Equipment für industriellen Einsatz in "rauen Umgebungen" spezialisiert; sie wirbt unter anderem für die Verwendung der Switches und Server in Kraftwerken, Öl-Raffinerien, beim Militär und in der Verkehrsüberwachung.RuggedCom Besonders erschütternd ist die Timeline dieses Vorgangs. Die Entdecker des Problems nahmen nämlich vor über einem Jahr Kontakt mit RuggedCom auf. Dort bestätigte man demnach zwar, von der Existenz dieser Hintertür zu wissen, zeigte jedoch anscheinend keine Bereitschaft, sie zu entfernen.

5 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aktuelle IT-Sicherheitsvorfälle heise.de News-Meldung vom :15 Hacker nahmen EU-Politiker ins Visier Chinesische Hacker sollen unter anderem die s von EU- Ratschef Herman Van Rompuy und anderen europäischen Spitzenpolitikern ausspioniert haben. Das berichtete die Nachrichtenagentur Bloomberg. Der Rat (die Vertretung der EU-Staaten) wollte den Angriff gegenüber der Nachrichtenagentur dpa am Dienstag weder dementieren noch bestätigen. … Im Visier hätten die Hacker Investment-Banken oder Ölfirmen gehabt – oder eben europäische Spitzenpolitiker und - beamte.

6 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aktuelle IT-Sicherheitsvorfälle Warnmeldung BSI vom Kritische Schwachstelle in allen 7er Versionen von JAVA Ausführung von Remote-Code beim Besuch von Web-Sites möglich Exploits verfügbar, Schwachstelle wird bereits ausgenutzt BSI empfiehlt, grundsätzlich auf den Einsatz von Java in den Browser-Plug-Ins beim Besuch von Internetseiten zu verzichten.

7 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aktuelle IT-Sicherheitsvorfälle Warnmeldung BSI vom Kritische Schwachstelle im Internet Explorer 6, 7, 8 und 9 Ausführung von Remote-Code beim Besuch von Web-Sites möglich Exploits verfügbar, Schwachstelle wird bereits ausgenutzt BSI empfiehlt, –bis zur Verfügbarkeit eines Patches einen alternativen Browser einzusetzen. –grundsätzlich eine Zwei-Browser-Strategie, um bei aktuellen Schwachstellen eines Browsers ggf. auf das andere Produkt umschalten zu können.

8 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Agenda 1.IT-Sicherheitsbeauftragte 2.Regelungen im Land Berlin 3.IT-Sicherheitsprozess 4.IT-Sicherheitskonzept

9 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheitsbeauftragte IT-Sicherheitsgrundsätze Tz. 3.7 IT-Sicherheitsbeauftragter - begleitet die Umsetzung und Fortschreibung eines behördlichen IT- Sicherheitskonzeptes, - organisiert die Zusammenarbeit mit anderen Bereichen der Behörde, die sicherheitsrelevante Aufgaben wahrnehmen (z. B. Brandschutzbeauftragter, Datenschutzbeauftragter usw.), - koordiniert und kontrolliert das Zusammenspiel zwischen den verfahrensspezifischen IT-Sicherheitskonzepten und dem behördlichen IT- Sicherheitskonzept und - moderiert, sofern eingerichtet, das IT-Sicherheitsmanagementteam. Die Einrichtung eines ständigen IT-Sicherheitsmanagementteams wird insbesondere bei großen Behörden mit vielfältigem IT-Einsatz empfohlen.

10 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheitsbeauftragte IT-Grundschutzkatalog Maßnahme M „Die Funktion des IT-Sicherheitsbeauftragten muss … in jeder Institution eingerichtet werden, da er für alle Belange der Informationssicherheit zuständig ist.“

11 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aufgaben IT-Sicherheitsbeauftragte Informationssicherheitsprozess steuern und koordinieren, Leitungsebene bei Erstellung der Leitlinie zur Informationssicherheit unterstützen Erstellung des Sicherheitskonzepts koordinieren, Realisierungsplan für die Sicherheitsmaßnahmen erstellen und Realisierung initiieren und überprüfen, Leitungsebene und IS-Management-Team über Status Quo der Informationssicherheit berichten, sicherheitsrelevante Projekte koordinieren und Informationsfluss zwischen Beteiligten sicherstellen, sicherheitsrelevante Zwischenfälle untersuchen Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und steuern. ( IT-Grundschutzkatalog Maßnahme M 2.193, BSI Tz 3.4.4)

12 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Aufgabenwahrnehmung Empfehlung BSI: Rolle als Stabsstelle einrichten In kleinen Institutionen kann die Funktion des IT- Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Ausreichend Zeit für Aufgabenwahrnehmung qualifizierte Vertretung benennen (IT-Grundschutzkatalog Maßnahme M 2.193, BSI Tz 3.4.4)

13 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Anforderungen IT-Sicherheitsbeauftragte Wissen und Erfahrung in den Gebieten Informationssicherheit und Informationstechnik Überblick über Aufgaben und Ziele der Behörde Identifikation mit den Zielsetzungen der Informationssicherheit Kooperations- und Teamfähigkeit Fähigkeit zum selbständigen Arbeiten Durchsetzungsvermögen Erfahrungen im Projektmanagement ( IT-Grundschutzkatalog Maßnahme M 2.193, BSI Tz 3.4.4)

14 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Agenda 1.IT-Sicherheitsbeauftragte 2.Regelungen im Land Berlin 3.IT-Sicherheitsprozess 4.IT-Sicherheitskonzept

15 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Regelungen im Land Berlin Übersicht AöR–Gesetz zu ITDZ VV IT-Steuerung IT-Organisationsgrundsätze IT-Sicherheitsgrundsätze IT-Standards „best practices“ Bericht zur Informationssicherheit (IS- Bericht)

16 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Zusammenhang der Regelungen VV IT-Steuerung IT- Sicherheitsgrundsätze Standards zu IT- Sicherheit ModellSiKo IT-Orggrundsätze IT-GSKat… … Best practice IS-Bericht AöR-Gesetz ITDZ

17 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheitsgrundsätze (1) Senatsbeschluss vom 11. Dezember 2007 (Rundschreiben Inn Nr. 57/2007) definieren Sicherheitspolitik (security policy) für Berliner Verwaltung Grundanforderungen an sicheren IT-Einsatz Legen Rollen und Aufgaben bzgl. IT-Sicherheit fest Sicherheitskonzepte als Voraussetzung für IT- Einsatz Controlling durch IT-Sicherheitsbericht Konkretisierung durch Standards zur IT-Sicherheit AG IT-Sicherheit als ständige Arbeitsgruppe

18 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheitsgrundsätze (2) Eckpunkte IT-Sicherheit Voraussetzung und Bestandteil des IT- Einsatzes IT-Sicherheit ist integraler Bestandteil der Fachaufgabe. Damit verbleibt, ausgehend von der fachlichen Verantwortung, die letztendliche Verantwortung für IT-Sicherheit bei der jeweiligen Behörde. Verzicht bei untragbaren Restrisiken IT-Sicherheit als Prozess gestalten Die Gewährleistung von IT-Sicherheit ist als fortlaufender Prozess zu gestalten. Dazu zählen insbesondere die regelmäßige Überprüfung der Umsetzung und Wirksamkeit von Sicherheitsmaßnahmen und die Fortschreibung der IT-Sicherheitskonzepte.

19 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheitsgrundsätze (3) Eckpunkte Zuweisung der Aufgaben an Rollen gemäß IT-OrgGS Verhältnismäßigkeit Bei der Auswahl und Realisierung von Sicherheitsmaßnahmen ist das Verhältnismäßigkeitsgebot (aufzuwendende Mittel im Verhältnis zum Grad der Sicherheitsverbesserung) zu beachten. Behördliche und verfahrensspezifische IT- Sicherheitskonzepte Standards und IT-Grundschutz Vorgehensmethodik und Anforderungen bzgl. notwendiger Sicherheitskonzepte und -maßnahmen basieren auf den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). IT-Sicherheitsbericht als Controllinginstrument

20 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Standards zu IT-Sicherheit VV IT-Steuerung IT- Sicherheitsgrundsätze Standards zu IT- Sicherheit ModellSiKo IT-Orggrundsätze IT-GSKat… … Best practice IS-Bericht

21 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Standards Bis 2006: IT-Warenkorb und IT-Sicherheitsstandards IT-Sicherheitsstandards sind in IT-Standards integriert (Abschnitt „IT-Sicherheit“) berlin.de/seninn/itk/standards/index.html

22 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Bericht zur Informationssicherheit (IS-Bericht) VV IT-Steuerung IT- Sicherheitsgrundsätze Standards zu IT- Sicherheit ModellSiKo IT-Orggrundsätze IT-GSKat… … Best practice IS-Bericht

23 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Bericht zur Informationssicherheit „Controlling“ von IT-Sicherheit Jährlich erstellt und im IT- Koordinierungsausschuss (ITK) beraten Sachstandsdarstellung, Beschreibung neuer Risiken, Maßnahmenvorschläge (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html#berichte)

24 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte AG IT-Sicherheit IT-Sicherheitsgrundsätze: „Das ITK richtet eine ständige Arbeitsgruppe „IT-Sicherheit“ … mit folgenden Aufgaben ein: –Mitarbeit am jährlichen IT-Sicherheitsbericht –Bearbeitung konkreter Aufträge des ITK zu Fragen der IT-Sicherheit –Mitwirkung an der Fortschreibung der Standards zur IT- Sicherheit –Regelmäßiger Informations- und Erfahrungsaustausch zu allen relevanten Fragen der ITSicherheit. –Weitere Aufgaben können der AG bei Bedarf zugewiesen werden.“

25 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte AG IT-Sicherheit Derzeit 15 Behörden in AG vertreten (RH, BlnBDI, ITDZ, Bezirke, SV, nachgeordnete Einrichtungen) Regelmäßige Sitzungen (i. A. jeden zweiten Monat) Protokolle im Intranet (http://www.verwalt-berlin.de/seninn/itk/sicherheit/index.html) Beispiel für Tagesordnung: –Sicheres Cloud Computing –Intrusion Detection (IDS) –Sicherer Einsatz mobiler Endgeräte

26 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheit im Intranet

27 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Agenda 1.IT-Sicherheitsbeauftragte 2.Regelungen im Land Berlin 3.IT-Sicherheitsprozess 4.IT-Sicherheitskonzept

28 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Grundlagen BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise ISO / Information technology – Security techniques – Information security management systems – Requirements

29 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Kernelemente ISMS Organisation Rollen und Aufgaben festlegen Organisationsstruktur aufbauen – IT-Sicherheitsbeauftragter / IS-Beauftragter – IS-Management Team genaue Ausprägung der Struktur abhängig von Größe und Aufgaben der Behörde

30 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Kernelemente ISMS IS als Prozess gestalten Planen (Plan) –Rahmenbedingungen beschreiben –IS-Leitlinie erstellen und verabschieden –IS-Organisation aufbauen und bei Bedarf anpassen Umsetzen (Do) IT-Sicherheitskonzepte erstellen und umsetzen Erfolgkontrolle (Check) Sachstand und Wirksamkeit der Maßnahmen regelmäßig bewerten Optimierung (Act) erforderliche Optimierungsmaßnahmen veranlassen

31 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Kernelemente ISMS Verantwortung Behördenleitung Übernahme der Gesamtverantwortung für die IS Bestellung IS-Beauftragten für Konzeption, Koordinierung und Prüfung der IS Integration der IS in alle Prozesse und Projekte der Institution Steuerung und Aufrechterhaltung der IS –IS-Leitlinie verabschieden –organisatorischen Rahmenbedingungen für IS schaffen –ausreichende Ressourcen zur Gewährleistung der IS bereit stellen –Zielerreichung überwachen –Motivation der Beschäftigten, Gewährleistung ausreichender Schulungs- und Sensibilisierungsmaßnahmen Übernahme der Vorbildfunktion

32 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Kernelemente ISMS Kommunikation Die ausreichende und adressatengerechte Kommunikation zu Fragen der IS ist notwendig. Das bedeutet u. a. –Regelmäßige Managementberichte an Leitungsebene durch IS- Management –Informationsfluss Richtung Anwenderinnen und Anwender sicherstellen –Aktuelle, konsistente und für die davon Betroffenen abrufbare Dokumentation

33 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IS-Leitlinie Leitaussagen zur Informationssicherheitsstrategie in einer Behörde: Geltungsbereich Stellenwert der IS Sicherheitsziele Strategische IS-Maßnahmen IS-Organisation Erfolgskontrolle (vgl. Muster für IS-Leitlinie kompetenzzentrum/it-sicherheit/110310_muster_is_leitline_v_1.0.pdf)

34 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Prozess Sicherheitsvorfälle AG IT-Sicherheit hat verbindliches Konzept zur Behandlung von IT-Sicherheitsvorfällen mit behördenübergreifenden Auswirkungen erstellt: Wesentliche Inhalte: Einordnung von Sicherheitsvorfällen Verhaltensregeln beim Auftreten eines Sicherheitsvorfalls Abläufe und Meldewege Nachbereitung und Auswertung

35 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Prozess Sicherheitsvorfälle Aufbau Berlin-CERT (geplant) CERT - Computer Emergency Response Team - Organisationseinheit, um IT-Sicherheitsvorfällen wirksam begegnen zu können Aufgaben (Beispiel CERT-Bund) erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung, weist auf Schwachstellen in Hardware- und Software-Produkten hin, schlägt Aktionen vor, um bekannte Sicherheitslücken zu beheben, unterstützt bei der Reaktion auf IT-Sicherheitsvorfälle, empfiehlt reaktive Maßnahmen zur Schadensbegrenzung oder - beseitigung

36 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Prozess Sicherheitsvorfälle Aufbau Berlin-CERT (geplant) IT-Planungsrat hat den Aufbau einer Bund-Länder- übergreifenden CERT-Struktur beschlossen  in jedem Bundesland ist ein CERT aufzubauen  Berlin: ausgehend von vorhandenen Elementen Aufbau eines Berlin-CERT Konzept zum Vorgehen wird derzeit in AG IT-Sicherheit vorbereitet, dazu möglichst umfassend Erfahrungen anderer Bundesländer nutzen.

37 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Agenda 1.IT-Sicherheitsbeauftragte 2.Regelungen im Land Berlin 3.IT-Sicherheitsprozess 4.IT-Sicherheitskonzept

38 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheitskonzepte Themen Behördliche und verfahrensspezifische IT- Sicherheitskonzepte Grundschutzkatalog des BSI Modellsicherheitskonzept

39 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Grundschutz - ModellSiKo Der IT-Grundschutz ist auf Basis der Sicherheitsmaßnahmen gemäß dem Grundschutzkatalog des BSI in der jeweils aktuellen Fassung zu gewährleisten. Für das Erstellen von Sicherheitskonzepten sind die methodischen Vorgaben des BSI (BSI-Standards 100-x) zu beachten. Das ModellSiKo konkretisiert die Maßnahmen des Grundschutzkatalogs und unterstützt die Realisierung behördlicher IT-Sicherheitskonzepte.

40 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Behördliche IT-Sicherheitskonzepte Fokus auf IT-Grundschutz für IT- Infrastruktur in der Behörde Behörde kann aus mehreren Teildomänen (z. B. Standorten) bestehen Ergänzungen für Domänen mit hohem Schutzbedarf prüfen Beispiel: ModellSiKo

41 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Verfahrensspezifische IT- Sicherheitskonzepte Fokus auf verfahrensspezifischen IT- Sicherheitsmaßnahmen Setzt auf realisiertem Grundschutz in Behörde auf Abstimmung erforderlich AG IT-Sicherheit und AG IT-Verfahren haben unter Mitwirkung des BlnBDI eine Mustervorlage für ein verfahrensspezifisches IT- Sicherheitskonzept erstellt.

42 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Schnittstellen Behördliches SiKo SiKo Verfahren ASiKo Verfahren BSiKo Verfahren C Virenschutz, Firewall, Zugangsregeln, Sichere Räume, Netze, , PC, Betriebssysteme, … Schutz der Daten, Authentisierung, Zugriffsrechte, Administration, … Datenträger, Datensicherung, Protokollierung, Notfallvorsorge, Wartung, …

43 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Grundschutz Wesentliche Elemente Normaler Schutzbedarf (vgl. BSI 100-2) Standardsicherheitsmaßnahmen (IT-GSKat) Typische IT-Systeme Typische Gefährdungen, pauschalisierte Risikobetrachtung

44 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Grundschutzkatalog - BSI IT-Grundschutz-Kataloge (GSKat) umfassen Gefährdungslage und Maßnahmenempfehlungen für verschiedene Komponenten und IT-Systeme Baukastenprinzip (Bausteine) Bausteine sind in Kapitel gruppiert: – Übergeordnete Aspekte der IT-Sicherheit – Sicherheit der Infrastruktur – Sicherheit der IT-Systeme – Sicherheit im Netz – Sicherheit in Anwendungen

45 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Modellsicherheitskonzept Ziele Unterstützung des Prozesses, behördliche IT- Sicherheitskonzepte zu erstellen und umzusetzen. Konkretisierung der Bausteine des GS-Kat Umsetzung gemäß dezentralen Anforderungen obliegt einzelnen Behörden

46 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Modellsicherheitskonzept Gegenstand Behördliches IT-Sicherheitskonzept für die dezentrale IT- Infrastruktur auf Basis der Gefährdungen, Maßnahmen und Bausteine des IT-Grundschutzkatalogs Die empfohlenen Maßnahmen decken den normalen Schutzbedarf ab, Sicherheitsdomänen mit höherem Schutzbedarf sind eigenständig zu betrachten Die Schnittstellen zu IT-Verfahren und zu behördenübergreifenden Maßnahmen werden aufgezeigt/berücksichtigt. Datenschutz (personenbezogene Daten) ist nur Gegenstand, soweit verfahrensunabhängige Maßnahmen mit IT-Bezug und normalem Schutzbedarf betroffen sind.

47 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Modellsicherheitskonzept Maßnahmen Inhaltlich/sachlich zusammenhängende Maßnahmen sind in Komponenten zusammengefasst Unterteilung der Komponenten Übergreifende: Maßnahmen, die unabhängig von der konkreten Ausprägung der IT-Systeme (z. B. Betriebssysteme) durchgeführt werden müssen. Spezifische: spezifische Maßnahmen für bestimmte IT-Systeme

48 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Übergreifende Komponenten Organisation/Personal/Schulung Notfallvorsorge Datensicherung/Umgang mit Datenträgern Virenschutz Sichere Administration Sichere Protokollierung Gebäude/Räume/Zutrittsregelung Verhinderung unberechtigter Zugriff Heterogene Netze/WLAN Wartung Softwarefreigabe

49 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Spezifische Komponenten Notebook Internet-PC Firewall LAN-LAN Kopplung Bürokommunikation im Intranet und Extranet / Zusammenarbeit im Internet (Collaboration) WWW-Server Mobile Endgeräte (Allgemein) Mobile Endgeräte - Smartphones Sichere Virtualisierung WLAN

50 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Maßnahmen in ausgewählten Komponenten Datensicherung/Datenträger Gebäude/Räume Sichere Virtualisierung Mobile Endgeräte

51 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Datensicherung/Datenträger Datensicherung Durch die IT-Stelle werden grundsätzlich nur zentral gehaltene Anwenderdaten gesichert. Die Sicherung lokaler Daten obliegt dem Anwender. Es werden folgende Daten zentral gesichert:... (tabellarische Auflistung der Daten/Verzeichnisse/Fileserver) Zur Datensicherung wird... (Produkt/System) eingesetzt. Von Originaldatenträger eingesetzter Systemkomponenten wird vor der Softwareinstallation durch die IT-Stelle eine Sicherungskopie erstellt und im Datenträgerraum aufbewahrt. (Alternativ: Nach der Installation Sicherungskopie erzeugen) Entsprechende Konfigurationsdateien werden nach jeder Änderung gesichert. Die Datensicherung der Anwenderdaten an mobilen Geräten erfolgt durch den Anwender in eigener Verantwortung (mit externen Datenträgern oder temporärer Anschluss ans Netz). Die Mittel für diese Datensicherung werden durch die IT-Stelle bereitgestellt. Die Systemkonfiguration der mobilen Systeme wird nach jeder Veränderung durch die IT-Stelle gesichert.

52 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Datensicherung/Datenträger Datenträgerverwaltung (2.3, 6.20) Die zur Datensicherung verwendeten Datenträger werden eindeutig gekennzeichnet Die Sicherungsdatenträger werden getrennt (d. h. in einem anderen Brandabschnitt) von den gesicherten Systemen in Raum... (in anderem Gebäude) (in einem Datenträgerschrank...) aufbewahrt. Der Zugang zu diesem Raum ist besonders geschützt (vgl. Räume). Die Datenträger für Datensicherung an mobilen Systemen werden vom Anwender verwaltet. Sie sind geschützt vor unbefugtem Zugriff auf zu bewahren bzw. der IT-Stelle zu übergeben. Geeignete Datenträger werden von der IT-Stelle zur Verfügung gestellt. Der Anwender muss mit diesen Medien sorgsam umgehen (Verlust, Beschädigung vermeiden).

53 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Datensicherung/Datenträger Entsorgen/Löschen (2.167, 4.234) Datenträger werden durch die IT-Stelle entsorgt. Sie werden vorher (außer CD-R) mittels... sicher gelöscht. Die Vernichtung ist zu dokumentieren. Die Maßnahmen zum sicheren Löschen sind in Abhängigkeit vom Schutzbedarf der Daten auszuwählen: –Kein bis niedriger Schutzbedarf – keine Maßnahmen erforderlich –Normaler Schutzbedarf – sicheres Löschen durch entsprechende Software –Ab hohem (bzw. bei unbekanntem) Schutzbedarf – physikalische Vernichtung Die physikalische Vernichtung muss durch beauftragte Firmen vorgenommen werden.

54 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Gebäude/Räume Schutz von Räumen für IT-Infrastruktur (1.10, 1.12, 1.15, 1.18, 1.19, 1.24, 1.25, 1.26, 1.27, 1.28, 1.31, 1.58) Der Raum liegt in einem eigenen Brandabschnitt (gemäß DIN 4102) und ist rauchdicht. Die Räume sind mit einer einbruchshemmenden, rauchdichten und löschwasserfesten Sicherheitstür (DIN 4102, EN 1047, DIN 18095, DIN 18103) ausgerüstet. Der Raum hat keine Fenster (Alternativ: Fenster entsprechend sichern) Bei der Einrichtung des Raumes werden unnötige Brandlasten (z. B durch Mobiliar, Verpackung, Dokumentation) vermieden. Die Räume sind mit Rauchmeldern/Brandmeldeanlage ausgerüstet. In den Räumen werden keine ortsveränderlichen Elektrogeräte aufgestellt. Die Beleuchtung ist durch Metallgehäuse gesichert. (Alternativ: Einsatz von Sicherheitsstartern) Die Räume sind mit Klimatisierung, lokaler USV ausgerüstet. Die Räume enthalten keine wasserführenden Leitungen. (Die Notwendigkeit von weiteren Maßnahmen ist gesondert zu prüfen)

55 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Sichere Virtualisierung Maßnahmen – Phase Planung und Konzeption Detaillierte Planung wegen hoher Komplexität unerlässlich. Alle betroffenen (Administrations)bereiche einbeziehen. Festlegung der zu virtualisierenden Systeme (Modellierung) – welche Serversysteme, welche Anwendungen sollen laufen Sinnvolle Aufteilung der Funktionen und Anwendungen auf die virtuellen Server unter Berücksichtigung vorhandener unterschiedlicher Vertrauens- bzw. Sicherheitszonen Zugriffe auf andere benötigte Ressourcen berücksichtigen (physische Netzverbindungen, Verbindung zu Speichernetzen, Zugriffe auf Infrastruktursysteme wie DNS-, DHCP- oder Verzeichnisdienstserver) In nicht homogenen Umgebungen bei Clusterbildung beachten, dass ggf. keine Live Migration. zwischen (hardwaremäßig) unterschiedlichen Blades möglich ist

56 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Sichere Virtualisierung Maßnahmen – Phase Planung und Konzeption Anforderungen an Backup berücksichtigen --> Komponente „Datensicherung“ anpassen. Die Datensicherung soll auf gesonderter physischer Hardware erfolgen. Anforderungen an Verfügbarkeit definieren. Zur Hochverfügbarkeit ggf. Cluster von Virtualisierungsservern bilden. Weitere Aspekte bzgl. Verfügbarkeit (z. B. Verteilung auf mehrere Standorte, Auswirkungen unterschiedlicher IP-Adressbereiche) prüfen. Besondere Anforderungen an Managementserver (z. B. erhöhte Ausfallsicherheit) beachten (z. B. durch „stand-alone“ System) Auswirkungen der Virtualisierung auf vorhandene Lizenzierung prüfen, ggf. Lizenzierung anpassen Prüfen, ob der Herstellersupport für die Anwendungen auch für Betrieb in virtuellen Umgebungen gilt Existierende Regeln insgesamt auch auf Lebenszyklus virtueller Systeme anwenden. Insbesondere Vorgehen zur Bereitstellung (incl. Finanzierung), Dokumentation, Inventarisierung festlegen

57 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Mobile Endgeräte Maßnahmen zur sicheren Anbindung von zur dienstlichen Nutzung bereitgestellten mobilen Endgeräten an Ressourcen des Berliner Landesnetzes. Betrachtet werden Smartphones und Tablet-PC. Mobile Endgeräte werden als Bestandteil der dezentralen IT-Infrastruktur betrachtet. Damit finden für sie grundsätzlich die für stationäre Arbeitsplätze geltenden Regeln und Prozesse Anwendung.

58 Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte Komponente Mobile Endgeräte Ausgewählte Maßnahmen Wenn für das jeweilige Betriebssystem Virenschutzlösungen verfügbar sind, sind die mobilen Endgeräte mit einem wirksamen Virenschutz auszustatten und eine regelmäßige Aktualisierung sicher zu stellen. Eingesetzte Geräte müssen über eine Hardwareverschlüsselung verfügen, die sicherstellt, dass bei direktem Zugriff auf die Datenträger keine Daten verfügbar sind. Apps unterliegen wie sonstige Software grundsätzlich einem geregelten Freigabeprozess. Dazu zählt auch eine sicherheitstechnische Bewertung vor Nutzung der Apps. Keine Daten auf dem mobilen Endgerät speichern Nicht benötigte Schnittstellen sind standardmäßig zu deaktivieren. Defekt, Diebstahl u. ä. sowie Verdacht auf Missbrauch des überlassenen mobilen Endgerätes umgehend dem IT-Infrastrukturbetreiber melden.


Herunterladen ppt "Matthias Hög IT-Sicherheit für behördliche IT-Sicherheitsbeauftragte IT-Sicherheit für behördliche IT- Sicherheitsbeauftragte – Workshop und Erfahrungsaustausch."

Ähnliche Präsentationen


Google-Anzeigen