Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Adalbert Ducker Geändert vor über 11 Jahren
1
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 201-2150 gwdg@gwdg.de www.gwdg.de Die Sicherheitsleitlinie der GWDG Motivation, Konzeption und Erfahrungen Bernhard Neumair
2
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair2 Gesellschaftsstruktur der GWDG GWDG: Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Gegründet 1970 durch Max-Planck- Gesellschaft und Land Niedersachsen Gemeinsames Rechenzentrum für Universität und Max-Planck-Institute in Göttingen Demnächst Übertragung der Gesellschaftsanteile des Landes auf die Universität Göttingen Damit eigene Sicherheitsleitlinie nötig
3
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair3 Kernaufgaben der GWDG Planung und Betrieb des GÖNET (Hochgeschwindigkeitsnetz für die Göttinger Wissenschaftseinrichtungen) Hochleistungs-, Parallelrechner Internet-Dienste (eMail, WWW, …) IT-Sicherheit (PKI, Firewall, …) File-Services, Backup, (LZ-)Archivierung Forschungsdatenbanken, Spezialserver eLearning-Systeme Verzeichnisdienste Spezielle Ausgabegeräte
4
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair4 Einordnung im Sicherheitsprozess 1.Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitsleitlinie (IT-Dienstleister!!) -Basis IT Grundschutzhandbuch des BSI -Zielsetzungen und Strukturen Einrichtung eines IT-Sicherheitsmanagement (IT-Dienstleister!!) -Zunächst eine organisatorische Aufgabe 2.Erstellung eines IT-Sicherheitskonzepts IT-Strukturanalyse Schutzbedarfsfeststellung IT-Grundschutzanalyse, ggf. ergänzende Sicherheitsanalyse Realisierungsplanung 3.Umsetzung 4.Überprüfung 5.Aufrechterhaltung im laufenden Betrieb
5
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair5 Sicherheit als umfassende Aufgabe IT-Sicherheit durch nur punktuelle/technische Maßnahmen nicht zu gewährleisten Firewall allein ist noch kein Sicherheitskonzept Virenscanner ist nur ein Betrag zur Sicherheit Datensicherung, … Wesentliche Punkte sind auch Allgemeines Sicherheitsbewusstsein (auch auf Leitungsebene) Gesamtkonzept Ständige Weiterbildung Organisationsstrukturen Regelung von Verantwortlichkeiten
6
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair6 Struktur der Sicherheitsleitlinie der GWDG Sicherheitsziele und -strategie Stellenwert der IT-Sicherheit Sicherheitsbewusstsein Sicherheitsziele Sicherheitsstrategie Umsetzung Organisation Konzeption Sicherheitsdokumentation Schulung und Einweisung Im Auftrag betriebene IT- Systeme Verantwortlichkeiten Gesamtverantwortung Delegation von Verantwortung Geschäftsführung Gruppenleiter Systemverantwortliche Externe Dienstleister Sicherheitsmanagement Nutzer Durchsetzung Übergangsregelungen
7
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair7 Sicherheitsziele Bedeutung, Stellenwert der IT-Sicherheit Sicherheitsbewusstsein, Appell an MitarbeiterInnen Allgemeine Sicherheitsziele Vertraulichkeit, Integrität, Verbindlichkeit Verfügbarkeit Rechtskonformität Orientierung am Risiko Regelung von Verantwortlichkeiten Sicherheitstrategie: Grundkonzepte zur Erreichung der Sicherheitsziele
8
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair8 Sicherheitstrategie Schulung der Mitarbeiter und Nutzer Betrieb von Server-Systemen in verschlossenen und zugangsüberwachten Räumen personenbezogene Authentifizierung für Systemzugriffe (außer für ausdrücklich anonyme Dienste) Beschränkung von Zugriffsrechten auf zur Aufgabenerfüllung notwendige Rechte sichere Konfiguration der IT-Systeme durch Beschränkung installierter Software und aktivierter Dienste auf die für die Funktion der Systeme notwendigen Komponenten sichere Konfiguration der IT-Systeme durch zeitnahe Implementation sicherheitsrelevanter Softwarekorrekturen
9
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair9 Sicherheitsstrategie (2) Strukturierung des Netzes nach benötigen Sicherheitsniveaus, Unterbindung nicht notwendiger Zugriffsmöglichkeiten auf IT- Systeme, Verzicht auf Systeme, die eine Übertragung unverschlüsselter Passwörter oder passwortähnlicher Informationen verlangen, Einführung sicherer Authentifizierungsverfahren Einsatz verschlüsselter Übertragungsverfahren soweit technisch realisierbar und soweit eine Vertraulichkeit der Inhalte gegeben verschlüsselte Speicherung sensibler Daten Datenhaltung auf dedizierten Daten-Servern, tägliche Sicherung räumliche Trennung von Daten-Servern und Backup-Systemen
10
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair10 Umsetzung: Organisation Einrichtung eines Sicherheitsmanagements IT-Sicherheitsbeauftragter Stellvertreter IT-Sicherheitsmanagement-Team Festlegung der Rollenverteilung Geschäftsführung Gruppenleiter Systembetreuer ggf. externe Dienstleister
11
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair11 Umsetzung: Sicherheitskonzept IT-Sicherheitsleitlinie: Ziele, Strategien, Strukturen Allgemeine Sicherheitsstandards Basis: BSI Grundschutzhandbuch ggf. mit Ergänzungen oder Modifikationen Systemspezifische Sicherheitsrichtlinien Richtlinien für spezifische System (Rechner, Anwendung, Verfahren) auf Basis der allgemeinen Sicherheitsstandards Berücksichtigung von Einsatzzweck, Risikoanalyse und resultierender Sicherheitsklassifikation
12
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair12 Umsetzung: Dokumentation und Schulung Sicherheitsdokumentation Systemspezifische Richtlinien Dokumentation der Umsetzung der Richtlinien regelmäßig Prüfungen der Richtlinien und deren Umsetzung Schulung und Einweisung Einweisung neuer Mitarbeiter Regelmäßige Einweisung / Schulung Intern oder extern
13
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair13 Verantwortlichkeiten Gesamtverantwortung: immer bei Geschäftsführung Delegation Delegation von Verantwortung für Sicherheit parallel mit der Verantwortung für die originäre Aufgabe Verantwortung für IT-System incl. Sicherheit zunächst beim Gruppenleiter Geschäftsführung verantwortlich für Einrichtung und Unterstützung des Sicherheitsmanagements Entscheidung bei Konflikten zwischen Nutzungs- und Sicherheitskonzepten für IT-Systeme
14
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair14 Verantwortlichkeiten: Gruppenleiter Benennung und Schulung von Systemverantwortlichen, Überprüfung der Einhaltung der Sicherheitsrichtlinien, Festlegung des Einsatzzwecks der IT-Systeme Information des Sicherheitsmanagements über neue IT- Systeme Erfassung und Sicherheitsklassifizierung der IT-Systeme Unterstützung der Systemverantwortlichen bei Risikoanalyse, Schutzbedarfsfeststellung und Erstellung von systemspezifischen Sicherheitsrichtlinien
15
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair15 Verantwortlichkeiten: Systemverantwortliche Analyse von Sicherheitsrisiko und Schutzbedarfs, Klassifizierung der IT-Systeme anhand Einsatzzweck, Sicherheitsleitlinie und allgemeiner Standards Erstellung systemspezifischer Sicherheitsrichtlinien, Vorlage an Gruppenleiter und Sicherheitsmanagement Einhaltung allgemeiner Sicherheitsstandards und systemspezifischer Sicherheitsrichtlinien, Einrichtung von Zugriffsrechten auf IT-Systeme Systemverantwortliche unterstützt durch Gruppenleiter und Sicherheitsmanagement Vertretungsregelung
16
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair16 Verantwortlichkeiten: Sicherheitsmanagement Erstellung, Überprüfung, Entwicklung, Fortschreibung und Veröffentlichung der IT-Sicherheitsleitlinie und der allgemeinen Sicherheitsstandards Überprüfung der Klassifizierung von IT-Systemen nach Sicherheitsrisiko und Schutzbedarf Stellungnahme zu systemspezifischen Sicherheitsrichtlinien (Entscheidung im Konfliktfall bei Geschäftsführung) Veranlassung/Durchführung von Einweisungen und Schulungen Berichte zur IT-Sicherheit an Geschäftsführung Veranlassung von Überprüfungen durch die Systemverantwortlichen oder durch Dritte Eskalation nach dem Sicherheitskonzept nicht vorgesehener Risikoübernahmen an die Geschäftsführung
17
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair17 Verantwortlichkeiten: Externe Dienstleister Hinweis auf Sicherheitskonzept (Standards, Richtlinien) Klare Anweisungen / Formulierungen, damit Dienstleister diese einhalten können Prüfung der Einhaltung durch Systemverantwortliche und / oder schriftliche Bestätigung durch den Dienstleister
18
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair18 Verantwortlichkeiten: Nutzer Für ihre eigenen Handlungen verantwortlich Insbesondere Einhaltung der Nutzungsordnungen Schulung Weitermeldung von Verdacht auf Gefährdung der IT- Sicherheit
19
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair19 Zusammenhänge im Überblick Richtlinie SMGF GLSV Konformität bestimmt Leitlinie allgemeine Ziele, Strategien Standards allgemeine Prinzipien Einsatzzweck spezielle Ziele Risikoanalyse Abwägung Risiken /Nutzen Einrichtung (Weiter-) Entwicklung Festlegung Unterstützung Durchführung Unterstützung erstellt Stellungnahme benennt
20
ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair20 Erfahrungen Verantwortung und Mitbestimmungspflicht Abstimmung mit Betriebsrat zeitaufwändig Ahndung bei Zuwiderhandlung Allein der Verweis auf gesetzlich/dienstrechtlich festgelegte Sanktionen erhöht Sicherheitsbewusstsein Unterschrift durch alle Mitarbeiter Weisungsbefugnis Weisungsbefugnis längs Aufbauorganisation Ausregelung Zielkonflikt Effizienz/Kosten vs. Sicherheit durch GF bzw. GL Berichtslinie Sicherheitsbeauftragter/-management - GF Informationsfluss, Sicherheit und Verpflichtung zur Selbstanzeige
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.