Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 201-2150

Slides:



Advertisements
Ähnliche Präsentationen
Architektur eines Human-Task-Service
Advertisements

Datenschutz im IT-Grundschutz
Juristische Aspekte der IT-Sicherheit
Deutsches Forschungsnetz. Zentren für Kommunikation und Informationstechnik in Lehre und Forschung Herbsttagung Technische Universität Ilmenau 12. September.
Organisations- und Geschäftsmodelle
Controlling, Analyse und Verbesserung (Teil 2)
Wertorientiertes BPM Christian Kuhn Vorstand HRW Consulting
Sicherheit als Geschäftsmodell
Firewalls.
ASP - Software zum Mieten
DINI Symposium Wiss. Publizieren in der Zukunft – Open Access, 23./ B. Diekmann Ein Dokumentenserver kostet ? Ökonomische Aspekte für Serverbetreiber.
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Ulrich Kähler, DFN-Verein
Eigenschaften und Pflichten vertrauenswürdiger digitaler Archive
Schwachstellenanalyse in Netzen
Universität Stuttgart Institut für Kernenergetik und Energiesysteme I nstitut für K ernenergetik und E nergiesysteme Rational Unified Process (RUP) - Definitionen.
Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.
Universität Stuttgart Institut für Kernenergetik und Energiesysteme MuSofT LE 3.1-4V - Modell Überblick V-Modell Regelungen, die die Gesamtheit aller Aktivitäten,
IT-Versorgung der Streitkräfte Notfallmanagement BWI Leistungsverbund
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
VoIP- und Videolösungen bei der GWDG
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Rational Unified Process (RUP) - Definitionen
Datenbanksystementwicklung – Praktikum & Vorlesung – WS 2004/2005
Herstellerunabhängiger Anwenderverein - wozu ist das gut?
Aufgaben eines IT-Koordinators
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Sicher durchs Internet
Beurteilung der Arbeitsbedingungen
Einführung von Groupware
Workshop: Qualifizierung für Groupware 7. September 1999 Dortmund Herzlich willkommen zum.
Datenschutz? Unwissenheit schützt vor Strafe nicht!
Dokumenten- und Archivsystem auf Basis kommerzieller Software Verband der Bibliotheken des Landes Dokumenten-
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Grundschutztools
Gesundes Führen lohnt sich !
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Einführung in das Konzept
Gesundheitsschutz in der Aus- und Weiterbildung
Synergieeffekte durch softwaregestützte Prozessmodelle
Die Umsetzung der ISO/IEC 17020
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups
Projektphasen Phase 1: Vorbereitung Phase 2: Ist-Analyse
ProFM Helpdesk Effective Web Based Maintenance Management System.
Gliederung Einleitung eID-Infrastruktur und Komponenten
Informationsveranstaltung „Erweitertes Sicherheitskonzept für die Fachhochschule Dortmund“ am
RAG Rohöl-Aufsuchungs AG
Elemente struktureller Prävention in der Jugendarbeit Entwicklung präventiver Strukturen in der Jugendarbeit der EKvW.
Technische und organisatorische Aspekte bei der Einführung und dem Betrieb einer universitätsweiten Lernplattform: Herbert STAPPLER Zentraler Informatikdienst.
MedienZentrum Kreis Siegen-Wittgenstein e-team Karl Heupel Medienberater Kreis Siegen-Wittgenstein.
Präsentation: KMU und Weiterbildung© AHEAD executive consulting 2005 INVESTORS IN Internationaler Qualitätsstandard für nachhaltige Erfolge in der Unternehmensentwicklung.
„Medienentwicklungsplanung für Schulen“
IT Kosten Reduzierung und effizientere Dienstleistungen Wir optimieren Strukturen und Prozesse und reduzieren dabei Ihre IT Kosten Ihr OPTICONSULT International.
Datensicherheit.
Datenschutz und Datensicherheit
Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.
VPN – Virtual Private Network
Datenschutz im betrieblichen Kontext – Ein praxisorientierter Ansatz in einem multinationalem Unternehmen Bachelorarbeit MIS.
Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen
Rechtliche Rahmenfaktoren der Netzwerksicherheit
Krankenhausstrukturen in Trägerschaft einer Kirche
ISO in der betrieblichen Praxis
WP/StB Prof. Dr. Klaus-Peter Naumann
DatenschutzManagement mit Verinice
SICHERHEIT – Abwehrmaßnahmen Mehmet Ş ükün & Fâtih Yildirim.
Organisation und betriebliche Informationssysteme
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
© Handwerkskammer des Saarlandes, Hohenzollernstraße 47-49, Saarbrücken IT-Sicherheit im Handwerksunternehmen Gefahr erkannt – Gefahr gebannt! IT.
5-1 Informations- und Kommunikationssystemarchitektur Sicherheitsarchitektur IT-Sicherheit, Informationssicherheit ISO-Standards
1 „Internes Kontrollsystem bei kommunalen Versicherungsgeschäften“ 2. Dezember 2014 Dr. Gerhard Pircher WP/Stb.
 Präsentation transkript:

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: Die Sicherheitsleitlinie der GWDG Motivation, Konzeption und Erfahrungen Bernhard Neumair

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair2 Gesellschaftsstruktur der GWDG GWDG: Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Gegründet 1970 durch Max-Planck- Gesellschaft und Land Niedersachsen Gemeinsames Rechenzentrum für Universität und Max-Planck-Institute in Göttingen Demnächst Übertragung der Gesellschaftsanteile des Landes auf die Universität Göttingen Damit eigene Sicherheitsleitlinie nötig

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair3 Kernaufgaben der GWDG Planung und Betrieb des GÖNET (Hochgeschwindigkeitsnetz für die Göttinger Wissenschaftseinrichtungen) Hochleistungs-, Parallelrechner Internet-Dienste ( , WWW, …) IT-Sicherheit (PKI, Firewall, …) File-Services, Backup, (LZ-)Archivierung Forschungsdatenbanken, Spezialserver eLearning-Systeme Verzeichnisdienste Spezielle Ausgabegeräte

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair4 Einordnung im Sicherheitsprozess 1.Initiierung des IT-Sicherheitsprozesses Erstellung einer IT-Sicherheitsleitlinie (IT-Dienstleister!!) -Basis IT Grundschutzhandbuch des BSI -Zielsetzungen und Strukturen Einrichtung eines IT-Sicherheitsmanagement (IT-Dienstleister!!) -Zunächst eine organisatorische Aufgabe 2.Erstellung eines IT-Sicherheitskonzepts IT-Strukturanalyse Schutzbedarfsfeststellung IT-Grundschutzanalyse, ggf. ergänzende Sicherheitsanalyse Realisierungsplanung 3.Umsetzung 4.Überprüfung 5.Aufrechterhaltung im laufenden Betrieb

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair5 Sicherheit als umfassende Aufgabe IT-Sicherheit durch nur punktuelle/technische Maßnahmen nicht zu gewährleisten Firewall allein ist noch kein Sicherheitskonzept Virenscanner ist nur ein Betrag zur Sicherheit Datensicherung, … Wesentliche Punkte sind auch Allgemeines Sicherheitsbewusstsein (auch auf Leitungsebene) Gesamtkonzept Ständige Weiterbildung Organisationsstrukturen Regelung von Verantwortlichkeiten

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair6 Struktur der Sicherheitsleitlinie der GWDG Sicherheitsziele und -strategie Stellenwert der IT-Sicherheit Sicherheitsbewusstsein Sicherheitsziele Sicherheitsstrategie Umsetzung Organisation Konzeption Sicherheitsdokumentation Schulung und Einweisung Im Auftrag betriebene IT- Systeme Verantwortlichkeiten Gesamtverantwortung Delegation von Verantwortung Geschäftsführung Gruppenleiter Systemverantwortliche Externe Dienstleister Sicherheitsmanagement Nutzer Durchsetzung Übergangsregelungen

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair7 Sicherheitsziele Bedeutung, Stellenwert der IT-Sicherheit Sicherheitsbewusstsein, Appell an MitarbeiterInnen Allgemeine Sicherheitsziele Vertraulichkeit, Integrität, Verbindlichkeit Verfügbarkeit Rechtskonformität Orientierung am Risiko Regelung von Verantwortlichkeiten Sicherheitstrategie: Grundkonzepte zur Erreichung der Sicherheitsziele

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair8 Sicherheitstrategie Schulung der Mitarbeiter und Nutzer Betrieb von Server-Systemen in verschlossenen und zugangsüberwachten Räumen personenbezogene Authentifizierung für Systemzugriffe (außer für ausdrücklich anonyme Dienste) Beschränkung von Zugriffsrechten auf zur Aufgabenerfüllung notwendige Rechte sichere Konfiguration der IT-Systeme durch Beschränkung installierter Software und aktivierter Dienste auf die für die Funktion der Systeme notwendigen Komponenten sichere Konfiguration der IT-Systeme durch zeitnahe Implementation sicherheitsrelevanter Softwarekorrekturen

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair9 Sicherheitsstrategie (2) Strukturierung des Netzes nach benötigen Sicherheitsniveaus, Unterbindung nicht notwendiger Zugriffsmöglichkeiten auf IT- Systeme, Verzicht auf Systeme, die eine Übertragung unverschlüsselter Passwörter oder passwortähnlicher Informationen verlangen, Einführung sicherer Authentifizierungsverfahren Einsatz verschlüsselter Übertragungsverfahren soweit technisch realisierbar und soweit eine Vertraulichkeit der Inhalte gegeben verschlüsselte Speicherung sensibler Daten Datenhaltung auf dedizierten Daten-Servern, tägliche Sicherung räumliche Trennung von Daten-Servern und Backup-Systemen

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair10 Umsetzung: Organisation Einrichtung eines Sicherheitsmanagements IT-Sicherheitsbeauftragter Stellvertreter IT-Sicherheitsmanagement-Team Festlegung der Rollenverteilung Geschäftsführung Gruppenleiter Systembetreuer ggf. externe Dienstleister

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair11 Umsetzung: Sicherheitskonzept IT-Sicherheitsleitlinie: Ziele, Strategien, Strukturen Allgemeine Sicherheitsstandards Basis: BSI Grundschutzhandbuch ggf. mit Ergänzungen oder Modifikationen Systemspezifische Sicherheitsrichtlinien Richtlinien für spezifische System (Rechner, Anwendung, Verfahren) auf Basis der allgemeinen Sicherheitsstandards Berücksichtigung von Einsatzzweck, Risikoanalyse und resultierender Sicherheitsklassifikation

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair12 Umsetzung: Dokumentation und Schulung Sicherheitsdokumentation Systemspezifische Richtlinien Dokumentation der Umsetzung der Richtlinien regelmäßig Prüfungen der Richtlinien und deren Umsetzung Schulung und Einweisung Einweisung neuer Mitarbeiter Regelmäßige Einweisung / Schulung Intern oder extern

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair13 Verantwortlichkeiten Gesamtverantwortung: immer bei Geschäftsführung Delegation Delegation von Verantwortung für Sicherheit parallel mit der Verantwortung für die originäre Aufgabe Verantwortung für IT-System incl. Sicherheit zunächst beim Gruppenleiter Geschäftsführung verantwortlich für Einrichtung und Unterstützung des Sicherheitsmanagements Entscheidung bei Konflikten zwischen Nutzungs- und Sicherheitskonzepten für IT-Systeme

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair14 Verantwortlichkeiten: Gruppenleiter Benennung und Schulung von Systemverantwortlichen, Überprüfung der Einhaltung der Sicherheitsrichtlinien, Festlegung des Einsatzzwecks der IT-Systeme Information des Sicherheitsmanagements über neue IT- Systeme Erfassung und Sicherheitsklassifizierung der IT-Systeme Unterstützung der Systemverantwortlichen bei Risikoanalyse, Schutzbedarfsfeststellung und Erstellung von systemspezifischen Sicherheitsrichtlinien

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair15 Verantwortlichkeiten: Systemverantwortliche Analyse von Sicherheitsrisiko und Schutzbedarfs, Klassifizierung der IT-Systeme anhand Einsatzzweck, Sicherheitsleitlinie und allgemeiner Standards Erstellung systemspezifischer Sicherheitsrichtlinien, Vorlage an Gruppenleiter und Sicherheitsmanagement Einhaltung allgemeiner Sicherheitsstandards und systemspezifischer Sicherheitsrichtlinien, Einrichtung von Zugriffsrechten auf IT-Systeme Systemverantwortliche unterstützt durch Gruppenleiter und Sicherheitsmanagement Vertretungsregelung

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair16 Verantwortlichkeiten: Sicherheitsmanagement Erstellung, Überprüfung, Entwicklung, Fortschreibung und Veröffentlichung der IT-Sicherheitsleitlinie und der allgemeinen Sicherheitsstandards Überprüfung der Klassifizierung von IT-Systemen nach Sicherheitsrisiko und Schutzbedarf Stellungnahme zu systemspezifischen Sicherheitsrichtlinien (Entscheidung im Konfliktfall bei Geschäftsführung) Veranlassung/Durchführung von Einweisungen und Schulungen Berichte zur IT-Sicherheit an Geschäftsführung Veranlassung von Überprüfungen durch die Systemverantwortlichen oder durch Dritte Eskalation nach dem Sicherheitskonzept nicht vorgesehener Risikoübernahmen an die Geschäftsführung

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair17 Verantwortlichkeiten: Externe Dienstleister Hinweis auf Sicherheitskonzept (Standards, Richtlinien) Klare Anweisungen / Formulierungen, damit Dienstleister diese einhalten können Prüfung der Einhaltung durch Systemverantwortliche und / oder schriftliche Bestätigung durch den Dienstleister

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair18 Verantwortlichkeiten: Nutzer Für ihre eigenen Handlungen verantwortlich Insbesondere Einhaltung der Nutzungsordnungen Schulung Weitermeldung von Verdacht auf Gefährdung der IT- Sicherheit

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair19 Zusammenhänge im Überblick Richtlinie SMGF GLSV Konformität bestimmt Leitlinie allgemeine Ziele, Strategien Standards allgemeine Prinzipien Einsatzzweck spezielle Ziele Risikoanalyse Abwägung Risiken /Nutzen Einrichtung (Weiter-) Entwicklung Festlegung Unterstützung Durchführung Unterstützung erstellt Stellungnahme benennt

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair20 Erfahrungen Verantwortung und Mitbestimmungspflicht Abstimmung mit Betriebsrat zeitaufwändig Ahndung bei Zuwiderhandlung Allein der Verweis auf gesetzlich/dienstrechtlich festgelegte Sanktionen erhöht Sicherheitsbewusstsein Unterschrift durch alle Mitarbeiter Weisungsbefugnis Weisungsbefugnis längs Aufbauorganisation Ausregelung Zielkonflikt Effizienz/Kosten vs. Sicherheit durch GF bzw. GL Berichtslinie Sicherheitsbeauftragter/-management - GF Informationsfluss, Sicherheit und Verpflichtung zur Selbstanzeige

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.