ISIS12 - INFORMATIONSSICHERHEIT FÜR KOMMUNEN
REFERENT: ANDREAS HECKER
2 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
1. Vorstellung des Bayerischen IT-Sicherheitscluster e.V. 2. IT Planungsrat Mindestanforderungen & Beschlusslage3. Bayerisches eGovernment-Gesetz4. Förderprogramm für Kommunen in Bayern 5. ISIS12 – Informations-SIcherheitsmanagementSystem in
12 Schritten 6. ISIS12-Blaupause für Kommunen
AGENDA
3 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Gründung: 2006 als Netzwerk (Cluster) in Regensburg 2012 Eröffnung der Geschäftsstelle Augsburg 2013 Überführung in einen Verein Geschäfte des Vereins führt die R-Tech GmbH über einen
Geschäftsbesorgungsvertrag
Mitglieder: Unternehmen der IT-Wirtschaft Unternehmen, die Sicherheitstechnologien nutzen Hochschulen und Weiterbildungseinrichtungen Juristen
BAYERISCHER IT-SICHERHEITSCLUSTER E.V.
4 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
BAYERISCHER IT-SICHERHEITSCLUSTER E.V.
5 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung (Stand 19.02.2013) Version 1.8 (10. IT-Planungsrat Beschluss 2013/01):Die Mindestanforderungen an das ISMS umfassen: Erstellung von jeweiligen verbindlichen Leitlinien für die
Informationssicherheit Erstellung und Umsetzung von Sicherheitskonzepten für
Behörden und Einrichtungen Festlegung und Dokumentation der Abläufe bei IT-
Sicherheitsvorfällen Information, Weiterbildung, Sensibilisierung aller
Beschäftigten der öffentlichen Verwaltung zu Themen der Informationssicherheit. Hierzu gehört auch die Etablierung und Durchführung regelmäßiger Sensibilisierungsmaßnahmen für die oberste Leitungsebene
IT-PLANUNGSRAT – MINDESTANFORDERUNGEN
6 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Einsatzbereich zur Umsetzung der Leitlinie Kommunen mit bis zu 500 MA => Förderprogramm 500 IT-
Arbeitsplätze Homogene IT-Basisinfrastruktur Keine über öffentliche Netze ungeschützt angebundene
AußenstellenGrenzen: ISIS12 eignet sich nicht für den Einsatz bei Hochverfügbarkeitsanforderungen Kritischen Infrastrukturen Hohen Schutzbedarfsanforderungen
IT-PLANUNGSRAT - BESCHLUSSLAGE
7 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Inhalt Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und eRechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9: Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften,
BayVwVfG,BayDSG, Auskunftsrecht etc. Art. 10: Übergangs und Schlussvorschriften
DAS BAYERISCHE EGOVERNMENT-GESETZ
8 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Art. 1: Anwendungsbereich
DAS BAYERISCHE EGOVERNMENT-GESETZ
9 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Art. 8: IT-Sicherheit und Datenschutz
DAS BAYERISCHE EGOVERNMENT-GESETZ
10 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Förderfähig sind Ausgaben für: Die Beratung und Begleitung bei der Implementierung durch
qualifizierte ISIS12-Dienstleister Schulungen für Mitarbeiter durch zertifizierte Anbieter Die (Erst-)Zertifizierung des Managementsystem zur
Informationssicherheit nach ISIS12
FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN
11 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Art und Umfang der Zuwendung: 50 % der Kosten für Beratung, Dienstleistung und
Zertifizierung werden finanziell gefördert; der Höchstbetrag der Förderung ist jedoch auf max. 15.000 € begrenzt
Förderung von Beratungsleistungen ist auf max. 1200 €(brutto) je Beratertag beschränkt
Mind. zuwendungsfähige Kosten in Höhe von 2.500 €(Bagatellgrenze)
FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN
12 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
eure und Rollen
FÖRDERPROGRAMM FÜR KOMMUNEN IN BAYERN
13 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Gründung des Netzwerkes „Informationssicherheit für den Mittelstand“ innerhalb des Clusters“
Ziel: Entwicklung eines einfachen Vorgehensmodell zur Einführung von Informationssicherheit
Zunächst für KMU
ISIS12 - HINTERGRUND
14 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
ISIS12 – Informations-SIcherheitsmanagementSystem in 12 Schritten
ISIS12 ist ein Verfahren zur Einführung und Verbesserung der
Informationssicherheit in mittelständischen Unternehmen und Organisationen
gilt als Vorstufe zum BSI IT-Grundschutz-Zertifikat
Handbuch und Katalog können über das Cluster bezogen werden
Einführung kann durch zertifizierte ISIS12-Dienstleister begleitet werden
Workflow wird durch ein vom Netzwerk entwickeltes Softwaretool dargestellt
15 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
• Verständlich beschriebener 12-stufiger Prozess, zur Etablierung eines ISMS (ISIS12-Handbuch)
• Integration ISMS mit IT-Service Management (IT-SM)
• Spezifischer ISIS12-Maßnahmensatz (ISIS12-Katalog)
• 12-stufiger Prozess wird als Workflow abgebildet
ISIS12 – WAS IST NEU?
16 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Möglichkeit zur Zertifizierung durch die DQS GmbH
Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits
Auditierung durch zertifizierte ISIS12-Auditoren
Unterstützung durch ISIS12-Dienstleister möglich
ZERTIFIZIERUNG NACH ISIS12
17 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
ISMS
18 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
KMU VS. Kommunen ISIS12 wurde ursprünglich für KMU entwickelt Was ist der Unterschied zwischen KMU und Kommunen?
– Geschäftszweck/Fachaufgaben– Rechtliche Grundlagen– „Sprache“– Förderung für Kommunen in Bayern – für KMU nicht
BESONDERHEITEN ISIS12
19 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Ziele Kommunen und ISIS12-Dienstleister die Arbeit zu erleichtern Die Qualität des ISMS soll intersubjektiv vergleichbar werden
(Standardisierung) Ständige Aktualisierung der Arbeitshilfe Kein neues ISIS12-Handbuch sondern konkrete Ergänzungen
für jeden der 12 SchritteVorgehensweise Erfahrungen aus BSI IT-Grundschutz-Projekten Erfahrungen aus den ersten ISIS12 Projekten mit
Kommunen Workshops mit Kommunen Publikationen
„BLAUPAUSE“ ISIS12 FÜR KOMMUNEN
20 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Handbuch Version 1.7, Katalog Version 1.3 „Blaupause“ ISIS12 für Kommunen 36 zertifizierte ISIS12-Berater deutschlandweit 25 ISIS12 Beratungsprojekte in KMU (Stand Oktober 15) 3 Zertifizierungen nach ISIS12 (Stand Januar 16) 31 genehmigte Förderanträge für die Einführung von ISIS12
in Kommunen (2 Förderanträge in Bearbeitung; Stand Januar 2016)
STATUS QUO
21 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Initialisierungsphase Schritte 1-2
Aufbau- und Ablauforganisation
Schritte 3-5
Entwicklung und Umsetzung ISIS12
KonzeptSchritte 6-12
INFORMATIONSSICHERHEIT IN 12 SCHRITTEN
22 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 1LEITLINIE ERSTELLEN
Im ISIS12 Vorgehensmodell spielt die Sicherheitsleitlinie ein zentrale Rolle
Für Kommunen wurde eine Muster-Sicherheitsleitlinie erstellt (Dienstanweisung)
Diese kann mit wenig Aufwand an die jeweilige Kommune angepasst werden
23 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 2MITARBEITER SENSIBILISIEREN
Entwicklung von speziellen Präsentation für verschiedene Zielgruppen (Leitung, Personalrat, Mitarbeiter)
Empfehlungen für die kontinuierliche Sensibilisierung von Mitarbeitern
– Mitarbeiter als die wichtigste Firewall– Mitarbeiter als Sicherheitsschwachstelle
24 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 3INFORMATIONSSICHERHEITS-TEAM AUFBAUEN
Bestellung eines Informationssicherheitsbeauftragen (ISB) Vorschläge für die Zusammensetzung des
Informationssicherheits-Teams Spezifische Aufgaben des Informationssicherheits-Teams in
Kommunen
25 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 4IT-DOKUMENTATION ERSTELLEN
Vorschläge für die Struktur der IT-Dokumentation Musterdokumente als Arbeitsgrundlage Empfehlungen und Hinweise für die erforderlichen
Arbeitsschritte
26 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 5 IT-SERVICE MANAGEMENT PROZESSE EINFÜHREN
Gibt es spezifische kommunale IT-SM-Prozesse? Externe Dienstleister sind in der Regel bei Kommunen im
Vergleich zu KMU häufiger aktiv. Dies erfordert bei der der Prozessmodellierung eine
entsprechende Berücksichtigung. Die externen Dienstleister müssen in die internen IT-SM-
Prozesse integriert werden. Empfehlungen und Prozessmodellierung der IT-SM-Prozesse
Wartung, Änderungsmanagement und Störungsbeseitigung.
27 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 6KRITISCHE ANWENDUNGEN IDENTIFIZIEREN
Nur Anwendungen sind zu erfassen, die bezogen auf mindestens einer der Grundwerte „Vertraulichkeit“, „Integrität“ oder „Verfügbarkeit“ als kritisch einzustufen sind
Abhängig von Größe und Struktur der Behörde, sind sie für viele Fachaufgaben zuständig und verantwortlich
Bildung sinnvollerweise Gruppen von Anwendungen zu Clustern („Reduktion von Komplexität“)
Identifizierte Anwendungen werden bezogen auf die drei Grundwerte hin untersucht und klassifiziert: Schutzbedarfsfeststellung
Entwicklung spezifischer Schutzbedarfskategorien
28 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 7IT-STRUKTUR ANALYSIEREN
In ISIS12 Schritt 7 werden die für in Schritt 6 für den Betrieb erforderlichen Zielobjekte erfasst und mit den Anwendungen verknüpft.
Nach Abschluss der Verknüpfung wird der in Schritt 6 erfasste Schutzbedarfs an die Zielobjekte vererbt.
Anpassung an spezifische kommunale Besonderheiten Muster eines bereinigten Netzwerkplans Die spezielle Rolle von Behördennetzen (kommunale
Behördennetze: KomBN und Bayerisches Behördennetzwerk) ist zu berücksichtigen.
29 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 8IT-SICHERHEITSMAßNAHMEN MODELLIEREN
Im ISIS12-Katalog sind KMU typische Bausteine, mit den entsprechenden Sicherheitsmaßnahmen, enthalten.
Modellierung spezifischer Bausteine für Kommunen, die (noch) nicht im ISIS12-Katalog enthalten sind.
30 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 9IST – SOLL VERGLEICHEN
Die IST-SOLL-Erhebung gibt Auskunft über den Umsetzungsgrad der geforderten Sicherheits-Maßnahmen(Ja, Nein, Teilweise, Nicht notwendig)
Hier spielen externe Dienstleister/Softwareentwickler eine wichtige Rolle: Wer sonst als Hersteller kommunaler Software kann entsprechende Antworten geben (z.B.: „SQL-Injection“)?
Gespräche mit Softwarefirmen um diesen Schritt zentral zu erledigen, um damit den Aufwand für Kommunen gering zu halten!
31 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 10UMSETZUNG PLANEN
Die aus dem IST-SOLL-Vergleich (Schritt 9) erhaltenen, noch zu realisierenden Maßnahmen werden im Rahmen der Realisierungsplanung konsolidiert und priorisiert
Berücksichtigung der kommunalen Prozesse der Budgetierung bzw. Haushaltsplanung
Die Zeitachse muss für den Projektverlauf frühzeitig berücksichtigt werden (etwa das Einstellen von erforderlichen Haushaltspositionen)
32 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 11UMSETZEN
Aus Schritt 10 resultiert ein konsolidierter und genehmigter Katalog von umzusetzenden Sicherheitsmaßnahmen
Die Umsetzung der noch offenen Maßnahmen vervollständigt die Informationssicherheitskonzeption
Für jede Maßnahme werden die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festgelegt
Die Kompetenz den Initiator und Umsetzer zu bestimmen ist noch genauer zu klären und entsprechend zu beschreiben
33 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
SCHRITT 12 REVISION
ISIS12 Schritt 12 stellt den letzten Schritt dar und ist zugleich der immerwährende Auftrag, das ISMS auf Aktualität und Wirksamkeit hin zu überprüfen und anzupassen (PDCA).
Grundsätzlich sind die Schritte 1 bis 11 jährlich zu durchlaufen und auf Änderungen, Anpassungen und Ergänzungen hin zu überprüfen.
34 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
ISIS12 – FAKTEN (I)ISO/IEC 27001:2013 BSI-Grundschutz
(auf Basis ISO/IEC 27001)
ISIS12
Grad der technischen Detaillierung
Schreibt keine technischen Umsetzungsdetails vor; Maßnahmenziele und Maßnahmen gelten nicht mehr (seit 2013) verpflichtend; risikoorientierter Ansatz
Technisch sehr detailliert, konkret und umfangreich
Konkrete Handlungs-empfehlungen, stark geführt, basiert auf dem IT-Grundschutz-Vorgehensweise und -Katalogen
Zertifizierungs-aufwand
Aufwand wird nach ISO 27006 kalkuliert und ist abhängig von Mitarbeiteranzahl des Geltungsbereich; beginnt bei 5 PT für Erst-Audit
Aufwand mind. 15 PT unabhängig vom Geltungsbereich
Erst-Zertifizierungs-Audit dauert i.d.R. 2 PT und Überwachungs-Audit - 1 PT
Zertifizierungs-stellen
Zehn akkreditierte Zertifizierungsstellen
BSI DQS GmbH
Verbindung mit Risikomana-gement
Freie Wahl einer angemessenen Risikomethodik (vgl. z.B. ISO 27005), Fokus auf die Risiken
Sollte mit der Risikoanalyse 100-3 des BSI einhergehen,andere zulässig
Immanente Risikoanalyse, bei einem höheren Schutzbedarf wird eine Risikoanalyse nach BSI-Standard 100-3 empfohlen
Quelle: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung; Fraunhofer AISEC; November 2014
35 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
ISIS12 – FAKTEN (II)
ISO/IEC 27001:2013
BSI-Grundschutz (auf Basis ISO/IEC
27001)
ISIS12
Werkzeuge zur Unterstützung
Verschiede Tools Verfügbar. Anwendung und Zertifizierung auch ohne Tools möglich.
Mehrere (auch kostenfreie) Tools am Markt verfügbar. Das BSI hat ein eigenes Tool. Tooleinsatz wird dringend empfohlen.
Tooleinsatz wird empfohlen; ISIS12-Software, und kommerzielles Tool stehen zur Verfügung. Einsatz des Tools wird empfohlen.
Voraussetzung für Zertifizierung
Das ISMS sollte mindestens bereits 6 Monate betrieben werden.
Das ISMS sollte mindestens bereits 6 Monate betrieben werden.
Die 12 Schritte des ISMS müssen einmal komplett durchlaufen und wirksam umgesetzt worden sein.
Kombination mit anderen Zertifikaten
Zertifizierung ist kombinierbar, z.B. mit ISO 9001 (im Kombi-Audit ca. 30% weniger Aufwand)
Die Kombination mit einer anderen Zertifizierung ist beim BSI nicht möglich
Kombinierbar mit ISO 9000 (Qualitätsmanagement) und ISO 14000 (Umweltmanagement) und ISO 20000 (IT-Servicemanagement)
Quelle: Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung; Fraunhofer AISEC; November 2014
36 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
ISIS12 ist ein pragmatischen und dennoch effektive IT-Grundschutz-Profil für Kommunen Radikal auf das Notwendige reduzierter Maßnahmenkatalog im
BSI-Vergleich Handbuch und Katalog kostenfrei für alle Kommunen; Online-
Bestellung über www.it-sicherheit-bayern.de Auf Initiative Bayerns hat der IT-Planungsrat ISIS12 zur
Umsetzung seiner Mindestsicherheitsanforderungen anerkannt Auch BSI will mit der Modernisierung des IT-Grundschutzes ein
IT-Grundschutz-Profil für Kommunen erarbeiten: „Wer hat‘s erfunden?“
Bayern fördert ISIS12 – Einführung in Kommunen mit 50% (bis max. 15.000 €)
ZUSAMMENFASSUNG
37 | Bayerischer IT-Sicherheitscluster e.V.| 09.02.2016
Kontakt:
Sandra WiesbeckBayerischer IT-Sicherheitscluster e.V.Bruderwöhrdstr. 15 b93055 RegensburgTel.: 0941/604 88 9 18Mail: [email protected]
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT!