IT-Sicherheitsmanagement bei der Landeshauptstadt München

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheitsmanagement bei der Landeshauptstadt München"

Frida Lorenz
vor 8 Jahren
Abrufe

1 IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung III IT-Strategie und IT-Steuerung/IT-Controlling (STRAC) 1 / 15

2 Inhalt IT-Sicherheitsmanagement: Unsere Vorgehensweise Das ISMS der Landeshauptstadt München Awareness Risikomanagement IT-Sicherheit Zusammenfassung 2 / 15

3 IT-Sicherheitsmanagement: Unsere Vorgehensweise Ein stadtweites Infrastrukturprojekt zur Weiterentwicklung der technischen IT- Sicherheitsinfrastruktur schafft die Basis für eine zukunftssichere, dem Stand der Technik zur IT-Sicherheit entsprechende technische IT-Infrastruktur. Das Management der Informationssicherheit in der Organisation erfolgt über ein ISMS nach ISO Die wesentlichen Ankerpunkte sind Fokus auf den verarbeiteten Informationen als den primären Schutzobjekten Ein durchgängig risikoorientierter Ansatz über ein verbindlich anzuwendendes Risikomanagement IT-Sicherheit. Risikomanagement ist verpflichtend durchzuführen bei allen Aktivitäten mit Sicherheitsbezug. Sicherheitsanforderungen und hierzu erforderliche Sicherheitsmaßnahmen ergeben sich bei der Durchführung des Risikomanagements. Sie fließen als Anforderungen direkt in die Konzeption der Aktivität ein. Das Sicherheitsniveau ist definiert über verbindliche IT-Sicherheitsvorgaben und Risikoakzeptanzstufen. IT-Sicherheit wird zu einem integralen Bestandteil der Organisation, speziell bei der Entwicklung neuer Prozesse oder IT-Services. 3 / 15

Die wesentlichen Ankerpunkte sind Fokus auf den verarbeiteten Informationen als den primären Schutzobjekten Ein durchgängig risikoorientierter Ansatz über ein verbindlich anzuwendendes

4 Das ISMS der Landeshauptstadt München 4 / 15

5 5 / 15

6 Awareness Durchführung von Security Awareness-Aktivitäten in Form einer stadtweiten Kampagne Phasen Maßnahmen Themen 1. Aufmerksamkeit erregen 2. Inhalte vermitteln 3. Für Nachhaltigkeit sorgen Gewinnspiel Poster Flyer Intranet WBT Veranstaltungen... Klassifizierung von Informationen Regelwerk der IT-Sicherheit Datenschutz Social Engineering Seite 6 von 15

Für Nachhaltigkeit sorgen Gewinnspiel Poster Flyer Intranet WBT Veranstaltungen.

7 Beispiele der Posterkampagne Seite 7 von 15

8 Die 4 Schritte des Risikomanagements IT-Sicherheit Schematischer Aufbau Untersuchungsgegenstand (UG) mit n Schutzobjekten (SO) IT-Risiko als Tupel aus Schadensausmaß und Eintrittswahrscheinlichkeit Aktivität Schutzbedarfsfeststellung Ergebnis Liste von Schutzobjekten mit Schutzbedarfen Risikoanalyse Risikomatrix, die alle IT-Risiken des UG enthält. Risikobewertung Ableitung der weiteren Vorgehensweise für jedes IT-Risiko auf Grundlage der farblichen Sektoreinteilung der Risikomatrix Risikobehandlung Risikovermeidung, -reduktion, -transfer oder -akzeptanz Liste von analysierten IT-Risiken mit Aussage darüber, ob und unter welchen Bedingungen/Maßnahmen diese für die Landeshauptstadt München akzeptabel sind Seite 8 von 15

Risikobewertung Ableitung der weiteren Vorgehensweise für jedes IT-Risiko auf Grundlage der farblichen Sektoreinteilung der Risikomatrix Risikobehandlung Risikovermeidung, -reduktion,

9 Risikoanalyse Assetebene Informationen Aufgaben Sonstige haben Primäre Schutzobjekte Schutzbedarf Risiko Schadensausmaß Eintrittswahrscheinlichkeit Ressourcenebene IT-Systeme Mitarbeiter Prozesse Infrastruktur betrifft Sekundäre Schutzobjekte haben Schwachstellen nutzen Gefährdungsszenario Wahrscheinlichkeit Untersuchungsgegenstand Bedrohungen Begriffe des Risikomanagements IT-Sicherheit 9 / 15

Infrastruktur betrifft Sekundäre Schutzobjekte haben Schwachstellen nutzen Gefährdungsszenario

Risikoanalyse und -bewertung Assetebene Informationen Aufgaben Sonstige haben Primäre Schutzobjekte Schutzbedarf Risiko Schadensausmaß Eintrittswahrscheinlichkeit Ressourcenebene IT-Systeme

10 Risikoanalyse und -bewertung Assetebene Informationen Aufgaben Sonstige haben Primäre Schutzobjekte Schutzbedarf Risiko Schadensausmaß Eintrittswahrscheinlichkeit Ressourcenebene IT-Systeme Mitarbeiter Prozesse Infrastruktur betrifft Sekundäre Schutzobjekte haben Schwachstellen nutzen Gefährdungsszenario Wahrscheinlichkeit Untersuchungsgegenstand Bedrohungen Begriffe des Risikomanagements IT-Sicherheit Risikomatrix Ein webbasiertes Tool zur Durchführung des Risikomanagements IT-Sicherheit ist in Entwicklung. 10 / 15

Schutzobjekte haben Schwachstellen nutzen Gefährdungsszenario Wahrscheinlichkeit Untersuchungsgegenstand Bedrohungen Begriffe des

11 Risikomanagement-Tool Ansicht: Schutzbedarfsfeststellung 11 / 15

12 Risikomanagement-Tool Ansicht: Gefährdungsszenarien 12 / 15

13 Risikomanagement-Tool Ansicht: Dashboard 13 / 15

14 Zusammenfassung Gelebte IT-Sicherheit erfordert eine technische IT-Infrastruktur, die die Sicherheitsmechanismen für die Realisierung sicherer IT-Services zur Verfügung stellt. Informationen sind die primären Schutzobjekte, Schutzbedarfe von Anwendungen oder IT-Systemen leiten sich ab, werden aber in der Regel nicht gebraucht. Wir wollen keine isolierte Sicherheitsbetrachtung, sondern integrierte Sicherheitslösungen. Vorrangiges Ziel ist nicht die Zertifizierung, sondern ein passendes Sicherheitsniveau. Das Sicherheitsniveau wird über verbindliche IT-Sicherheitsvorgaben und Risikoakzeptanzstufen gesteuert. Über die Risikoorientierung wird die IT-Sicherheit in der Organisation stark verankert, sie führt zu einer regelmäßigen Einbindung der verantwortlichen Stellen in Risikoabwägungen und sorgt für Transparenz über bestehende Risiken. Über das verpflichtend zu durchlaufende Risikomanagement bleibt das Niveau der IT-Sicherheit der Organisation auch bei Veränderungen erhalten bzw. wird kontinuierlich verbessert. 14 / 15

Wir wollen keine isolierte Sicherheitsbetrachtung, sondern integrierte Sicherheitslösungen. Vorrangiges Ziel ist nicht die Zertifizierung, sondern ein passendes Sicherheitsniveau.

15 Vielen Dank für Ihre Aufmerksamkeit Fragen? Dr. Michael Bungert Landeshauptstadt München Direktorium Tel.: / 15

Ähnliche Dokumente

IT-Sicherheitsmanagement bei einer großen Kommune

IT-Sicherheitsmanagement bei einer großen Kommune 6. Bayerisches Anwenderforum 2014 Schloss Nymphenburg, München 22. Mai 2014 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung III