IT-Grundschutz-Profil für Hochschulen - DFN-CERT

Die Seite wird erstellt Silas Dorn
 
WEITER LESEN
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
IT-Grundschutz-Profil
für Hochschulen
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
IT-Grundschutz-Profil für Hochschulen
•   ZKI Arbeitskreis Informationssicherheit
•   IT Grundschutzprofil
•   IT Grundschutzprofil für Hochschulen
•   Umsetzungstipps und Beispiele
•   Mitarbeit

16.03.2021                                    2
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
Zu den Personen
Manfred Paul
•   Hochschule München
•   Leiter der Zentralen IT
•   Dozent in der Fakultät Elektrotechnik und Informationstechnik
•   Sprecher des AK Informationssicherheit im ZKI
•   E-Mail: manfred.paul@hm.edu

Bernhard Brandel
•   Katholische Universität Eichstätt-Ingolstadt
•   Inhaber der Stabsstelle IT-Sicherheit
•   IT-Sicherheitsbeauftragter der KU
•   Stellv. Sprecher des AK Informationssicherheit im ZKI
•   E-Mail: bernhard.brandel@ku.de

16.03.2021                                                          3
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
ZKI Arbeitskreis Informationssicherheit
ZKI e.V. :
Organisation von
• IT-Zentren deutscher Universitäten und Hochschulen sowie
• Einrichtungen der Großforschung und der Forschungsförderung
die Mitgliedshochschulen bilden knapp 90% der Studierenden an deutschen Hochschulen aus.

ZKI AK Informationssicherheit:
•   Rechenzentrumsleiter und IT-Sicherheitsbeauftragte der Mitgliedseinrichtungen
•   Hilfestellung zur Weiterentwicklung der Informationssicherheit in Mitgliedseinrichtungen
•   Informationsaustausch und Vertretung des ZKI in allen Belangen rund um Informationssicherheit

16.03.2021                                                                                          4
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
IT-Grundschutz für Hochschulen

Warum BSI Grundschutz?
•   Hochschulen sind nachgeordnete Behörden  BSI Grundschutz liegt nahe
•   Rechenzentren vieler Hochschulen setzen BSI Maßnahmen um

Problematik der Informationssicherheit an Hochschulen:
•   Verteilte Organisationsstrukturen
•   Unklare Verantwortlichkeiten                                                       (Jean Beaufort, publicdomainpictures.net)

•   Fehlende Stringenz bei der Umsetzung in der Fläche
•   Unvollständige Dokumentation

Kernfrage: Wie machen wir den Grundschutz für Hochschulen umsetzbar?
•   Schablone für ein Sicherheitskonzept für Hochschulen
•   Anpassung der BSI Maßnahmenempfehlungen auf die spezifische Situation von
    Hochschulen
•   Autoren: ZKI (Mitarbeiter aus mehr als 50 Hochschulen) mit dem BSI / Allianz für
    Cybersicherheit

16.03.2021                                                                                                                         5
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
IT-Grundschutz-Profile
Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess),
das als Schablone/Dokumentenvorlage von ähnlichen Institutionen adaptiert werden kann.

•    Es enthält das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise

                             Schutzbedarfs-                              IT-Grundschutz-         Risikoanalyse
       Strukturanalyse                              Modellierung
                              feststellung                                    Check                   (ggf.)

•    und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine

16.03.2021                                                                                                          6
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
Absicherungs-Niveaus

16.03.2021             7
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
Übergeordnete Maßnahmen

16.03.2021                8
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
Erste Schritte: ISMS

ISMS:
       •      kontinuierlicher Verbesserungsprozess der Informationssicherheit an Hochschulen.
       •      Hochschulleitung muss Prozesse zur Bewertung, Steuerung und Überwachung etablieren

 16.03.2021                                                                                        9
IT-Grundschutz-Profil für Hochschulen - DFN-CERT
ISMS
Versionshinweis   Unverändert in Edition 2020.
Weiterführende    •    Aktuelle Version dieses Bausteins: zki.de/goto/gp-P77P5Q
Links             •    Materialien: zki.de/goto/gp-cl84cg
Anforderungen     Die Anforderungen zur Basis Absicherung ISMS.1.A1 – A9 und die Anforderungen ISMS.1.A10 - A12 müssen umgesetzt werden.
                  Die weiteren Anforderungen zur Standard Absicherung ISMS.1.A13 – A15 sollten umgesetzt werden.
                  Bei einem erhöhtem Schutzbedarf sollten unbedingt die Empfehlungen zu ISMS.1.A16 in Betracht gezogen werden.
Ausnahmen         ISMS.1.A5 entfällt, wenn kein externe Informationssicherheitsbeauftragter bestellt wird.
                  ISMS.1.A17 kann nicht umgesetzt werden, weil Universitäten und Hochschulen keine Versicherungen abschließen dürfen.
Priorisierung     R1 (1.A1 - 1.A9) Basis-Absicherung
                  R2 (1.A10 - 1.A12)
                  R3 (1.A13 - 1.A15 u. ggf. 1.A16) Die Erfüllung der weiteren Anforderungen kann auf R3 gesetzt werden, da für die Erreichung eines
                  grundsätzlichen Sicherheitsniveaus nachrangig regelungsrelevant sind.
Allgemeine        Ein etabliertes Informationssicherheitsmanagement ist die Grundlage für die Erreichung und die Aufrechterhaltung eines angemessenen
Empfehlungen      Sicherheitsniveaus an der Hochschule.
zum Baustein      Die Managementaufgabe 'Informationssicherheit' an Hochschulen unterscheidet sich grundsätzlich nicht von der Aufgabenstellung in
                  Behörden und Unternehmen. Differenzen sind in den Empfehlungen zur Umsetzung aufgeführt. Die Verantwortlichkeiten für die Erfüllung der
                  Anforderungen zur Basis-Absicherung (außer 1.A7 u. 1.A8) liegen bei der Leitung der Hochschule (Präsidium).

    16.03.2021                                                                                                                                        10
ISMS
Empfehlungen zur ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch das Präsidium
Umsetzung der    Das Präsidium muss sich regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufklären lassen
Anforderung      (Holschuld!). Dazu ist es empfehlenswert, das Präsidium auf folgende Punkte aufmerksam zu machen:
                 • Darstellung der Sicherheitsrisiken und der damit verbundenen Auswirkungen und Kosten
                 • Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse
                 • Gesetzliche und vertragliche Sicherheitsanforderungen
                 • Übersicht über Standard-Vorgehensweisen zur Informationssicherheit für die Universitäten und Hochschulen
                 Verbündete mit ins Boot holen. Auf die rechtlichen Konsequenzen eines Nichthandelns hinweisen (analog zu lizenzrechtlichen Fragen).
                 Die Übernahme der Gesamtverantwortung muss dokumentiert werden (1.M3).

                   ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Präsidium]
                   In Vorabgesprächen sollen die Kronjuwelen und strategischen, kritischen Geschäftsprozesse identifiziert und dokumentiert werden. Die
                   Festlegung von Sicherheitszielen und -strategien hat nichts mit Technik zu tun. Die Dokumentation der Sicherheitsziele und -strategie mündet in
                   ISMS.M3. Eine Empfehlung gibt es unter ak-if.de, Link zki.de/goto/gp-wbrhxA

                   ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Präsidium]
                   Im September 2014 beschloss die Allianz der Wissenschaftsorganisationen eine vom AKIF (Arbeitskreis Informationssicherheit der deutschen
                   Forschungseinrichtungen) für alle wissenschaftlichen Einrichtungen erarbeiteten IT-Sicherheitsleitlinie. Diese wurde an alle Universitäten und
                   Hochschulen verschickt. Diese Leitlinie ist hier zu finden zki.de/goto/gp-VXWAgg

                   ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Präsidium]
                   Der Text aus M4 sollte nach Möglichkeit 1-zu-1 in der Tätigkeitsbeschreibung / Bestellung des ISB stehen. Der ISB ist ein Manager, kein
                   Techniker (letzteres kann allerdings nicht schaden). Da er die Sicherheitsmaßnahmen durchsetzen und kontrollieren muss, ist hohe Resilienz
                   gegen Frustration ebenfalls eine notwendige Eigenschaft eines ISB. Bei der Benennung muss das Präsidium auch die notwendigen Ressourcen
                   für die erfolgreiche Arbeit des ISB bereitstellen, insbesondere für die Zuhilfenahme Externer.
    16.03.2021                                                                                                                                                11
Prozessauswahl
Startpunkt: ZKI Prozesslandkarte Campusmanagement

Auswahl von 5 Prozessen:

•   Campus-Management:
          → 1. Bewerbung und Zulassung
          → 2. Immatrikulation und Studierenden-Management
          → 3. Prüfung
          (Abdeckung: inhaltlich ca. 50% der Prozesslandkarte!)

•   ein weiterer Prozess:
            → 4. IT-Infrastruktur für Studierende

•   Übergreifende Anwendungen als weiterer „Prozess“ (oben benötigt)
           → 5. Übergreifende Anwendungen
           (z.B. zentrale Dienste, Netzinfrastruktur)

16.03.2021                                                             12
Beispiel Prozesslandkarte
(Bewerbung und Zulassung)
•   Unterprozesse sowie zugehörige Anwendungen bestimmen, dann IT-Systeme, Räume, Gebäude
•   Schutzbedarf festlegen (! = hoch in Vertraulichkeit, Integrität oder Verfügbarkeit), „nichts“ = normal
•   Modellierung (zugehörige Bausteine bestimmen)

16.03.2021                                                                                                   13
Übersicht Grundschutzprofil

16.03.2021                    14
Stand Grundschutzprofil für Hochschulen
Insgesamt wurden 83 Bausteine (von 96) verwendet und aus Hochschulsicht kommentiert
Umsetzungshinweise für vom BSI empfohlene Maßnahmen für
• 31 Prozess-Bausteine, übergeordnete Bausteine als Übersicht dem gesamten Informationsverbund zugeordnet
• 52 System-Bausteine, in Prozess-Landkarten den Zielobjekten zugeordnet

Weiterentwicklung des Profils
•   Weiterentwicklung der Baustein-Kommentierungen
•   Modellierung weiterer Prozesse aus Forschung und Verwaltung

IT-Grundschutz in NRW:
https://www.dh.nrw/aktuelles/dh-nrw-konferenz:
Neue Auflagen im Rahmen der „Landesweiten Digitalisierungsoffensive"
„Die Auflage des MKW vom 12.02.2020 hinsichtlich der geforderten Informationssicherheit wurde insofern
geändert, als dass für die Entwicklung und den Betrieb – soweit zutreffend – mindestens die Basis-Absicherung nach
IT-Grundschutz-Methodik des BSI oder das ZKI „IT-Grundschutz-Profil für Hochschulen“ zu beachten ist.“

16.03.2021                                                                                                           15
Umsetzungstipps
Tipps zur Umsetzung des Profils an Hochschulen:
•   Mit Prozess-Bausteinen beginnen (v.a: ISMS und Sensibilisierung!)
•   Mit Basis-Absicherung beginnen
•   Perspektivisch: Standard-Absicherung anstreben

ISMS Softwareunterstützung:
•   Contechnet, Akarion, Infopulse, HiScout, DocSecMinder, Verinice, Atlassian Jira/Confluence, SecDoc

Weitere Beispiele:
Integration mit Configuration Management Database
•   Maßnahmen/Anforderungen aus den Bausteinen
     Beispiel 1: IT-Grundschutz in Atlassian Jira/Confluence/Insight CMDB

Umsetzung zusammen mit Datenschutz denken
•   Integration Datenschutz/IT Grundschutz, TOMs auf Basis BSI Maßnahmen modellieren
     Beispiel 2: SecDoc der WWU Münster

16.03.2021                                                                                               16
Beispiel: Grundschutzprofil in der CMDB

             Object Graph vergrößert

16.03.2021                                17
Beispiel: Grundschutzprofil in der CMDB

16.03.2021                                18
Integration Datenschutz / IT-Grundschutz
                          Datenschutz                                IT-Grundschutz

                                                Bewerbung
                     Verarbeitungstätigkeiten   und                  Geschäftsprozesse
                                                Zulassung

                          Fachverfahren         HISinOne App             Anwendungen

                                                Linuxserver
                                                Container                 IT-Systeme
                          IT-Verfahren          Zentr. Storage              Räume
                                                Hauptgebäude
                                                Serverraum

                                                                                         Übergeordnete
                                                                                          Maßnahmen
                                                                                         (Prozessbausteine)
ISMS     ORP   CON     OPS    DER                 APP     SYS    (IND)    NET   INF
 16.03.2021                                                                                                   19
Beispiel: SecDoc

16.03.2021         20
Grundschutz-Check: „Bewerbung und Zulassung“

16.03.2021                                     21
Wie bringen wir das Profil auf die Straße?
Nutzung von Synergieeffekten
Austausch-Plattform zum Teilen von Dokumenten (Richtlinien, Konzepte, Best Practices, ISMS Tools)
https://it-grundschutz.zki.de/

16.03.2021                                                                                          22
Sie möchten mitmachen?
Im Namen des ZKI laden wir Sie ein
•      zur Mitarbeit am IT-Grundschutz-Profil und
•      zum Austausch von Beispieldokumenten zur Umsetzung

Infos:   https://it-grundschutz.zki.de/
Kontakt: zki-grundschutzprofil-support@listserv.dfn.de

    25.01.2021                                              23
Sie können auch lesen