IT-Grundschutz-Profil für Hochschulen - DFN-CERT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Grundschutz-Profil für Hochschulen • ZKI Arbeitskreis Informationssicherheit • IT Grundschutzprofil • IT Grundschutzprofil für Hochschulen • Umsetzungstipps und Beispiele • Mitarbeit 16.03.2021 2
Zu den Personen Manfred Paul • Hochschule München • Leiter der Zentralen IT • Dozent in der Fakultät Elektrotechnik und Informationstechnik • Sprecher des AK Informationssicherheit im ZKI • E-Mail: manfred.paul@hm.edu Bernhard Brandel • Katholische Universität Eichstätt-Ingolstadt • Inhaber der Stabsstelle IT-Sicherheit • IT-Sicherheitsbeauftragter der KU • Stellv. Sprecher des AK Informationssicherheit im ZKI • E-Mail: bernhard.brandel@ku.de 16.03.2021 3
ZKI Arbeitskreis Informationssicherheit ZKI e.V. : Organisation von • IT-Zentren deutscher Universitäten und Hochschulen sowie • Einrichtungen der Großforschung und der Forschungsförderung die Mitgliedshochschulen bilden knapp 90% der Studierenden an deutschen Hochschulen aus. ZKI AK Informationssicherheit: • Rechenzentrumsleiter und IT-Sicherheitsbeauftragte der Mitgliedseinrichtungen • Hilfestellung zur Weiterentwicklung der Informationssicherheit in Mitgliedseinrichtungen • Informationsaustausch und Vertretung des ZKI in allen Belangen rund um Informationssicherheit 16.03.2021 4
IT-Grundschutz für Hochschulen Warum BSI Grundschutz? • Hochschulen sind nachgeordnete Behörden BSI Grundschutz liegt nahe • Rechenzentren vieler Hochschulen setzen BSI Maßnahmen um Problematik der Informationssicherheit an Hochschulen: • Verteilte Organisationsstrukturen • Unklare Verantwortlichkeiten (Jean Beaufort, publicdomainpictures.net) • Fehlende Stringenz bei der Umsetzung in der Fläche • Unvollständige Dokumentation Kernfrage: Wie machen wir den Grundschutz für Hochschulen umsetzbar? • Schablone für ein Sicherheitskonzept für Hochschulen • Anpassung der BSI Maßnahmenempfehlungen auf die spezifische Situation von Hochschulen • Autoren: ZKI (Mitarbeiter aus mehr als 50 Hochschulen) mit dem BSI / Allianz für Cybersicherheit 16.03.2021 5
IT-Grundschutz-Profile Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder Prozess), das als Schablone/Dokumentenvorlage von ähnlichen Institutionen adaptiert werden kann. • Es enthält das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise Schutzbedarfs- IT-Grundschutz- Risikoanalyse Strukturanalyse Modellierung feststellung Check (ggf.) • und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine 16.03.2021 6
Erste Schritte: ISMS ISMS: • kontinuierlicher Verbesserungsprozess der Informationssicherheit an Hochschulen. • Hochschulleitung muss Prozesse zur Bewertung, Steuerung und Überwachung etablieren 16.03.2021 9
ISMS Versionshinweis Unverändert in Edition 2020. Weiterführende • Aktuelle Version dieses Bausteins: zki.de/goto/gp-P77P5Q Links • Materialien: zki.de/goto/gp-cl84cg Anforderungen Die Anforderungen zur Basis Absicherung ISMS.1.A1 – A9 und die Anforderungen ISMS.1.A10 - A12 müssen umgesetzt werden. Die weiteren Anforderungen zur Standard Absicherung ISMS.1.A13 – A15 sollten umgesetzt werden. Bei einem erhöhtem Schutzbedarf sollten unbedingt die Empfehlungen zu ISMS.1.A16 in Betracht gezogen werden. Ausnahmen ISMS.1.A5 entfällt, wenn kein externe Informationssicherheitsbeauftragter bestellt wird. ISMS.1.A17 kann nicht umgesetzt werden, weil Universitäten und Hochschulen keine Versicherungen abschließen dürfen. Priorisierung R1 (1.A1 - 1.A9) Basis-Absicherung R2 (1.A10 - 1.A12) R3 (1.A13 - 1.A15 u. ggf. 1.A16) Die Erfüllung der weiteren Anforderungen kann auf R3 gesetzt werden, da für die Erreichung eines grundsätzlichen Sicherheitsniveaus nachrangig regelungsrelevant sind. Allgemeine Ein etabliertes Informationssicherheitsmanagement ist die Grundlage für die Erreichung und die Aufrechterhaltung eines angemessenen Empfehlungen Sicherheitsniveaus an der Hochschule. zum Baustein Die Managementaufgabe 'Informationssicherheit' an Hochschulen unterscheidet sich grundsätzlich nicht von der Aufgabenstellung in Behörden und Unternehmen. Differenzen sind in den Empfehlungen zur Umsetzung aufgeführt. Die Verantwortlichkeiten für die Erfüllung der Anforderungen zur Basis-Absicherung (außer 1.A7 u. 1.A8) liegen bei der Leitung der Hochschule (Präsidium). 16.03.2021 10
ISMS Empfehlungen zur ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch das Präsidium Umsetzung der Das Präsidium muss sich regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufklären lassen Anforderung (Holschuld!). Dazu ist es empfehlenswert, das Präsidium auf folgende Punkte aufmerksam zu machen: • Darstellung der Sicherheitsrisiken und der damit verbundenen Auswirkungen und Kosten • Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse • Gesetzliche und vertragliche Sicherheitsanforderungen • Übersicht über Standard-Vorgehensweisen zur Informationssicherheit für die Universitäten und Hochschulen Verbündete mit ins Boot holen. Auf die rechtlichen Konsequenzen eines Nichthandelns hinweisen (analog zu lizenzrechtlichen Fragen). Die Übernahme der Gesamtverantwortung muss dokumentiert werden (1.M3). ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Präsidium] In Vorabgesprächen sollen die Kronjuwelen und strategischen, kritischen Geschäftsprozesse identifiziert und dokumentiert werden. Die Festlegung von Sicherheitszielen und -strategien hat nichts mit Technik zu tun. Die Dokumentation der Sicherheitsziele und -strategie mündet in ISMS.M3. Eine Empfehlung gibt es unter ak-if.de, Link zki.de/goto/gp-wbrhxA ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Präsidium] Im September 2014 beschloss die Allianz der Wissenschaftsorganisationen eine vom AKIF (Arbeitskreis Informationssicherheit der deutschen Forschungseinrichtungen) für alle wissenschaftlichen Einrichtungen erarbeiteten IT-Sicherheitsleitlinie. Diese wurde an alle Universitäten und Hochschulen verschickt. Diese Leitlinie ist hier zu finden zki.de/goto/gp-VXWAgg ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Präsidium] Der Text aus M4 sollte nach Möglichkeit 1-zu-1 in der Tätigkeitsbeschreibung / Bestellung des ISB stehen. Der ISB ist ein Manager, kein Techniker (letzteres kann allerdings nicht schaden). Da er die Sicherheitsmaßnahmen durchsetzen und kontrollieren muss, ist hohe Resilienz gegen Frustration ebenfalls eine notwendige Eigenschaft eines ISB. Bei der Benennung muss das Präsidium auch die notwendigen Ressourcen für die erfolgreiche Arbeit des ISB bereitstellen, insbesondere für die Zuhilfenahme Externer. 16.03.2021 11
Prozessauswahl Startpunkt: ZKI Prozesslandkarte Campusmanagement Auswahl von 5 Prozessen: • Campus-Management: → 1. Bewerbung und Zulassung → 2. Immatrikulation und Studierenden-Management → 3. Prüfung (Abdeckung: inhaltlich ca. 50% der Prozesslandkarte!) • ein weiterer Prozess: → 4. IT-Infrastruktur für Studierende • Übergreifende Anwendungen als weiterer „Prozess“ (oben benötigt) → 5. Übergreifende Anwendungen (z.B. zentrale Dienste, Netzinfrastruktur) 16.03.2021 12
Beispiel Prozesslandkarte (Bewerbung und Zulassung) • Unterprozesse sowie zugehörige Anwendungen bestimmen, dann IT-Systeme, Räume, Gebäude • Schutzbedarf festlegen (! = hoch in Vertraulichkeit, Integrität oder Verfügbarkeit), „nichts“ = normal • Modellierung (zugehörige Bausteine bestimmen) 16.03.2021 13
Übersicht Grundschutzprofil 16.03.2021 14
Stand Grundschutzprofil für Hochschulen Insgesamt wurden 83 Bausteine (von 96) verwendet und aus Hochschulsicht kommentiert Umsetzungshinweise für vom BSI empfohlene Maßnahmen für • 31 Prozess-Bausteine, übergeordnete Bausteine als Übersicht dem gesamten Informationsverbund zugeordnet • 52 System-Bausteine, in Prozess-Landkarten den Zielobjekten zugeordnet Weiterentwicklung des Profils • Weiterentwicklung der Baustein-Kommentierungen • Modellierung weiterer Prozesse aus Forschung und Verwaltung IT-Grundschutz in NRW: https://www.dh.nrw/aktuelles/dh-nrw-konferenz: Neue Auflagen im Rahmen der „Landesweiten Digitalisierungsoffensive" „Die Auflage des MKW vom 12.02.2020 hinsichtlich der geforderten Informationssicherheit wurde insofern geändert, als dass für die Entwicklung und den Betrieb – soweit zutreffend – mindestens die Basis-Absicherung nach IT-Grundschutz-Methodik des BSI oder das ZKI „IT-Grundschutz-Profil für Hochschulen“ zu beachten ist.“ 16.03.2021 15
Umsetzungstipps Tipps zur Umsetzung des Profils an Hochschulen: • Mit Prozess-Bausteinen beginnen (v.a: ISMS und Sensibilisierung!) • Mit Basis-Absicherung beginnen • Perspektivisch: Standard-Absicherung anstreben ISMS Softwareunterstützung: • Contechnet, Akarion, Infopulse, HiScout, DocSecMinder, Verinice, Atlassian Jira/Confluence, SecDoc Weitere Beispiele: Integration mit Configuration Management Database • Maßnahmen/Anforderungen aus den Bausteinen Beispiel 1: IT-Grundschutz in Atlassian Jira/Confluence/Insight CMDB Umsetzung zusammen mit Datenschutz denken • Integration Datenschutz/IT Grundschutz, TOMs auf Basis BSI Maßnahmen modellieren Beispiel 2: SecDoc der WWU Münster 16.03.2021 16
Beispiel: Grundschutzprofil in der CMDB Object Graph vergrößert 16.03.2021 17
Beispiel: Grundschutzprofil in der CMDB 16.03.2021 18
Integration Datenschutz / IT-Grundschutz Datenschutz IT-Grundschutz Bewerbung Verarbeitungstätigkeiten und Geschäftsprozesse Zulassung Fachverfahren HISinOne App Anwendungen Linuxserver Container IT-Systeme IT-Verfahren Zentr. Storage Räume Hauptgebäude Serverraum Übergeordnete Maßnahmen (Prozessbausteine) ISMS ORP CON OPS DER APP SYS (IND) NET INF 16.03.2021 19
Beispiel: SecDoc 16.03.2021 20
Grundschutz-Check: „Bewerbung und Zulassung“ 16.03.2021 21
Wie bringen wir das Profil auf die Straße? Nutzung von Synergieeffekten Austausch-Plattform zum Teilen von Dokumenten (Richtlinien, Konzepte, Best Practices, ISMS Tools) https://it-grundschutz.zki.de/ 16.03.2021 22
Sie möchten mitmachen? Im Namen des ZKI laden wir Sie ein • zur Mitarbeit am IT-Grundschutz-Profil und • zum Austausch von Beispieldokumenten zur Umsetzung Infos: https://it-grundschutz.zki.de/ Kontakt: zki-grundschutzprofil-support@listserv.dfn.de 25.01.2021 23
Sie können auch lesen