IT-Grundschutz-Profil für Hochschulen - ZKI
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Grundschutz-Profil für Hochschulen
IT-Grundschutz-Profil für Hochschulen • ZKI e.V. • IT Grundschutzprofil • IT Grundschutzprofil für Hochschulen • Umsetzungstipps und Beispiele • Ausblick 16.03.2021 2
ZKI Arbeitskreis Informationssicherheit ZKI e.V. : Organisation von • IT-Zentren deutscher Universitäten und Hochschulen sowie • Einrichtungen der Großforschung und der Forschungsförderung die Mitgliedshochschulen bilden knapp 90% der Studierenden an deutschen Hochschulen aus. ZKI AK Informationssicherheit: • Rechenzentrumsleiter und IT-Sicherheitsbeauftragte der Mitgliedseinrichtungen • Hilfestellung zur Weiterentwicklung der Informationssicherheit in Mitgliedseinrichtungen • Informationsaustausch und Vertretung des ZKI in allen Belangen rund um Informationssicherheit 16.03.2021 3
IT-Grundschutz für Hochschulen
Warum BSI Grundschutz?
• Hochschulen sind nachgeordnete Behörden → BSI Grundschutz liegt nahe
• Rechenzentren vieler Hochschulen setzen BSI Maßnahmen um
Problematik der Informationssicherheit an Hochschulen:
• Verteilte Organisationsstrukturen
• unklare Verantwortlichkeiten (Jean Beaufort, publicdomainpictures.net)
• Fehlende Stringenz bei der Umsetzung in der Fläche
• Unvollständige Dokumentation
Kernfrage: Wie machen wir den Grundschutz für Hochschulen umsetzbar?
• Schablone für ein Sicherheitskonzept für Hochschulen
• Anpassung der BSI Maßnahmenempfehlungen auf die spezifische Situation von
Hochschulen
• Autoren: ZKI (Mitarbeiter aus mehr als 50 Hochschulen) mit dem BSI / Allianz für
Cybersicherheit
16.03.2021 4
IT-Grundschutz-Profile
Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept für ein ausgewähltes Szenario (Verbund oder
Prozess), das als Schablone/Dokumentenvorlage von ähnlichen Institutionen adaptiert werden kann.
• Es enthält das Ergebnis mehrerer Prozessschritte der IT-Grundschutz-Vorgehensweise
Schutzbedarfs- IT-Grundschutz- Risikoanalyse
Strukturanalyse Modellierung
feststellung Check (ggf.)
• und einer Auswahl mehrerer Anforderungen der IT-Grundschutz-Bausteine
16.03.2021 5
Absicherungs-Niveaus 16.03.2021 6
Übergeordnete Maßnahmen 16.03.2021 7
Erste Schritte: ISMS
ISMS:
• kontinuierlicher Verbesserungsprozess der Informationssicherheit an Hochschulen.
• Hochschulleitung muss Prozesse zur Bewertung, Steuerung und Überwachung etablieren
16.03.2021 8
ISMS
Versionshinweis Unverändert in Edition 2020.
Weiterführende • Aktuelle Version dieses Bausteins: zki.de/goto/gp-P77P5Q
Links • Materialien: zki.de/goto/gp-cl84cg
Anforderungen Die Anforderungen zur Basis Absicherung ISMS.1.A1 – A9 und die Anforderungen ISMS.1.A10 - A12 müssen umgesetzt werden.
Die weiteren Anforderungen zur Standard Absicherung ISMS.1.A13 – A15 sollten umgesetzt werden.
Bei einem erhöhtem Schutzbedarf sollten unbedingt die Empfehlungen zu ISMS.1.A16 in Betracht gezogen werden.
Ausnahmen ISMS.1.A5 entfällt, wenn kein externe Informationssicherheitsbeauftragter bestellt wird.
ISMS.1.A17 kann nicht umgesetzt werden, weil Universitäten und Hochschulen keine Versicherungen abschließen dürfen.
Priorisierung R1 (1.A1 - 1.A9) Basis-Absicherung
R2 (1.A10 - 1.A12)
R3 (1.A13 - 1.A15 u. ggf. 1.A16) Die Erfüllung der weiteren Anforderungen kann auf R2 gesetzt werden, da für die Erreichung eines
grundsätzlichen Sicherheitsniveaus nachrangig regelungsrelevant sind.
Allgemeine Ein etabliertes Informationssicherheitsmanagement ist die Grundlage für die Erreichung und die Aufrechterhaltung eines angemessenen
Empfehlungen Sicherheitsniveaus an der Hochschule.
zum Baustein Die Managementaufgabe 'Informationssicherheit' an Hochschulen unterscheidet sich grundsätzlich nicht von der Aufgabenstellung in
Behörden und Unternehmen. Differenzen sind in den Empfehlungen zur Umsetzung aufgeführt. Die Verantwortlichkeiten für die Erfüllung der
Anforderungen zur Basis-Absicherung (außer 1.A7 u. 1.A8) liegen bei der Leitung der Hochschule (Präsidium).
16.03.2021 9
ISMS
Empfehlungen zur ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch das Präsidium
Umsetzung der Das Präsidium muss sich regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufklären lassen
Anforderung (Holschuld!). Dazu ist es empfehlenswert, das Präsidium auf folgende Punkte aufmerksam zu machen:
• Darstellung der Sicherheitsrisiken und der damit verbundenen Auswirkungen und Kosten
• Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse
• Gesetzliche und vertragliche Sicherheitsanforderungen
• Übersicht über Standard-Vorgehensweisen zur Informationssicherheit für die Universitäten und Hochschulen
Verbündete mit ins Boot holen. Auf die rechtlichen Konsequenzen eines Nichthandelns hinweisen (analog zu lizenzrechtlichen Fragen).
Die Übernahme der Gesamtverantwortung muss dokumentiert werden (1.M3).
ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Präsidium]
In Vorabgesprächen sollen die Kronjuwelen und strategischen, kritischen Geschäftsprozesse identifiziert und dokumentiert werden. Die
Festlegung von Sicherheitszielen und -strategien hat nichts mit Technik zu tun. Die Dokumentation der Sicherheitsziele und -strategie mündet in
ISMS.M3. Eine Empfehlung gibt es unter ak-if.de, Link zki.de/goto/gp-wbrhxA
ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Präsidium]
Im September 2014 beschloss die Allianz der Wissenschaftsorganisationen eine vom AKIF (Arbeitskreis Informationssicherheit der deutschen
Forschungseinrichtungen) für alle wissenschaftlichen Einrichtungen erarbeiteten IT-Sicherheitsleitlinie. Diese wurde an alle Universitäten und
Hochschulen verschickt. Diese Leitlinie ist hier zu finden zki.de/goto/gp-VXWAgg
ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Präsidium]
Der Text aus M4 sollte nach Möglichkeit 1-zu-1 in der Tätigkeitsbeschreibung / Bestellung des ISB stehen. Der ISB ist ein Manager, kein
Techniker (letzteres kann allerdings nicht schaden). Da er die Sicherheitsmaßnahmen durchsetzen und kontrollieren muss, ist hohe Resilienz
gegen Frustration ebenfalls eine notwendige Eigenschaft eines ISB. Bei der Benennung muss das Präsidium auch die notwendigen Ressourcen
für die erfolgreiche Arbeit des ISB bereitstellen, insbesondere für die Zuhilfenahme Externer.
16.03.2021 10Prozessauswahl
Startpunkt: ZKI Prozesslandkarte Campusmanagement
Auswahl von 5 Prozessen:
• Campus-Management:
→ 1. Bewerbung und Zulassung
→ 2. Immatrikulation und Studierenden-Management
→ 3. Prüfung
(Abdeckung: inhaltlich ca. 50% der Prozesslandkarte!)
• ein weiterer Prozess:
→ 4. IT-Infrastruktur für Studierende
• Übergreifende Anwendungen als weiterer „Prozess“ (oben benötigt)
→ 5. Übergreifende Prozesse
(z.B. zentrale Dienste, Netzinfrastruktur)
16.03.2021 11Beispiel Prozesslandkarte (Bewerbung und Zulassung) • Unterprozesse sowie zugehörige Anwendungen bestimmen, dann IT-Systeme, Räume, Gebäude • Schutzbedarf festlegen (! = hoch in Vertraulichkeit, Integrität oder Verfügbarkeit), „nichts“ = normal • Modellierung (zugehörige Bausteine bestimmen) 16.03.2021 12
Übersicht Grundschutzprofil 16.03.2021 13
Stand Grundschutzprofil für Hochschulen
Insgesamt wurden 83 Bausteine (von 96) verwendet und aus Hochschulsicht kommentiert
• Umsetzungshinweise für vom BSI empfohlene Maßnahmen
• 31 übergeordnete Bausteine (Prozess-Bausteine)
- Als Übersicht dem gesamten Informationsverbund zugeordnet
• 52 System-Bausteine,
- in Prozess-Landkarten, Zielobjekten zugeordnet
• Umsetzungshinweise werden laufend erweitert
16.03.2021 14Umsetzungstipps
Tipps zur Umsetzung des Profils an Hochschulen:
• Mit Prozess-Bausteinen beginnen (v.a: ISMS und Sensibilisierung!)
• Mit Basis-Absicherung beginnen
• Perspektivisch: Standard-Absicherung anstreben
Softwareunterstützung:
• Contechnet, Akarion, Infopulse, HiScout, DocSecMinder, Verinice , Atlassian Jira/Confluence, SecDoc
Weitere Beispiele:
Integration mit Configuration Management Database
• Maßnahmen/Anforderungen aus den Bausteinen
→ Beispiel 1: IT-Grundschutz in Atlassian Jira/Confluence/Insight CMDB
Umsetzung zusammen mit Datenschutz denken
• Integration Datenschutz/IT Grundschutz, TOMs auf Basis BSI Maßnahmen modellieren
→ Beispiel 2: SecDoc der WWU Münster
16.03.2021 15Beispiel: Grundschutzprofil in der CMDB 16.03.2021 16
Integration Datenschutz / IT-Grundschutz
Datenschutz IT-Grundschutz
Bewerbung
VVT und Geschäftsprozesse
Zulassung
Fachverfahren HISinOne App Anwendungen
Linuxserver
Container IT-Systeme
IT-Verfahren Zentr. Storage Räume
Hauptgebäude
Serverraum
Übergeordnete
Maßnahmen
(Prozessbausteine)
ISMS ORP CON OPS DER APP SYS (IND) NET INF
17
16.03.2021Beispiel: SecDoc 16.03.2021 18
Grundschutz-Check: „Bewerbung und Zulassung“ 16.03.2021 19
Wie bringen wir das Profil auf die Straße?
Nutzung von Synergieeffekten
• Austausch-Plattform zum Teilen von Dokumenten (Richtlinien, Konzepte, Best Practices, Tools)
https://it-grundschutz.zki.de/
16.03.2021 20Ausblick
IT-Grundschutz in NRW:
• https://www.dh.nrw/aktuelles/dh-nrw-konferenz
Neue Auflagen im Rahmen der „Landesweiten Digitalisierungsoffensive"
„Die Auflage des MKW vom 12.02.2020 hinsichtlich der geforderten Informationssicherheit wurde insofern
geändert, als dass für die Entwicklung und den Betrieb – soweit zutreffend – mindestens die Basis-Absicherung
nach IT-Grundschutz-Methodik des BSI oder das ZKI „IT-Grundschutz-Profil für Hochschulen“ zu beachten ist.“
Weiterentwicklung des Profils
• Weiterentwicklung der Baustein-Kommentierungen
• Modellierung weiterer Prozesse aus Forschung und Verwaltung
Im Namen des ZKI laden wir Sie ein
• zur Mitarbeit am IT-Grundschutz-Profil und
• zum Austausch von Beispieldokumenten zur Umsetzung
• Infos: https://it-grundschutz.zki.de/
• Kontakt: zki-grundschutzprofil-support@listserv.dfn.de
25.01.2021 21Sie können auch lesen
