Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen...

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen

Am Fassberg, 37077 Göttingen

Fon: 0551 201-1510 Fax: 0551 201-2150

[email protected] www.gwdg.de

Die Sicherheitsleitlinie der GWDG Die Sicherheitsleitlinie der GWDG Motivation, Konzeption und ErfahrungenMotivation, Konzeption und Erfahrungen

Bernhard Neumair

ZKI-Herbsttagung 2005: GWDG-Sicherheitsleitlinie - Motivation, Konzeption und Erfahrungen Bernhard Neumair 2

Gesellschaftsstruktur der GWDGGesellschaftsstruktur der GWDG

GWDG: Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen

Gegründet 1970 durch Max-Planck-Gesellschaft und Land Niedersachsen

Gemeinsames Rechenzentrum für Universität und Max-Planck-Institute in Göttingen

Demnächst Übertragung der Gesellschaftsanteile des Landes auf die Universität Göttingen

Damit eigene Sicherheitsleitlinie nötig


Kernaufgaben der GWDGKernaufgaben der GWDG

Planung und Betrieb des GÖNET (Hochgeschwindigkeitsnetz für die Göttinger Wissenschaftseinrichtungen)

Hochleistungs-, Parallelrechner

Internet-Dienste (eMail, WWW, …)

IT-Sicherheit (PKI, Firewall, …)

File-Services, Backup, (LZ-)Archivierung

Forschungsdatenbanken, Spezialserver

eLearning-Systeme

Verzeichnisdienste

Spezielle Ausgabegeräte


Einordnung im SicherheitsprozessEinordnung im Sicherheitsprozess

1. Initiierung des IT-Sicherheitsprozesses

• Erstellung einer IT-Sicherheitsleitlinie (IT-Dienstleister!!)

- Basis IT Grundschutzhandbuch des BSI

- Zielsetzungen und Strukturen

• Einrichtung eines IT-Sicherheitsmanagement (IT-Dienstleister!!)

- Zunächst eine organisatorische Aufgabe

2. Erstellung eines IT-Sicherheitskonzepts

• IT-Strukturanalyse

• Schutzbedarfsfeststellung

• IT-Grundschutzanalyse, ggf. ergänzende Sicherheitsanalyse

• Realisierungsplanung

3. Umsetzung

4. Überprüfung

5. Aufrechterhaltung im laufenden Betrieb


Sicherheit als umfassende AufgabeSicherheit als umfassende Aufgabe

IT-Sicherheit durch nur punktuelle/technische Maßnahmen nicht zu gewährleisten

• Firewall allein ist noch kein Sicherheitskonzept

• Virenscanner ist nur ein Betrag zur Sicherheit

• Datensicherung, …

Wesentliche Punkte sind auch

• Allgemeines Sicherheitsbewusstsein (auch auf Leitungsebene)

• Gesamtkonzept

• Ständige Weiterbildung

• Organisationsstrukturen

• Regelung von Verantwortlichkeiten


Struktur der Sicherheitsleitlinie der GWDGStruktur der Sicherheitsleitlinie der GWDG

Sicherheitsziele und -strategie

• Stellenwert der IT-Sicherheit

• Sicherheitsbewusstsein

• Sicherheitsziele

• Sicherheitsstrategie

Umsetzung

• Organisation

• Konzeption

• Sicherheitsdokumentation

• Schulung und Einweisung

• Im Auftrag betriebene IT-Systeme

Verantwortlichkeiten

• Gesamtverantwortung

• Delegation von Verantwortung

• Geschäftsführung

• Gruppenleiter

• Systemverantwortliche

• Externe Dienstleister

• Sicherheitsmanagement

• Nutzer

Durchsetzung

Übergangsregelungen


SicherheitszieleSicherheitsziele

Bedeutung, Stellenwert der IT-Sicherheit

Sicherheitsbewusstsein, Appell an MitarbeiterInnen

Allgemeine Sicherheitsziele

• Vertraulichkeit, Integrität, Verbindlichkeit

• Verfügbarkeit

• Rechtskonformität

• Orientierung am Risiko

• Regelung von Verantwortlichkeiten

Sicherheitstrategie: Grundkonzepte zur Erreichung der Sicherheitsziele


SicherheitstrategieSicherheitstrategie

Schulung der Mitarbeiter und Nutzer

Betrieb von Server-Systemen in verschlossenen und zugangsüberwachten Räumen

personenbezogene Authentifizierung für Systemzugriffe (außer für ausdrücklich anonyme Dienste)

Beschränkung von Zugriffsrechten auf zur Aufgabenerfüllung notwendige Rechte

sichere Konfiguration der IT-Systeme durch Beschränkung installierter Software und aktivierter Dienste auf die für die Funktion der Systeme notwendigen Komponenten

sichere Konfiguration der IT-Systeme durch zeitnahe Implementation sicherheitsrelevanter Softwarekorrekturen


Sicherheitsstrategie (2)Sicherheitsstrategie (2)

Strukturierung des Netzes nach benötigen Sicherheitsniveaus, Unterbindung nicht notwendiger Zugriffsmöglichkeiten auf IT-Systeme,

Verzicht auf Systeme, die eine Übertragung unverschlüsselter Passwörter oder passwortähnlicher Informationen verlangen,

Einführung sicherer Authentifizierungsverfahren

Einsatz verschlüsselter Übertragungsverfahren soweit technisch realisierbar und soweit eine Vertraulichkeit der Inhalte gegeben

verschlüsselte Speicherung sensibler Daten

Datenhaltung auf dedizierten Daten-Servern, tägliche Sicherung

räumliche Trennung von Daten-Servern und Backup-Systemen


Umsetzung: OrganisationUmsetzung: Organisation

Einrichtung eines Sicherheitsmanagements• IT-Sicherheitsbeauftragter• Stellvertreter• IT-Sicherheitsmanagement-Team

Festlegung der Rollenverteilung• Geschäftsführung• Gruppenleiter• Systembetreuer• ggf. externe Dienstleister


Umsetzung: SicherheitskonzeptUmsetzung: Sicherheitskonzept

IT-Sicherheitsleitlinie: Ziele, Strategien, Strukturen

Allgemeine Sicherheitsstandards

• Basis: BSI Grundschutzhandbuch

• ggf. mit Ergänzungen oder Modifikationen

Systemspezifische Sicherheitsrichtlinien

• Richtlinien für spezifische System (Rechner, Anwendung, Verfahren)

• auf Basis der allgemeinen Sicherheitsstandards

• Berücksichtigung von Einsatzzweck, Risikoanalyse und resultierender Sicherheitsklassifikation


Umsetzung: Dokumentation und SchulungUmsetzung: Dokumentation und Schulung

Sicherheitsdokumentation

• Systemspezifische Richtlinien

• Dokumentation der Umsetzung der Richtlinien

• regelmäßig Prüfungen der Richtlinien und deren Umsetzung

Schulung und Einweisung

• Einweisung neuer Mitarbeiter

• Regelmäßige Einweisung / Schulung

• Intern oder extern


VerantwortlichkeitenVerantwortlichkeiten

Gesamtverantwortung: immer bei Geschäftsführung

Delegation

• Delegation von Verantwortung für Sicherheit parallel mit der Verantwortung für die originäre Aufgabe

• Verantwortung für IT-System incl. Sicherheit zunächst beim Gruppenleiter

Geschäftsführung verantwortlich für

• Einrichtung und Unterstützung des Sicherheitsmanagements

• Entscheidung bei Konflikten zwischen Nutzungs- und Sicherheitskonzepten für IT-Systeme


Verantwortlichkeiten: GruppenleiterVerantwortlichkeiten: Gruppenleiter

Benennung und Schulung von Systemverantwortlichen,

Überprüfung der Einhaltung der Sicherheitsrichtlinien,

Festlegung des Einsatzzwecks der IT-Systeme

Information des Sicherheitsmanagements über neue IT-Systeme

Erfassung und Sicherheitsklassifizierung der IT-Systeme

Unterstützung der Systemverantwortlichen bei Risikoanalyse, Schutzbedarfsfeststellung und Erstellung von systemspezifischen Sicherheitsrichtlinien


Verantwortlichkeiten: SystemverantwortlicheVerantwortlichkeiten: Systemverantwortliche

Analyse von Sicherheitsrisiko und Schutzbedarfs, Klassifizierung der IT-Systeme anhand Einsatzzweck, Sicherheitsleitlinie und allgemeiner Standards

Erstellung systemspezifischer Sicherheitsrichtlinien, Vorlage an Gruppenleiter und Sicherheitsmanagement

Einhaltung allgemeiner Sicherheitsstandards und systemspezifischer Sicherheitsrichtlinien,

Einrichtung von Zugriffsrechten auf IT-Systeme

Systemverantwortliche unterstützt durch Gruppenleiter und Sicherheitsmanagement

Vertretungsregelung


Verantwortlichkeiten: SicherheitsmanagementVerantwortlichkeiten: Sicherheitsmanagement

Erstellung, Überprüfung, Entwicklung, Fortschreibung und Veröffentlichung der IT-Sicherheitsleitlinie und der allgemeinen Sicherheitsstandards

Überprüfung der Klassifizierung von IT-Systemen nach Sicherheitsrisiko und Schutzbedarf

Stellungnahme zu systemspezifischen Sicherheitsrichtlinien (Entscheidung im Konfliktfall bei Geschäftsführung)

Veranlassung/Durchführung von Einweisungen und Schulungen

Berichte zur IT-Sicherheit an Geschäftsführung

Veranlassung von Überprüfungen durch die Systemverantwortlichen oder durch Dritte

Eskalation nach dem Sicherheitskonzept nicht vorgesehener Risikoübernahmen an die Geschäftsführung


Verantwortlichkeiten: Externe DienstleisterVerantwortlichkeiten: Externe Dienstleister

Hinweis auf Sicherheitskonzept (Standards, Richtlinien)

Klare Anweisungen / Formulierungen, damit Dienstleister

diese einhalten können

Prüfung der Einhaltung durch Systemverantwortliche

und / oder schriftliche Bestätigung durch den

Dienstleister


Verantwortlichkeiten: NutzerVerantwortlichkeiten: Nutzer

Für ihre eigenen Handlungen verantwortlich Insbesondere Einhaltung der Nutzungsordnungen Schulung Weitermeldung von Verdacht auf Gefährdung der IT-

Sicherheit


Zusammenhänge im ÜberblickZusammenhänge im Überblick

Richtlinie

SMGF

GL SV

Kon

form

ität

Konform

ität

bestimmt

Leitlinieallgemeine Ziele,

Strategien

Standardsallgemeine Prinzipien

Einsatzzweck

spezielle Ziele

Risikoanalyse

Abwägung Risiken /Nutzen

Einrichtung

(Weiter-) Entwicklung

Festlegung

Unterstützung

Durchführung

Unterstützung

erstellt

Stellungnahme

benennt


ErfahrungenErfahrungen Verantwortung und Mitbestimmungspflicht

• Abstimmung mit Betriebsrat zeitaufwändig

Ahndung bei Zuwiderhandlung

• Allein der Verweis auf gesetzlich/dienstrechtlich festgelegte Sanktionen erhöht Sicherheitsbewusstsein

• Unterschrift durch alle Mitarbeiter

Weisungsbefugnis

• Weisungsbefugnis längs Aufbauorganisation

• Ausregelung Zielkonflikt Effizienz/Kosten vs. Sicherheit durch GF bzw. GL

• Berichtslinie Sicherheitsbeauftragter/-management - GF

Informationsfluss, Sicherheit und „Verpflichtung zur Selbstanzeige“

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen...

Documents

Transcript of Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen...