Unified Backhaul Performance
Optimization
Strategische IT-Sicherheit
für die Landeshauptstadt München (LHM)
Dr.-Ing. Stani...
Kurzfassung
Ausgehend von der IT-Sicherheitsleitlinie der LHM
und dem dort beschriebenen Kräftedreieck ist es das
Hauptzie...
IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche
Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ ...
Datenschutz und IT-Grundschutz
Modell des IT-Sicherheitsprozesses
IT-Sicherheitsmanagement
IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen
(Deming-Zyklus für Qu...
IT-Sicherheitsmanagement (fort.)
Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das
IT-Sic...
Wirtschaftliche Gründe
Der gezielte und effiziente Einsatz von einem
strategischen IT-Sicherheitsmanagement bei der
LHM ha...
Strategisches IT-Sicherheitsmanagement
für die Landeshauptstadt München
Das Hauptziel eines effektiven IT-Sicherheitsmanag...
Phase 1: Ist-Analyse
Effektives IT-Sicherheitsmanagement gewährleistet
Vertraulichkeit, Integrität und Verfügbarkeit der
G...
Phase 1: Ist-Analyse (fort.)
IT-Risikoanalyse
Die Risikoanalyse gibt im Ergebnis
Aufschluss über die IT-Infrastruktur, die...
Phase 1: Ist-Analyse (fort.)
Vor-Ort-Interviews
Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist-
Zustand der Siche...
Phase 2: Strategie definieren und Maßnahmen planen
Die Ergebnisse des Audits werden der LHM im Rahmen einer
Ergebnispräsen...
Phase 3: Strategien und Maßnahmen implementieren
Die geplanten technischen und organisatorischen Maßnahmen werden gemäß
de...
Grafische Darstellung des IT-Sicherheitsreifegrads
nach untersuchten Bereichen
Vorgehensmodell IT-Sicherheitsmanagement
für die Landeshauptstadt München
Kontrollsystem
Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis
der Angemessenheit der veranlassten Maßnahme...
Aufbauorganisation IT-Sicherheitsmanagement
für die Landeshauptstadt München
Fazit
Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt
München ist die Erkennung und Bewertung best...
Nächste SlideShare
Wird geladen in …5
×

Strategische IT-Sicherheit für die Landeshauptstadt München

629 Aufrufe

Veröffentlicht am

Ausgehend von der IT-Sicherheitsleitlinie der Landeshauptstadt München (LHM) und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren.

Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
629
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
15
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Strategische IT-Sicherheit für die Landeshauptstadt München

  1. 1. Unified Backhaul Performance Optimization Strategische IT-Sicherheit für die Landeshauptstadt München (LHM) Dr.-Ing. Stanislav Milanovic
  2. 2. Kurzfassung Ausgehend von der IT-Sicherheitsleitlinie der LHM und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren. Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.
  3. 3. IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ und „Schutzbedarf der Daten“. „Rechtliche Rahmenbedingungen“ betreffen die Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-Ressourcen entsprechen den jeweils gültigen gesetzlichen Auflagen und Verordnungen. Es gibt eine Vielzahl an internationalem Völkerrecht, EU-weiten Verordnungen/Richtlinien/Kodizes und nationalen Gesetzesgrundlagen, die bei der Umsetzung und Implementierung von IT-Governance oder-Compliance-Maßnahmen beachtet werden müssen. „Flexibilität der Arbeitsumgebung“ bedeutet eine zunehmende Auflösung bestehender Strukturen und eine Mobilisierung auch innerhalb von Büroumgebungen. „Schutzbedarf der Daten“ kann nach dem Ansatz der Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Annahme eines Schutzbedarfes und der Umsetzung vorgeschlagener Standardmaßnahmen, in Zusammenhang mit einem vertiefenden Risk-Assessment, formuliert werden. Überblick über die Kerninhalte der IT-Sicherheitsleitlinie
  4. 4. Datenschutz und IT-Grundschutz
  5. 5. Modell des IT-Sicherheitsprozesses
  6. 6. IT-Sicherheitsmanagement IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen (Deming-Zyklus für Qualitätsmanagement und Produktlebenszyklen), um effektiv zu sein. IT-Sicherheitsmanagement wird nach der IT-Grundschutz (BSI-Standard 100-1) mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur Risikoanalyse umgesetzt. Für die Messung der Qualität von IT-Sicherheitsprozessen wird das Fähigkeit- Reifegrad-Modell (Capability Maturity Model - CMM) verwendet werden.
  7. 7. IT-Sicherheitsmanagement (fort.) Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das IT-Sicherheitsmanagement als Prozess mit den sich wiederholenden Teilschritten • Informationswertanalyse (Aufstellung der schützenswerten Informationen und Systeme) • Schwachstellenanalyse • Bedrohungsanalyse • Risikoanalyse • Planung der Abwehrmaßnahmen sowie • Umsetzungskontrolle im Zeitablauf zu installieren. Neben der rein sachlichen Beschäftigung mit Bedrohungen und Schutzmaßnahmen umfasst das IT-Sicherheitsmanagement auch eine organisatorische Komponente. Im Rahmen des IT-Sicherheitsmanagements gilt es, eine Infrastruktur in Form einer Aufbauorganisation, Zuordnung von Verantwortlichkeiten, Personal- und Mittelbereitstellung zu schaffen, die die Durchführung der zuvor benannten Teilschritte ermöglicht. Häufigste Organisationsform ist die Zuordnung als Stabsstelle zur IT-Abteilung.
  8. 8. Wirtschaftliche Gründe Der gezielte und effiziente Einsatz von einem strategischen IT-Sicherheitsmanagement bei der LHM hat zur Folge, dass geplante unternehmerische Ziele wie z.B. Kostensenkung und Gewinnsteigerung erreicht werden können. Voraussetzung dafür ist, dass dies verlässlich arbeitet und permanent zur Verfügung steht. In diesem Fall hat die LHM die Chance, durch optimierte Bedingungen die geplanten wirtschaftlichen Ziele zu erreichen oder gar zu übertreffen.
  9. 9. Strategisches IT-Sicherheitsmanagement für die Landeshauptstadt München Das Hauptziel eines effektiven IT-Sicherheitsmanagements für die Landeshauptstadt München ist es, die Geschäftsprozesse und die darin verarbeiteten Informationen hinsichtlich Vertraulichkeit, Integrität und erfügbarkeit zu schützen. In einem Initial-Audit wird der Status quo des IT-Sicherheitsmanagements im Unternehmen auditiert. Dabei sollte der individuelle Bedarf an IT-Sicherheitsmaßnahmen immer mit Augenmaß und in Abhängigkeit der zu schützenden Geschäftsprozesse definiert werden. Auf Basis dieser Ergebnisse wird die IT-Sicherheitsstrategie definiert. Des Weiteren werden die aus den Handlungsempfehlungen des Audits resultierenden technischen und organisatorischen Maßnahmen geplant und umgesetzt. Die Umsetzung wird kontrolliert, regelmäßig hinsichtlich Effektivität und Effizienz (re-) auditiert und durch bedarfsabhängige IT-Sicherheitsberatung ergänzt. Eingebettet in eine funktionierende IT-Sicherheits-Organisation und –Kultur wird durch professionelles Projektmanagement sichergestellt, dass die Ziele unter Berücksichtigung von Zeit, Kosten und Qualität erreicht werden können.
  10. 10. Phase 1: Ist-Analyse Effektives IT-Sicherheitsmanagement gewährleistet Vertraulichkeit, Integrität und Verfügbarkeit der Geschäftsprozesse der LHM und die in ihnen verarbeiteten Informationen. Wie gut die bestehenden Maßnahmen diese Aufgabe erfüllen, wird im Rahmen eines Initial-Audits analysiert und bewertet. Auf Basis dieser Erkenntnisse können im Anschluss der weitere Projektverlauf systematisch geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden. Folgende Schritte werden beim Initialaudit durchgeführt:
  11. 11. Phase 1: Ist-Analyse (fort.) IT-Risikoanalyse Die Risikoanalyse gibt im Ergebnis Aufschluss über die IT-Infrastruktur, die die technische Grundlage für effektive und effiziente Geschäftsprozesse ist. Für alle relevanten Geschäftsprozesse wird gemeinsam mit den Prozessverantwortlichen eine Einschätzung der Kritikalität hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität vorgenommen. Anschließend werden die für die Ausführung der Geschäftsprozesse notwendigen Applikationen, IT-Systeme, Räume und Gebäude aus den Ergebnissen der Strukturanalyse ausgewählt. Die Kritikalität des betrachteten Geschäftsprozesses „vererbt“ sich auf die darunterliegende IT-Infrastruktur.
  12. 12. Phase 1: Ist-Analyse (fort.) Vor-Ort-Interviews Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist- Zustand der Sicherheitsmaßnahmen für definierte Elemente mit Soll-Vorgaben verglichen. Hierzu wird ein eigens entwickelter Auditkatalog genutzt, der unter Berücksichtigung der Vorgaben der wichtigsten Standards für IT-Sicherheit erstellt wurde. Dieser Katalog wird auf die Rahmenbedingungen des jeweiligen Unternehmens individuell angepasst. Angaben des Unternehmens werden durch Stichprobenuntersuchungen vor Ort verifiziert. Die Ergebnisse der Untersuchung und konkrete Handlungsempfehlungen werden anschließend im Auditbericht zusammengefasst.
  13. 13. Phase 2: Strategie definieren und Maßnahmen planen Die Ergebnisse des Audits werden der LHM im Rahmen einer Ergebnispräsentation vorgestellt und erläutert. Basierend auf diesen Ergebnissen wird gemeinsam mit den Verantwortlichen eine IT-Sicherheitsstrategie entwickelt und geeignete technische und organisatorische Maßnahmen zur Umsetzung abgeleitet. Neben technischen Maßnahmen aus dem Bereich IT- und Informationssicherheit werden auch organisatorische Maßnahmen wie die Etablierung einer IT-Sicherheitsorganisation, Festlegung der Verantwortlichkeit für IT-Sicherheit im Unternehmen, Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter oder die Erstellung und Veröffentlichung des IT-Sicherheitshandbuchs berücksichtigt. Alle diese Maßnahmen werden in dieser Phase geplant. Abschließend wird nach einer Priorisierung der Maßnahmen ein Zeitplan erarbeitet und die Frequenz für zukünftige Audit-Zyklen festgelegt.
  14. 14. Phase 3: Strategien und Maßnahmen implementieren Die geplanten technischen und organisatorischen Maßnahmen werden gemäß der festgelegten Priorisierung von der LHM umgesetzt. Phase 4: Re-Audit/Wartung und Übung Als wichtiger Bestandteil des IT-Sicherheitsmanagements wird der Implementierungsgrad der Maßnahmen in Folgeaudits zyklisch kontrolliert und ausgewertet. Dazu wird ein Reifegradmodell verwendet, welches einerseits eine Übersicht über den aktuellen Status der IT-Sicherheit im Unternehmen zulässt und zum anderen einen direkten Vergleich mit früheren Auditergebnissen ermöglicht. Regelmäßiges Reporting an die Verantwortlichen in der LHM gehört ebenso zur Umsetzungskontrolle wie die professionelle Dokumentation von Status und Fortschritt des Informationssicherheits-Managementsystems. Begleitende Aktivität: Etablierung einer IT-Sicherheitsorganisation und -Kultur Das größte Sicherheitsrisiko im Unternehmen ist der Mensch, was zeigt sehr deutlich, dass ohne eine ausreichende Sensibilisierung (z.B. durch gezielte Schulungen) aller Mitarbeiter im Unternehmen, kein den Anforderungen entsprechendes Maß an IT-Sicherheit erreicht werden kann.
  15. 15. Grafische Darstellung des IT-Sicherheitsreifegrads nach untersuchten Bereichen
  16. 16. Vorgehensmodell IT-Sicherheitsmanagement für die Landeshauptstadt München
  17. 17. Kontrollsystem Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis der Angemessenheit der veranlassten Maßnahmen und zur Sicherstellung ihrer Wirksamkeit sind regelmäßig Kontrollen vorzunehmen. Sicherheitsrelevante Vorfälle werden durch den Beauftragten für IT-Sicherheit unverzüglich untersucht werden, damit deren Ursachen und Auswirkungen eingeschätzt und beseitigt werden. Die Gewährleistung von IT-Sicherheit ist eine kontinuierliche Aufgabe, die in alle Arbeitsabläufe integriert ist. Das dafür nötige ganzheitliche Vorgehen wird durch das enge Zusammenwirken von IT-Sicherheitsmanagement, IT-Servicebereich, betrieblicher Datenschutzbeauftragter und Konzern-Revision unterstützt.
  18. 18. Aufbauorganisation IT-Sicherheitsmanagement für die Landeshauptstadt München
  19. 19. Fazit Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt München ist die Erkennung und Bewertung bestehender Sicherheitsrisiken Voraussetzung. Die umfassende Nutzung von Netzwerkinfrastrukturen und der zunehmende Einsatz von mobilen, medienkonvergenten Endgeräten erhöhen dabei zwangsläufig das Sicherheitsbedürfnis der Unternehmen, denn mit der Komplexität und Anzahl der genutzten IT-Systeme wachsen auch Anzahl und Schweregrad möglicher Angriffe. Um diesen Risiken im Bereich der IT-Sicherheit wirksam begegnen zu können, benötigt die Landeshauptstadt München ein geplantes, strukturiertes und methodisches IT-Risikomanagement sowie die notwendige Sensibilität für Warnsignale und potentielle Sicherheitslücken. Der Schlüssel zum Erfolg der Umsetzung der einzelnen Bausteine des IT-Sicherheitsmanagements der Landeshauptstadt München ist also ein individuelles Vorgehensmodell.

×