Die Leitlinien für Informationssicherheit in Nordrhein-Westfalen umfassen die Struktur und Verantwortung der Polizeibehörden, die IT-Infrastruktur und die Umsetzung von Sicherheitsstandards wie ISO 27001. Seit 2002 wird ein Konzept für IT-Sicherheit entwickelt, das Schulungen, Audits und die Behandlung von Sicherheitsvorfällen beinhaltet. Zudem wird betont, wie wichtig ein strategischer Ansatz und die Sensibilisierung der Mitarbeiter für die Informationssicherheit sind.

1. Leitlinien für Informationssicherheit
Düsseldorf, 12.11.2009

2. Kurzer Überblick
47.000 Beschäftigte
50 Polizeibehörden
600 Standorte
Einsatz
Kriminalität
Verkehr
Verwaltung
…

3. IT - Infrastruktur
30.000 PC
1.500 Server
Daten- / Sprachnetz
250 zentrale IT-
Anwendungen
Spezialbereiche
…

4. Kritische polizeiliche Prozesse

5. Fachbereiche haben Verantwortung

6. Die Vorgeschichte
1997 Aufbau des Corporate Network der Polizei NRW
1997 IT-Sicherheitskonzept
IT-Sicherheitshandbuch des BSI
Erfassungsbögen, Tabellen, Listen… Papier ohne Ende
Organisation war nicht in der notwendigen Weise vorbereitet
1999 - 2001 Konsolidierung der Vorgehensweise
2002 Entscheidung für IT-Grundschutz und GSTOOL
2003 Wahrnehmung der Aufgabe Informationssicherheit
beim Innenministerium NRW

7. Wege zum Ziel - Erfolgsfaktoren?
Verantwortung des Managements
Leitlinie für Informationssicherheit
Etablierung einer Sicherheitsorganisation
Richtlinien und Standards

8. Sicherheitsorganisation
• Abteilungsleiter Polizei • Oberstes Entscheidungsgremium
IT-Lenkungsausschuss • Referatsleiter - • Personelle und finanzielle Ressourcen
Fachbereiche • Informationssicherheitsleitlinie
Strategische
• Strategie, Ziele, Prozesse Informations-
• Referat IT und Technik sicherheit
IT-Sicherheitsmanager der Polizei
• Kontrollmaßnahmen, Überprüfung
• Entscheidungsvorbereitung für IT-LA
Eskalation & Rückmeldung
• IT-SiMa, IT-SiBe der LA • Eskalationsinstanz, Entscheidungsvorber.
Ausschuss für • Fachlich/technische Anforderungen
• Leiter PolCERT
Informationssicherheit • Vertreter Fachbereiche • Analyse kritischer IT-Sicherheitsvorfälle
• Landesamt für Zentrale • Planung/Durchführung von Audits
Landeszentrale operative • Technische Konzepte
Polizeiliche Dienste
Informationssicherheit • Behandlung von IT-Sicherheitsvorfällen
(LZPD)
Operative
• Landesamt für Zentrale • Identifikation von und Schutz vor Informations-
PolCERT NRW Polizeiliche Dienste Schwachstellen sowie Koordinierungsstelle sicherheit
(LZPD) für präventive und reaktive Maßnahmen
• Mitarbeiter der örtlichen • Steuerung des lokalen Sicherheitsprozesses
IT- • Sensibilisierung und Schulung (lokal)
Sicherheitsbeauftragte Polizeibehörde
• Entscheidungsvorbereitung für IT-LA

9. Vorgehensmodelle
IT-Projektmanagement V-Modell XT
Informationssicherheitsmanagement ISO 27001
IT-Servicemanagement ITIL
IT-Standards SAGA
IT-Wirtschaftlichkeitsuntersuchungen IT-WiBe

10. IT-Sicherheitskonzepte
Verfahrensspezifische IT-Sicherheitskonzepte
Schutzbedarf
Verfügbarkeit
Integrität
Vertraulichkeit
Ergänzende Sicherheitsanalyse
Lokale IT-Sicherheitskonzepte
Adaption der verfahrensspezifischen
IT-Sicherheitskonzepte

11. Schulung & Sensibilisierung
Zielgruppen
Führungskräfte, IT-Sicherheitsbeauftragte,
Auditoren, Administratoren, Sachbearbeiter,
Entwickler
Eigene Referenten erzeugen „polizeilichen Mehrwert“

12. Geprüfte Informationssicherheit
IT-Sicherheitsaudits
Intern - Polizei NRW
Extern - Polizeien des Bundes und der Länder
Rahmenbedingungen
Prüfschema des BSI für ISO 27001-Audits auf der Basis von
IT-Grundschutz
Auditoren
ISO 27001 , 3 lizenzierte Auditoren
IT-Grundschutz-Auditoren der Polizei NRW
8 Mitarbeiter geschult durch BSI
Weitere Qualifizierung in polizeieigenen Workshops

13. Richtlinien
Strategie Leitlinie für Informationssicherheit bei der Polizei in Nordrhein-Westfalen
Sicherheitsrichtlinie Internet-Richtlinie E-Mail-Richtlinie Behandlung IT-
Übergreifend zur IT-Nutzung Sicherheitsvorfälle
Datensicherung Virenschutz- Notfall- Energieversorgung
Konzept Rahmenkonzept NEA/USV
Outsourcing Datenträger- Transferkonzept Sichere E-Mail-
entsorgung Kommunikation
Verfahrensspezifische
IT-Sicherheitskonzepte
Sicherheitshinweise Sicherheitshinweise für Richtlinie für
Zielgruppen für IT-Benutzer IT-Administratoren IT-SiBe
Virenschutz Sicherheitsgateway Anlagenprüfung/- weitere
Technik blockung

14. Verantwortlichkeiten prüfen (Leitlinie)
Audits durchführen (Reifegrad)
Kommunikation mit Fachbereichen (Sponsor)
Dienstleistungsverträge prüfen (Rechte / Pflichten)

15. Andreas Lezgus
andreas.lezgus@im.nrw.de
Ulrich Wiebel
ulrich.wiebel@im.nrw.de
Innenministerium NRW
Referat 44