isms in einem landratsamt - verinice.xp...wir es (pdca). erfahrungen aus projekten in der...
TRANSCRIPT
![Page 1: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/1.jpg)
Riechen Consulting GmbH www.riechen.consulting +49 351 2684949
ISMS in einem Landratsamt die Balance zwischen begrenzten Ressourcen,
dem Wunsch nach korrektem Verwaltungshandeln
und angemessener Sicherheit
![Page 2: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/2.jpg)
Agenda
![Page 3: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/3.jpg)
Anforderungen
3
![Page 4: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/4.jpg)
Anforderungen
▪ EU-Zahlstelle
▪ „Outsourcing-Dienstleister“ für BSI-zertifiziertes SMUL
▪ Waffenregister
▪ Vorgabe: Grundschutz + Prüffragen
▪ Rechnungshof
4Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 5: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/5.jpg)
![Page 6: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/6.jpg)
Ausgangszustand
6
![Page 7: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/7.jpg)
Zustand der Informationssicherheit
▪ IT-Sicherheit? Das macht das Sachgebiet EDV im Hauptamt.
▪ Redundanzen? Haben wir!
▪ Zwei Blade-Center mit VMware HA und zwei NetApps
▪ … 4 Meter voneinander entfernt
▪ … im gleichen Serverraum
▪ … im Keller
▪ … jetzt mit Pumpe (nach dem letzten Wassereinbruch)
▪ Nutzer werden nach 3 Passwort-Fehleingaben dauerhaft gesperrt.
7Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 8: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/8.jpg)
Zustand der Informationssicherheit
▪ Die Daten inaktiver Nutzer werden nach 6 Wochen gelöscht.
▪ Sicherheitspatches spielen wir ein!
▪ … wenn wir Zeit haben
▪ … aber nicht auf den kritischen Fachverfahren
▪ … und nicht auf den Servern mit Windows 2003
▪ Nanu, ich kann mich nicht mehr anmelden?
▪ Ja, Sie wurden deaktiviert. Alle Dienstleister werden jede Nacht deaktiviert. Wenden Sie Sich an den Benutzerservice!
▪ … 30 Minuten später bin ich wieder arbeitsfähig.
▪ Das gleiche Spiel zu Beginn jedes Projekttages…
8Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 9: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/9.jpg)
Zustand der Notfallvorsorge
▪ Notfallmanagement macht der Kreisbrandmeister.
▪ … im Krisenstabsraum
▪ … mit Desktop-PC
▪ IT-Ausfall
▪ … darf im Katastrophenfall nicht passieren!
9Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
WTF?!!
![Page 10: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/10.jpg)
Schutzbedarf
10
![Page 11: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/11.jpg)
Kick-Off-Workshop
▪ 90 Minuten mit Referatsleitern
▪ Vertraulichkeit
▪ Integrität
▪ Verfügbarkeit
▪ Notfallvorsorge
11Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 12: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/12.jpg)
Schutzbedarfskategorien
▪ Schadenshöhe
▪ 1 – unkritisch, 2 – mittel, 3 – hoch, 4 – sehr hoch
▪ Szenarien
▪ Finanzieller Schaden
▪ Beeinträchtigung der Aufgabenerfüllung
▪ Verstoß gegen Gesetze oder Verträge
▪ Image-Schaden
▪ Gefahr für Leb und Leben
▪ Datenschutz
12Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 13: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/13.jpg)
Auswirkung Schadensszenario „Beeinträchtigung des informationellen
Selbstbestimmungsrechts“
Wie beeinträchtigt ein Sicherheitsvorfall den Schutz personenbezogener
Daten?
1 - unkritisch Eine Beeinträchtigung erscheint nicht möglich.
2 - mittel Es ist mit einer tolerierbaren Beeinträchtigung der gesellschaftlichen Stellung
bzw. der wirtschaftlichen Verhältnisse Betroffener (typischerweise
überschaubarer finanzieller Verlust bzw. Ansehensverlust) zu rechnen.
3 – hoch Es ist mit einer erheblichen, jedoch keiner existenzbedrohenden
Beeinträchtigung der gesellschaftlichen Stellung bzw. mit einer Gefährdung der
wirtschaftlichen Existenz Betroffener (typischerweise: Insolvenz) zu rechnen.
4 – sehr hoch Es ist mit einer existenzbedrohenden Beeinträchtigung der persönlichen Freiheit
Betroffener (typischerweise: Gefahr für Leib und Leben) zu rechnen.
![Page 14: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/14.jpg)
Erhebungsbogen
▪ Vertraulichkeit, Integrität
▪ Je Szenario
▪ Mit Begründung
▪ Verfügbarkeit
▪ Je Szenario
▪ Mit Begründung
▪ Ab wann welcher Schaden?
▪ Service-Zeiten, Aufbewahrungsfristen
▪ Not-Arbeitsplätze
▪ Ab wann, wer, welche Technik, welche Daten, … (analog UMRA)
14Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 15: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/15.jpg)
15Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
Betriebszeiten Bemerkungen
Regelmäßige Betriebszeiten 24x7 Nachts laufen automatische Prozesse
Aufbewahrungsfristen für Daten 10 Jahre Archivgesetz für den Freistaat Sachsen
Schadensszenario < 4 h < 24 h < 3 d < 10 d > 10 d
Finanzielle Auswirkungen 1 1 2 3 3
Begründung der Bewertung Ab 3 Tagen Ausfall erstehen Schäden von mehr als 500 T€, da
Verzugszinsen und Mahngebühren anfallen.
Beeinträchtigung der
Aufgabenerfüllung
2 2 2 2 3
Begründung der Bewertung Ab 10 Tagen Ausfall können die aufgelaufenen Daten nicht
mehr durch eigenes Personal erfasst werden.
![Page 16: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/16.jpg)
Grundschutz-Vorgehensweise
16
![Page 17: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/17.jpg)
Grundschutz-Vorgehensweise
▪ Strukturanalyse, Modellierung
▪ Organigramm abbilden
▪ Geschäftsprozess = Verarbeitungstätigkeit
▪ Großzügige Gruppierungen
▪ Grundschutz-Check
▪ …schnell durch!
▪ Risikoanalyse?
▪ Später, wenn wir mal Zeit haben…
17Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
![Page 18: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/18.jpg)
Reporting
18
![Page 19: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/19.jpg)
Reporting
▪ Projekt-Bericht
▪ Schutzbedarf/BIA
▪ Risiken
▪ Quartals-Bericht ISB
▪ Stand der Informationssicherheit
▪ Risiken incl. Vorschläge zum Umgang mit Risiken
▪ Planungen zu Sicherheitsmaßnahmen
19Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949
Umsetzung Grundschutz
Entbehrlich Ja Nein Teilweise unbearbeitet
![Page 20: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/20.jpg)
Fazit
20
![Page 21: ISMS in einem Landratsamt - verinice.XP...wir es (PDCA). Erfahrungen aus Projekten in der öffentlichen Verwaltung Riechen Consulting GmbH | | +49 351 2684949 Fragen? ulf@riechen.consulting](https://reader033.vdocuments.pub/reader033/viewer/2022053009/5f0cd5417e708231d4375b38/html5/thumbnails/21.jpg)
▪ Der Dienstweg ähnelt dem Spiel „Stille Post“.
▪ Informationssicherheit braucht direkte Wege (IS-Management-Team).
▪ Qualität heißt:
▪ Das Produkt erfüllt seinen Zweck.
▪ Ungefähr richtig ist besser als gar nicht.
▪ Wir machen das erstmal so. Und wenn es sich nicht bewährt, dann verbessern wir es (PDCA).
Erfahrungen aus Projekten in der öffentlichen Verwaltung
Riechen Consulting GmbH | www.riechen.consulting | +49 351 2684949