X-WiN Confidential - DFN-Verein

Weitere Magazine

Empfehlungen

Info

26 | <strong>DFN</strong> Mitteilungen Ausgabe 84 | Mai 2013 | CAMPUS Gemeinsam sicher Nordrhein-Westfalens Hochschulen setzen auf gemeinsames Informationssicherheitsmanagement Um den stetig wachsenden Anforderungen an die Hochschulen im Bereich Informationssicherheit zu begegnen, setzen Nordrhein-Westfalens Hochschulen seit 2011 auf eine gemeinsame Strategie. Synergie statt individueller Anstrengungen lautet das Motto, mit dem das Projekt PRISMA (Programm für ein gemeinsames Informationssicherheitsmanagement der Fachhochschulen NRW) die Einführung eines Information Security Management Systems (ISMS) in den Hochschulen ermöglichen will. Gemeinsames Ziel ist der Aufbau einer dauerhaften Kooperation zur Verbesserung der Informationssicherheit, die Synergieeffekte mit sich bringt. Text: Irene Weithofer (Fachhochschule Köln), Henning Mohren (Fachhochschule Düsseldorf) ISMS – vom einsamen Helden zur hochschulweiten Strategie Informationssicherheit ist längst keine Aufgabe mehr für den einsamen Helden im Rechenzentrum, der sich mit der lästigen Materie Datensicherheit auskennt Anforderungen und Erwartungen an ein ISMS Do ISMS umsetzen und betreiben Plan ISMS planen und festlegen Kontinuierliche Umsetzung, Überwachung, Verbesserung und Betrieb ISMS überwachen und überprüfen Check und seinen mehr oder minder einsichtigen Kollegen und Kolleginnen ins Gewissen redet, wenn es darum geht, Passworte nicht länger unter der Schreibtischunterlage zu ‚verstecken’. Informationssicherheit an Hochschulen erfordert heute sowohl ein professionelles Management als ISMS instandhalten und verbessern Informations- sicherheits- Managementsystem (ISMS) Abb. 1: Ein ISMS soll als Bestandteil eines übergreifenden Managementsystems die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdecken. Dabei folgt das ISMS einem kontinuierlichen Verbesserungsprozess. Act auch eine personelle Verankerung auf Leitungsebene. Letztlich geht es zwar auch um die Frage, ob in den Browsern und Betriebssystemen die jeweils aktuellen Patches eingespielt wurden, im Kern jedoch darum, ob alle Management-, Kern- und Supportprozesse der Hochschule auf Informationssicherheit ausgerichtet sind. Dies stellt nicht nur kleinere Einrichtungen vor Probleme. Zwar existieren mit der ISO/IEC Normen „ISO/IEC 27001 und 27002“ und dem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten „BSI-Standard“ Leitfäden, die detailliert regeln, welche Maßnahmen auf dem Weg zu mehr Informationssicherheit getroffen werden müssen. Die Umsetzung des umfangreichen Regelwerks an den Hochschulen ist allerdings nicht trivial und mit erheblichem Organisations- und Arbeitsaufwand verbunden. Die Fachhochschulen des Landes NRW haben aus diesem Grund bereits im Jahr 2011 einen gemeinsamen Fördermittelantrag zur Einführung eines Managementsystems
CAMPUS | <strong>DFN</strong> Mitteilungen Ausgabe 84 | 27 für Informationssicherheit bei der zuständigen Landesregierung gestellt. Im Rahmen des durch Mitglieder des Arbeitskreises der Kanzlerinnen und Kanzler und der DVZ-Leiter gesteuerten „Programms für ein gemeinsames Informationssicherheitsmanagement der Fachhochschulen NRW“, kurz PRISMA, wurde ein Referenzmodell für die Einführung eines Information Security Management Systems (ISMS) entwickelt, das derzeit auf die teilnehmenden Hochschulen transferiert wird. PRISMA sorgt dabei nicht nur für den lokalen Aufbau des ISMS an den teilnehmenden Hochschulen, zu dem auch die Benennung eines CISOs (Chief Information Security Officer) an jeder Hochschule gehört, vielmehr legt das Projekt auch den Grundstein für eine dauerhafte Kooperation mit der Bezeichnung ISKo (Kooperation zur Informationssicherheit). ISKo versteht sich als offene Kooperation, d.h., jede Hochschule in NRW kann an der Kooperation teilnehmen und Mitglied werden. Das schließt explizit auch Hochschulen ein, die nicht am Projekt PRISMA teilgenommen haben. Inzwischen liegen auch Beitrittsabsichten von Universitäten vor. Das Projekt PRISMA gliedert sich in mehrere Projektphasen (Arbeitspakete). Dem Deming-Zyklus „Plan – Do – Check – Act“ folgend wurden im Projekt zunächst übergreifende Dokumente zum Informationssicherheitsmanagement erstellt. Dokumente zum Informationssicherheitsmanagement Die Leitlinie zur Informationssicherheit (IS-Leitlinie) definiert verbindlich die Ziele, die die Fachhochschulen in NRW gemeinsam verfolgen wollen. Sie ist die Grundlage für die Kooperation der Hochschulen, die auch nach Projektende zur Verbesserung der Informationssicherheit fortgeführt werden soll. In der IS-Leitlinie werden der Geltungsbereich, die Ziele und die Organisation der Kooperation Abb. 2: Der Basis-Sicherheitscheck verlief orientiert am Schichtenmodell und den zugeordneten Bausteinen, wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben. In den Referenzhochschulen wurde im Projekt PRISMA die Schicht I „Übergreifende Aspekte“ mit 14 der insgesamt 17 Bausteine überprüft: B 1.0 Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfallmanagement B 1.4 Datensicherungskonzept B 1.5 Datenschutz B 1.6 Schutz vor Schadprogrammen B 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Softwaremanagement B 1.10 Standardsoftware B 1.13 Sensibilisierung und Schulung zur Informationssicherheit B 1.14 Patch- und Änderungsmanagement B 1.15 Löschen und Vernichten von Daten B 1.16 Anforderungsmanagement festgelegt. Im grundlegenden Textteil, der für alle Hochschulen gleichermaßen gilt, ist auch der Kooperationsvertrag verankert. Darüber hinaus kann jede Hochschule eigene Ziele und lokale Organisationsformen für ihr spezifisch ausgeprägtes Management der Informationssicherheit ergänzen. Auf diese Weise besitzt jede Hochschule ihre eigene IS-Leitlinie – gestaltet mit dem eigenen Logo – und setzt diese verbindlich in Kraft. Mit dem Ziel, die Zusammenarbeit auch nach Ende des Projekts im Bereich des Informationssicherheitsmanagements fortzusetzen, sind die Fachhochschulen dabei, eine Kooperation zum Informationssicherheitsmanagement (ISKo) zu gründen. Die Bedingungen zur Teilnahme an dieser Kooperation regelt der ISKo-Kooperationsvertrag. Er wurde im Rahmen des Projekts entworfen und darüber hinaus auch im Arbeitskreis der Kanzlerinnen und Kanzler und gegenüber den DVZ-Leitern vorgestellt. Die an der Kooperation teilnehmenden Hochschulen verschreiben sich zu: gemeinsamen, in der IS-Leitlinie verbindlich definierten Zielen der Informationssicherheit: • Berücksichtigen der Informationssicherheit und des Datenschutzes in jedem Geschäftsprozess. Schicht I Schicht II Schicht III Schicht IV Schicht V Übergreifende Aspekte Infrastruktur IT-Systeme Netze Anwendungen • Schützen von Informationen über die Sicherstellung ihrer Verfügbarkeit, Integrität und Vertraulichkeit, Authentizität, Revisionsfähigkeit und Transparenz. gemeinsamen Elementen der Organisation: • Benennen eines CISO (Chief Information Security Officer) durch jede ISKo-Hochschule. • Aktive Mitarbeit im ISKo-Team. den Standards • der BSI 2-Standardreihe zur Informationssicherheit (100-1 – Managementsysteme für Informationssicherheit (ISMS), 100-2 – IT-Grundschutz-Vorgehensweise, 100-3 – Risikoanalyse auf der Basis von IT-Grundschutz, 100-4 – Notfallmanagement und Normen) Diese Punkte definieren den allgemeinen Konsens aller Hochschulen. Das Management der Informationssicherheit wird neben der IS-Leitlinie in weiteren Dokumenten detaillierter festgelegt und beschrieben. Im Projekt PRISMA entstand eine erste Fassung eines Handbuchs zur Informationssicherheit (IS-Handbuch), das anschließend vom ISKo-Team laufend fortentwickelt werden soll. Das IS-Handbuch richtet sich an CISOs und andere Beteiligte im Management der Informationssicherheit und enthält eine Anleitung zur Entwicklung einer IS-Strategie
Seite 1 und 2: Deutsches Forschungsnetz Mitteilung
Seite 3 und 4: Niels Hersoug and Matthew Scott, DA
Seite 5 und 6: DFN Mitteilungen Ausgabe 84 | 5 Inh
Seite 7 und 8: WISSENSCHAFTSNETZ | DFN Mitteilunge
Seite 19 und 20: INTERNATIONAL | DFN Mitteilungen Au
Seite 25: INTERNATIONAL | DFN Mitteilungen Au
Seite 29 und 30: CAMPUS | DFN Mitteilungen Ausgabe 8
Seite 31 und 32: SICHERHEIT | DFN Mitteilungen Ausga
Seite 41 und 42: RECHT | DFN Mitteilungen Ausgabe 84
Seite 51 und 52: DFN-VEREIN | DFN Mitteilungen Ausga
Seite 53 und 54: DFN-VEREIN | DFN Mitteilungen Ausga

X-WiN Confidential - DFN-Verein

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?