6. Die Vorgeschichte
1997 Aufbau des Corporate Network der Polizei NRW
1997 IT-Sicherheitskonzept
IT-Sicherheitshandbuch des BSI
Erfassungsbögen, Tabellen, Listen… Papier ohne Ende
Organisation war nicht in der notwendigen Weise vorbereitet
1999 - 2001 Konsolidierung der Vorgehensweise
2002 Entscheidung für IT-Grundschutz und GSTOOL
2003 Wahrnehmung der Aufgabe Informationssicherheit
beim Innenministerium NRW
7. Wege zum Ziel - Erfolgsfaktoren?
Verantwortung des Managements
Leitlinie für Informationssicherheit
Etablierung einer Sicherheitsorganisation
Richtlinien und Standards
8. Sicherheitsorganisation
• Abteilungsleiter Polizei • Oberstes Entscheidungsgremium
IT-Lenkungsausschuss • Referatsleiter - • Personelle und finanzielle Ressourcen
Fachbereiche • Informationssicherheitsleitlinie
Strategische
• Strategie, Ziele, Prozesse Informations-
• Referat IT und Technik sicherheit
IT-Sicherheitsmanager der Polizei
• Kontrollmaßnahmen, Überprüfung
• Entscheidungsvorbereitung für IT-LA
Eskalation & Rückmeldung
• IT-SiMa, IT-SiBe der LA • Eskalationsinstanz, Entscheidungsvorber.
Ausschuss für • Fachlich/technische Anforderungen
• Leiter PolCERT
Informationssicherheit • Vertreter Fachbereiche • Analyse kritischer IT-Sicherheitsvorfälle
• Landesamt für Zentrale • Planung/Durchführung von Audits
Landeszentrale operative • Technische Konzepte
Polizeiliche Dienste
Informationssicherheit • Behandlung von IT-Sicherheitsvorfällen
(LZPD)
Operative
• Landesamt für Zentrale • Identifikation von und Schutz vor Informations-
PolCERT NRW Polizeiliche Dienste Schwachstellen sowie Koordinierungsstelle sicherheit
(LZPD) für präventive und reaktive Maßnahmen
• Mitarbeiter der örtlichen • Steuerung des lokalen Sicherheitsprozesses
IT- • Sensibilisierung und Schulung (lokal)
Sicherheitsbeauftragte Polizeibehörde
• Entscheidungsvorbereitung für IT-LA
12. Geprüfte Informationssicherheit
IT-Sicherheitsaudits
Intern - Polizei NRW
Extern - Polizeien des Bundes und der Länder
Rahmenbedingungen
Prüfschema des BSI für ISO 27001-Audits auf der Basis von
IT-Grundschutz
Auditoren
ISO 27001 , 3 lizenzierte Auditoren
IT-Grundschutz-Auditoren der Polizei NRW
8 Mitarbeiter geschult durch BSI
Weitere Qualifizierung in polizeieigenen Workshops
13. Richtlinien
Strategie Leitlinie für Informationssicherheit bei der Polizei in Nordrhein-Westfalen
Sicherheitsrichtlinie Internet-Richtlinie E-Mail-Richtlinie Behandlung IT-
Übergreifend zur IT-Nutzung Sicherheitsvorfälle
Datensicherung Virenschutz- Notfall- Energieversorgung
Konzept Rahmenkonzept NEA/USV
Outsourcing Datenträger- Transferkonzept Sichere E-Mail-
entsorgung Kommunikation
Verfahrensspezifische
IT-Sicherheitskonzepte
Sicherheitshinweise Sicherheitshinweise für Richtlinie für
Zielgruppen für IT-Benutzer IT-Administratoren IT-SiBe
Virenschutz Sicherheitsgateway Anlagenprüfung/- weitere
Technik blockung