e-NRW 2009

1. Leitlinien für Informationssicherheit
Düsseldorf, 12.11.2009

2. Kurzer Überblick
47.000 Beschäftigte
50 Polizeibehörden
600 Standorte
Einsatz
Kriminalität
Verkehr
Verwaltung
…

3. IT - Infrastruktur
30.000 PC
1.500 Server
Daten- / Sprachnetz
250 zentrale IT-
Anwendungen
Spezialbereiche
…

4. Kritische polizeiliche Prozesse

5. Fachbereiche haben Verantwortung

6. Die Vorgeschichte
1997 Aufbau des Corporate Network der Polizei NRW
1997 IT-Sicherheitskonzept
IT-Sicherheitshandbuch des BSI
Erfassungsbögen, Tabellen, Listen… Papier ohne Ende
Organisation war nicht in der notwendigen Weise vorbereitet
1999 - 2001 Konsolidierung der Vorgehensweise
2002 Entscheidung für IT-Grundschutz und GSTOOL
2003 Wahrnehmung der Aufgabe Informationssicherheit
beim Innenministerium NRW

7. Wege zum Ziel - Erfolgsfaktoren?
Verantwortung des Managements
Leitlinie für Informationssicherheit
Etablierung einer Sicherheitsorganisation
Richtlinien und Standards

8. Sicherheitsorganisation
• Abteilungsleiter Polizei • Oberstes Entscheidungsgremium
IT-Lenkungsausschuss • Referatsleiter - • Personelle und finanzielle Ressourcen
Fachbereiche • Informationssicherheitsleitlinie
Strategische
• Strategie, Ziele, Prozesse Informations-
• Referat IT und Technik sicherheit
IT-Sicherheitsmanager der Polizei
• Kontrollmaßnahmen, Überprüfung
• Entscheidungsvorbereitung für IT-LA
Eskalation & Rückmeldung
• IT-SiMa, IT-SiBe der LA • Eskalationsinstanz, Entscheidungsvorber.
Ausschuss für • Fachlich/technische Anforderungen
• Leiter PolCERT
Informationssicherheit • Vertreter Fachbereiche • Analyse kritischer IT-Sicherheitsvorfälle
• Landesamt für Zentrale • Planung/Durchführung von Audits
Landeszentrale operative • Technische Konzepte
Polizeiliche Dienste
Informationssicherheit • Behandlung von IT-Sicherheitsvorfällen
(LZPD)
Operative
• Landesamt für Zentrale • Identifikation von und Schutz vor Informations-
PolCERT NRW Polizeiliche Dienste Schwachstellen sowie Koordinierungsstelle sicherheit
(LZPD) für präventive und reaktive Maßnahmen
• Mitarbeiter der örtlichen • Steuerung des lokalen Sicherheitsprozesses
IT- • Sensibilisierung und Schulung (lokal)
Sicherheitsbeauftragte Polizeibehörde
• Entscheidungsvorbereitung für IT-LA

9. Vorgehensmodelle
IT-Projektmanagement V-Modell XT
Informationssicherheitsmanagement ISO 27001
IT-Servicemanagement ITIL
IT-Standards SAGA
IT-Wirtschaftlichkeitsuntersuchungen IT-WiBe

10. IT-Sicherheitskonzepte
Verfahrensspezifische IT-Sicherheitskonzepte
Schutzbedarf
Verfügbarkeit
Integrität
Vertraulichkeit
Ergänzende Sicherheitsanalyse
Lokale IT-Sicherheitskonzepte
Adaption der verfahrensspezifischen
IT-Sicherheitskonzepte

11. Schulung & Sensibilisierung
Zielgruppen
Führungskräfte, IT-Sicherheitsbeauftragte,
Auditoren, Administratoren, Sachbearbeiter,
Entwickler
Eigene Referenten erzeugen „polizeilichen Mehrwert“

12. Geprüfte Informationssicherheit
IT-Sicherheitsaudits
Intern - Polizei NRW
Extern - Polizeien des Bundes und der Länder
Rahmenbedingungen
Prüfschema des BSI für ISO 27001-Audits auf der Basis von
IT-Grundschutz
Auditoren
ISO 27001 , 3 lizenzierte Auditoren
IT-Grundschutz-Auditoren der Polizei NRW
8 Mitarbeiter geschult durch BSI
Weitere Qualifizierung in polizeieigenen Workshops

13. Richtlinien
Strategie Leitlinie für Informationssicherheit bei der Polizei in Nordrhein-Westfalen
Sicherheitsrichtlinie Internet-Richtlinie E-Mail-Richtlinie Behandlung IT-
Übergreifend zur IT-Nutzung Sicherheitsvorfälle
Datensicherung Virenschutz- Notfall- Energieversorgung
Konzept Rahmenkonzept NEA/USV
Outsourcing Datenträger- Transferkonzept Sichere E-Mail-
entsorgung Kommunikation
Verfahrensspezifische
IT-Sicherheitskonzepte
Sicherheitshinweise Sicherheitshinweise für Richtlinie für
Zielgruppen für IT-Benutzer IT-Administratoren IT-SiBe
Virenschutz Sicherheitsgateway Anlagenprüfung/- weitere
Technik blockung

14. Verantwortlichkeiten prüfen (Leitlinie)
Audits durchführen (Reifegrad)
Kommunikation mit Fachbereichen (Sponsor)
Dienstleistungsverträge prüfen (Rechte / Pflichten)

15. Andreas Lezgus
andreas.lezgus@im.nrw.de
Ulrich Wiebel
ulrich.wiebel@im.nrw.de
Innenministerium NRW
Referat 44