Rechnungshöfe: Grundsatzpapier zum Informationssicherheitsmanagement

Die Rechnungshöfe des Bundes und der Länder haben ein Grundsatzpapier zum Informationssicherheitsmanagement veröffentlicht. Darin enthalten sind die Punkte “Informationssicherheitsmanagement”, “Organisation der Informationssicherheit, “Das CERT als wichtiges Element des operativen Informationssicherheitsmanagements” und “Erwartungen und Prüfungsmaßstäbe der Rechnungshöfe”.

Hier geht es zur PDF: https://www.bundesrechnungshof.de/de/veroeffentlichungen/broschueren/dateien/informationssicherheitsmanagement-grundsatzpapier-der-rechnungshoefe-des-bundes-und-der-laender

Wir fassen jeden der Punkte im Folgenden kurz zusammen.

Punkt 1: Informationssicherheitsmanagement

Einleitend wird im Grundsatzpapier der Rechnungshöfe festgestellt, dass die IT-Systeme der deutschen Regierung unter täglichen Cyberangriffen zu leiden haben. Diese Cyberangriffe reichen von einfacher Schadsoftware, die per E-Mail verschickt wird, bis hin zu “hochprofessionellen Angreifern” (wohl Geheimdienste anderer Länder). Es wird weiter festgestellt, dass ein ISMS personelle und finanzielle Ressourcen benötigt, die aber notwendig sind, um die drohenden Schäden abzuwehren.

Punkt 2: Organisation der Informationssicherheit

Unter Punkt 2 wird zunächst aufgezeigt, dass die Behördenleitung für die Informationssicherheit der Behörde verantwortlich ist. Sie hat die organisatorischen und technischen Maßnahmen zu treffen, die für einen ausreichenden Schutz erforderlich sind. Der IT-Sicherheitsbeauftragte soll außerhalb des IT-Managements der Behörde angesiedelt sein, um mögliche Konflikte von Interessen und Rollen zu vermeiden. Die Rechnungshöfe haben festgestellt, dass in vielen Bereichen der Verwaltung bezüglich der IT-Sicherheit ein Mangel an Personal vorherrscht.

Punkt 3: Das CERT als wichtiges Element des operativen Informationssicherheitsmanagements

Punkt 3 behandelt das CERT (Computer Emergency Response Team). Die Länder sind bis 2016 verpflichtet, ein CERT aufzubauen. Das CERT ist nicht Teil des behördeninternen IT-Sicherheitsmanagements, sondern soll vorrangig Informationen zu IT-Sicherheitsvorfällen zusammentragen, Alarm- und Warnmeldungen weiterleiten, Sicherheitswerkzeuge entwickeln und die technische Infrastruktur analysieren. Bei IT-Sicherheitsvorfällen soll das CERT die Bearbeitung übernehmen. Die Rechnungshöfe sehen in der Aufstellung eines CERT ein wichtiges Element zur Informationssicherheit in den Behörden.

Punkt 4: Erwartungen und Prüfungsmaßstäbe der Rechnungshöfe

Die Rechnungshöfe werden anhand der durch den Arbeitskreis Organisation und Informationstechnik der Rechnungshöfe des Bundes und der Länder gebildeten Checkliste ihre Prüfungen zur Informationssicherheit durchführen. Diese Checkliste ist dem Grundsatzpapier der Rechnungshöfe als Anhang beigefügt.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*