IT-Sicherheitskonzeption / ITSVO-EKD

Definition

"IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind."

(Quelle: Bundesamt für Sicherheit in der Informationstechnik)


Implementierung in der Landeskirche

Nach § 9 Abs. 2 des Kirchengesetzes über den Datenschutz der EKD (DSG-EKD) ist jede kirchliche Stelle, die personenbezogene Daten verarbeitet, zur Gewährleistung von IT-Sicherheit verpflichtet. Mit einem Ratsbeschluss hat die EKD die hierzu notwendigen Rahmenbedingungen festgelegt und als „Verordnung zur Sicherheit der Informationstechnik der EKD“ (ITSVO-EKD) vom 29.05.2015, ABl. EKD S. 146, erlassen.

Danach hat die Erstellung eines IT-Sicherheitskonzeptes in seinen Grundzügen bis zum 31.12.2015, die vollständige Umsetzung der enthaltenen Maßnahmen bis zum 31.12.2017 zu erfolgen.

Quelle: Evangelische Kirche in Deutschland

Der im Nachgang zur Veröffentlichung der ITSVO-EKD erarbeitete Ergebnisbericht einer Arbeitsgruppe der EKD enthält neben Musterkonzepten für kirchliche und diakonische Einrichtungen verschiedener Größe auch eine exemplarische Definition der Schutzbedarfskategorien im kirchlichen Kontext. Daraus wird insbesondere ersichtlich, dass durch Speicherung und Verarbeitung von Daten aus den Bereichen Meldewesen, Finanz- und Lohnbuchhaltung, Personalverwaltung sowie ggf. Seelsorge und Pflege strenge Maßstäbe an das IT-Sicherheitsniveau einer kirchlichen Stelle zu legen sind..

 


Vorgehensweise

  1. Definition des Informationsverbundes, für den das IT-Sicherheitskonzept gelten soll (Organisation, Amt, Einrichtung, Abteilung etc.) und Darstellung der Schnittstellen zu anderen IT-Systemen.

  2. Analyse der Struktur des Informationsverbundes von der Anwendungsebene (Geschäftsprozesse, Applikationen) über die Ebenen der IT-Systeme und ihrer Vernetzung bzw. Abhängigkeit untereinander bis zur Infrastrukturebene (Räumliche Abhängigkeiten, Stromzufuhr, Klimatisierung etc.). Darstellung der Struktur mittels geeigneter Darstellungsformen (Netzpläne, Tabellen o.ä.).

  3. Definition der Schutzbedarfskategorien (normal, hoch, sehr hoch) für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit unter den Gesichtspunkten Gesetze und Vorschriften, Datenschutz, persönliche Unversehrtheit, Aufgabenerfüllung, Innen-/Außenwirkung sowie finanzielle Auswirkungen.

  4. Ermittlung des Schutzbedarfs auf der Anwendungsebene und dessen Weitergabe an die anderen Elemente des Informationsverbundes nach dem Maximum- oder Verteilprinzip.

  5. Auswahl geeigneter Bausteine (= Maßnahmen) aus den BSI-Grundschutzkatalogen für jedes Element im Informationsverbund.
  6. Durchführung eines Basis-Sicherheitschecks um das bestehende Schutzniveau zu ermitteln (Abdeckungsgrad der Maßnahmen aus der Modellierung und ggf. der Risikoanalyse im Informationsverbund).

  7. Implementierung defizitärer Maßnahmen.

  8. Ergänzendes Sicherheitsanalyse zur Ermittlung bestehender Restrisiken (Risikoanalyse) bei Komponenten mit hohem bzw. sehr hohem Schutzbedarf oder solchen Komponenten, die in atypischen Einsatzszenarien betrieben werden bzw. für die keine adäquaten Bausteine existieren. Die Position der ergänzenden Sicherheitsanalyse im Prozess kann variieren (nach Sicherheitscheck oder nach Maßnahmenimplementierung). Im Kontext der ELKB macht letztgenannte Positionierung Sinn, da ein Basis-Schutzniveau damit schneller erreicht werden kann.

Im Anschluß Weiterführung des Prozesses mit Schritt 1 (=Fortschreibung des IT-Sicherheitskonzeptes) um in der Zwischenzeit ggf. geänderten technischen, organisatorischen oder rechtlichen Rahmenbedingungen Rechnung zu tragen.


Rechtliche Grundlagen

  • DSG-EKD - Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland

  • ITSVO-EKD - Verordnung zur Sicherheit der Informationstechnik

  • Begründung ITSVO-EKD - Nichtamtliche Begründung zur Verordnung zur Sicherheit der Informationstechnik

  • Bekanntmachung ITSVO-EKD - Kirchliches Amtsblatt der EKD 2015/07

BSI-Standards

  • 100-1 Managementsysteme für Informationssicherheit (ISMS)

  • 100-2 IT-Grundschutz-Vorgehensweise

  • 100-3 Risikoanalyse auf der Basis von IT-Grundschutz

  • 100-4 Notfallmanagement (relevant für zentrale Dienste mit hohen bis sehr hohen Verfügbarkeitsanforderungen)

  • BSI-Grundschutzkataloge


ArbeitshilfenAnker


Weitere Informationsquellen


Kontakt

Fachbereich 4 (IT und Bau) im Rechnungsprüfungsamt der ELKB

Ulrich Kraft
E-Mail: ulrich.kraft@elkb.de
Tel.: 089/5595-108