IT-Grundschutz - damit die Rente sicher ist! Programm zur Erhöhung der Informationssicherheit (PRINS)

Transkript

1 IT-Grundschutz - damit die Rente sicher ist! Programm zur Erhöhung der Informationssicherheit (PRINS) 1. IT-Grundschutz-Tag 2018 Berlin, PRINS Programm zur Erhöhung der Informationssicherheit

2 Agenda 1 Fakten DRV Bund und die damit verbundenen Herausforderungen 2 Rückblick IT-Grundschutz 3 Programm PRINS 4 KRITIS Verordnung 5 Projektaufbau IT-Grundschutz 6 Unsere Vorgehensweise zur Umsetzung des neuen IT-Grundschutzes 2

3 Größenordnung und Besonderheiten der DRV Bund und die daraus resultierenden Herausforderungen Körperschaft des öffentlichen Rechts mit Selbstverwaltung Herausforderungen >23 Mio. Versicherte, 10 Mio. Rentner/innen Beschaffung eines passenden IT- Grundschutz-Tools Querschnittsaufgaben für alle Rentenversicherungsträger Ca interne Mitarbeitende Ca. 157 Mrd. Euro Budget Eigene Softwareentwicklung und die damit verbundene Komplexität Standorte in Berlin, Brandenburg, Gera, Stralsund und Würzburg 22 Reha-Zentren bundesweit mit 27 Kliniken Ca Clients, ca Server, Host-Systeme, Scanner, Faxgeräte, Tablets, Smartphones Quelle: Infobroschüre Deutsche Rentenversicherung Bund 06/2017 IT-Grundschutz in einer Organisation mit der Größenordnung der DRV 3

4 Rückblick Erfahrungen mit dem IT-Grundschutz 2009 Siko nach ITSHB, modifiziertes Vorgehen Sicherheitskonzept im Einvernehmen mit BSI gem. 151a SGB VI Antragstellung im automatisierten Verfahren Basis-Sicherheitskonzept für die Infrastruktur Vorgehen DRV-weit BSI-Grundschutz, Behördenstandard in der Bundesverwaltung Vorgehen der BA: Redundanzfreie IT- Sicherheitsdokumentation 4

5 Die Strategie der Informationssicherheit wurde 2016 formuliert und ist entscheidend für die DRV Bund Zukunftsbild der Informationssicherheit LEITSATZ PRINZIPIEN STRATEGISCHE PRIORITÄTEN AUFTRAG 5

6 Programm zur Erhöhung der Informationssicherheit (PRINS) in der DRV Bund Determinanten Fakten zu PRINS Abteilung 11: Organisation und IT-Services Zunehmende Cyber- Bedrohungslage Neue gesetzliche Anforderungen Digitalisierte Arbeitsweise Laufzeit Insgesamt acht Projekte (in 2018) 25 interne und externe MA Themenspektrum 2018 IT-Sicherheitsreporting aufbauen Notfall- und Wiederanlaufpläne ergänzen Kooperationen mit DRV-IT zur übergreifenden Sicherheitsorganisation Übergreifende Kryptostrategie erarbeiten Security Operations Center aufbauen Risikomanagementprozess einführen IT-Grundschutz mit Fokus auf KRITIS aufbereiten IT-Sicherheitsorganisation aufbauen Mitarbeitersensibilisierung verstärken 6

7 "Leistungs- und Auszahlungssystem der Sozialversicherungsträger" als kritische Infrastruktur eingestuft KRITIS-Verordnung Betreiber kritischer Infrastrukturen (KRITIS) Übersicht zu den 7 KRITIS-Sektoren Energie IT und Telekommunikation Wasser Ernährung Transport und Verkehr* Gesundheit* Finanz- und Versicherungswesen* *) Korb 2: Rechtsverordnung trat am 30. Juni 2017 in Kraft Die Deutsche Rentenversicherung ist ein integraler Bestandteil der kritischen Infrastruktur im Bereich Finanz- und Versicherungswesen. Quelle: Bundesgesetzblatt Jahrgang 2017 Teil I Nr

8 KRITIS Anforderungen gelten für die gesamte DRV, Erfüllung ist nachzuweisen Die kritischen Geschäftsprozesse der DRV Bund 1. Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzlichen Renten-, Unfall- und Arbeitslosenversicherung (BSI-KritisV, Anhang 6, Punkt w) 2. System zur Auszahlung der Entschädigung oder Versicherungsleistung an den Zahlungsempfänger. (BSI-KritisV, Anhang 6, Punkt z) Anforderungen Seit zählt die DRV als kritische Infrastruktur und muss innerhalb von 2 Jahren ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) inkl. Sicherheitskonzeption aufbauen. Die Anforderungen gelten dabei: Übergreifend für die gesamte DRV, Individuell für jeden Träger der DRV, Und müssen von diesen nachgewiesen werden. 84

9 Initiierung eines Projektes zur Implementierung und Zertifizierung von IT-Grundschutz DRV BUND IT-Abteilung Abt. Gebäudemanagement Bildungsabteilung Personalabteilung Datenschutzreferat PRINS Projekt IT- Grundschutz > 130 Interviewpartner über alle Abteilungen hinweg 9

10 Anwendung des IT-Grundschutz auf die Informationssystem- Landschaft der DRV Bund Grundschutzbausteine Informationssystem-Landschaft Prozess Bausteine ISMS Verfahren Anwendung und Dienste ORP CON CON System Bausteine SYS NET INF APP Systeme Netze IT- Prozesse DER Infrastruktur 10

11 Spezifische Herausforderungen bei der Umsetzung des IT- Grundschutzes für die DRV Bund: Drei Beispiele aus der Praxis Server hostet mehrere Anwendungen Soll jedes Verfahren des Servers erneut betrachten? Herausforderungen der Modellierung Virenschutzprodukt ist verantwortlich für mehrere Systeme Soll jedes Verfahren das Produkt erneut betrachten? Test-Prozess wird für mehrere Anwendungsentwicklungen genutzt Soll jedes Verfahren den Test-Prozess erneut betrachten? 11

12 Konzept Landkarte Vorgaben IT-Sicherheitskonzepte Basis-Sicherheitskonzepte (B-SiKo) Alle physischen Objekte (auch wenn kein Baustein vorhanden) sind im Basis-IT-Sicherheitskonzept zu betrachten. Ferner sind grundsätzlich alle Bausteine aus dem IT- Grundschutz zu betrachten. Innerhalb der DRV-IT ist der Schutzbedarf für die Basis-IT- Sicherheitskonzepte in allen drei Grundwerten als hoch anzusehen. Verfahrenssicherheitskonzepte (V-SiKo) Für die IT-Verfahren hat der jeweilige Verfahrensverantwortliche auf der Grundlage des Verfahrenszwecks ein IT-Verfahrenssicherheitskonzept zu erstellen. Die IT-Verfahrenssicherheitskonzepte setzen auf die Basis- IT-Sicherheitskonzepte auf. Im jeweiligen IT-Verfahrenssicherheitskonzept werden nur noch die verfahrensspezifischen Aspekte betrachtet. Schirmprinzip B-SiKo Anwendungsentwicklung B-SiKo Notfallmanagement B-SiKo Betrieb Unix-Server V-SiKo rvdialog V-SiKo rvpur Quelle: AGIS Konzept Landkarte Vorgaben IT-Sicherheitskonzepte DRV-IT 12

13 IT-Grundschutz mit Fokus auf KRITIS Absicherung der Basis-Infrastruktur Erweiterung der Informationssicherheits-Policy Erstellung von Basis-Sicherheitskonzepten Prüfung der IT-Grundschutz Anforderungen Planung von notwendigen Maßnahmen Erstellung / Beauftragung von ISP Dokumenten Identifizierung notwendiger Sensibilisierungskampagnen Absicherung der KRITIS-relevanten Verfahren Erstellung von Verfahrens-Sicherheitskonzepten Beschreibung der KRITIS-relevanten Verfahren Prüfung der IT-Grundschutz Anforderungen Planung von notwendigen Maßnahmen Vorbereitung der Antragsstellung für Zertifizierung Vorbereitung eines KRITS-relevanten Informationsverbundes für die ISO Zertifizierung auf Basis von IT Grundschutz 13

14 Vor- und Nachteile des klassischen vs. modernisierten IT- Grundschutzes Klassischer IT-Grundschutz Modernisierter IT-Grundschutz Vorteile In Tools abbildbar Detaillierte Umsetzungshinweise Schnellere Bereitstellung und flexible Vorgehensweise Verschlankung der IT-Grundschutzkataloge (jetzt IT-Grundschutzkompendium) Nachteile Umsetzbarkeit sehr komplex (hoher personeller, finanzieller Aufwand, hoher Pflegeaufwand im Tool) Zeitlich begrenzt Mehr Interpretation durch Anforderungen statt Maßnahmen Nicht genug Umsetzungshinweise Anpassung der Tools ausstehend Keine sauberen Migrationstabellen vorhanden 14

15 Vorbereitung zur Erstellung der Sicherheitskonzepte 1 Erstellung von Word und Excel-Vorlagen auf Basis des modernisierten IT-Grundschutzes 2 Erstellung 6200-zeilige Excel aus dem IT-Grundschutzkompendium (Anforderungen und Teilanforderungen) 3 Definition eines Prozesses zur Erstellung von Sicherheitskonzepten 4 Durchführen von Schulungen zum IT-Grundschutz in der DRV Bund für die Autorinnen und Autoren 5 Durchführung der Schulungen für alle Autorinnen und Autoren der Sicherheitskonzepte 15

16 Zur Erstellung der Basissicherheitskonzepte wird ein Gamification-Ansatz genutzt Game Of SiKos Gamification-Ansatz zur Umsetzung der Sicherheitskonzepte Aufteilung der 15 Autorinnen und Autoren der Sicherheitskonzepte in verschiedene Teams Untergliederung des Prozesses in vier Teilaufgaben: Erstellung Strukturanalyse, IT-Grundschutzcheck, Maßnahmenplanung und Risikoanalyse Pro erledigter Teilaufgabe werden je nach Aufwand Punkte vergeben Finales Ziel ist es, möglichst viele Punkte pro Team zu erzielen Strukturanalyse IT-Grundschutzcheck Maßnahmenplanung Risikoanalyse 16

17 Vorgehen des Projektes IT-Grundschutz bei der Erstellung der Basis-Sicherheitskonzepte Strukturanalyse IT-Grundschutzcheck Maßnahmenplanung Risikoanalyse Strukturanalyse für alle Bausteine durchführen Sinnvolle Gruppierung der Prozesse und Komponenten in Sicherheitskonzepte Durchführung IT- Grundschutz-Check für alle gruppierten Prozesse und Komponenten Maßnahmenplanung für nicht oder nur teilweise erfüllte Anforderungen (abweichend von Vorgehensweise) Workshop zur Prüfung der Machbarkeit der Maßnahmen Risikoanalyse für nicht umsetzbare Maßnahmen Aufnahme der Risiken in das Risikoregister Meilensteine Anzahl B-SiKos Umsetzungs stand Maßnahmen plan 17

18 Erste Erkenntnisse aus dem Projekt Großes Kern-Team aus IT-Grundschutzexpertinnen und Experten notwendig Optimierungspotential kann an vielen Stellen identifiziert werden Wissensaustausch, sowie potentielle, langfristige Synergien/Kollaborationen können etabliert werden Sichtbarkeit des IT-Sicherheitsmanagements und PRINS wird abteilungsübergreifend erhöht Umsetzungshinweise des BSI, wenn vorhanden, sehr hilfreich Potentielle Risiken werden aufgedeckt Gemeinsames Arbeiten und der Zusammenhalt im Team wird gestärkt 18

19 Backup 19

20 Security Assessment 2016 als Ausgangspunkt für Reformprozess 20

21 Vorgegebene Zeitplanung Fälligkeit der KRITIS Anforderungen max. 6 Monate max. 2 Jahre max. 2 Jahre 06/ / / /2021 Rechtsverordnung zu Korb 2 KRITIS erlassen Anfordungen durch KRITIS BSI 24/7 erreichbare Kontaktstelle für Vorfallsmeldungen der BSI Erhebliche Störungen der IT an das BSI melden Beratung und Unterstützung bei Sicherung der IT durch das BSI möglich Die zur Erbringung ihrer wichtigen Dienste erforderliche IT ist nach dem Stand der Technik angemessen abzusichern Aktuelle Informationen und Analysen seitens des BSI zu IT Sicherheit Das BSI erhält eine Aufstellung der Maßnahmen, der durchgeführten Audits/Prüfungen einschließlich der identifizierten Sicherheitsmängel. Quelle: BSI Details zu den Anforderungen im Anhang. 21

22 Basis-Sicherheitskonzepte Verfahrens-Sicherheitskonzepte Alle relevanten Bausteine im Grundschutz-Kompendium Anwendungen und Dienste, für die es keinen Grundschutz- Baustein gibt Für Schicht 1 4, Verweis auf entsprechendes Basis-SiKo ISMS Prozess Bausteine ORP CON CON Rente, Reha, Versicherung Kliniken ZfA /ZfP Prüfdienst System Bausteine SYS NET INF APP Materialwirtschaft Finanzwirtschaft Personalwirtschaft Basisdienste DER 22

23 Die Basissicherheitskonzepte bilden das Grundgerüst der Sicherheitskonzeption der DRV Basis-Sicherheitskonzepte Verfahrenssicherheitskonzepte Übergreifende Aspekte Notfallmanagement Sicherheitsmanagement Technische Domänen Fachdomänen Anwendungen SAP System Active Directory Internet- Nutzung GSB Webhosting rv Archiv rv Dialog erecruiting IT-Systeme Windows Server Client unter Windows Drucker und Kopierer UDK Infrastruktur Allgemeines Gebäude Serverraum Rechenzentrum Netze Lokale Netze 23

24 Das Zielbild besteht aus Basissicherheitskonzepten sowie Verfahrenssicherheitskonzepte Basis-Sicherheitskonzepte Verfahrenssicherheitskonzepte Übergreifende Aspekte Notfallmanagement Sicherheitsmanagement Technische Domänen Fachdomänen Anwendungen IT-Systeme SAP System Windows Server Active Directory Client unter Windows Internet- Nutzung Drucker und Kopierer Client-, Server-, Host- Anwendungen Datenbanken Betriebssysteme & Middleware Server / Host Storage Druck & Kuvertierung Rente, Reha, Versicherung Klink ZfA / ZfP Prüfdienst Finanzwirtschaft Personalwirtschaft Materialwirtschaft Infrastruktur Allgemeines Gebäude Serverraum Rechenzentrum RZ-Infrastruktur Netze Lokale Netze Netzwerk 24