Das IT-Verfahren TOOTSI

Größe: px

Ab Seite anzeigen:

Download "Das IT-Verfahren TOOTSI"

Angela Feld
vor 8 Jahren
Abrufe

1 Das IT-Verfahren TOOTSI

2 Toolunterstützung für IT- Sicherheit (TOOTSI) Motivation und Ziele der Nationale Plan (UP Bund) Herausforderungen Umsetzung in der Bundesfinanzverwaltung in der Bundesverwaltung ein paar technische Informationen Wolfgang Körner Leiter Competence Center IT-Sicherheit der BFV

Bundesfinanzverwaltung in der Bundesverwaltung ein paar technische

3 Motivation und Ziele Durchsetzung von Standards bei der Erstellung und Pflege von IT-Sicherheitskonzepten Hilfsmittel zur Planung, Durchführung und Dokumentation von Basis-Sicherheitschecks zentrale (ressortweite) Auswertung und Behebung von Schwachstellen Sicheres (vertrauenswürdiges) Arbeitsumfeld für die IT-Sicherheitsorganisation Durchsetzung der Ziele Nationaler Plan zum Schutz der Informationsinfrastrukturen (UP-Bund)

(ressortweite) Auswertung und Behebung von Schwachstellen Sicheres (vertrauenswürdiges) Arbeitsumfeld für

4 Der Nationale Plan und TOOTSI Prävention: Informationsstrukturen angemessen schützen Reaktion: Wirkungsvoll bei Sicherheitsvorfällen handeln Nachhaltigkeit: Sicherheitskompetenz stärken Verantwortlichkeiten definieren Prozesse und Techniken für den Grundschutz implementieren Management und -maßnahmen definieren Nachhaltigen IT-Sicherheitsprozess implementieren Verantwortliche für Maßnahmen festlegen

Verantwortlichkeiten definieren Prozesse und Techniken für den Grundschutz implementieren Management

5 Herausforderungen Stufe 4 Erstellen und Pflege von Sicherheitskonzepten Stufe 3 Auswahl, Bewertung und Umsetzung von Sicherheitsmaßnahmen Stufe 2 Definieren der Sicherheitsanforderungen Bestimmen der Risiken Bestimmen der Bedrohungen Stufe 1 Feststellen der Schwachstellen IST - Erhebung

2 Definieren der Sicherheitsanforderungen Bestimmen der Risiken

6 Herausforderungen Oberste Bundesbehörde Bundesministerium der Finanzen (BMF) Bundeszentralamt für Steuern (BZST) Bundesamt für zentrale Dienste und offene Vermögens- Fragen (BADV) Bundesoberbehörden Bundesmonopolverwaltung für Branntwein (BfB) Mittelbehörden 8 Oberfinanzdirektionen (OFD) Zollkriminalamt (ZKA) örtliche Behörden 43 Hauptzollämter (HZA) 8 Zollfahndungsämter (ZFA) Zentrum für Informationsverarbeitung und Informationstechnik (ZIVIT) Bildungszentrum (BZ) Bundesanstalt für Finanzdienst- Leistungsaufsicht (BAFin) Bundesanstalt für Immobilienaufgaben (BImA) Bundesanstalt für vereinigungsbedingte Sonderaufgaben Unfallkasse Post und Telekom

örtliche Behörden 43 Hauptzollämter (HZA) 8 Zollfahndungsämter (ZFA) Zentrum für Informationsverarbeitung und Informationstechnik (ZIVIT) Bildungszentrum (BZ)

7 Umsetzung von Sicherheitskonzepten Wie erstellt man eigentlich ein dienststellenspezifisches IT-Sicherheitskonzept (in der BFV)? Sicherheitsleitlinie Die VV-BMF-IT-Sicherheit legt die Grundzüge für die Gewährleistung der IT-Sicherheit in der BFV fest. Sie beschreibt die Grundsätze der IT-Sicherheitspolitik und enthält Vorgaben zur Gewährleistung eines einheitlichen Sicherheitsniveaus Das dienststellenspezifisches IT-Sicherheitskonzept (DSK) beschreibt die IT-Landschaft einer Dienststelle, deren Schutzbedarf und den Katalog der abgeleiteten Sicherheitsmaßnahmen

Sie beschreibt die Grundsätze der IT-Sicherheitspolitik und enthält Vorgaben zur Gewährleistung eines einheitlichen Sicherheitsniveaus Das

8 Umsetzung von Sicherheitskonzepten BSI-Standard Managementsysteme für Informationssicherheit BSI-Standard Vorgehensweise nach IT-Grundschutz BSI-Standard Risikoanalyse auf der Basis von IT- Grundschutz Prüfschema ISO Zertifizierung auf der Basis von IT-Grundschutz

IT-Grundschutz BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-

9 Was ist TOOTSI? Citrix-TerminalServer Schulung Produktion

10 Was ist TOOTSI?

11 Verfahrensarchitektur Backup SQL Datenbanken

12 Erfahrungen mit DSKs

13 Erfahrungen mit DSKs Baustein 2.3 Büroraum IT-Grundschutzerhebung: Formular zu Baustein B 1.10 Standardsoftware Maßnahme (Priorität)(P riorität) [Siegel] M 2.79 [A] Bezeichnung: Einsatz von Standardsoftware bei der Erfasst durch: Dienststelle - " - Dienststelle/Dienstsitz: HZA XXX - " - - " - Baustein B 1.10 Standardsoftware Festlegung der Verantwortlichkeiten im Bereich Standardsoftware entbehrlich Ja - " - teilweise Nein Umsetzung bis x xxx Erläuterung der Umsetzung / Begründung für Nicht-Umsetzung in diesen Fällen wird das ZIVIT beauftragt, das xxx M 2.80 [A] M 2.81 [A] M 2.82 Erstellung eines Anforderungskatalogs für Standardsoftware x ZIVIT (s.o.) Vorauswahl eines geeigneten x ZIVIT (s.o.) Standardsoftwareproduktes Entwicklung eines Testplans für Standardsoftware x ZIVIT (s.o.) [B] M 2.83 Testen von Standardsoftware x ZIVIT (s.o.) [B] M 2.84 [A] M 2.85 Entscheidung und Entwicklung der x ZIVIT (s.o.) Installationsanweisung für Standardsoftware Freigabe von Standardsoftware x ZIVIT (s.o.) [A] M 2.87 [A] M 2.88 [A] M 2.89 Installation und Konfiguration von Standardsoftware x Die Maßnahmen stehen mit dem Umfang der Installation (lokal auf einzelnen Clients) außer verhältnis. Lizenzverwaltung und Versionskontrolle von x ZIVIT (s.o.) Standardsoftware Deinstallation von Standardsoftware x siehe M 2.87 [C]

10 Standardsoftware Festlegung der Verantwortlichkeiten im Bereich Standardsoftware entbehrlich Ja - " - teilweise Nein Umsetzung bis x xxx Erläuterung der Umsetzung / Begründung für Nicht-Umsetzung

14 Erfahrungen mit DSKs Umsetzungsstatus für Standardprodukte vorab definiert und an den Systemverbund übergeben grün gelb rot blau neutral wirksam umgesetzt nur teilweise umgesetzt nicht umgesetzt entbehrlich noch nicht bearbeitet

Systemverbund übergeben grün gelb rot blau neutral

15 Erfahrungen mit DSKs Redaktionssystem Produktion BSI Vorgaben Modellierung BSI BFV Dienststelle 1 Dienststelle 2 Bereich für Metadaten Vorgaben Systemverbünde der Dienststellen Dienststelle x

16 GSTOOL Struktur der Zielobjekte Toolbar Baumdarstellung Bearbeitungsmaske Navigator

17 GSTOOL - Modellierung Toolbar Bearbeitungsmaske Baumdarstellung Navigator

18 GSTOOL - Neue Funktionen Verantwortlichkeiten Vorschläge für Verantwortliche aufgrund Rollenzuweisung mehrere initiierende Mitarbeiter

19 GSTOOL - Neue Funktionen diverse Undo - Funktionen gelöschte Zielobjekte können wiederhergestellt werden veränderte Bausteine / Maßnahmen sind wiederherstellbar

20 Das GSTOOL in der BFV

21 Es muss nicht GSTOOL sein.. HiSolutions AG - HiScout SME INFODAS GmbH - SAVe Kronsoft e.k. - Secu-Max SecoNet GmbH - SecoNet Grundschutz Tool Secure IT Consult - Audit Tool 2006

22 Toolunterstützung für IT- Sicherheit (TOOTSI) Fragen? Fragen! Wolfgang Körner Competence Center IT-Sicherheit der BFV

Ähnliche Dokumente

Bundesfinanzverwaltung

Das ZIVIT innerhalb der Bundesfinanzverwaltung Oberste Bundesbehörde Bundesministerium der Finanzen (BMF) Bundesfinanzverwaltung Bundesoberbehörden Bundeszentralamt für Steuern (BZST) Bundesamt für zentrale