Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung

Größe: px

Ab Seite anzeigen:

Download "Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung"

Holger Feld
vor 8 Jahren
Abrufe

1 Information Assurance innerhalb und mit der Bundesverwaltung Lars Minth/

2 Agenda Wir haben doch schon soviel Auftrag im Namen des Volkes Logisches Schubladendenken Information Assurance und Informationssicherheit Nutzen und strat. Ziele IAM Bund 2

3 Wir haben doch schon so viel Sicherheitsdienste (Security Controls) in der digitalen Welt verhindern effizientes Arbeiten, kosten viel Geld für eine kaum abzuschätzende Minderung des Risikos und haben ein enormes Erklärungspotential, welche Geschäftsfähigkeiten damit unterstützt werden. L. Minth, 08/2013 Pförtner Policies AAA-Server Smart Card Firewalls 3 VPNs übereinander Richtlinien IAM Tür-Badges Der grüne Drache von ISB-SEC Suisse ID / Mobile ID / Admin PKI Intrusion Detection Systeme Passwörter pro Applikation 3

Geschäftsfähigkeiten damit unterstützt werden. L.

4 Auftrag im Namen des Volkes Der Bundesrat hat ein klares wirtschafts- und gesellschaftspolitisches Ziel formuliert: Wir wollen die Chancen der IKT nutzen, um den Zusammenhalt der Regionen zu fördern, den Wirtschaftsstandort Schweiz zu stärken und die Lebensqualität der Menschen auf einem attraktiv hohen Niveau zu halten. In allen Bereichen ist eine intelligent eingesetzte und interdisziplinär genutzte Informations- und Kommunikationstechnologie für die Vorbereitung auf die grossen Zukunftsaufgaben dienlich. Strategie des Bundesrates für eine Informationsgesellschaft in der Schweiz 4

5 Logisches Schubladendenken Aufgabenbereiche der Bundesverwaltung Geschäftssegmente (Aufgaben/Prozesse) Geschäftsfähigkeiten Border Protection Computer Security tbd IAM Network Security Information sschutz MELANI IA Services 5

Geschäftsfähigkeiten Border Protection Computer Security

6 Information Assurance und Informationssicherheit 6

7 Definitionen Assurance 1. ist das garantierende oder entschädigende Mittel, um sich gegen einen Verlust aufgrund einer spezifizierten Gefahr zu schützen. 2. ist ein durch nachweisliche Verifikation erreichtes Vertrauen in die eingesetzten Mittel 3. bietet Handlungsfreiheit aufgrund der eingesetzten, vertrauenswürdigen Mittel Cyber Assurance Massnahmen zur Vorbereitung von netzzentrierten Geschäften und einem Informationsverbund, um auf unvorhergesehene Ereignisse in Cyberzeit (also schnell) reagieren zu können Identität Cyber Information Identity Assurance Massnahmen zur Sicherstellung der Integrität und Authentizität von Identitätsinformationen, der dahinterstehenden Infrastruktur und Ausgabeprozessen und Prozeduren bei gleichzeitiger Erhaltung der Sicherheit und des Datenschutzes, um die notwendigen Geschäftsfähigkeiten zu unterstützen. Information Assurance Massnahmen zum Schutz und der Verteidigung von Informationen und Informationssystemen durch Gewährleistung ihrer Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit und Nichtabstreitbarkeit. Dies beinhaltet die Wiederherstellung von Informationssystemen durch proaktive, reaktive als auch erkennende Fähigkeiten. 7

bietet Handlungsfreiheit aufgrund der eingesetzten, vertrauenswürdigen Mittel Cyber Assurance Massnahmen zur Vorbereitung von netzzentrierten Geschäften und einem Informationsverbund, um auf

8 Information Assurance Domänen Zugriffskontrollsysteme und ihre Methodologie Telekommunikations- und Netzwerksicherheit Betriebskontinuitätsmanagement inkl. IT-Notfallplanung Sicherheitsmanagementpraktiken (u.a. ISMS) Sicherheitsarchitektur und Modell (u.a. ESA/SABSA) Recht, Untersuchung und Ethik Applikations- und Systementwicklungssicherheit Kryptografie Betriebliche Computersicherheit (Speicherung, Mutation) Physische Sicherheit 8

a. ISMS) Sicherheitsarchitektur und Modell (u.a. ESA/SABSA) Recht, Untersuchung und Ethik Applikations- und

9 Wertbeitrag und Nutzen IAM Bund 9

10 Strategische Ziele IAM Bund Ziel 1: IAM-Relevante Vorgaben und Standards sind aktualisiert, vervollständigt, umgesetzt und gelebt: Zuständigkeiten für IAM Bund sind definiert, etabliert und durchgesetzt Übergreifende Richtlinien, die IAM Bund betreffen, sind angepasst Konkurrierende und sich widersprechende Vorgaben sind bundesweit bereinigt Notwendige/fehlende Rechtsgrundlagen und Vorgaben für IAM Bund sind erlassen Audit-Fähigkeiten sind etabliert und für das Risikomanagement optimiert Ziel 2: Von anderen (Bund, Kantone etc.) gepflegte Informationen über Subjekte und ihre Claims / Attribute / Rollen werden, wo möglich, wiederverwendet. Die entsprechenden Vertrauensbeziehungen werden aufgebaut: Ein vertrauenswürdiger Zugriff auf IAM-Informationen unterschiedlicher Interessensgemeinschaften ist gewährleistet Die IAM-Prozesse mit BVerw-internen und externen Partnern sind identisch oder aufeinander abgestimmt Vertrauens-Partnerschaften sind etabliert und werden auf technischem und organisatorischem Niveau gepflegt Ziel 3: Die Effizienz und Effektivität der IAM-Prozesse sind bundesweit verbessert: Die IAM-Prozesse sind einheitlich für die gesamte Bundesverwaltung etabliert Einzelne IAM-Funktionen sind möglichst redundanzfrei betrieben Der Gebäudezutritt (physischer Zugriff) ist in die IAM-Prozesse integriert Kantonale Anforderungen und Lösungen sind integriert 10

Vorgaben für IAM Bund sind erlassen Audit-Fähigkeiten sind etabliert und für das Risikomanagement optimiert Ziel 2: Von anderen (Bund, Kantone etc.

11 Backup-Folien 11

12 Ansatz Informatiksicherheit Wir wollen verhindern, dass Attacken erfolgreich sind. Sicher zu sein heisst bei diesem Ansatz unverwundbar zu sein. Ein Vorfall ist jeglicher Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit. Wir schauen auf ein Stück Datum und denken: Ist es vertraulich, besitzt es Integrität, ist es verfügbar? 12

Ein Vorfall ist jeglicher Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit.

13 IA Sicherheitsansatz Wir wollen garantieren, dass unsere Geschäftsziele erreicht werden. Sicher zu sein heisst bei diesem Ansatz trotz Attacken, Unfällen und Fehlern zuverlässig zu sein. Ein Vorfall ist das Versagen, ein Security Objective wegen einer Attacke, einem Unfall oder einem Fehler nicht zu erreichen. Wir schauen auf ein Stück Datum und denken: Welche Eigenschaften muss dieses Datum besitzen, um einen Geschäftswert zu haben? 13

Ein Vorfall ist das Versagen, ein Security Objective wegen einer Attacke, einem Unfall oder einem Fehler

Ähnliche Dokumente

Programm IAM in der Schweiz / bei der Bundesverwaltung

Programm IAM in der Schweiz / bei der Bundesverwaltung Ein Nukleus für das zentrale Management der Informationssicherheit ViS!T, Schweizer Hof, Bern 28. Juni 2016 Lars Minth, MBA, M.Sc. Infosec Leiter