Informationssicherheits-Managementsystem VBS (ISMS VBS)

Transkript

1 Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Generalsekretariat VBS Inspektorat VBS Schlussbericht A 021 Informationssicherheits-Managementsystem VBS (ISMS VBS) Abklärung Nr. A 021 Auftraggeber Betroffene Bereiche Generalsekretärin VBS GS VBS Prüfdauer Juni 2013 Absicht Auftrag Es geht darum, die Dokumente des Projektes ISMS VBS mit den Empfehlungen der Inspektion I 001 Informations- und Objektsicherheit (IOS) auf deren Beachtung zu überprüfen; die Zweckmässigkeit der Anträge des Verantwortlichen für das Sicherheitsmanagement VBS zu beurteilen. Das Inspektorat VBS: Analysiert und beurteilt die Umsetzung seiner Empfehlungen im Projekt ISMS VBS aus der Inspektion I 001 zum gleichen Thema. Verfasst eine Stellungnahme zu den abgegebenen ISMS VBS Unterlagen vom zuhanden der Generalsekretärin VBS. Verteiler C VBS GS VBS

2 Inhaltsverzeichnis 1. Ausgangslage Grundlagen und Vorgehen / Untersuchungsmethode Begriffsdefinitionen und Abgrenzung Feststellungen Berücksichtigung der Empfehlungen aus der Inspektion I Zusammenfassende Beurteilung zur Berücksichtigung der Empfehlungen aus der Inspektion I001 in den Beurteilung der Zweckmässigkeit der Anträge des Verantwortlichen für das Sicherheitsmanagement VBS Abschliessende Beurteilung Inspektorat VBS /8

3 1. Ausgangslage Das Inspektorat VBS prüfte im Jahr 2011 die Informations- und Objektsicherheit (IOS) / Schlussbericht vom Die Prüfung beinhaltete u.a. auch die Bereiche Informatiksicherheit, Informationsschutz und Industriesicherheit. Das Projekt ISMS VBS befand sich damals in der Initialisierungsphase. Der Projektauftrag ISMS VBS vom lag im Status Entwurf vor. Das Inkrafttreten war für Ende 2012, im aktuellen Projektauftrag ist es auf Ende 08/2013 vorgesehen. 2. Grundlagen und Vorgehen / Untersuchungsmethode Der Auftrag an das Inspektorat VBS wurde durch die Generalsekretärin VBS anlässlich der Orientierung vom mündlich dem Chef Inspektorat VBS erteilt. Es handelt sich um eine auf Dokumenten basierte Prüfung ohne Interviews. Eine Vernehmlassung wurde nicht durchgeführt. Grundlagen sind: Schlussbericht der Inspektion Informations- und Objektsicherheit (IOS) vom , Inspektorat VBS; (INTERN) Projektauftrag Informations-Sicherheits-Management-System VBS (ISMS VBS) vom , Armeestab; (INTERN) 3. Begriffsdefinitionen und Abgrenzung Unter dem Begriff Informationssicherheitssystem werden die Informatiksicherheit, die Informationssicherheit sowie alle Aspekte im Zusammenhang mit der Bearbeitung und Speicherung von landeswichtigen Informationen (Informationsschutz), dem Datenschutzgesetz unterstehende Informationen oder sonst als schutzwürdig erachtete Informationen und IT- Infrastrukturen verstanden. Innerhalb der IOS sind die Fachbereiche IKT-Sicherheit, Informationsschutz und Datenschutz, wie auch die in den Departementsbereichen und Verwaltungseinheiten für die Thematik zuständige Informatiksicherheitsbeauftragte der Organisation (ISBO) betroffen. Verantwortlich für das Sicherheitsmanagement im VBS ist der A Stab bzw. der C A Stab. 3/8

4 4. Feststellungen 4.1 Berücksichtigung der Empfehlungen aus der Inspektion I 001 Die grau unterlegten Empfehlungen wurden originalgetreu aus dem Inspektionsbericht und die Empfehlungen ohne Rahmen aus übernommen worden. Projekt: Informations-Sicherheits-Management-System VBS (ISMS VBS) Empfehlung H: Verbesserung der Integralen Sicherheit (Projekt ISMS VBS) H1) Das Inspektorat VBS empfiehlt, den Projektantrag ISMS VBS nicht zu genehmigen, ohne dass die Finanzierung, die Betriebskosten, die erforderlichen Ressourcen sichergestellt sind und ein Projektlenkungsausschuss, der die Bedürfnisse des VBS verantwortet, eingesetzt wird. Wie im Bericht des Inspektorats VBS erwähnt wird, gehört die Einführung und der Betrieb eines angemessenen Informations-Sicherheits-Management-Systems (ISMS) heute in der Privatwirtschaft zur üblichen Geschäftspraxis. Die Bedrohungslage im Bereich Informatiksicherheit generell macht es zweifellos erforderlich, mittels eines ISMS einen angemessenen Schutz der Informationen und IKT-Mittel jeder exponierten Organisation sicherzustellen. Das Vorhaben war von Beginn weg von Seiten des Inspektorats VBS unbestritten. Der Projektauftrag wurde per genehmigt. Die finanzierungswirksamen Mittel wurden mit Franken veranschlagt. Zudem wurde gemäss Projektauftrag mit der RUAG bis Ende 2011 ein SLA für 600 Std. und ein weiterer nicht bekannter Bedarf RUAG für 2012 abgeschlossen. Inzwischen wurde für die externe Projektunterstützung eine WTO- Ausschreibung durchgeführt über die Auftragssumme von 1.5 Millionen Franken. Das Inspektorat VBS stellt fest, dass einerseits die finanziellen Mittel vorhanden sind, andererseits aber die bisher aufgelaufenen Projektkosten im Statusbericht nicht erwähnt werden. Das Inspektorat VBS schätzt die bisherigen externen finanzierungswirksamen Kosten auf 1.85 Millionen Franken und die internen Kosten auf rund Franken. Die Projektaufsicht wird durch die Verteidigung geführt. Ausser einem Vertreter des GS VBS sind keine weiteren Departementsbereiche in der Projektaufsicht eingebunden. Diese Konstellation dürfte sich für die Durchsetzung der Massnahmen erschwerend auswirken. Rechtsgrundlagen Der Inspektionsbericht bemängelte die veralteten und nicht mehr klaren Rechtsgrundlagen für den Bereich der Schutz- und Sicherheitsmassnahmen in der Empfehlung A. Diese werden voraussichtlich erst nach Abschluss des Projektes formell-gesetzlicher Grundlagen für den Informationsschutz (FOGIS) revidiert. Der Handlungsbedarf seitens der Projektleitung ISMS VBS ist erkannt; u.a. ist nachzulesen: Im Rahmen des ISMS-Projektes sollten in einem zentralen Dokument die im VBS relevanten Rechtsgrundlagen aufgeführt werden. Für die Erarbeitung dieser Liste sollte entschieden werden, ob auf die Ergebnisse des Projektes 4/8

5 FOGIS gewartet werden kann. Der aktuelle Status im Zusammenhang mit dem Projekt FO- GIS ist dem Inspektorat VBS nicht bekannt. Controlling / Kontrolle Audits durch IOS/SCI Gemäss der Empfehlung B des Inspektionsberichts sollte die Kapazität im Sicherheitscontrolling der IOS/SCI für die Durchführung von Kontrollen erhöht werden (ausser bei den Truppen) und die Prüfungsobjekte inkl. der Handhabung der Sanktionen sollten mit den Linienverantwortlichen jährlich vereinbart werden. Diese Empfehlung sollte, gemäss, neu beurteilt werden, da die Fachspezialisten für Informatiksicherheit in der ITS bereits vorhanden sind und der Aufbau bzw. Ausbau einer parallelen Organisation mit Fachspezialisten weder effizient noch effektiv ist. Diese Beurteilung ist aus Sicht des Inspektorats VBS insofern falsch, da keine parallele Organisation aufzubauen ist. Das Inspektorat VBS ist der Ansicht, dass das Controlling bzw. die Berichterstattung zu reduzieren ist und durch dieselben Personen aufgrund freier Kapazitäten mehr Aufwand in effektive Kontrollen investiert werden sollte. Aussagen im Zusammenhang mit den Lehren aus FIS HE Vorgehensmodell TUNE+ für IKT-Projekte im Rüstungsbereich Für den Aufbau des neuen ISMS VBS sollten die Erkenntnisse aus der Inspektion des Inspektorates VBS zum Führungsinformationssystem Heer (FIS HE) vom berücksichtigt werden. Insbesondere im Kapitel 6 (Lehren für künftige komplexe Beschaffungsprojekte) werden wesentliche Erkenntnisse zum Rüstungsbeschaffungsprozess TUNE (Punkte 2-5) und dem Risikomanagement (Punkt 10) aufgeführt, die für ein funktionierendes ISMS VBS ebenfalls relevant sind. Das Inspektorat VBS nimmt zur Kenntnis, dass die Thematik für das ISMS VBS erkannt wurde. Die Umsetzung erfolgt einerseits durch die aktuelle Überarbeitung des Rüstungsablaufes und andererseits muss die Projektleitung ISMS VBS sich für seine Bedürfnisse einbringen. Unabhängige Kontrollen und keine Beratungen durch die IOS Empfehlung F: Keine Projektberatungen durch IOS/ITS F1) Das Inspektorat VBS empfiehlt, die von der Projektorganisation unabhängige Abnahmekontrolle von ISDS-Konzepten zur Durchführung der Abnahmeprüfung zwingend einzuhalten. Gemäss ist zu lesen: Einstimmig wurde von allen interviewten ISBO die enge Zusammenarbeit und Beratung durch die IOS/ITS als wesentliches Erfolgskriterium für die einheitliche Beurteilung der Informatiksicherheit genannt. Auch die Beratung von Projekten durch die ISBO und IOS/ITS wird als wesentlich für eine konstruktive und inhaltlich konsistente Zusammenarbeit mit den Projekten aus den Verwaltungseinheiten wahrgenommen. 5/8

6 Im Bericht vom kommt das Inspektorat VBS zur entgegengesetzten Empfehlung, nämlich die beratende Unterstützung von Projekten weg von der IOS hin zu W+T armasuisse oder der FUB zu verschieben, um eine Entlastung der IOS/ITS zu erzielen. Das Argument des Inspektorats VBS ungenügender Unabhängigkeit der IOS/ITS bei gleichzeitiger Beratung und Prüfung ist nachvollziehbar, wiegt gemäss Aussagen aber erheblich weniger schwer als die Vorteile einer solchen Lösung. Allenfalls zu prüfen ist der Aufbau einer von der IOS/ITS unabhängigen Einheit für die Durchführung von eigentlichen Informatikrevisionen (z.b. durch W+T armasuisse). Das Inspektorat VBS kann das Bedürfnis nachvollziehen, vertritt aber den diesbezüglichen Revisionskodex in Bezug auf die Unabhängigkeit nach dem Grundsatz, dass die unabhängige Prüfungstätigkeit nicht mit Beratung vermischt werden sollte. Unabhängige Überprüfung der Informationssicherheit Eine regelmässige Überprüfung der Informationssicherheit ist laut Aussagen nicht sichergestellt. Es findet jedoch eine punktuelle Revision durch die Eidgenössische Finanzkontrolle (EFK) statt. Die EFK prüft mehr als die interne Revision, verfügt aber nicht über VBS-spezifisches Wissen. Hinzu kommt, dass das Sicherheitsmanagement und die Informationssicherheit nicht zu den Prüfungsschwerpunkten gehören. Auch das Inspektorat VBS verfügt nur über ein beschränktes Wissen in diesem Bereich. Daher ist eine tieferführende Prüfung durch diese Stellen nicht oder nur eingeschränkt möglich. Das Inspektorat VBS kann den objektiv erfassten Handlungsbedarf nur bestätigen. Dieser ist offensichtlich: Es müssen IT-Audits durchgeführt werden. Dies muss in der künftigen Planung des Inspektorats VBS thematisiert und gegebenenfalls mit den Fachbereichen abgestimmt werden. 4.2 Zusammenfassende Beurteilung zur Berücksichtigung der Empfehlungen aus der Inspektion I001 Das Inspektorat VBS stellt fest, dass mit dem Projekt ISMS VBS, wie bereits im Inspektionsbericht I 001 festgehalten, ein für die Informationssicherheit relevantes Projekt initiiert wurde. Die damaligen Empfehlungen zu diesem Themenbereich wurden aufgegriffen. Die vertiefte Analyse durch zeigt schonungslos den grossen Handlungsbedarf auf. Aus den dem Inspektorat VBS vorliegenden Dokumenten geht nicht hervor, wie und bis wann der in den Berichten aufgeführte Handlungsbedarf abgearbeitet wird. Die bisherige Umsetzung ist gegenüber der Planung im Projektauftrag verzögert. Auch in diesem Projekt liegt der kritische Erfolgsfaktor bei den Personalressourcen und den eigenen Fähigkeiten. Insbesondere sollte die zum Teil hochsensitive Thematik nicht unverantwortlich Dritten überlassen werden, da der interne Know-how Erhalt sichergestellt werden soll. Dieser Einwand wurde bereits während der damaligen Inspektionsdurchführung des Inspektorats VBS identifiziert. 6/8

7 4.3 Beurteilung der Zweckmässigkeit der Anträge des Verantwortlichen für das Sicherheitsmanagement VBS Mit Brief vom wurden die Departementsbereichsleiter vom Verantwortlichen für das Sicherheitsmanagement VBS über folgende in den Beilagen zum Brief erwähnte Dokumente informiert bzw. aufgefordert ihre Stellungnahme abzugeben: 1. Statusbericht zum Projekt Informationssicherheitsmanagementsystem VBS vom zur Orientierung 2. Schreiben Neue Aufbauorganisation für die Informatiksicherheit im VBS inkl. Erläuterungen und Stellenbeschreibungen zur Orientierung 3. Schreiben Vernehmlassung der Prinzipien für die Informationssicherheit im VBS (Pins VBS), inkl. Prinzipien Entwurf vom ; Zur Stellungnahme bis Schreiben Statusreport Schutzobjekte inkl. Beilagen zur Orientierung Das Inspektorat VBS wurde nicht in die offizielle Vernehmlassung einbezogen. Die folgende Stellungnahme des Inspektorats VBS wurde zuhanden der Generalsekretärin VBS verfasst, auf Basis der vorliegenden unter den Punkten erwähnten Dokumenten und den Erkenntnissen aus der im Jahr 2011 durchgeführten Inspektion. Wie bereits in Ziffer 4.1 erwähnt, ist der Zweck eines ISMS VBS aus Sicht des Inspektorats VBS unbestritten. erfasste Handlungsbedarf wurde wie im Statusbericht beschrieben priorisiert. Gemäss Statusbericht wurden bereits über 50% des in den beiden identifizierten Handlungsbedarfs realisiert. Anhand des Statusberichts ist es dem Inspektorat VBS nicht möglich, die Abarbeitung bzw. Umsetzung des ausgewiesenen Handlungsbedarfs nachzuvollziehen. Es bestehen berechtigte Zweifel an der Umsetzung, da beispielsweise das aktuelle Handbuch HITS über die IKT-Sicherheit das letzte Mal am revidiert wurde. Viele Kapitel sind nach wie vor unbearbeitet. Die Umsetzung der neuen Bundesinformatikverordnung (BinfV) per und die Konsequenzen daraus sind nicht ersichtlich. Im Weiteren ist aus dem Statusbericht nichts über die Kosten und Risiken ersichtlich. Das beschriebene weitere Vorgehen soll anlässlich einer Departementsleitungssitzung VBS beantragt werden. Zur Ziff. 2: Die Aufbauorganisation für Informatiksicherheit im VBS soll sowohl innerhalb der IOS wie auch in den dezentralen Verwaltungseinheiten neu geregelt und in Folge reorganisiert werden. Konkret sollen die Funktionen der IKT-Sicherheit und des Informationsschutzes zusammengelegt werden. Die Rolle der bisherigen ISBO in den Verwaltungseinheiten sollen durch die erweiterte und gesamtheitliche Rolle eines Chefs Informationssicherheit (CISO) zusammengefasst und wo nötig ausgebaut werden. Innerhalb der IOS sollen die Funktionen 7/8

8 IKT-Sicherheit, Informationsschutz und Industriesicherheit ab Sommer 2013 unter Informationssicherheit zusammengelegt werden. Das Inspektorat VBS begrüsst diesen Vorschlag. Der damalige Inspektionsbericht ging diesbezüglich nicht so weit. Wie diese Verantwortung auf Stufe VBS wahrgenommen wird, geht aus nicht hervor, wie beispielsweise die Verantwortlichkeit des CdA oder der Generalsekretärin VBS im Zusammenhang mit dem Thema. Diesbezüglich Transparenz und klare Verantwortlichkeiten festzulegen, wurde bei der durchgeführten Inspektion bereits im 2011 kritisiert. Auch weist auf die noch offenen Fragen bezüglich der Organisation auf Stufe VBS hin bzw. den Auswirkungen der Bundesinformatikverordnung auf das VBS. Zu Ziff. 3: Mit der Vernehmlassung der Prinzipien für die Informationssicherheit im VBS (Pins VBS) beabsichtigt der C A Stab das Commitment für die Informationssicherheit auf oberster Departementsebene abzuholen. Die Pins VBS wurden bereits von der Projektaufsicht ISMS VBS geprüft und freigegeben. Das Inspektorat VBS unterstützt das Begehren, dass diese Grundprinzipien vom C VBS mitgetragen werden. Dennoch stellt sich die Frage, wie der direkte Führungsprozess und die Kontrolle bezüglich der Umsetzung auf Stufe Departement organisiert werden soll. Zu Ziff. 4: Der Statusreport über die Schutzobjekte für das GS VBS bildet wie auch in den übrigen Verwaltungseinheiten eine Basis, die vollständig und transparent vorhanden sein muss. Ohne diese Grundlage ist es nicht möglich, den konkreten Handlungsbedarf bezüglich den abzuarbeitenden Risiken und den von den Linienverantwortlichen zu tragenden Restrisiken zu definieren. Die Bereinigung der Schutzobjekte hat ein weiterer Vorteil, nämlich dass durch die Bestandsaufnahme das eine oder andere Schutzobjekt frühzeitig liquidiert wird. Das Inspektorat VBS begrüsst das Vorgehen. 5. Abschliessende Beurteilung Inspektorat VBS Die im 2011 durch das Inspektorat VBS durchgeführte Inspektion wie auch zeigen auf, dass zwingender Handlungsbedarf im Bereich IKT-Sicherheit besteht. Mit dem inzwischen verabschiedeten Projektauftrag ISMS VBS wurde durch die IOS ein systematischer Ansatz zur nachhaltigen Behebung der Mängel aufgezeigt und auch initialisiert. Es geht nun darum, diese noch schwache Initiative durch die Linienverantwortlichen, welche für die Informationssicherheit zuständig sind, zu stärken. Diese Stärkung wird nicht ohne einen signifikanten Aufbau von Kompetenzen und teilweise auch Ressourcen möglich sein. Den Kostenfolgen sollte die erforderliche Beachtung geschenkt werden, da eine qualitative Verbesserung der Sicherheit ihren Preis hat. 8/8