ISMS Organisation, Prozesse, Dokumentation und Security- Awareness

Größe: px

Ab Seite anzeigen:

Download "ISMS Organisation, Prozesse, Dokumentation und Security- Awareness"

Frieda Schmitt
vor 8 Jahren
Abrufe

1 Informationssicherheit in der BA Hr. Bayerlein 6. Cyber-Sicherheitstag 22. September 2014 ISMS Organisation, Prozesse, Dokumentation und Security- Awareness

2 Agenda Die Bundesagentur für Arbeit (BA) stellt sich vor Die IT-Landschaft der BA Aufbauorganisation und Kommunikationswege in der Informationssicherheit Das Informationssicherheitsmanagement-System (ISMS) Erfahrungen bei der Einführung des ISMS Sensibilisierungs-(Awareness-)Kampagne Heinz hat`s drauf Seite 2

Informationssicherheit Das Informationssicherheitsmanagement-System (ISMS)

3 Die Bundesagentur für Arbeit: Zahlen, Daten, Fakten Aufbau der BA 7 besondere Dienststellen Vorstand: Frank-Jürgen Weise (VV) Raimund Becker Heinrich Alt Zentrale in Nürnberg 10 Regionaldirektionen als Mittelinstanzen 156 Agenturen für Arbeit Institut für Arbeitsmarkt- und Berufsforschung (IAB) Zentrale Auslands- und Fachvermittlung (ZAV) Führungsakademie der BA Hochschule der BA IT-Systemhaus der BA BA-Service-Haus Familienkasse 303 Jobcenter Kooperative Zusammenarbeit mit kommunalen Trägern im Bereich SGBII Seite 3

Arbeitsmarkt- und Berufsforschung (IAB) Zentrale Auslands- und Fachvermittlung (ZAV) Führungsakademie der BA Hochschule der BA

4 Die IT-Landschaft der BA im Überblick Zahlen und Fakten der IT Die Informationstechnik der BA hat ihren Hauptsitz ebenfalls in Nürnberg und zählt zu den größten IT-Landschaften in Deutschland Die Systemlandschaft fußt auf drei hochverfügbar ausgelegten zentralen Rechenzentren IT-Mitarbeiter/innen Anzahl vernetzte PC Anzahl Server Zentrale Server unter UNIX 230 Server Windows Linux-Server Angebundene Liegenschaft Anzahl Switche und Router Die Vision der BA Informationstechnik: Die BA-Informationstechnik ist der leistungsfähigste und wirtschaftlichste IT- Dienstleister im öffentlichen Bereich Anzahl Auskunftsplätze Monatlicher Output an s 36 Mio Druckseiten 43 Mio Überweisungen 17 Mio (8 Mrd ) Betreute BA-IT-Verfahren 120 Seite 4

430 Zentrale Server unter UNIX 230 Server Windows 9.800 Linux-Server 2.400 Angebundene Liegenschaft 1.900 Anzahl Switche und Router 20.

5 Aufbauorganisation und Kommunikation der Informationssicherheit Vorstand Geschäftsbereich Informationstechnologie / Prozesse IT-Sicherheit ITP3 (IT-Sicherheitsbeauftragter der BA) zentral Steuerung Regionaler IT- Service (RITS) IT-Systemhaus RITS-SV 1 RITS-SV 2 RITS-SV 19 IT-Sicherheitsbeauftragter dezentral IT-SV je Dienststelle Seite 5

(IT-Sicherheitsbeauftragter der BA) zentral Steuerung Regionaler IT- Service (RITS)

6 Einführung eines Informations-Sicherheits- Management-System (ISMS) Warum ein ISMS für die IT der BA? Die Geschäftsprozesse der BA sind ohne funktionierende Informationstechnologie (IT) nicht lebensfähig. Die IT ist nicht frei von Schwachstellen. So besteht ein berechtigtes Interesse, die von der IT erhobenen, verarbeiteten und genutzten Daten und Informationen zu schützen und die Informationssicherheit der IT zu planen, zu realisieren und zu kontrollieren. Ein angemessenes IT-Sicherheitsniveau lässt sich nur erreichen, wenn in einer IT-Sicherheitsanalyse bestehende Schwachstellen ermittelt werden, in einem IT-Sicherheitskonzept der Status Quo festgehalten wird, erforderliche Maßnahmen identifiziert und diese Maßnahmen konsequent umgesetzt werden. Seite 6

So besteht ein berechtigtes Interesse, die von der IT erhobenen, verarbeiteten und genutzten Daten und Informationen zu schützen und die Informationssicherheit der IT zu planen, zu

7 Einführung eines Informations-Sicherheits- Management-System (ISMS) Ziele des Projekts BA ISMS Aufbau eines Information Sicherheits Management System (ISMS) für die BA Zertifizierung des ISMS gemäß ISO auf der Basis v. IT-Grundschutz Grundlagen Wesentliche Voraussetzungen für eine erfolgreiche Zertifizierung Aktive Organisation der Informationssicherheit Funktionierende ISMS-Prozesse unter Einbeziehung der IT-Betriebsprozesse (ITIL) Umsetzen aller notwendigen Grundschutz- Maßnahmen Umsetzung erfolgt im Rahmen eines Stufenkonzeptes unter Zuhilfenahme externer Unterstützung Seite 7

IT-Grundschutz Grundlagen Wesentliche Voraussetzungen für eine erfolgreiche Zertifizierung Aktive Organisation der Informationssicherheit

8 Das Umfeld der Einführung des ISMS der BA Aufbau der zentralen IT-Sicherheits- Organisation Auf/Ausbau der dezentralen IT-Sicherheitsorganisation Sensibilisierungs- (Awareness-)Kampagne für IT-Sicherheit ( Heinz hat s drauf ) Aufbau eines Information Sicherheits Management System (BA ISMS) Implementierung IT-Betriebsprozesse, SWEP, Projektvorgehen Seite 8

IT-Sicherheit ( Heinz hat s drauf ) Aufbau eines Information Sicherheits Management System (BA ISMS)

Das Informations-Sicherheits-Management-System (ISMS) IT-Gesamtsicherheitskonzept der BA IT-Sicherheitspolitik (öffentlich) Leitlinie zur Informationssicherheit vom Vorstand IT-Anwender IT-Kunden

9 Das Informations-Sicherheits-Management-System (ISMS) IT-Gesamtsicherheitskonzept der BA IT-Sicherheitspolitik (öffentlich) Leitlinie zur Informationssicherheit vom Vorstand IT-Anwender IT-Kunden IT-Dienstleister IT-Sicherheits- Richtlinien 49 Übergreifende Sicherheitskonzepte (bedarfsgerecht öffentlich) 44 verfahrensspezifische IT-Sicherheitskonzepte, basisdienstspezifische IT-Sicherheitskonzepte (vertraulich) 160 Implementierung und Nachhaltung der IT-Sicherheitsmaßnahmen (Betriebsdokumentation, Durchführungsbestimmungen) 7k Seite 9

Sicherheitskonzepte (bedarfsgerecht öffentlich) 44 verfahrensspezifische IT-Sicherheitskonzepte, basisdienstspezifische

Zertifizierung 1. Stufe (Z1) Zertifizierung 2. Stufe (Z2) Das BA Informations-Sicherheits-Management-System (ISMS) Rahmenbedingungen Struktur der Dokumente Verwaltungsverfahren (gem.

10 Zertifizierung 1. Stufe (Z1) Zertifizierung 2. Stufe (Z2) Das BA Informations-Sicherheits-Management-System (ISMS) Rahmenbedingungen Struktur der Dokumente Verwaltungsverfahren (gem. 9 VwVfG) IT-Anwendung (Informationssystem) IT-Verfahren vsiko: verfahrensspezifische Sicherheitskonzepte Software Applikation BA-spezifisch systemnah Standard IT-Basisdienste bsiko: basisdienstspezifische Sicherheitskonzepte IT- System Betriebssystem Hardware Netz Infrastruktur Mehrfach verwendete Objekte (Standards) üsiko: übergreifende Sicherheitskonzepte Zielsetzung Redundanzfreie IT-Sicherheitsdokumentation: soviel wie möglich vor die Klammer ziehen Seite 10

9 VwVfG) IT-Anwendung (Informationssystem) IT-Verfahren vsiko: verfahrensspezifische Sicherheitskonzepte Software Applikation BA-spezifisch systemnah Standard

11 Erfahrungen aus der ISMS-Einführung Größe und Komplexität des Projektes bieten das Potential eines Leuchtturmprojektes für das Behördenumfeld. Die lange Projektlaufzeit führte zwangsläufig zu mehrmaligen Änderungen des Projekt-Scopes. Das Projektmanagement hatte daher eher den Charakter einer Expeditionsleitung. Das Projekt BA ISMS hat sich zu einem Transition/Change-Projekt entwickelt: viele Arbeitsergebnisse des Projektes führen zu deutlichen, schnellen und auch z.t. schmerzhaften Folgeaktivitäten in der Organisation; das Projekt hat daher eine sehr hohe Management- Aufmerksamkeit erreicht. IT-Sicherheit muss als Führungsaufgabe akzeptiert sein Die IT muss zukünftig die notwendigen Aktivitäten zur Sicherstellung der IT- Sicherheit priorisieren. Führungskräfte müssen demzufolge eine Vorbildfunktion einnehmen und die Mitarbeiter für die Belange und Ziele der IT- Sicherheit aktiv sensibilisieren und ggf. im Einzelfall nachsteuern. Seite 11

Das Projekt BA ISMS hat sich zu einem Transition/Change-Projekt entwickelt: viele Arbeitsergebnisse des Projektes führen zu deutlichen, schnellen und auch z.t. schmerzhaften Folgeaktivitäten in der Organisation; das Projekt hat daher eine sehr hohe Management- Aufmerksamkeit erreicht.

12 Erfahrungen aus der ISMS-Einführung BSI-Grundschutzstruktur bildet eine umfassende und gut zu nutzende Grundlage für IT-Sicherheitskonzeptionen Rechtzeitige Bereitstellung eines umfassenden ISMS-Tools ist zentrale Grundvoraussetzung Hohe Belastung der Produktverantwortlichen und der Sicherheitsorganisation bei der Einführung Dokumentationen erzeugen und pflegen Fokus IT-Sicherheit gleitet hinter das Zertifizierungsziel! Komplexität im ISMS steigt mit den höheren Schutzbedarfen Erheblicher finanzieller Aufwand für die Umsetzung von wichtigen Maßnahmen Bewusstsein für Informationssicherheit bei den technischen Produktverantwortlichen wächst; Risikoanalyse und - bewertung wird Standard Seite 12

erzeugen und pflegen Fokus IT-Sicherheit gleitet hinter das Zertifizierungsziel!

13 Sensibilisierungs-Kampagne: Der Schlüssel zum Erfolg! Security-Awareness ist Grundlage für die Gewährleistung eines angemessenen Informationssicherheitsniveaus. Verständnis dafür schaffen, dass Informationssicherheit wirklich ALLE angeht. Informationssicherheit aus den abgehefteten Regelwerken herausholen und täglich unaufdringlich präsent halten. Unbewusst fehlerhaftes, traditionelles Verhalten und Handeln auf Dauer verändern, d.h. Sensibilisierung ist ein immerwährender Prozess. Im Dialog mit Mitarbeiterinnen und Mitarbeitern, sowohl die dienstlichen, als auch die privaten Sichtweisen thematisieren. Das schwächste Glied der Kette bestimmt das Sicherheitsniveau! Seite 13

Informationssicherheit aus den abgehefteten Regelwerken herausholen und täglich unaufdringlich präsent halten.

14 Die Sensibilisierungs-(Awareness-)Kampagne Wiedererkennungsmarke Seite 14

Weiterentwicklung in 2014 ff Jeder Mitarbeiter/in ist zum Durcharbeiten verpflichtet Give aways (Blöcke, Tassen, ) Sensibilisierung (

15 Eingesetzte Awareness-Mittel und Sensibilisierungsmaßnahmen Kalender / IT-Newsletter / Dialog- Mitarbeiterzeitung BA-Direkt Beiträge (BA-Fernsehen) (z.b. Beitrag zu -Verschlüsselung) Web based training Selbstlernprogramme (WBT) Neu- bzw. Weiterentwicklung in 2014 ff Jeder Mitarbeiter/in ist zum Durcharbeiten verpflichtet Give aways (Blöcke, Tassen, ) Sensibilisierung ( Qualifizierung) für obere Führungskräfte Schulung der IT-Sicherheitsverantwortlichen in der Fläche Zentraler FAQ-Bereich Bildschirmschoner ( Heinz hat s drauf ) Seite 15

17 Seien Sie vorsichtig bei der Weitergabe sensibler Informationen! Geben Sie niemals Ihr Kennwort bekannt! Informationssicherheit geht alle an!

18 Halten Sie Ihren MAP immer unter Verschluss! Informationssicherheit geht alle an! , dbb Forum Berlin, Hr. Bayerlein, Zentrale ITP3 Bundesagentur für Arbeit

Informationssicherheit geht alle an! 22.

19 Nutzen Sie den Schnittstellen-PC für das Einlesen von externen Speichermedien! Informationssicherheit geht alle an! , dbb Forum Berlin, Hr. Bayerlein, Zentrale ITP3 Bundesagentur für Arbeit

Informationssicherheit geht alle an! 22.09.

21 Mitarbeiterbefragung zur Informationssicherheit Findet einmal jährlich in Form einer Stichprobenerhebung im August / September statt Inhalt bezieht sich schwerpunktmäßig auf die Wirkung der Awareness-Kampagne der Informationssicherheit Folgende Themenbereiche sind Bestandteil der Mitarbeiterbefragung: Gesamtzufriedenheit mit der Informationssicherheit Eingesetzte Awarenessmittel Bekanntheitsgrad der Awareness-Kampagne Bestimmte Themenschwerpunkte der Informationssicherheit (z.b. E- Mail-Verschlüsselung) Seite 21

22 Informationssicherheit geht alle an! Vielen Dank für Ihre Aufmerksamkeit! Fragen? Seite 22

Ähnliche Dokumente

; DuD Berlin; Eugen Bayerlein, Zentrale ITP3. Informations-Sicherheit-Management-System (ISMS) Einführung und Zertifizierung

16.6.2015; DuD Berlin; Eugen Bayerlein, Zentrale ITP3 Informations-Sicherheit-Management-System (ISMS) Einführung und Zertifizierung Bundesagentur für Arbeit (BA) zentraler Dienstleister am Arbeitsmarkt