Bundesamt für Informatik und Telekommunikation BIT

Transkript

1 Bundesamt für Informatik und Telekommunikation BIT Sascha Gasser Oktober 2016

2 Das BIT ist Teil der Bundesverwaltung Die Bundesverwaltung 2

3 Das BIT im Eidgenössischen Finanzdepartement (EFD) EFD (9 400 Stellen) GS ISB SIF EFV EPA BIT ESTV EZV EAV BBL EFK FINMA PUBLICA GS Generalsekretariat ISB Informatiksteuerungsorgan Bund SIF Staatssekretariat für internationale Finanzfragen EFV Eidgenössische Finanzverwaltung EPA Eidgenössisches Personalamt ESTV Eidgenössische Steuerverwaltung EZV Eidgenössische Zollverwaltung EAV Eidgenössische Alkoholverwaltung BIT Bundesamt für Informatik und Telekommunikation BBL Bundesamt für Bauten und Logistik Dem EFD administrativ angegliedert sind EFK Eidgenössische Finanzkontrolle FINMA Eidgenössische Finanzmarktaufsicht PUBLICA Pensionskasse des Bundes 3

4 Das BIT in Zahlen 138 Kundenprojekte von 36 Verwaltungseinheiten Standorte des BIT 2016 Auftrags- und Projektlandschaft des BIT Einzelbestellungen Kleinaufträge ohne Projektorganisation 871 Offerten erfasst 847 Offerten erledigt Festnetz- Nummern Rund 400 Fachanwendungen Server Mailboxen Systemlandschaft des BIT Arbeitsplatzsysteme Mobile- Nummern 278 TB Büroautomation- Speicher: installierte Software-Pakete (auf Arbeitsplatzsysteme) Benutzer- Accounts 4

5 Organisation der Bundesinformatik 5

6 Mission BIT Stossrichtung Grundsatz Durchgängigkeit Das BIT erbringt für seine Kunden durchgängige und integrierte IKT-Leistungen. Integration Das BIT sorgt im Auftrag des Kunden für einen verlässlichen Betrieb und die Gesamtintegration. Standarddienste Das BIT ist Leistungserbringer für Standarddienste im Rahmen Gesamtinteresse Bundesverwaltung. Kundennähe Das BIT kennt, versteht und unterstützt den Kunden in der Optimierung des IKT-Nutzens. Fokus Das BIT konzentriert sich auf eine gute Beherrschung und Erfüllung seiner Kernaufgaben. Partnerschaft Das BIT arbeitet als Partner der LB und LE in der Bundesverwaltung. 6

7 Das BIT BAL Bus. Analyse & Lösungsarchitektur PRO Projekte Sicherheits- ETR und BTR Risikomanagement Engineering Betrieb & Transition (SUR) SOM Support & Order Mgmt KAM Kunden-und Angebotsma nagement GOV Governance Projektleitende SUP Supportfunktionen 7

8 Aufgaben GOV-SUR Risiken überwachen Kundenberatung in IT-Sicherheits- und Risikofragen Auslösung notwendiger Massnahmen zur Risikoreduktion und Erhöhung der Sicherheit Sicherstellung der Vorgabeneinhaltung 8

9 Kernbereiche GOV-SUR Compliance IKS Risikomanagement Sicherheits- und GRC Risikomanagement Toolbox Pro (SUR) AGIS BIT BCM ISMS 9

10 Evaluation eines RM Tools Integration der Themenbereiche Risikomanagement, ITGC, Compliance/Audit, ISMS und BCM darf im Zeithorizont von 4 Jahren das maximale Budget von CHF nicht überschreiten keine zu starke Integration in die bestehenden Systeme wie SAP GRC Integration der Themenbereiche Risikomanagement, ITGC, Compliance/Audit, ISMS und BCM 10

11 Vorgehen Einführung GRC Toolbox Pro Konzeption Customizing Schulung Testing Go-Live Dauer: 3 Monate 11

12 Einwirkung RM Tool auf die Mission BIT Stossrichtung Grundsatz Durchgängigkeit Das BIT erbringt für seine Kunden durchgängige und integrierte IKT-Leistungen. GRC Toolbox Pro Integration Das BIT sorgt im Auftrag des Kunden für einen verlässlichen Betrieb und die Gesamtintegration. Standarddienste Das BIT ist Leistungserbringer für Standarddienste im Rahmen Gesamtinteresse Bundesverwaltung. GRC Toolbox Pro Kundennähe Das BIT kennt, versteht und unterstützt den Kunden in der Optimierung des IKT-Nutzens. GRC Toolbox Pro Fokus Das BIT konzentriert sich auf eine gute Beherrschung und Erfüllung seiner Kernaufgaben. GRC Toolbox Pro Partnerschaft Das BIT arbeitet als Partner der LB und LE in der Bundesverwaltung. 12

13 Nutzen Tiefere Integration der verschiedenen Themenbereiche Förderung der Zusammenarbeit der verschiedenen Beteiligten/Bereiche Bessere Gesamtübersicht über Sicherheit und Risikomanagement Höhere Datenqualität Effizienter Betrieb der verschiedenen Themenbereiche mit Hilfe von Workflows und Automatismen Transparentere Berichterstattung Höhere Akzeptanz der Beteiligten durch zentrale Plattform 13

14 GRC Toolbox Pro 14

15 Themenbereich Risikomanagement Teil I Führen von Risiken in Bezug auf IT- sowie in Bezug auf NonIT-Risiken (Gebäude, Finanz, Personensicherheit, etc.) integriertes Risikomanagement Workflows werden durch Benutzeraktionen innerhalb des Tools RM automatisch ausgelöst Periodische Aktivitäten: periodisch (regelmässig) wiederkehrende Aktivitäten, die im Tool RM konfiguriert werden Konfigurierte Aktivitäten werden in einem definierten Intervall automatisch gestartet 15

16 Themenbereich Risikomanagement Teil II Risiken aus verschiedenen Quellen führen: IT-RM (bspw. Incidents, Changes) SB (Befunde aus Projekten) Compliance/Audit (bspw. Nichtkonformitäten, Findings) IKS/ITGC (bspw. applikationsbezogene Risiken) ISMS (ISMS-Risiken, Security Incidents, Exceptions) BCM (zukünftig BCM-relevante Risiken) AGIS BIT (betriebliche Risiken bspw. EoL-Systeme, etc.) zu den Risiken werden Massnahmen «getrackt» 16

17 Themenbereich Risikomanagement Risikoportfolio - Teil III 17

18 Themenbereich Compliance/ITGC Kontrollen sind zentral abgelegt und zugänglich die definierten Kontrollen werden in der Risiko-Kontrollmatrix übersichtlich zusammengefasst Aufträge werden automatisch an die verantwortlichen Personen verschickt Aufträge werden zentral im Tool abgewickelt & überwacht Nachweise sind zentral abgelegt Risiken werden automatisch in einem Portfolio grafisch dargestellt die Entwicklung der Risiken sind nachvollziehbar Reports können individuell generiert werden 18

19 Themenbereich ISMS Menü (nach ISO 27001) 19

20 Themenbereich ISMS Risiken, Massnahmen u. ISO-Controls Zentrale Erfassung der Informationssicherheitsrisiken Definition von Massnahmen und ISO-Kontrollmassnahmen zur Behandlung der erfassten Risiken Wenn eine Massnahme erstellt wird: Workflow 1 - bei Abschluss einer Massnahme werden die Themenverantwortlichen per Mail informiert Workflow 2 «Eskalation» - wenn eine Massnahme zum dritten Mail verschoben wird, erfolgt ein Mail an itsicherheit@bit.admin.ch Ablage von ISMS-Vorgaben und Nachweisen Report Statement of Applicability (SoA) für interne und externe Audits 20

21 Themenbereich BCM wird 2017 umgesetzt 21

22 Live Demo 22

23 Fragen 23

24 Anhang Demo Tool 24

25 Übersicht Aufbau Tool 25

26 Risiko-Kontrollmatrix 26

27 Aufträge 27

28 Aufträge bearbeiten 28

29 Nachweise ITGC 29

30 Auditliste 30

31 Nachweise Audit 31

32 Risiken erfassen 32