Bundespolizei. Projekt Automatisierter Grundschutz. it-sa Michael Jokisch, Referat 51 IT-Strategie und Sicherheitsmanagement

Größe: px

Ab Seite anzeigen:

Download "Bundespolizei. Projekt Automatisierter Grundschutz. it-sa Michael Jokisch, Referat 51 IT-Strategie und Sicherheitsmanagement"

Joseph Salzmann
vor 6 Jahren
Abrufe

1 Bundespolizei Projekt Automatisierter Grundschutz it-sa Michael Jokisch, Referat 51 IT-Strategie und Sicherheitsmanagement

2 Gliederung 1. Bundespolizei 2. Ausgangslage 3. Vorstudie und Vorprojekt 4. Konzeption Sicherheitsmanagementsystem 5. Hauptprojekt Automatisierter Grundschutz (ags) 6. Praxisbeispiel 7. Projektergebnisse 8. Fragen und Diskussion 2

eine der größten polizeilichen IT-Landschaften Deutschlands Informations- und Kommunikationstechnik ist für die Polizeiarbeit unverzichtbar Eckdaten

200 Querschnittsanwendungen hochverfügbarer IT-Betrieb 24h an 365 Tagen im Jahr gesicherte Netzanbindungen für an ca.

3 eine der größten polizeilichen IT-Landschaften Deutschlands Informations- und Kommunikationstechnik ist für die Polizeiarbeit unverzichtbar Eckdaten IKTZ (Abt. 5) ist zentraler Servicedienstleister für alle Fachabteilungen ca. 120 polizeiliche IT-Anwendungen und ca. 200 Querschnittsanwendungen hochverfügbarer IT-Betrieb 24h an 365 Tagen im Jahr gesicherte Netzanbindungen für an ca. 250 Standorten (weltweit) 1 Hauptrechenzentrum in Berlin 3 Außenstellen (Bad Bramstedt, Koblenz, München) ca. 400 physikalische Server ca virtualisierte Server ca IT-Arbeitsplätze im Polizeinetz 3

4 Ausgangslage Vorgaben zur IT-Sicherheit Verpflichtungen zur Umsetzung vom IT-Grundschutz: AK II - Beschluss (2006) Umsetzungsplan Bund (2008) Standards der Kommission für Informationssicherheit des UA IuK Bundesamt für Sicherheit in der Informationstechnik gegenseitige Audits der Polizeien hoher manueller Aufwand für initiale Erstellung und Aufrechterhaltung der Aktualität Eine "klassische" Anwendung der Verfahrensweise des IT-Grundschutzes des BSI ist mit den verfügbaren Ressourcen nicht möglich. 4

5 Vorstudie und Vorprojekt (Überblick) Vorstudie Festlegung Kernforderungen, erste fachlicher Anforderungen erste Marktsichtung Konzeption Sicherheitsmanagementsystem Konzeption Sicherheitsmanagementsystem (SMS) Einbindung eines professionellen Dienstleisters mit langjähriger Erfahrung im (BSI) IT-Sicherheitsumfeld Realisierungsprüfung Gesamtkonzept durch Vorprojekt Weiterentwicklung SMS weitere Marktsichtung Lösungsanbieter BSI IT GS Lösungspartner Beauftragung Projektdurchführung durch AL 5 Auslösen Beschaffungsaufträge Vorstudie Konzeption SMS Vorprojekt Hauptprojekt Jul - Nov Nov - Mrz Apr - Aug seit Sep

anlassbezogener Erhebung relevanter Daten Tool-gestützte Erstellung, Aktualisierung von Sicherheitsmanagementsystem Konzeptioneller Aufbau nichttechnische Informationen SMS Informationsverbund,

6 anlassbezogener Erhebung relevanter Daten Tool-gestützte Erstellung, Aktualisierung von Sicherheitsmanagementsystem Konzeptioneller Aufbau nichttechnische Informationen SMS Informationsverbund, Strukturanalyse, Netzpläne Richt linie I nt e rview A u t o m a t i s i e r t e r G r u n d s ch u t z und A u t o m a t i s i e r t e r G r u n d s ch u t z und A u t o m a t i s i e r t e r G r u n d s ch u t z und A u t o m a t i s i e r t e r G r u n d s c h u t z A u t o m a t i s i e r t e r G r u n d s c h u t z, A u t o m a t i s i e r t e r G r u n d s c h u t z, A u t o m a t i s i e r t e r G r u n d s c h u t z, A u t o m a t i s i e r t e r G r u n d s c h u t z technische Informationen Verfahrens- und Strukturwissen Sicherheits- Management- Database Schutzbedarfzuordnung, Modellierung Verbund Basis-Sicherheitscheck, SOLL-IST Vergleich BSI BPOL SiM =? IT-Sicherheitskonzepte Risikoanalyse Sicherheitsreports Auditreports..... Schwachstellenmanagement 6

Sicherheitsmodul n Sicherheitsmodul 2 bisheriges Vorgehen Sicherheitskonzepte

7 IT-Verfahren A IT-Verfahren B IT-Verfahren Z IT-Verfahren A IT-Verfahren B IT-Verfahren Z Sicherheitsmanagementsystem Modularer Aufbau Sicherheitsarchitektur Sicherheitskonzepte Sicherheitsmodul n Sicherheitsmodul 2 bisheriges Vorgehen Sicherheitskonzepte Sicherheitsmodul 1 Sichere Kern-IT (SiKIT) zukunftssicheres Vorgehen Informationssicherheitsmanagementsystem (ISMS) 7

8 Verfahren A Verfahren B Verfahren Z SiM - inhaltlicher Aufbau Sicherheitsmanagementsystem Sicherheitsmodule (1) SiKo SiM n SiM 2 SiM 1 1. spezifische Vorgaben: umzusetzende Sicherheitsmaßnahmen a. Basis: Maßnahmen des passenden IT-Grundschutz- Bausteins, sofern existent b. Präzisierung: eingesetzte Technologie (z.b. konkretes Produkt für eine Datenbank) c. Erweiterung: Best-Practice-Empfehlungen (u.a. Center for Internet Security, Produkthersteller) insbesondere für hohen und sehr hohen Schutzbedarf 2. konkrete Umsetzungsprüfung a. technische Prüfaspekte b. nicht-technische Prüfaspekte mit jeweils mit einheitlichen Vorgaben (z.b. Konfigurationsparameter) SiKIT ISMS 3. generische Risikoanalyse a. für hohen und b. sehr hohen Schutzbedarf 8

9 Schichten IT-Grundschutz Sicherheitsmanagementsystem Sicherheitsmodule (2) Anwendungen ORACLE DB Maria DB Tomcat Systeme Windows 2012 Srv RedHat 6 Srv ESXi Netzwerk VPN lokale Netze WLAN.. Infrastruktur Gebäude Schutzschränke Rechenzentrum übergreifende Aspekte "SiM-Stack" Personal Datenschutz Kryptokonzept durch ein IT-Verfahren konkret genutzte SiM Die SiM erweitern die bisherigen Bausteine und werden an ihrer Statt zur Modellierung des IT-Verbundes verwendet. Das Projekt ags erstellt aktuell 90 SiM. 9

10 Hauptprojekt ags Projektziele Projektziele Weitgehende Automatisierung der Geschäftsprozesse im Bereich IT-Sicherheit durch toolgestützte Workflows für die Teilgeschäftsprozesse: Sichere Kern-IT Compliance management Reporting Schwachstellenmanagement Etablierung einer SMDB: Repository für IT-Sicherheit Definition und Dokumentation des Sicherheitsniveaus 10

11 Hauptprojekt ags Beteiligte und Rollen Konzeption Konstruktion Ausarbeitung Übergang zum Betrieb Betrieb (Produkthersteller) (BSI IT GS Lösungspartner) secunet (fachliche Beratung, BSI-Konformität, QS-Instanz) BUNDESPOLIZEI, Abteilung 5 (Auftraggeber) 11

Praxisbeispiel EAC-PKI - Audit ISO 27001auf Basis IT-GS Operative Instanz/ Pilotbetrieb Compliance-Prüfung der Extended Access Control Public Key Infrastructure (EAC-PKI) der BPOL zur Erprobung der

12 Praxisbeispiel EAC-PKI - Audit ISO 27001auf Basis IT-GS Operative Instanz/ Pilotbetrieb Compliance-Prüfung der Extended Access Control Public Key Infrastructure (EAC-PKI) der BPOL zur Erprobung der ags - internen Arbeitsprozesse einschließlich Beiträgen im Rahmen der Überprüfungszertifizierung nach ISO Erste Ergebnisse: Konkrete Verbesserung des Sicherheitsniveaus der EAC-PKI Verdeutlichung zukünftiger Stärkung des ISMS BPOL positives Feedback Auditoren zum Gesamtkonzept ags die BPOL konnte ihre deutlichen Fortschritte bei der Verbesserung des Sicherheitsniveaus für die EAC-PKI glaubhaft nachweisen, das Zertifikat wurde verlängert 12

13 Projektergebnisse Effizienzsteigerung (1) Erstellung Sicherheitskonzept IT- Strukturanalyse Schutzbedarf Feststellung Modellierung Basis-Sicherheitscheck Ergänzende Sicherheits- Analyse Risikoanalyse ITSA SBF MOD BSC ESA RA Reporting / Bereitstellung Referenzdokumente Effizienzsteigerung durch systematische Erhebung der IT-Assets im SMS Zuordnung der Maßnahmenkataloge als SIM Nur noch in Ausnahmefällen erforderlich da bereits mit Erstellung der SIM erfolgt. Regelbasierte Vererbung des Schutzbedarfes auf die IT-Assets Deutliche Zeit-, Kosten- und Ressourceneinsparung durch automatisierte Prüfungen und Web- Assessments zur Maßnahmenumsetzung 13

Projektergebnisse durchgängiger, (teil)automatisierter Prozess selbstgesteuertes Web-Assessment Ergebnis Basissicherheitscheck Betrachtungsgegenstand Control

14 Projektergebnisse durchgängiger, (teil)automatisierter Prozess selbstgesteuertes Web-Assessment Ergebnis Basissicherheitscheck Betrachtungsgegenstand Control Compliance Suite SMDB IT-Sicherheitskonzept Risikoanalyse automatisierte technische Prüfung Bearbeitung SiKo (u.a. Einpflegen weiterer Daten, Netzplan, Schutzbedarf, ) 14

15 Projektergebnisse Effizienzsteigerung (2) Aufwände für Basissicherheitscheck Vorbereitung (logistisch) Durchführung Nachbereitung (QS, Dokumentation) bisher Windows-Server 2012 R2 mit ags Erläuterung 0,5 PT -/- entfällt 2,5 PT 1 PT 1 PT 0,5 PT 30% automatisierte Prüfung 70% web-basiertes Assessment weniger QS durch präzise Fragen automatische Verarbeitung und Reporting Gesamtaufwand 4 PT 1,5 PT Reduktion um 60% Reisekosten 400 -/- entfällt Hochrechnung anhand aktueller Vorbereitungen für ein internes Audit: - 18 Bausteine ca. 45 PT mögliche Ersparnis (!) 15

16 Fragen und Diskussion Bitte besuchen Sie uns! - Stand 636, Halle 12 - Kontaktdaten Michael Jokisch Bundespolizeipräsidium Referat 51 IKT-Strategie und Sicherheitsmanagement Heinrich-Mann-Allee Potsdam Telefon: michael.jokisch@polizei.bund.de Internet: Kontaktdaten Torsten Hauswald Bundespolizeipräsidium Referat 54 Produktmanagement Heinrich-Mann-Allee Potsdam Telefon: torsten.hauswald@polizei.bund.de Internet:

Ähnliche Dokumente

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit