Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

Größe: px

Ab Seite anzeigen:

Download "Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz"

Julia Weiß
vor 6 Jahren
Abrufe

1 04. Juli 2017 I Steffen Herrmann I IT-Sicherheitsbeauftragter der BA Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz 3. IT-Grundschutztag, Berlin

Bundesagentur für Arbeit (BA) Zahlen sprechen zentraler Dienstleister am Arbeitsmarkt Körperschaft des öffentlichen Rechts mit Selbstverwaltung knapp 100.

2 Bundesagentur für Arbeit (BA) Zahlen sprechen zentraler Dienstleister am Arbeitsmarkt Körperschaft des öffentlichen Rechts mit Selbstverwaltung knapp BA-Mitarbeiterinnen und -Mitarbeiter Vorstand Detlev Scheele (VV) Valerie Holsboer (VRS) Raimund Becker (VRE) Dr. Markus Schmitz (GV) Informationstechnologie (IT) Zentrale mit 10 Regionaldirektionen 156 Agenturen für Arbeit in 600 Geschäftsstellen 7 besondere Dienststellen zzgl. 303 Jobcenter (ge) Kooperative Zusammenarbeit mit kommunalen Trägern im Bereich SGBII Zahlen und Fakten IT-Mitarbeiter/innen: zentrale Rechenzentren: 2 vernetzte PC (inkl. PC in Jobcentern ge): Selbstinformations-Arbeitsplätze: Server: zentrale Server (UNIX): 40 bundesweite Server (Windows): Server (LINUX): angebundene Liegenschaften: betreute BA-IT-Verfahren: 120 Output (monatlich) -Volumen: 36 Mio. Überweisungen: 17 Mio. mit 8 Mrd. Postsendungen: 12 Mio. Druckseiten: 43 Mio. Telefonie (monatlich in Minuten) kommend: gehend: 9 Mio 5 Mio Seite 2

3 Zielvisionen der Informationssicherheit Prävention angemessener Schutz der Informationsinfrastruktur der BA Technologien und Bedrohungen IT-Strategie 2020 Reaktion wirkungsvolles Handeln bei Verlust der Informationssicherheit Nachhaltung Ausbau der Kompetenz für Informationssicherheit IT-Sicherheitsstandards der BA leben Bewusstseinsbildung bzw. -sensibilisierung für Informationssicherheit IT-Anwender IT-Dienstleister IT-Kunde Seite 3

4 Bestandteile des Information Security Management System (ISMS) Aktive Organisation der Informationssicherheit Funktionierende ISMS-Prozesse unter Einbeziehung der IT-Betriebsprozesse (ITIL 2011) Seite 4

der Basis von IT-Grundschutz erfolgreich

5 Bestandteile des Information Security Management System (ISMS) Realitätsabbildende IT- Sicherheitsdokumentation Etablierter Security Awareness Prozess Nachweis ISO Zertifikat auf der Basis von IT-Grundschutz erfolgreich bestandenes 1. Überwachungsaudit erfolgreich bestandenes 2. Überwachungsaudit Seite 5

6 Warum eine Zertifizierung nach ISO auf der Basis von IT-Grundschutz? BSI IT-Grundschutz ist Behördenstandard in der Bundesverwaltung Der Schutz der BA anvertrauten Informationen muss gewährleistet und nachgewiesen werden. Das ISMS wird im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP) an den aktuellen Stand der Technologie angepasst. Nachhaltigkeit/Aktualisierungsdruck in der Organisation wird aufrechterhalten. Regelmäßige interne Audits gewährleisten eine permanente Verbesserung des ISMS. Jährliche externe Audits durch Auditoren des BSI bestätigen die Ausrichtung des ISMS an einem etablierten Standard und die Weiterentwicklung auf dem Gebiet der Informationssicherheit. Seite 6

7 Erfahrungen bei der Anwendung des IT- Grundschutzes immer positiv? BSI IT-Grundschutzstruktur bildet eine ganzheitliche und strukturierte Grundlage für die Erstellung von IT-Sicherheitskonzeptionen. Organisation, Prozesse, Dokumentationen Zentrale, fast essentielle Grundvoraussetzung ist die rechtzeitige Bereitstellung eines geeigneten ISMS-Tools, dass die Belange der existierenden Informationsinfrastruktur abbildet. Rolleninhaber (z. B. Produktverantwortliche) und die IT-Sicherheitsorganisation werden bei der Anwendung stark belastet. Dokumentationen erzeugen und pflegen IT-Sicherheitsmaßnahmen umsetzen Fokus Informationssicherheit gleitet hinter das Zertifizierungsziel! Mit höheren Schutzbedarfen steigt die Komplexität im ISMS. Es entsteht ein erheblicher Ressourcenaufwand. Bewusstsein für Informationssicherheit bei Rolleninhabern wächst; Risikoanalyse und -bewertung wird Standard. Seite 7

8 Modernisierter IT-Grundschutz Ja, aber viele offene Fragen (Auswahl) und offene Termine: Ändert sich das bestehende Zertifizierungsschema und welche Auswirkungen haben Änderungen des bestehenden Zertifizierungsschemas auf ein laufendes Zertifizierungsverfahren? Wann wird ein entsprechendes Zertifizierungsschemata veröffentlicht? Was ändert sich an den Referenzdokumenten A0 A7 (z. B. A5)? Werden Mischformen bei IT-Verbünden möglich sein (Bausteine IT-Grundschutz alt und IT-Grundschutz neu )? Wenn ja, wie sieht hierbei die Vorgehensweise aus und wird diese auch durch die IT-Grundschutz-Tools unterstützt? Wann wird eine Modellierungsvorschrift seitens des BSI veröffentlicht? Wann wird ein Migrationskonzept seitens des BSI veröffentlicht? Ab wann werden IT-Grundschutz-Tools verfügbar sein, die eine Migration und den IT-Grundschutz neu unterstützen? Welche Bausteine werden zur itsa 2017 von IT-Grundschutz neu veröffentlicht? Ist mit diesen Bausteinen bereits eine Zertifizierung nach IT-Grundschutz neu möglich? Seite 8

9 Wie machen wir weiter? BA hält die Zertifizierung ISO auf der Basis von IT-Grundschutz für einen IT-Dienstleister des Bundes für unerlässlich! Zertifizierung ist kein Einmalgeschäft, sondern ein Prozess! Zyklus: Zertifizierung, 1. ÜA, 2. ÜA Re-Zertifizierung 2018 ist in Prüfung hinsichtlich der Vorgehensweise: Modernisierter IT-Grundschutz? der Aufwand ist derzeit nicht abschätzbar und die Vorgehensweise unklar Anpassung des Informationsverbundes gemäß BA Strategie 2020 und IT-Strategie 2020 Agiles Business (Transition) Organisation, Prozesse, SW-Entwicklung, Betrieb Abstimmung mit dem BSI über die weitere Vorgehensweise im Zertifizierungsprozess im Kontext modernisierter IT-Grundschutz Seite 9

10 Fortführung des Zertifizierungsprozesses in der BA Konsens mit dem BSI? Die Basis für die Re-Zertifizierung in 2018 (inklusive 1. & 2. Überwachungsaudit) ist die 15. Ergänzungslieferung (EL) des BSI zum IT-Grundschutz (IT-GS). Es ist auch eine Mischform (15. EL und neuem IT-GS) bei der Erstellung von IT- Sicherheitskonzepten nach BSI-Methodik für die Zertifizierung nach ISO auf der Basis von IT-Grundschutz möglich und zulässig. Die Zertifizierung nach ISO auf der Basis von IT-GS dieser Mischform von IT- Sicherheitskonzepten wird seitens des BSI zugesichert. Die allmähliche Einführung des neuen IT-GS in die BA erfolgt ohne Festsetzung einer zeitlichen Frist bis zu vollständigen Umsetzung des neuen IT-Grundschutzes in der BA. Zertifizierungsstelle: Für die Bausteine der jetzt gültigen 15. EL muss dann eine Risikoanalyse durchgeführt werden, damit das Sicherheitsniveau weiterhin sichergestellt wird (u. a. im Hinblick auf neue Gefährdungen und Sicherheitsmaßnahmen). Seite 10

11 Fortführung des Zertifizierungsprozesses in der BA Konsens mit dem BSI? Die Übergangsphase von IT-GS alt auf IT-GS neu erfolgt aufgrund des umfangreichen und komplexen Informationsverbundes der BA und mit Blick auf die Wirtschaftlichkeit ausschließlich im Rahmen von anlassbezogenen Änderungen und damit im Zeitverlauf. Beim Einsatz neuer Technologien und dem Vorhandensein des entsprechenden Bausteines nach neuem IT-GS, was auch ein benutzerdefinierter BA- Baustein sein kann, erfolgt die selektive Anwendung des neuen IT-GS. Zertifizierungsstelle: Bei der Verwendung von benutzerdefinierten Bausteinen wird es wie in der bisherigen Vorgehensweise dabei bleiben, dass stets eine Risikoanalyse für den benutzerdefinierten Baustein durchzuführen ist. Bei Meinungsverschiedenheiten zwischen der BA und den Auditoren hat die BA ein direktes Vorspracherecht bei der Zertifizierungsstelle des BSI. Seite 11

Informationssicherheit geht alle an! Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Ing. Steffen Herrmann IT-Sicherheitsbeauftragter der BA Fragen?

12 Informationssicherheit geht alle an! Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Ing. Steffen Herrmann IT-Sicherheitsbeauftragter der BA Fragen? Geschäftsbereich Informationstechnologie / Prozessmanagement - ITP3 / Informationssicherheit Tel: +49 (911) Fax: +49 (911) steffen.herrmann@arbeitsagentur.de zentrale.it3@arbeitsagentur.de Bundesagentur für Arbeit Zentrale Regensburger Straße Nürnberg Seite 12

Ähnliche Dokumente

ISMS Organisation, Prozesse, Dokumentation und Security- Awareness

Informationssicherheit in der BA Hr. Bayerlein 6. Cyber-Sicherheitstag 22. September 2014 ISMS Organisation, Prozesse, Dokumentation und Security- Awareness Agenda Die Bundesagentur für Arbeit (BA) stellt