Prüfbericht über die Revision zu den ISDS-Konzepten

Transkript

1 Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport VBS Generalsekretariat VBS Inspektorat VBS 1. Mai 2015 Prüfbericht über die Revision zu den ISDS-Konzepten Revision R 041

2

3 Revision Nr. R 041: Prüfbericht - ISDS-Konzepte 1 Einleitung Informationssicherheits- und Datenschutzkonzepte (ISDS-Konzepte) dienen in der Bundesverwaltung dazu, Risiken für die Sicherheit von IKT-Schutzobjekten der Schutzstufe 3 zu bewerten und gestützt darauf zu entscheiden, mit welchen technischen, organisatorischen und anderen Massnahmen diese Risiken reduziert werden sollen. Sobald ein "hoher Schutzbedarf" bei einem IKT-Schutzobjekt festgestellt wird, muss in Zusammenarbeit zwischen Leistungsbezüger und Leistungserbringer ein ISDS-Konzept erstellt werden. Bei IKT- Schutzobjekten der Schutzstufen 1 und 2 wird jeweils ein weniger umfangreicher IKT- Sicherheitsbericht erstellt. Im VBS bestehen derzeit zirka IKT-Schutzobjekte. Ungefähr davon sind der Schutzstufe 3 (hoher Schutzbedarf) zugewiesen. Die diesbezüglichen ISDS-Konzepte werden jeweils projektbegleitend im Rahmen des IKT-Sicherheitsprozesses erarbeitet und anschliessend zentral durch die Stelle "Informations- und Objektsicherheit (IOS) genehmigt. Die IOS ist im VBS die zentrale Vorgabestelle für die Belange der integralen Sicherheit. Zudem bestehen in den Verwaltungseinheiten sogenannte "Chief Information Security Officer (CISO), welche die Umsetzung des Sicherheitsprozesses dezentral begleiten und unterstützen. 2 Prüfungshandlungen In Rahmen dieser Revision prüften wir den IKT-Sicherheitsprozess bezüglich der Erstellung und Genehmigung von ISDS-Konzepten. Dabei beurteilten wir folgende Kriterien: 1. Zweckmässigkeit des IKT-Sicherheitsprozesses bezüglich ISDS-Konzepten 2. Wirksamkeit des IKT-Sicherheitsprozesses bezüglich ISDS-Konzepten Basierend auf den Erkenntnissen aus diesen beiden Prüfungshandlungen zeigen wir zudem Anforderungen des VBS an das Projekt "Informations-Sicherheits-Management-System VBS" (ISMS VBS) auf. 3 Feststellungen und Beurteilungen Unsere wesentlichen Feststellungen und Beurteilungen sind die Folgenden: Zu 1: In Abweichung zu den Bundesvorgaben erfolgt im VBS die abschliessende Genehmigung der ISDS-Konzepte und die damit einhergehende Betriebsfreigabe durch die IOS. Gemäss den Bundesvorgaben sind jedoch die Auftraggebenden / Geschäftsprozessverantwort- 3/8

4 Revision Nr. R 041: Prüfbericht - ISDS-Konzepte lichen (in Ihrer Rolle als Risikoträger) für die Genehmigung der ISDS-Konzepte verantwortlich. Zuvor ist immer eine Prüfung des Konzeptes durch den jeweiligen CISO 1 vorgesehen. Wir schätzen diese Abweichung wie folgt ein: Gemäss Vorgaben des Bundes und des VBS sind die Leistungsbezüger für die Führung und den Schutz ihrer IKT-Systeme verantwortlich. Diese umfassende Verantwortung sollte aus unserer Sicht mit entsprechenden Kompetenzen einhergehen (Kausalität). Aus unserer Sicht verfügt die IOS zur Zeit nicht über die notwenigen Kapazitäten, um alle rund aktiven IKT-Schutzobjekte im VBS auf deren inhaltliche und formelle Richtigkeit zu prüfen und zeitnah zu genehmigen. Wie in der ISIW VBS 2 gefordert, baut die IOS derzeit ein Revisions- und Controlling-Wesen auf. Dies könnte in Verbindung mit der Genehmigungskompetenz der IOS für die ISDS-Konzepte zu einem Gewaltentrennungskonflikt führen. Beurteilung: Die Voraussetzungen für einen Paradigmenwechsel bezüglich der Genehmigungskompetenz der ISDS-Konzepte (weg von der IOS und hin zum Risikoträger) sind im VBS noch nicht überall gleich gut erfüllt. Die Führung der Leistungsbezüger muss sich Ihrer Verantwortung für die IKT-Sicherheit bewusst sein und die CISO der Verwaltungseinheiten müssen über genügend zeitliche Ressourcen, Erfahrung, Know-how und Kompetenzen verfügen. Zu 2: Bei unserer Auswertung per 2. Februar 2015 zeigte sich, dass für % aller produktiv genutzten IKT-Schutzobjekte der Schutzstufe 3 ein durch die IOS genehmigtes und gültiges ISDS-Konzept besteht. Bei den Schutzstufen 1 und 2 liegt der Umsetzungsgrad der IKT- Sicherheitsberichte bei % bzw. %. Beurteilung: Aufgrund dieser Werte erachten wir die Wirksamkeit des IKT-Sicherheitsprozess als verbesserungswürdig. Der Optimierungsbedarf wurde jedoch bereits erkannt und entsprechende Massnahmen wurden abgeleitet: Das Projekt "Prüfung Altlasten IKT- Schutzobjekte" (PAIS) wurde im Februar 2014 gestartet. Dabei sollen sämtliche fehlenden IKT-Sicherheitsberichte bis Anfang 2017 erstellt und genehmigt werden. Zudem wird der IKT-Sicherheitsprozess im Rahmen des Projektes "ISMS VBS" vollständig überarbeitet. Dadurch soll die IKT-Sicherheit im VBS weiter optimiert und deren Wirksamkeit verbessert werden. 1 Bei den Bundesvorgaben wird analog der Begriff ISBO (Informatiksicherheitsbeauftragte auf Stufe Organisation) verwendet. 2 Weisungen über die Informationssicherheit im VBS, ISIW VBS 4/8

5 Revision Nr. R 041: Prüfbericht - ISDS-Konzepte 4 Empfehlungen Aus unseren Feststellungen und Beurteilungen leiten wir hauptsächlich folgende Empfehlungen ab: Zu 1: Wir empfehlen zu überprüfen, ob die abschliessende Genehmigungskompetenz über die IKT-Sicherheitsberichte und ISDS-Konzepte sowie die Betriebsfreigabe im VBS analog zu den Bundesvorgaben dem Auftraggeber / Geschäftsprozessverantwortlichen (und damit dem eigentlichen Risikoträger) zukommen sollte. Mit einem Pilot in einem ausgewählten Bereich könnte diese Prozessänderung getestet werden. Aufgrund dieser Erfahrungen könnte der Prozess optimiert und anschliessend auf die anderen Bereiche im VBS ausgerollt werden. Zudem schlagen wir vor, dass die IOS (wie in der ISIW VBS vorgesehen) Revisionen durchführt, um die IKT-Sicherheit damit laufend zu überprüfen und verbessern. Dabei muss jedoch sichergestellt sein, dass die IOS nicht selber prüft, was sie vorgängig selber genehmigt hat. Der Gewaltentrennungskonflikt könnte mit der Umsetzung der obigen Empfehlung umgangen werden. Zu 2: Wir empfehlen, durch geeignete Kontrollen sicherzustellen, dass keine neuen IKT- Schutzobjekte in Betrieb genommen werden, ohne dass vorgängig ein genehmigter IKT- Sicherheitsbericht oder ein ISDS-Konzept vorliegt. Zudem schlagen wir vor, dass die IOS (wie in der ISIW VBS vorgesehen) mittels eines Sicherheitscontrollings überwacht, ob alle IKT-Schutzobjekte im VBS über die notwendigen Sicherheitsdokumente verfügen. 5 Anforderungen ISMS VBS Wir sind der Ansicht, dass unsere unter Kapitel 4 gemachten Empfehlungen als Anforderungen im Projekt ISMS VBS aufzunehmen sind. 5/8

6

7

8