Umsetzung der Anschlussbedingungen Verbindungsnetz in Hessen

Transkript

1 Umsetzung der Anschlussbedingungen Verbindungsnetz in Hessen 4. Fachkongress des IT-Planungsrats am 2./3. Mai 2016 in Berlin Manfred Pospich, HZD

2 Agenda Auftrag Rechtsgrundlage Historischer Abriss Anforderungen der Anschlussbedingungen Geltungsbereich Umsetzungsprojekt Folie 2

3 Auftrag Seit ist der Datenaustausch übergreifender IT-Verfahren über das Verbindungsnetz des Bundes (bisher DOI) verbindlich. Zur Umsetzung hat der IT-Planungsrat am die Anschlussbedingungen für das Verbindungsnetz beschlossen. Die Anschlussbedingungen, die bis zum in den Ländern umzusetzen sind, haben erheblichen Einfluss auf die bestehende IT- Infrastruktur. Das Hessische Ministerium des Innern und für Sport hat die HZD mit einem Projekt beauftragt, das sowohl die technische als auch die organisatorische Umsetzung der Anschlussbedingungen für das Verbindungsnetz umfasst. Folie 3

4 Rechtsgrundlage Gesetz über die Verbindung der informationstechnischen Netze des Bundes und der Länder Gesetz zur Ausführung von Artikel 91c Absatz 4 des Grundgesetzes (IT-NetzG) 3 Datenaustausch über das Verbindungsnetz Der Datenaustausch zwischen dem Bund und den Ländern erfolgt über das Verbindungsnetz. Folie 4

5 Historischer Abriss 1998 Gründung TESTA-D (Trans European Services for Telematics between Administrations) DOI (Deutschland Online Infrastruktur) 2008 Gründung als DOI e.v Übernahme durch BMI/BVA Provider seit 2009 T-Systems 2015 NdB-Verbindungsnetz (Netze des Bundes) Folie 5

6 Anforderungen der Anschlussbedingungen 1. Verpflichtung zur Umsetzung der BSI-Standards bis im sog. Geltungsbereich. 2. Die Datenübertragung innerhalb des Geltungsbereichs, für den hoher Schutzbedarf festgestellt wurde, erfolgt verschlüsselt mit Produkten, die gem. 37, Absatz 1 VSA des Bundes vom BSI zugelassen wurden. 3. Der Geltungsbereich ist durch Sicherheits-Gateways zu trennen (Einsatz von Produkten mit BSI-Zertifizierung (oder gemäß EAL4+ am Übergang NdB- Verbindungsnetz)). 4. Sicherheitspatches sind umgehend im Rahmen definierter und dokumentierter Betriebs- und Änderungsprozesse einzuspielen. 5. Die Abwehr von Angriffen ist unter Einsatz von Angriffserkennungssystemen, von Systemen zur Abwehr von Schadprogrammen (z.b. AV-Programme) auf den IT- Systemen und durch Auswertung von Logdaten sicherzustellen. 6. Die IT-gestützten Geschäftsprozesse sind zu dokumentieren. 7. Die Einbindung in den VerwaltungsCERT-Verbund ist einzurichten. 8. Ggf. sind weitere Maßnahmen im Rahmen des IT-Sicherheitsmanagements zu ergreifen. 9. Eine zyklische Auditierung ist durchzuführen. Folie 6

7 Anschlusspunkt Netzübergang Skizze des Geltungsbereichs Verbindungsnetz SINA Box Sicherheits- Gateway Geltungsbereich Netzübergänge Indirekt angeschlossene Netze RZ-Verbindung Zentrale Dienste/ -Komponenten Zentrale Management- Dienste Sicherheits- Gateway Netzübergang Internet Sicherheits- Gateway Sicherheits- Gateway Netze Dritter WAN Sicherheits- Gateway Interne Netze Quelle: Grafik aus Ziffer 3 der Anschlussbedingungen Folie 7

8 Definition des Geltungsbereichs Der Geltungsbereich ( direkt angeschlossenes Netz ) besteht entsprechend der Skizze aus dem Sicherheits-Gateway zum Verbindungsnetz, einer RZ-Verbindung, den zentralen Netzwerk-Diensten und -Komponenten den dafür notwendigen zentralen Management-Diensten und den Netzübergängen an andere Netze (z.b. Netze Dritter, Internet). Das direkt angeschlossene Netz endet hinter den Sicherheits-Gateways zu anderen Netzen. Weitere Netze (z.b. WANs, indirekt angeschlossene Netze) gehören dann nicht mehr zum Geltungsbereich, wenn sie durch Sicherheits-Gateways vom direkt angeschlossenen Netz getrennt sind. Folie 8

9 Umsetzungsprojekt Projektauftrag: Umsetzung der Anschlussbedingungen für das Verbindungsnetz Auftraggeber: Hessisches Ministerium des Innern und für Sport Projektstruktur: Teilprojekt 1: Informationssicherheitsmanagement (ISMS) Teilprojekt 2: Netze und Gateways Teilprojekt 3: Übergreifende Verfahren 2015: Grobkonzeption / Entwicklung eines Umsetzungsszenarios 2016: Abschluss Grobkonzeption / Prüfung des netztechnischen Umsetzungsszenarios / Feinkonzeption / ggf. Ausschreibung(en) / Testphase 2017: Beschaffungen / Betriebsvorbereitung / Einführung / Betriebsübergang Folie 9

10 Umsetzungsprojekt Projektziele: Einhaltung und Umsetzung der in den Anschlussbedingungen geforderten Maßnahmen bis zum , u.a.: Ergebnisdokumente / -schritte der sich aus den Anforderungen 1 bis 9 ergebenden Arbeitspakete (siehe Folie 6) Prozessdefinition bzw. ergänzung Erweiterung und Umbau der bestehenden Infrastruktur am Übergang zum Verbindungsnetz Vorbereitung Audit (in 2018) landesinterne Rahmenbedingungen: Erhaltung der Standort-Redundanz des bisherigen DOI-Anschlusses in den Rechenzentren in Wiesbaden und Mainz möglichst geringe Auswirkungen auf die bestehende Infrastruktur der Landesverwaltung bei der Inbetriebnahme Einsatz von bereits etablierten Standards in Hessen Erhöhung der Komplexität nur um das notwendige Maß Optimiertes Kosten-/Nutzen-Verhältnis bei angemessener Erfüllung der Anforderungen Folie 10

11 Umsetzungsprojekt Sachstand April / Mai 2016: Projekt ist in der HZD initialisiert Beratung durch externe Experten für Informationssicherheit und Informationssicherheitsmanagement Bewertung und Adaption der Vorgaben aus Anschlussbedingungen in Arbeit Netztechnischer Entwurf eines möglichen Umsetzungsszenarios und anschließende Prüfung auf Einhaltung der Vorgaben der Anforderungen der Anschlussbedingungen in Arbeit Technisches Grobkonzept RZ-Netz und Sicherheitsgateway in Arbeit Erste Maßnahmen zur Absicherung des Geltungsbereichs eingeleitet (erweiterte P A P Struktur auf Grundlage der BSI-Maßnahme M2.73) Folie 11

12 Manfred Pospich Abteilungsleiter Kommunikationsdienste Mainzer Straße Wiesbaden Tel.: Vielen Dank für Ihre Aufmerksamkeit! Weitere Informationen über die HZD erhalten Sie auf unserer Homepage: oder schreiben Sie uns: Folie 12