Zertifikate für IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung

Transkript

1 Zertifikate für IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung Von Dr. Käthe Friedrich, Bundesakademie für öffentliche Verwaltung im Bundesministerium des Innern IT-Sicherheitsbeauftragte benötigen für ihre Tätigkeit solides Fachwissen der Informationssicherheit, aber auch der Informationstechnologie, detaillierte Kenntnisse der Strukturen und Abläufe in der Organisation sowie ausgeprägte kommunikative Fähigkeiten. Von ihrer Professionalität hängt viel ab. Die BAköV und das BSI haben den neuen Fortbildungsgang für IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung entwickelt und werden auch zukünftig gemeinsam für die Umsetzung und Aktualisierung Sorge tragen. Verantwortliche des IT-Sicherheitsmanagements sowie die IT- Sicherheitsbeauftragte sollen für ihre Tätigkeit befähigt, zertifiziert und dauerhaft fortgebildet werden. Im April dieses Jahres wurden die ersten sieben Zertifikate IT-Sicherheitsbeauftragte/r in der öffentlichen Verwaltung Basis überreicht. Die Teilnehmenden haben nach erfolgreichen Abschluss des Wissenstests und dem Vortrag ihrer Projektarbeit in einem Workshop auf unterschiedlichen Wegen, ihren individuellen Voraussetzungen entsprechend, den neuen Fortbildungsgang absolviert. In der Evaluation ist neben wichtigen Hinweisen die volle Zustimmung der Teilnehmenden nachzulesen. Damit hat der Fortbildungsgang seine erste Feuerprobe bestanden. Die Kurse dieses Jahres sind schon besetzt und die Angebote für Länder und Kommunen finden großes Interesse. Im Folgenden wird das Konzept des Fortbildungsganges vorgestellt. Überblick Damit die Gestaltung der Fortbildung für den Einzelnen flexibel ist und den individuellen Vorkenntnissen, Berufserfahrungen und Aufgabenfeldern Rechnung tragen kann, wurde der Fortbildungsgang modular und in Stufen aufgebaut. Der (potentielle) IT-Sicherheitsbeauftragte kann so bedarfsgerecht seinen individuellen Lernpfad (Festlegung der zu besuchenden Seminare) zusammenstellen. Um die Entscheidung über den individuellen Lernpfad leichter treffen zu können, wird die Möglichkeit angeboten, einen Selbsteinschätzungstest durchzuführen. Der Selbsteinschätzungstest unterstützt die Teilnehmenden, den individuellen Fortbildungsbedarf zu ermitteln und zu entscheiden, an welchen Seminaren sie teilnehmen sollten. Der Test sowie weitere Informationen stehen online unter jedem Interessierten zur Verfügung. Manchmal sind neu ernannte IT-Sicherheitsbeauftragte mit der Informationstechnik noch nicht ausreichend vertraut. Deshalb wird das Seminar Grundlagen in der Informationstechnik und Informationssicherheit angeboten. Eine Gesamtübersicht über Inhalte und Wege sind im Leitfaden IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung nachzulesen. Die Abschnitte des Aufbauseminars zum Erwerb der Stufe 2 ergänzen zu ausgewählten Schwerpunkten den Basiskurs. [BMI2] 1

2 IT-Sicherheitsbeauftragte I Basis (IT 486) Dauer Der Besuch der Abschnitte hängt von den individuellen Vorkenntnissen (individueller Lernpfad) des Teilnehmenden ab. a) IT-Sicherheit warum? b) IT-Sicherheit Rechtliche und organisatorische Rahmenbedingungen c) IT-Sicherheit zentrale Maßnahmen d) IT-Sicherheit am Arbeitsplatz e) Verschlüsselungsverfahren und elektronische Signatur f) IT-Sicherheitsmanagement Standards und Erstellen einer IT-Sicherheitsleitlinie g) Entwurf eines IT-Sicherheitskonzepts nach IT-Grundschutz 15 Tage 3 Tage 5 Tage IT-Sicherheitsbeauftragte I - Basis Kompakt (IT 487) Dauer Vorausgesetzt werden der Inhalt des Handbuchs sowie Kenntnisse in technischen Sicherheitsmaßnahmen am Arbeitsplatz und in Netzen, die in den Abschnitten c), d) und e) des erworben werden können. IT-Grundschutz und die BSI-Standards und Tage Projektarbeit in Zusammenarbeit mit dem BSI Dauer Auf der Grundlage der Inhalte des und den Anforderungen an den Aufgabenbereich ist ein überschaubares Projekt innerhalb der Behörde zu absolvieren. 20 Stunden Präsentationsworkshop in Zusammenarbeit mit dem BSI (IT 488) Dauer Voraussetzung für die Zulassung zur Prüfung / Zertifizierung. Vorstellung der Projektarbeit und Erfahrungsaustausch Zertifizierung in Zusammenarbeit mit dem BSI (IT 491) Dauer Abschlusstest (Multiple Choice) Verleihung des Zertifikats nach bestandenem Abschlusstest IT-Sicherheitsbeauftragte II Aufbau (IT 489) Dauer Themen, die für die Erweiterung der Kenntnisse und Erfahrungen je nach Bedarf bzw. Aufgabengebiet benötigt werden. a) Risiken- und Schwachstellenanalyse b) Business Continuity Management und Notfallplanung c) Hochverfügbarkeit von Systemen, Anlagen und Prozessen d) IT-Sicherheitskonzept für neue Verfahren / Qualitätssicherung von Anwendungen e) Audit und Zertifizierung / Revision von IT-Verfahren / Basis-Sicherheitschek und Penetrationstest f) Kryptokonzeption, Aufbau einer PKI IT-Sicherheitsbeauftragte III Aufbau (IT 490) Für besondere Anforderungen erfolgt eine behördenangepasste Spezialisierung nach Absolvierung der Stufen 1 und 2 / Einzelcoaching durch das BSI. (voraussichtlich ab 2009) Abbildung 1: Gesamtübersicht Inhalte und Stufen Zertifizierung Um das Basiswissen IT-Sicherheitsbeauftragte/r in der öffentlichen Verwaltung zu erwerben (siehe Abb.1), werden unterschiedliche Wege angeboten: der Besuch einzelner oder aller Module des

3 Basiskurses IT-Sicherheitsbeauftragte- Basis oder aber der entsprechende Kompaktkurs. Der Kompaktkurs ist für IT-Sicherheitsexperten gedacht, welche eine Aktualisierung ihres Fachwissens im Bereich IT-Grundschutz auffrischen wollen. Es ist jedem Teilnehmenden frei gestellt, welchen Weg er zur Vorbereitung des Abschlusstests wählt. Die Zertifizierung erfordert neben dem Abschlusstest (120 Multiple-Choice-Fragen) einen praktischen Teil. Mit der Unterstützung der fachlichen Beratung (aus dem BSI oder der delegierenden Behörde) wird ein Projekt innerhalb der Behörde bzw. dem Aufgabenbereich erarbeitet. Die Ergebnisse des Projekts sind im Rahmen eines Workshops zu präsentieren. Die Abschnitte des Aufbauseminars zum Erwerb der Stufe 2 ergänzen zu ausgewählten Schwerpunkten den Basiskurs (siehe Abbildung 1). Die erworbenen Zertifikate der Stufen 1 und 2 sind jeweils fünf Jahre gültig. Die Verlängerung der Zertifikate ist über eine vorgegebene zu erreichende Punktzahl möglich. Hierfür werden mit dem Blick auf einen Kompetenzerhalt und eine weitere Qualifizierung Seminare und Veranstaltungen mit Erfahrungsaustausch von der BAköV angeboten. Lernprozess Begleitung Fachliche Beratung Selbsteinschätzungstest Kontakt aufnehmen Direkt zum Abschlußtest Besuch des Besuch einzelner vollständigen Abschnitte des Besuch des Kompakt Vorstellung der Projektarbeit im Rahmen eines Workshops Grundlagen der Informationstechnik und sicherheit individuellen Fortbildungsplan erstellen Lernprozess-Begleitung Kontakt aufnehmen Projekt vereinbaren Projektarbeit erstellen Übersicht Basiskurs: Fortbildung IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung Abschlußtest durchführen Nach bestandenem Abschlußtest Verleihung des Zertifikats Abbildung 2: der Weg zum Zertifikat Basiswissen für IT-Sicherheitsbeauftragte Der Basiskurs umfasst das grundlegende Wissen (Basiskompetenzen) für die Tätigkeit eines IT- Sicherheitsbeauftragten. Dieses wird in den im Folgenden aufgelisteten Seminaren des Basiskurses vermittelt und ist in kompakter Form in einem Handbuch zusammengefasst. Dieses soll den Teilnehmenden sowohl als Lerngrundlage dienen, aber auch als Nachschlagewerk für die spätere Arbeit. Grundlage bilden aktuelle Entwicklungen in der Informationssicherheit, die BSI-Standards und inkl. der IT-Grundschutz-Kataloge und weitere Publikationen des BSI. Warum IT-Sicherheit? Die Notwendigkeit von IT-Sicherheit durch Darstellung typischer Gefährdungen und Trends der Bedrohungen der Informationstechnik sowie wichtige Begriffe und Anforderungen an ganzheitliche IT-Sicherheit werden behandelt. Rechtliche und. organisatorische Rahmenbedingungen Neben den aktuellen Entwicklungen zur IT-Strategie des Bundes und zur Umsetzung des Nationalen Plans zum Schutz der Informationsinfrastrukturen (NPSI) [BMI1] werden die Sicherheitsanforderungen an Behördennetze und E-Government-Anwendungen betrachtet. Relevante

4 gesetzliche Regelungen und die Verantwortung bzw. Haftung der Zuständigen für IT-Sicherheit werden hier ebenfalls vermittelt. IT-Sicherheit - zentrale Maßnahmen Die Kenntnis wesentlicher infrastruktureller, technischer, organisatorischer und personeller Sicherheitsmaßnahmen bildet die Grundlage einer Vielzahl von Tätigkeiten des IT- Sicherheitsbeauftragten, welche unter anderen die Entwicklung des Sicherheitskonzepts, des Notfall(vorsorge)- und Krisenmanagementkonzepts, des Datensicherungskonzepts oder des Virenschutzkonzepts umfassen. IT-Sicherheit am Arbeitsplatz Maßnahmen zur Sensibilisierung und die Entwicklung von Schulungsprogrammen, die Erstellung von Dienstanweisungen, Kenntnisse über den Zugangs- und Zugriffschutz am Arbeitsplatz, die besonderen Anforderungen bei Telearbeitsplätzen und die Nutzung von mobilen Geräten, bilden unter den Bedingungen der wachsenden Bedeutung der Anwenderinnen und Anwender für die IT-Sicherheit ein wesentliches Moment. Verschlüsselungsverfahren und elektronische Signatur Für die Auswahl und den Einsatz von Verschlüsselungsverfahren und elektronische Signaturen bzw. von entsprechenden Kryptoprodukten ist Wissen über Grundlagen der Kryptographie, Anwendungsmöglichkeiten sowie organisatorische und rechtliche Rahmenbedingungen erforderlich. IT-Sicherheitsmanagement - Standards, Leitlinie Nationale und internationale Standards zur IT-Sicherheit und zum IT-Sicherheitsmanagement mit ihren Vorgaben für den Aufbau von IT-Sicherheitsmanagementsystemen und den dazugehörigen Aufgaben ergänzen das Basiswissen für grundlegende Aktivitäten. Entwurf eines IT-Sicherheitskonzepts nach IT-Grundschutz Auf der Grundlage der IT-Grundschutz-Vorgehensweise und des BSI-Standards wird die Erstellung eines IT-Sicherheitskonzeptes vorgestellt, und sowohl das theoretische wie auch das praktische Wissen vermittelt. Die Einführung in die Vorgehensweise, von der Infrastrukturanalyse über die Schutzbedarfsfeststellung, den Basis-Sicherheitscheck bis hin zur Durchführung einer Risikoanalyse und der Realisierungsplanung werden betrachtet. Jahrestagung für IT-Sicherheitsbeauftragte Ergänzt wird das Angebot zur Fortbildung für IT-Sicherheitsbeauftragte durch die Jahrestagung für IT-Sicherheitsbeauftragte. Diese bietet Möglichkeiten der fachlichen Diskussion sowie des offenen Informations- und Erfahrungsaustausches. Der Besuch dieser Veranstaltung kann auch dazu genutzt werden, um Punkte für die Aufrechterhaltung des Zertifikats zu erwerben. Fortbildung in der öffentlichen Verwaltung Mit der Fortbildung IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung mit Zertifikat wurde erstmalig ein Qualitätsstandard für die theoretische wie auch praktische Ausbildung im Bereich IT- Sicherheit in der öffentlichen Verwaltung gesetzt. Die Fortbildung wird von der Bundesakademie für öffentliche Verwaltung ab 2007 durchgeführt. Neben der Fortbildung für die Bundesverwaltung wird 2007 für Interessierte aus den Ländern und Kommunen erstmals eine Sommerakademie angeboten, welche ebenfalls bereits ausgebucht ist. Das Angebot der BAköv und des BSI umfasst seit kurzem ebenfalls die Zertifizierung für Beschäftigte der Länder und Kommunen. Die Entwicklung eines Anforderungsprofils der Beauftragten für IT-Sicherheit in der öffentlichen Verwaltung sollte konkret und individuell an die behördenspezifischen Gegebenheiten angepasst

5 werden können. Für die Bewältigung der Aufgaben sind sowohl fachliche als auch persönliche Anforderungen zu bewältigen. Dem entsprechend wird eine thematisch breite Fortbildung angeboten werden, die zum Erwerb von Basiskompetenzen, Aufbau- und ergänzenden Kompetenzen dienen. Zur Unterstützung der Antragstellung und Begleitung der Umsetzung des individuellen Fortbildungsplanes steht von Seiten der Bundesakademie eine Lernprozessbegleitung zur Verfügung. Anfragen bezüglich der Konzeption der Fortbildung, der individuellen Planung, die Bearbeitung der Anträge bis hin zur Koordination des Projektes werden von dieser Stelle erledigt. Der Fachliche Berater begleitet das Projekt. Die Fachliche Beratung wird von Seiten des BSI gestellt und unterstützt bei der Festlegung der Projektaufgabe, begleitet beratend den Prozess, die Dokumentation und die Präsentation des Projektes. So wie auch IT-Sicherheit und IT-Sicherheitsmanagement gelebt und den immer neuen Herausforderungen angepasst werden muss, so muss auch eine kontinuierliche Aktualisierung und Anpassungen der Lehrinhalte an die jeweils neuen Gegebenheiten der IT-Landschaften und die Anforderungen an einen IT-Sicherheitsbeauftragten erfolgen. Weitere Informationen sind in dem vollständigen Beitrag zum 10.IT-Sicherheitskongress enthalten. Friedrich, Käthe, Moschgath, Marie-Luise, Standard für die Qualifikation für IT-Sicherheitsbeauftragte. In: Innovationsmotor IT-Sicherheit 10. Tg-Band Dt. IT-Sicherheitskongress des BSI 2007, Herausgeber: Bundesamt für Sicherheit in der Informationstechnik, Sammlung der Vorträge auf dem 10. Deutsche IT- Sicherheitskongress des BSI. SecuMedia Verlag, Gau-Algesheim 2007, S.313_321. Literaturhinweise [BMI1] [BMI2] Bundesministerium des Inneren: Nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI); nsgesellschaft/nationaler Plan Schutz Informationsinfrastrukturen,templateId=raw,p roperty=publicationfile.pdf/nationaler_plan_schutz_informationsinfrastrukturen.pdf Bundesministerium des Inneren: Leitfaden IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung; 5/Leitfaden SiBoe V,templateId=raw,property=publicationFile.pdf/Leitfaden_SiBoeV.pdf