Offertanfrage zu Review der Sicherheitskonzepte und Be- rechtigungen



Ähnliche Dokumente
Pflichtenheft Responsive Design

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Allgemeine Geschäftsbedingungen. der

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

2. Psychologische Fragen. Nicht genannt.

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude

Unterstützung in Business Objects Anwendungen

STAATLICHE REGELSCHULE Carl August Musäus - ST Schöndorf Weimar

Zertifizierungsprozess

104 WebUntis -Dokumentation

9.6 Korrekturmaßnahmen, Qualitätsverbesserung

Spezialplanung - Individuelle Wünsche werden in der Planung berücksichtigt. (Design- Ansprüche, Energieberechnungen oder Mehrfachvarianten).

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Arbeitsgruppen innerhalb der Website FINSOZ e.v.

INTERNET SERVICES ONLINE

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Installation OMNIKEY 3121 USB

teamsync Kurzanleitung

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Anleitung Postfachsystem Inhalt

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

Lernaufgabe Industriekauffrau/Industriekaufmann Angebot und Auftrag: Arbeitsblatt I Auftragsbeschreibung

PDF-Dateien erstellen mit edocprinter PDF Pro

Informationssicherheit als Outsourcing Kandidat

Um das Versenden von Anhängen an s zu ermöglichen, wurde der Assistent für die Kommunikation leicht überarbeitet und wo nötig verbessert.

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

DE 1 DE EUROPÄISCHER VERHALTENSKODEX FÜR MEDIATOREN

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Newsletter: Februar 2016

Hilfedatei der Oden$-Börse Stand Juni 2014

Rahmenvereinbarung über die E-Government-Zusammenarbeit

Informatik und Datenschutz im Bund

6 Schulungsmodul: Probenahme im Betrieb

Informationssicherheitsmanagement

Nutzung dieser Internetseite

White Paper - Umsatzsteuervoranmeldung Österreich ab 01/2012

Hinweise zur Anmeldung und Bedienung des. Support Forums

6 Informationsermittlung und Gefährdungsbeurteilung

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Word 2010 Schnellbausteine

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Verlosung Klassenfahrten DJH Die Teilnahmebedingungen im Detail:

Drucken aus der Anwendung

GPP Projekte gemeinsam zum Erfolg führen

Pflegeberichtseintrag erfassen. Inhalt. Frage: Antwort: 1. Voraussetzungen. Wie können (Pflege-) Berichtseinträge mit Vivendi Mobil erfasst werden?

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

Welches Übersetzungsbüro passt zu mir?

Erweiterungen Webportal

Lehrer: Einschreibemethoden

Mandant in den einzelnen Anwendungen löschen

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

IBM SPSS Statistics Version 23. Einführung in Installation und Lizenzierung

Qualitätsmanagement: Dokumentieren. Kontrollieren. Verfolgen.

Ausschreibungsunterlagen mit der Funktion als Serien- versenden

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Historical Viewer. zu ETC5000 Benutzerhandbuch 312/15

MIT NEUEN FACHTHEMEN

Änderungen in der Burweb-Version (xml- Schnittstelle 1.2)

Benutzerhandbuch - Elterliche Kontrolle

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Kundenspezifische Preise im Shop WyRu Online-Shop

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

Freier Mitarbeiter Vertrag

Leistungsstipendium. Vergaberichtlinien und Bewerbungsunterlagen

Installationshinweise für OpenOffice Portable auf einem Wechseldatenträger Stand: 27. März 2003 LS Stuttgart, Kaufmännische ZPG

Stellungnahme der Bundesärztekammer

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Versetzungsregeln in Bayern

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

1 Geltungsbereich, Begriffsbestimmungen

Anleitung zur Einrichtung von Stellvertretungen in Outlook

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

A585 Mailserver. IKT-Standard. Ausgabedatum: Version: Ersetzt: Genehmigt durch: Informatiksteuerungsorgan Bund, am

4.1 Wie bediene ich das Webportal?

Datenexport aus JS - Software

Abschnitt 2 Vier Fragen, jeweils 5 Punkte pro Frage erreichbar (Maximal 20 Punkte)

Anleitung Scharbefragung

AGB Teil 5 - Support. Supportleistungen, Supportpakete, Supportverträge

Mitteilung zur Kenntnisnahme

Fragebogen zur Diplomarbeit von Thomas Friedrich

Herzlich Willkommen zum Vortrag: Mitarbeiterführung und Ausbildung. für UNITEIS e.v. Andrea Mills M.A.

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

GW 103. Reglement zur Auftragsabwicklung bei der Zertifizierung der Fachkundigkeit von Personen. GW 103 d Ausgabe Januar 2007 REGELWERK

Neomentum Coaching. Informationsbroschüre für Studienteilnehmer

Mehrere Amtsgerichtsbezirke im GV Büro System

Zweck der Prüfung. 2 Meldung und Zulassung zur Prüfung

Dokumentenverwaltung im Internet

Transkript:

Eidgenössisches Departement des Innern EDI Bundesamt für Statistik BFS Abteilung Statistische Infrastruktur Classification * Non classé Statut ** Approbation Nom du projet Review der Sicherheitskonzepte und Berechtigungen Abréviation du projet Numéro du projet Chef de projet Yann Chalon Donner d ordre Auteur Yann Chalon Initi ale Coauteurs Vérificateurs Approbateurs - Pour information - Version Date Description, remarques Nom ou rôle 1.5 19.05.2011 - Offertanfrage Offertanfrage zu Review der Sicherheitskonzepte und Be- rechtigungen (Einladungsverfahren) In diesem Text wird der Einfachheit halber die männliche Form verwendet. Die weibliche Form ist selbstverständlich immer mit eingeschlossen. 1 Ausgangslage Im BFS wird eine grössere Anzahl von Anwendungen benutzt, mit welchen die vielfältigen statisti- Integrität und Datenschutz sind dabei schen Auswertungen durchgeführt und unterstützt werden. wichtige Schutzmerkmale. Im Rahmen einer übergeordneten Sicherheitsinitiative müssen nun die Sicherheitskonzepte und Berechtigungen der kritischen Anwendungen analysiert und kontrolliert wer- das eigene den. Der Aufwand für diese Review-Tätigkeit kann aus Ressourcengründen nicht durch Personal abgedeckt werden. Aus diesem Grund wird ein Sicherheitsspezialist gesucht, welcher die Review-Tätigkeit im Rahmen eines Projektes selbstständig durchführen und dokumentieren kann. Das Projekt wird im Zeitraum Juli 2011 gestartet und bis Q2 2012 abgeschlossen werden. 2 Zu erbringende Leistungen 2.1 Allgemeine Vorgehensweise Die durchzuführenden Reviews müssen formell nicht nach einem Audit/Sicherheits-Standard durchgeführt werden. Trotzdem muss der Sicherheitsexperte sich an Best Practice wie ISO 27001 und dem IT Grundschutzhandbuch orientieren. Die Arbeitsweise muss nachvollziehbar, dokumentiert, die Beurteilungen und Empfehlungen objektiv durchgeführt werden.

Als normative Anforderungen gelten die in der Bundesverwaltung gültigen Sicherheitsvorgaben: Weisungen des IRB über die Informatiksicherheit in der Bundesverwaltung IKT-Sicherheitsleitbild der Bundesverwaltung BIT-Weisung über die IT-Sicherheit Leitbild Informationssicherheit des EDI Weisung IT-Sicherheit EDI Der Sicherheitsspezialist muss zu Beginn des Projektes einen Vorgehensplan vorlegen, in welchem festgelegt ist, zu welchem Zeitpunkt (+-/ 2 Wochen) welche Anwendungen geprüft werden. Damit lässt sich im vornherein die Verfügbarkeit der erforderlichen Personen (z.b. Anwendungs- durchführen. Aus fachlicher Perspektive Verantwortliche) sicherstellen und eine Fortschrittskontrolle ist der Sicherheitsspezialist dem ISBO des BFS, aus operationeller Perspektive dem Chef des Diens- der Sektion CODAM unterstellt. tes IT-Architekturen, -Projekte, -Sicherheit Es werden folgende Arbeitsmittel zur Verfügung gestellt: BFS Mail-Account mit Zugriff auf OWA BFS Badge PC-Arbeitsplatz 2.2 Review und Verifikation der Sicherheitskonzepte In der schweizerischen Bundesverwaltung muss für jede Anwendung mit erhöhtem Schutzbedarf ein sogenanntes ISDS-Konzept 1 erstellt werden. Das Dokument legt fest, welche Sicherheitsmassnah- sind und angewendet men zusätzlich zum Grundschutz für den erhöhten Schutzbedarf erforderlich werden müssen. Das BFS hat um die 30 Anwendungen identifiziert, welche einen erhöhten Schutzbedarf aufweisen und somit den Umfang für diese Leistung definieren. Der Sicherheitsspezialist muss für jede Anwendung folgende Aktivität vornehmen: ISDS-Konzepte einfordern, inventarisieren und ablegen Überprüfung und Beurteilung der Schutzbedarfseinschätzung sowie deren Begründung Beurteilung der im ISDS-Konzept definierten Schutzmassnahmen - Adressieren die Schutzmassnahmen die konkreten Schutzbedürfnisse? - Entsprechen die Massnahmen den aktuellen Best-Practice Ansätzen? - Decken die Schutzmassnahmen den Schutzbedarf vollständig ab? Verifikation der Umsetzung der definierten Schutzmassnahmen auf Basis von Stichproben Nachvollziehbare Dokumentation der Aktivitäten, der Befunde sowie allfälliger Empfehlungen Zur Erfüllung dieser Leistung stehen dem Sicherheitsspezialisten die jeweiligen Anwendungs- Verantwortlichen, sowie weitere für die Beantwortung der jeweiligen Fragen notwendigen Personen zur Verfügung. Die für den Review identifizierten Anwendungen sowie die dafür vorgesehenen Kon- bekannt gegeben. taktpersonen werden dem Sicherheitsspezialisten bei Projektbeginn Das Lieferobjekt dieser Leistung stellt der Prüfbericht dar. Er enthält folgende Informationen: Zusammenfassung der Befunde und Empfehlungen Für jede Anwendung sind folgende Punkte zu dokumentieren - Kurze Bewertung der Schutzbedarfseinschätzung 1 Die Abkürzung ISDS bedeutet Informationssicherheits- und Datenschutz 2/6

- Kurze Bewertung der definierten Schutzmassnahmen - Kurze Bewertung der Wirksamkeit - Resultat einer allfälligen Stichprobe - Befunde und Empfehlungen 2.3 Review und Verifikation der Berechtigungen Eine wichtige Massnahme zur Einhaltung des Datenschutzes sowie der Datenintegrität ist die Zuein Zugriffskon- griffskontrolle in der Anwendung. Bei sämtlichen Anwendungen, deren Zugriffe über trollsystem kontrolliert werden können (z.b. keine Einzelplatz Desktop-Anwendungen), müssen daher die Vergabe und Kontrolle der Berechtigungen überprüft werden. Das BFS geht von etwa 40 Anwen- definieren. dungen aus, bei welchen diese Bedingung erfüllt ist und die den Umfang für diese Leistung Der Sicherheitsspezialist muss für jede Anwendung folgende Aktivitäten vornehmen: Allfällige Dokumente, Beschreibungen und Berechtigungskonzepte einfordern, inventarisieren und ablegen Berechtigungskonzept überprüfen und bewerten, ob dieses den Vorgaben der Sicherheit ge- folgende nügend Rechnung trägt. Umsetzung des Berechtigungskonzeptes verifizieren. Dabei müssen mindestens Punkte geprüft werden: - Entsprechen die zugewiesenen Berechtigungen dem Least Privilege Prinzip? - Sind die Berechtigungen für die Durchführung der Geschäftsprozesse notwendig (Prin- sind? zip des Need to know) - Haben Benutzer Berechtigungen, welche seit langer Zeit ungenutzt geblieben - Gibt es Benutzerkonten von Personen, welche nicht mehr im BFS arbeiten? - Gibt es einen funktionierenden Prozess, der die geschäftlichen Veränderungen (Funkti- und die Berech- onswechsel, Hierarchiewechsel, Verlassen des BFS, etc.) identifiziert tigungen entsprechend anpassen kann? Nachvollziehbare Dokumentation der Aktivitäten, der Befunde sowie allfälliger Empfehlungen Zur Erfüllung dieser Leistung stehen dem Sicherheitsspezialisten die jeweiligen Anwendungs- der jeweiligen Fragen notwendigen Personen Verantwortlichen, sowie weitere für die Beantwortung zur Verfügung. Die für den Review identifizierten Anwendungen, sowie die dafür vorgesehenen Kon- bei Projektbeginn bekannt gegeben. taktpersonen werden dem Sicherheitsspezialisten Das Lieferobjekt dieser Leistung stellt der Prüfbericht dar. Er enthält folgende Informationen: Zusammenfassung der Befunde und Empfehlungen Für jede Anwendung sind folgende Punkte zu dokumentieren - Kurze Bewertung des Berechtigungskonzepts - Kurze Bewertung der Umsetzung - Befunde und Empfehlungen 3/6

3 Erwartete Kompetenzen Der Sicherheitsspezialist hat eine formelle Ausbildung im Bereich der Informationssicherheit oder kann eine mehrjährige Erfahrung (> 3 Jahre) in demselben aufweisen. Er hat ein gutes Verständnis für Anwendungen sowie Berechtigungskonzepte. Die analytischen Fähigkeiten erlauben ihm rasch den Umfang, die Sicherheitsprobleme aber auch die Geschäftsanforderungen der Anwendungen zu erund notwendige Sicherheitsanforderungen zu identifizieren. Gute Kenntnisse von Best- kennen Practice (ISO 27001, IT-Grundschutzhandbuch, etc.) sowie Anwendungssicherheit sind ebenfalls er- forderlich. Durch sorgfältige, sachliche, vertrauensvolle und selbstständige Arbeitsweise führt er die vorgegebe- Aktivitäten nen Leistungen in regelmässiger Absprache mit dem Auftraggeber durch und dokumentiert und Erkenntnisse auf verständliche Weise. Der Spezialist soll mündlich wie schriftlich in Deutsch und Französisch kommunizieren können sowie deutsche wie französische Sicherheitskonzepte verstehen. Aufgrund der Vertraulichkeit muss sich die vorgeschlagene Person einer vom Bund akzeptierten Per- Der Auftragnehmer verpflichtet sich, bei negati- sonensicherheitsprüfung (Art. 10 PSPV) unterziehen. vem Befund, eine Ersatzperson mit gleichen Kompetenzen zur Verfügung zu stellen. 4 Vertragsform und Projektumfang Das Angebot soll in Form eines Dienstleistungsvertrages erfolgen. Der geleistete Aufwand ist zwei wöchentlich ihm Rahmen eines Projekt-Controllings zu rapportieren und monatlich zu verrechnen. Die Verrechnung geschieht nach Aufwand mit dem hier offerierten Kostendach. Es sind folgende Aufwände zu berücksichtigen: - Review der Konzepte: 30 Konzepte à ~2PT = 60 PT - Review der Berechtigungen: 40 relevante Anwendungen à ~2PT = 80 PT - Zu offerierender Aufwand: 140 PT - Reserve/Option: 20 PT Der Aufwand soll während der Projektdauer regelmässig verteilt werden. 5 Abgrenzung Fehlen Dokumente oder Informationen, ohne welche das Review einer Anwendung nicht oder nur eingeschränkt möglich ist, so ist dies als Befund zu dokumentieren. Der Anbieter soll für allfällige Un- zur Behebung der Befunde eine zusätzliche Option von 20 Tagen offerieren. Am terstützungsarbeiten Schluss des Projektes entscheidet der Auftraggeber wie mit diesen Befunden umgegangen werden soll und ob für die Unterstützung der Behebung die Option aktiviert werden soll oder nicht. 6 Erfüllungsort Bundesamt für Statistik Espace de l Europe 10 2010 Neuchâtel Sowie in Absprache mit dem Auftraggeber remote 7 Erfüllungstermine Beginn des Projektes: Juli 2011 Projektdauer: Erste Ergebnisse bis September 2011, Abschluss Q2 2012, Umsetzung der optionalen Unterstützung Q3 2012 4/6

8 Frist für die Offerterstellung und Kontaktadresse Eingabefrist der Offerte: 4. Juli 2011 Offerte, welche nach diesem Termin eintreffen werden nicht mehr berücksichtigt. Kontakt: Bundesamt für Statistik Abteilung Statistische Infrastruktur Sektion CODAM Kontakt: Herr Yann Chalon Espace de l Europe 10 2010 Neuchâtel e-mail : yann.chalon@bfs.admin.ch 9 Allgemeines 9.1 Zuschlagskriterien A) Preis B) Erfahrung im Bereich IT-Sicherheit (in Anzahl Jahren) C) Auflisten von 2 Referenzprojekten zur Darstellung der Erfahrungen des Mitarbeiters unter An- mit Kontaktperson(en) und Telefonnummern zur Einholung gabe von: a. Firmenname und Anschrift von Referenzen. b. Zeitpunkt der Durchführung des Projektes. c. Projektinhalt und Anzahl der involvierten Personen. d. Wahrgenommene Rolle. e. Projektumfang in Stunden. f. Durchgeführte Arbeiten und erstellte Ergebnisse. D) Ausbildung in IT-Sicherheit (erworbene Abschlüsse, Zeitpunkt, etc.) E) Kenntnisse der Best-Practice im Bereich IT-Sicherheit (u.a. welche Best-Practice und ob The- vorliegen mit Angaben von Anzahl Jahren für die orie und oder Praxis Praxis) F) Kenntnisse der Sprachen D/F (u.a. von mündlich: Konversationsniveau oder Verhandlungsniveau; schriftlich: Privatbriefniveau oder Geschäftsbriefniveau) 9.2 Struktur der Offerte Die Offerte muss folgende Struktur aufweisen: i. Beschreibung des Leistungserbringers Rechtsform Anzahl Mitarbeiter 5/6

Kompetenzbereiche ii. offerierte Leistungen mit Vorgehensvorschlag iii. Stundensatz, Preis (inkl. MwSt., direkte und indirekte Dienstleistungskosten sowie Spesen) iv. Option für 20 PT gemäss Abschnitt 4 v. Anhänge Mitarbeiterprofil Diplomen und Referenzen gemäss Abschnitt 9.1 weitere Dokumentation 9.3 Sprache der Offerte Die Offerte kann in deutscher oder in französischer Sprache eingereicht werden. 9.4 Vergütung für die Erstellung der Offerte Für die Erstellung des Angebots stehen dem Anbieter keine Vergütungen zu. 9.5 Allgemeine Geschäftsbedingungen Es gelten die allgemeinen Geschäftsbedingungen des Bundes für Informatikdienstleistungen. http://www.bbl.admin.ch/bkb/02617/02618/02626/index.html?lang=de Allfällige allgemeine Geschäftsbedingungen des Offerenten gelten als wegbedungen. 6/6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback