Eugen Bayerlein, Informationssicherheit in der BA BSI-Grundschutz-Zertifikat bei einem großen öffentlichen IT- Dienstleister Fluch oder Segen?
Agenda Bundesagentur für Arbeit und die IT der BA Einführung eines ISMS Zertifizierung warum? Die grundlegende Idee hinter dem ISMS Erfahrungen aus der ISMS-Einführung Wie machen wir weiter? Seite 2
Bundesagentur für Arbeit (BA) zentraler Dienstleister am Arbeitsmarkt Körperschaft des öffentlichen Rechts mit Selbstverwaltung knapp 100.000 BA-Mitarbeiterinnen und -Mitarbeiter Vorstand Frank-Jürgen Weise (VV) Raimund Becker Detlev Scheele Zentrale mit 10 Regionaldirektionen 156 Agenturen für Arbeit in 600 Geschäftsstellen 7 besondere Dienststellen zzgl. 303 Jobcenter (ge) Kooperative Zusammenarbeit mit kommunalen Trägern im Bereich SGBII Institut für Arbeitsmarkt- und Berufsforschung (IAB) Zentrale Auslands- und Fachvermittlung (ZAV) Führungsakademie der BA Hochschule der BA IT-Systemhaus der BA BA-Service-Haus Familienkasse Seite 3
Informationstechnologie (IT) der BA 1/2 Hauptsitz der IT ist in Nürnberg, sie zählt zu den größten IT-Landschaften in Deutschland Zahlen und Fakten: IT-Mitarbeiter/innen 2.300 zentrale Rechenzentren 3 vernetzte PC 160.000 (inkl. PC in Jobcentern ge) Selbstinformations-Arbeitsplätze 13.000 Server 12.430 zentrale Server (UNIX) 230 bundesweite Server (Windows) 9.800 Server (LINUX): 2.400 Netzkomponenten 20.000 angebundene Liegenschaften 1.900 betreute BA-IT-Verfahren 120 Seite 4
Informationstechnologie der BA 2/2 Output (monatlich) E-Mail-Volumen: 36 Mio. Überweisungen: 17 Mio. mit 8 Mrd. Euro Postsendungen: 12 Mio. Druckseiten: 43 Mio. Telefonie (monatlich in Minuten) kommend: 9 Mio. gehend: 5 Mio. Seite 5
Standorte IT-Steuerung Zentrale der BA IT-Systemhaus Regionaler IT-Service an 19 Standorten Seite 6
Zielvisionen der Informationssicherheit Prävention angemessener Schutz der Informationsinfrastruktur der BA, auch bei neuen Technologien und Bedrohungen IT-Strategie 2020 Reaktion wirkungsvolles Handeln bei Verlust der Informationssicherheit Nachhaltung Ausbau einer Kompetenz der Informationssicherheit und IT- Sicherheitsstandards der BA leben Bewusstseinsbildung bzw. -sensibilisierung für Informationssicherheit bei IT-Anwender, bei IT-Dienstleister und bei IT-Kunde Seite 7
Warum ein Information Security Management System (ISMS) für die IT der BA? Die Geschäftsprozesse der BA sind ohne sicherer, funktionierende Informationstechnologie (IT) nicht lebensfähig. Die IT ist nicht frei von Schwachstellen, Bedrohungen und Gefährdungen! Es besteht die gesetzliche Erforderlichkeit, die von der IT der BA erhobenen, verarbeiteten und genutzten Daten und Informationen zu schützen. Ein angemessenes Niveau der Informationssicherheit lässt sich nur erreichen, wenn in IT-Sicherheitsanalysen bestehende Schwachstellen, Bedrohungen und Gefährdungen ermittelt werden. Mit standardisierten, vergleichbaren IT-Sicherheitskonzepten wird der Status Quo dokumentiert, erforderliche IT-Sicherheitsmaßnahmen identifiziert, konsequent umgesetzt und nachgehalten. Seite 8
Einführung eines Information Security Management System (ISMS) Ziel des BA-Projektes ISMS Realisierung Aufbau und Leben eines Information Security Management System (ISMS) für die BA Nachweis Zertifizierung des ISMS gemäß ISO 27001 auf der Basis v. IT-Grundschutz Wesentliche Voraussetzungen für eine erfolgreiche Zertifizierung Aktive Organisation der Informationssicherheit Funktionierende ISMS-Prozesse unter Einbeziehung der IT-Betriebsprozesse (ITIL) Umsetzen aller notwendigen IT-Sicherheits-Maßnahmen Realitätsabbildende IT-Sicherheitsdokumentation Etablierter Awareness Prozess Umsetzung erfolgte im Rahmen eines Stufenkonzeptes unter Zuhilfenahme externer Unterstützung. Seite 9
Warum eine Zertifizierung nach ISO 27001 Basis IT- Grundschutz? BSI-Grundschutz ist Behördenstandard in der Bundesverwaltung. Der Schutz der der BA anvertrauten Informationen muss gewährleistet werden. Das ISMS wird im Rahmen eines kontinuierliche Verbesserungsprozess (KVP) an den aktuellen Stand der Technik angepasst. Nachhaltigkeit / Aktualisierungsdruck in der Organisation wird aufrechterhalten. Regelmäßige interne Audits gewährleisten eine permanente Verbesserung des ISMS. Jährliche externe Audits durch Auditoren des BSI bestätigen die Ausrichtung des ISMS der BA an einem etablierten Standard und die Weiterentwicklung auf dem Gebiet der Informationssicherheit. Seite 10
Das Umfeld der Einführung des ISMS der BA Sensibilisierungs- (Awareness-) Prozess für Infomrationssicherheit ( Heinz hat s drauf ) Aufbau der zentralen IT-Sicherheits- Organisation Auf/Ausbau der dezentralen IT-Sicherheitsorganisation 2. Überwachungsaudit - Rezertifizierung Aufbau ISMS Zertifizierung und 1. Überwachungsaudit bestanden Implementierung IT-Betriebsprozesse (ITIL), SWEP, Projektvorgehen.. 2008.. 2010 2011 2012 2013 2014 2015 2016 2017 2018 Seite 11
Zertifizierung 1. Stufe (Z1) Produktion (ü/bsiko) Aufteilung in Informationsverbünde Informationsverbund Z1 Produktion zertifiziert Standard-Basisdienste Server Netz Infrastruktur Informationsverbund Z2 BA-IT-Verfahren IT-Verfahren der BA Seite 12
Grundlegende Idee im ISMS Zielsetzung Redundanzfreie IT-Sicherheitsdokumentation: soviel wie möglich vor die Klammer ziehen Seite 13
IT-Gesiko - Begriffe und Strukturen im ISMS Übergeordnetes Sicherheitskonzept Das üsiko leitet die Maßnahmen für die in IT-Verfahren und IT-Basisdiensten regelmäßig verwendeten IT-Komponenten her. Das üsiko steigert die Effizienz bei der Erstellung der SiKos. Basisdienstspezifisches Sicherheitskonzept Ein bsiko leitet die spezifischen Maßnahmen für die IT-Umgebung eines IT-Basisdienstes her. bsiko vsiko üsiko Verfahrensspezifisches Sicherheitskonzept Ein vsiko leitet die spezifischen Maßnahmen für die IT-Umgebung eines abzugrenzenden IT-Verfahrens her. Seite 14
Grundlegende Idee im ISMS IT-Komponenten (üsiko) IT-Komponenten, die von mehreren unterschiedlichen IT- Basisdiensten oder IT-Verfahren genutzt werden, werden in sog. übergreifenden Sicherheitskonzepten (üsiko) behandelt. üsiko verweisen auf ein Zielobjekt (z.b. Client). Sie basieren auf GS-Bausteinen ergänzt um eine Risikoanalyse nach BSI-Standard 100-3. IT-Sicherheitsmaßnahmen, die für das geforderte IT- Sicherheitsniveau des üsiko erforderlich sind, gelten für den nutzenden IT-Basisdienst oder das IT-Verfahren als umgesetzt. Seite 15
Grundlegende Idee im ISMS IT-Basisdienste (bsiko) Informationsverbund Z1 ist aufgeteilt in Teilverbünde (IT- Basisdienste) Je IT-Basisdienst existiert ein IT-Sicherheitskonzept (bsiko) IT-Basisdienste bieten eine Dienstleistung mit einem Standardsicherheitsniveau (mind. IT-Grundschutz) Durch die Nutzung ist das IT-Sicherheitsniveau garantiert und nur bei höherem Bedarf wird eine ergänzende IT- Sicherheitsanalyse durchgeführt Jedes IT-Sicherheitskonzept wird durch das IT-Sicherheitsmanagement freigegeben und nachgehalten. Seite 16
Grundlegende Idee im ISMS Basisdienste werden referenziert Datenbanken nutzen den IT- Basisdienst Serverbereitstellung Serverbereitstellung Datenbanken Serverbereitstellung nutzt den IT-Basisdienst RZ-Betrieb Mail nutzt den IT-Basisdienst Serverbereitstellung RZ-Betrieb Mail Seite 17
IT-Gesamtsicherheitskonzept der BA (IT-Gesiko) - Dokumentation öffentlich IT-Sicherheitspolitik Leitlinie zur Informationssicherheit vom Vorstand verabschiedet bedarfsgerecht öffentlich BA-intern IT-Anwender IT-Kunden IT-Dienstleister übergeordnetes IT-Sicherheitskonzepte basisdienstspezifische IT-Sicherheitskonzepte IT-Sicherheits- Richtlinien 50 17 44 vertraulich verfahrensspezifische IT-Sicherheitskonzepte 140 Implementierung und Nachhaltung der IT-Sicherheitsmaßnahmen (Betriebsdokumentation, Durchführungsbestimmungen) 7k Seite 18
Was haben wir erreicht? - ISMS-Zertifizierung Dem Informationsverbund IT-Produktion der Bundesagentur für Arbeit wurde am 14.08.2015 das Deutsche IT- Sicherheitszertifikat des BSI erteilt. 1. Überwachungsaudit im August 2016 erfolgreich bestanden. Seite 19
Erfahrungen aus der ISMS-Einführung Größe und Komplexität des Projektes bieten das Potential eines Leuchtturmprojektes im Behördenumfeld. Die lange Projektlaufzeit führte zwangsläufig zu mehrmaligen Änderungen des Projekt-Scopes. Das BA ISMS hat sich zu einem Transition/Change-Projekt entwickelt: viele Arbeitsergebnisse des Projektes führen zu deutlichen, schnelleren und auch z.t. schmerzhaften Folgeaktivitäten in der Organisation; das Projekt hat daher eine sehr hohe Management-Aufmerksamkeit erreicht. Informationssicherheit ist Führungsaufgabe und muss als solche akzeptiert sein. Die IT muss zukünftig die notwendigen Aktivitäten zur Sicherstellung der Informationssicherheit priorisieren. Führungskräfte müssen demzufolge eine Vorbildfunktion einnehmen und die Mitarbeiter für die Belange und Ziele der Informationssicherheit aktiv sensibilisieren und ggf. im Einzelfall nachsteuern. Seite 20
Erfahrungen aus der ISMS-Einführung BSI-Grundschutzstruktur bildet eine ganzheitliche und strukturierte Grundlage für die Erstellung von IT-Sicherheitskonzeptionen. Rechtzeitige Bereitstellung eines geeigneten ISMS-Tools, dass die Belange der existierenden Informationsinfrastruktur abbildet, ist zentrale Grundvoraussetzung. Rolleninhaber (z. B. Produktverantwortliche) und die IT- Sicherheitsorganisation werden bei der Einführung stark belastet. Dokumentationen erzeugen und pflegen Fokus Informationssicherheit gleitet hinter das Zertifizierungsziel! Komplexität im ISMS steigt mit den höheren Schutzbedarfen. Es entsteht ein erheblicher Ressourcenaufwand für die Umsetzung von wichtigen IT-Sicherheitsmaßnahmen. Bewusstsein für Informationssicherheit bei Rolleninhabern wächst; Risikoanalyse und -bewertung wird Standard. Seite 21
Wie machen wir weiter? BA hält die Zertifizierung für einen IT-Dienstleister des Bundes für unerlässlich! Die Durchführung des 2. Überwachungsaudits ist in 2017 vorgesehen. Rezertifizierung 2018 ist in Prüfung hinsichtlich der Vorgehensweise: Neuer IT-Grundschutz der Aufwand ist derzeit nicht abschätzbar (Zertifizierungsschema nicht vorhanden) Anpassung des Informationsverbundes gemäß BA Strategie 2020 und IT- Strategie 2020 u.a. Private Cloud (IaaS, PaaS, SECaaS) In Prüfung: (zusätzliche) Zertifizierung des Managementsystems nach ISO/IEC 27001-nativ für den gesamten IT Bereich incl. IT-Verfahren und IT-Steuerung Seite 22
Informationssicherheit geht alle an! Vielen Dank für Ihre Aufmerksamkeit! Fragen? Seite 23