Eugen Bayerlein, Informationssicherheit in der BA. BSI-Grundschutz-Zertifikat bei einem großen öffentlichen IT- Dienstleister Fluch oder Segen?

Ähnliche Dokumente
Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

; DuD Berlin; Eugen Bayerlein, Zentrale ITP3. Informations-Sicherheit-Management-System (ISMS) Einführung und Zertifizierung

ISMS Organisation, Prozesse, Dokumentation und Security- Awareness

Klaus Vitt Forum IT-Management Service Öffentliche Verwaltung 29. März Die Informationstechnik in der BA

01. Juni 2016 Praxismesse Hochschule Harz. Vorstellung der Bundesagentur für Arbeit (BA) sowie der IT der BA

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Auf den Schultern von Riesen ISIS12 als Vorstufe zum BSI IT-Grundschutz

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

, Praxismesse Zukunftsnetzwerk, Susanne Berger und Felix Paetzold. Die IT der Bundesagentur für Arbeit stellt sich vor

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Übersicht über die IT- Sicherheitsstandards

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Zertifizierung von IT-Standards

Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

15 Jahre IT-Grundschutz

1. IT-Grundschutz-Tag 2014

Rudi Hey

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

Service-Provider unter Compliance-Druck

Cassini I Guiding ahead

Informationssicherheit

BSI Technische Richtlinie

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Zertifizierung Auditdauer und Preise

BSI IT-Grundschutz in der Praxis

Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017

Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit

pco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Brandschutzbeauftragter (TÜV )

Die neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

Seite 3 Ausgangslage für die Einführung eines Integrierten Kommunikationsmanagements in der BA Situation es gibt noch keine vom Vorstand verabschiedet

BSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher

GirlsʼDay 2017 im IT-Systemhaus

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Umsetzung der Anschlussbedingungen Verbindungsnetz in Hessen

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

ISO / ISO Vorgehen und Anwendung

ISO Zertifizierung

IT-Dienstleistungszentren in der öffentlichen Verwaltung. Zentralisierung, Standardisierung und Automatisierung in der IT der BA

IT-Sicherheitszertifikat

Mit dem Upgrade der bestehenden Windows XP-Landschaft mit ca Clients

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

ALPHA-OMEGA PROJECTS. Alpha-Omega Projects. Wir erstellen Ihr ISMS und unterstützen Sie bei der Zertifizierung ISO EnWG

PRE-SCAN KRITIS. Delivering Transformation. Together.

Lösungen die standhalten.

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Inhalt. Einleitung und Auftragsgegenstand Leistungsumfang Change-Request-Verfahren... 4 Deutsche Sprache... 4 Reporting... 4 Preise...


Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

Informationssicherheit in handlichen Päckchen ISIS12

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

VdS-Richtlinien 3473 Workshop zur LeetCon 2017

IT-Grundschutz Einführung und Anwendung auf Datenbanken

Zertifizierung gemäß ISO/IEC 27001

Informationsrisikomanagement

26. DECUS Symposium. IT-Grundschutz-Zertifizierung

Informationssicherheit in der BA. Klaus Pietsch FTVI & FTRI IT-Sicherheit

Der neue IT-Grundschutz im Kontext der ISO 27001

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Einführung eines ISMS nach ISO 27001:2013

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

IS-Revision in der Verwaltung

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Automatisierter IT-Grundschutz Hannover

Zukünftige Ausrichtung der BA und Implikationen auf die IT

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Trusted Site Infrastructure

IT-SICHERHEITSEXPERTE/IN Audits/Zertifizierungen JOBPERSPEKTIVE

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Mitglieder- und Partnertag 10 Jahre ego-mv

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

16. egovernment-wettbewerb Leistungsfähige Partner GESTALTEN ihre Zukunft:

Praktizierter Grundschutz in einem mittelständigen Unternehmen

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

Regelwerk der Informationssicherheit: Ebene 1

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

Information Security Management System Informationssicherheitsrichtlinie

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

Verinice.XP Grundschutztool verinice beim Brandenburgischen IT-Dienstleister (ZIT-BB)

Das IT-Verfahren TOOTSI

Der modernisierte BSI IT- Grundschutz Baustein für Datenbanken. Manuel Atug, Senior Manager

Leitlinie für die Informationssicherheit

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

Transkript:

Eugen Bayerlein, Informationssicherheit in der BA BSI-Grundschutz-Zertifikat bei einem großen öffentlichen IT- Dienstleister Fluch oder Segen?

Agenda Bundesagentur für Arbeit und die IT der BA Einführung eines ISMS Zertifizierung warum? Die grundlegende Idee hinter dem ISMS Erfahrungen aus der ISMS-Einführung Wie machen wir weiter? Seite 2

Bundesagentur für Arbeit (BA) zentraler Dienstleister am Arbeitsmarkt Körperschaft des öffentlichen Rechts mit Selbstverwaltung knapp 100.000 BA-Mitarbeiterinnen und -Mitarbeiter Vorstand Frank-Jürgen Weise (VV) Raimund Becker Detlev Scheele Zentrale mit 10 Regionaldirektionen 156 Agenturen für Arbeit in 600 Geschäftsstellen 7 besondere Dienststellen zzgl. 303 Jobcenter (ge) Kooperative Zusammenarbeit mit kommunalen Trägern im Bereich SGBII Institut für Arbeitsmarkt- und Berufsforschung (IAB) Zentrale Auslands- und Fachvermittlung (ZAV) Führungsakademie der BA Hochschule der BA IT-Systemhaus der BA BA-Service-Haus Familienkasse Seite 3

Informationstechnologie (IT) der BA 1/2 Hauptsitz der IT ist in Nürnberg, sie zählt zu den größten IT-Landschaften in Deutschland Zahlen und Fakten: IT-Mitarbeiter/innen 2.300 zentrale Rechenzentren 3 vernetzte PC 160.000 (inkl. PC in Jobcentern ge) Selbstinformations-Arbeitsplätze 13.000 Server 12.430 zentrale Server (UNIX) 230 bundesweite Server (Windows) 9.800 Server (LINUX): 2.400 Netzkomponenten 20.000 angebundene Liegenschaften 1.900 betreute BA-IT-Verfahren 120 Seite 4

Informationstechnologie der BA 2/2 Output (monatlich) E-Mail-Volumen: 36 Mio. Überweisungen: 17 Mio. mit 8 Mrd. Euro Postsendungen: 12 Mio. Druckseiten: 43 Mio. Telefonie (monatlich in Minuten) kommend: 9 Mio. gehend: 5 Mio. Seite 5

Standorte IT-Steuerung Zentrale der BA IT-Systemhaus Regionaler IT-Service an 19 Standorten Seite 6

Zielvisionen der Informationssicherheit Prävention angemessener Schutz der Informationsinfrastruktur der BA, auch bei neuen Technologien und Bedrohungen IT-Strategie 2020 Reaktion wirkungsvolles Handeln bei Verlust der Informationssicherheit Nachhaltung Ausbau einer Kompetenz der Informationssicherheit und IT- Sicherheitsstandards der BA leben Bewusstseinsbildung bzw. -sensibilisierung für Informationssicherheit bei IT-Anwender, bei IT-Dienstleister und bei IT-Kunde Seite 7

Warum ein Information Security Management System (ISMS) für die IT der BA? Die Geschäftsprozesse der BA sind ohne sicherer, funktionierende Informationstechnologie (IT) nicht lebensfähig. Die IT ist nicht frei von Schwachstellen, Bedrohungen und Gefährdungen! Es besteht die gesetzliche Erforderlichkeit, die von der IT der BA erhobenen, verarbeiteten und genutzten Daten und Informationen zu schützen. Ein angemessenes Niveau der Informationssicherheit lässt sich nur erreichen, wenn in IT-Sicherheitsanalysen bestehende Schwachstellen, Bedrohungen und Gefährdungen ermittelt werden. Mit standardisierten, vergleichbaren IT-Sicherheitskonzepten wird der Status Quo dokumentiert, erforderliche IT-Sicherheitsmaßnahmen identifiziert, konsequent umgesetzt und nachgehalten. Seite 8

Einführung eines Information Security Management System (ISMS) Ziel des BA-Projektes ISMS Realisierung Aufbau und Leben eines Information Security Management System (ISMS) für die BA Nachweis Zertifizierung des ISMS gemäß ISO 27001 auf der Basis v. IT-Grundschutz Wesentliche Voraussetzungen für eine erfolgreiche Zertifizierung Aktive Organisation der Informationssicherheit Funktionierende ISMS-Prozesse unter Einbeziehung der IT-Betriebsprozesse (ITIL) Umsetzen aller notwendigen IT-Sicherheits-Maßnahmen Realitätsabbildende IT-Sicherheitsdokumentation Etablierter Awareness Prozess Umsetzung erfolgte im Rahmen eines Stufenkonzeptes unter Zuhilfenahme externer Unterstützung. Seite 9

Warum eine Zertifizierung nach ISO 27001 Basis IT- Grundschutz? BSI-Grundschutz ist Behördenstandard in der Bundesverwaltung. Der Schutz der der BA anvertrauten Informationen muss gewährleistet werden. Das ISMS wird im Rahmen eines kontinuierliche Verbesserungsprozess (KVP) an den aktuellen Stand der Technik angepasst. Nachhaltigkeit / Aktualisierungsdruck in der Organisation wird aufrechterhalten. Regelmäßige interne Audits gewährleisten eine permanente Verbesserung des ISMS. Jährliche externe Audits durch Auditoren des BSI bestätigen die Ausrichtung des ISMS der BA an einem etablierten Standard und die Weiterentwicklung auf dem Gebiet der Informationssicherheit. Seite 10

Das Umfeld der Einführung des ISMS der BA Sensibilisierungs- (Awareness-) Prozess für Infomrationssicherheit ( Heinz hat s drauf ) Aufbau der zentralen IT-Sicherheits- Organisation Auf/Ausbau der dezentralen IT-Sicherheitsorganisation 2. Überwachungsaudit - Rezertifizierung Aufbau ISMS Zertifizierung und 1. Überwachungsaudit bestanden Implementierung IT-Betriebsprozesse (ITIL), SWEP, Projektvorgehen.. 2008.. 2010 2011 2012 2013 2014 2015 2016 2017 2018 Seite 11

Zertifizierung 1. Stufe (Z1) Produktion (ü/bsiko) Aufteilung in Informationsverbünde Informationsverbund Z1 Produktion zertifiziert Standard-Basisdienste Server Netz Infrastruktur Informationsverbund Z2 BA-IT-Verfahren IT-Verfahren der BA Seite 12

Grundlegende Idee im ISMS Zielsetzung Redundanzfreie IT-Sicherheitsdokumentation: soviel wie möglich vor die Klammer ziehen Seite 13

IT-Gesiko - Begriffe und Strukturen im ISMS Übergeordnetes Sicherheitskonzept Das üsiko leitet die Maßnahmen für die in IT-Verfahren und IT-Basisdiensten regelmäßig verwendeten IT-Komponenten her. Das üsiko steigert die Effizienz bei der Erstellung der SiKos. Basisdienstspezifisches Sicherheitskonzept Ein bsiko leitet die spezifischen Maßnahmen für die IT-Umgebung eines IT-Basisdienstes her. bsiko vsiko üsiko Verfahrensspezifisches Sicherheitskonzept Ein vsiko leitet die spezifischen Maßnahmen für die IT-Umgebung eines abzugrenzenden IT-Verfahrens her. Seite 14

Grundlegende Idee im ISMS IT-Komponenten (üsiko) IT-Komponenten, die von mehreren unterschiedlichen IT- Basisdiensten oder IT-Verfahren genutzt werden, werden in sog. übergreifenden Sicherheitskonzepten (üsiko) behandelt. üsiko verweisen auf ein Zielobjekt (z.b. Client). Sie basieren auf GS-Bausteinen ergänzt um eine Risikoanalyse nach BSI-Standard 100-3. IT-Sicherheitsmaßnahmen, die für das geforderte IT- Sicherheitsniveau des üsiko erforderlich sind, gelten für den nutzenden IT-Basisdienst oder das IT-Verfahren als umgesetzt. Seite 15

Grundlegende Idee im ISMS IT-Basisdienste (bsiko) Informationsverbund Z1 ist aufgeteilt in Teilverbünde (IT- Basisdienste) Je IT-Basisdienst existiert ein IT-Sicherheitskonzept (bsiko) IT-Basisdienste bieten eine Dienstleistung mit einem Standardsicherheitsniveau (mind. IT-Grundschutz) Durch die Nutzung ist das IT-Sicherheitsniveau garantiert und nur bei höherem Bedarf wird eine ergänzende IT- Sicherheitsanalyse durchgeführt Jedes IT-Sicherheitskonzept wird durch das IT-Sicherheitsmanagement freigegeben und nachgehalten. Seite 16

Grundlegende Idee im ISMS Basisdienste werden referenziert Datenbanken nutzen den IT- Basisdienst Serverbereitstellung Serverbereitstellung Datenbanken Serverbereitstellung nutzt den IT-Basisdienst RZ-Betrieb Mail nutzt den IT-Basisdienst Serverbereitstellung RZ-Betrieb Mail Seite 17

IT-Gesamtsicherheitskonzept der BA (IT-Gesiko) - Dokumentation öffentlich IT-Sicherheitspolitik Leitlinie zur Informationssicherheit vom Vorstand verabschiedet bedarfsgerecht öffentlich BA-intern IT-Anwender IT-Kunden IT-Dienstleister übergeordnetes IT-Sicherheitskonzepte basisdienstspezifische IT-Sicherheitskonzepte IT-Sicherheits- Richtlinien 50 17 44 vertraulich verfahrensspezifische IT-Sicherheitskonzepte 140 Implementierung und Nachhaltung der IT-Sicherheitsmaßnahmen (Betriebsdokumentation, Durchführungsbestimmungen) 7k Seite 18

Was haben wir erreicht? - ISMS-Zertifizierung Dem Informationsverbund IT-Produktion der Bundesagentur für Arbeit wurde am 14.08.2015 das Deutsche IT- Sicherheitszertifikat des BSI erteilt. 1. Überwachungsaudit im August 2016 erfolgreich bestanden. Seite 19

Erfahrungen aus der ISMS-Einführung Größe und Komplexität des Projektes bieten das Potential eines Leuchtturmprojektes im Behördenumfeld. Die lange Projektlaufzeit führte zwangsläufig zu mehrmaligen Änderungen des Projekt-Scopes. Das BA ISMS hat sich zu einem Transition/Change-Projekt entwickelt: viele Arbeitsergebnisse des Projektes führen zu deutlichen, schnelleren und auch z.t. schmerzhaften Folgeaktivitäten in der Organisation; das Projekt hat daher eine sehr hohe Management-Aufmerksamkeit erreicht. Informationssicherheit ist Führungsaufgabe und muss als solche akzeptiert sein. Die IT muss zukünftig die notwendigen Aktivitäten zur Sicherstellung der Informationssicherheit priorisieren. Führungskräfte müssen demzufolge eine Vorbildfunktion einnehmen und die Mitarbeiter für die Belange und Ziele der Informationssicherheit aktiv sensibilisieren und ggf. im Einzelfall nachsteuern. Seite 20

Erfahrungen aus der ISMS-Einführung BSI-Grundschutzstruktur bildet eine ganzheitliche und strukturierte Grundlage für die Erstellung von IT-Sicherheitskonzeptionen. Rechtzeitige Bereitstellung eines geeigneten ISMS-Tools, dass die Belange der existierenden Informationsinfrastruktur abbildet, ist zentrale Grundvoraussetzung. Rolleninhaber (z. B. Produktverantwortliche) und die IT- Sicherheitsorganisation werden bei der Einführung stark belastet. Dokumentationen erzeugen und pflegen Fokus Informationssicherheit gleitet hinter das Zertifizierungsziel! Komplexität im ISMS steigt mit den höheren Schutzbedarfen. Es entsteht ein erheblicher Ressourcenaufwand für die Umsetzung von wichtigen IT-Sicherheitsmaßnahmen. Bewusstsein für Informationssicherheit bei Rolleninhabern wächst; Risikoanalyse und -bewertung wird Standard. Seite 21

Wie machen wir weiter? BA hält die Zertifizierung für einen IT-Dienstleister des Bundes für unerlässlich! Die Durchführung des 2. Überwachungsaudits ist in 2017 vorgesehen. Rezertifizierung 2018 ist in Prüfung hinsichtlich der Vorgehensweise: Neuer IT-Grundschutz der Aufwand ist derzeit nicht abschätzbar (Zertifizierungsschema nicht vorhanden) Anpassung des Informationsverbundes gemäß BA Strategie 2020 und IT- Strategie 2020 u.a. Private Cloud (IaaS, PaaS, SECaaS) In Prüfung: (zusätzliche) Zertifizierung des Managementsystems nach ISO/IEC 27001-nativ für den gesamten IT Bereich incl. IT-Verfahren und IT-Steuerung Seite 22

Informationssicherheit geht alle an! Vielen Dank für Ihre Aufmerksamkeit! Fragen? Seite 23

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback