I T S B - Externe Unterstützung Externe (modulare) Unterstützung des IT-Sicherheitsbeauftragten (IT-SB)
Gliederung Seite 1. Ausgangssituation 3 2. Mögliche Outsourcing-Modelle 6 2.1 Welche Modelle gibt es? 2.2 Bewertung der unterschiedlichen Ausgangslagen 2.3 Wer ist für was verantwortlich? 3. Entscheidung und Umsetzung im eigenen Haus 14 4. Abschließendes Urteil 16 Seite: 2
1. Ausgangssituation Ausgangssituation Seite: 3
1. Ausgangssituation 1.1 Zahlen und Fakten zur Sparkasse Fürstenfeldbruck (2010) Bilanzsumme: 3,29 Mrd. Euro Mitarbeiter: 880, davon 89 Azubis Geschäftsstellen: 25 Anzahl Cash-Points: Kassen 26 GAA 35 Recycler 17 Landkreisfläche: 434,78 km² Einwohner: 204.538 Seite: 4
1. Ausgangssituation 1.2 Zur Person Name: Ralf Biniek Funktionen im Betrieb: Abteilungsdirektor Marktservice 60 Mitarbeiter(innen) IT-Sicherheitsbeauftragter seit 2004 stellv. GwG-Beauftragter seit 2005 Datenschutzbeauftragter seit 2009 OLK (Operativer Leiter Krisenstab) Seite: 5
1. Ausgangssituation 1.3 Das IT-Sicherheitsmanagementteam Im Jahr 2008 wurde das IT-Sicherheitsmanagementteam gegründet und per Vorstandsbeschluss fest im Betrieb verankert. Dieses Team umfasst folgende Funktionsträger im Haus: Leiter EDV FM-BAU Medialer Vertrieb EDV-Revision Notfallbeauftragter OpRisk-Manager Das Team trifft sich in regelmäßigen Abständen und geplante Vorstandsentscheidungen werden im Vorfeld im Team abgestimmt. Seite: 6
1. Ausgangssituation 1.4 Rahmenbedingungen (Teil 1) Aufgrund der Fülle von Aufgaben konnten die Beauftragtenfunktionen nur mit einem Zeitanteil von ca. 0,2 MaK pro Funktion ausgefüllt werden. Die sich permanent verändernden gesetzlichen und entwicklungstechnischen Rahmenbedingungen erfordern häufig von dem Beauftragten ein kurzfristiges Handeln. Aus diesem Grund wurde bereits 2007 durch den IT-SB, z. B. zur Durchführung des Gesamtaudits, externe Unterstützung in Anspruch genommen. Die weiteren Entwicklungen im Bereich der IT-Sicherheit, z. B. Wechsel des Rechenzentrums (IZB-Soft -> SI -> FI) und die Notwendigkeit zur kurzfristen Überprüfung der Konzepte aus dem Sicheren IT-Betrieb, dem Informationssicherheits-Management-Standard (ISMS-Standard) der Sparkassen-Finanzgruppe, erfordern zusätzliche Ressourcen. Seite: 7
1. Ausgangssituation 1.4 Rahmenbedingungen (Teil 2) Aus Sicht des IT-SB der Sparkasse FFB sollte kein gesamtes Outsourcen angestrebt werden, stattdessen eine modulare Unterstützungsleistung von einem Dienstleister. Die modulare Unterstützung sollte die Tätigkeiten Gesamtaudit, Berichtswesen, Bewertung der Dienstleisterberichte, Unterstützung des IT-SM-Teams, etc. umfassen. Anforderungen an den Dienstleiter: Branchen-Wissen und Erfahrungen Erfahrungen mit der Übernahme von IT-SB-Unterstützungsdienstleistungen Fundierte Kenntnisse zu den relevanten ISMS-Standards, insbesondere zum Sicheren IT- Betrieb Ausreichend großen Pool von Mitarbeitern mit den geforderten Kenntnissen, um Vertretungsregelungen sicherzustellen Geeignete Hilfsmittel und Methoden, um Effizienz zu gewährleisten Seite: 8
2. Outsoucing-Modelle seitens SIZ Outsourcing - Modelle Seite: 9
2.1 Mögliche Outsourcing-Modelle (Teil 1) Modell 1: Vollständiges Outsourcing des IT-SB Das Modell 1 adressiert Kunden, die wenig bis keine eigenen Ressourcen sowohl für die Wahrnehmung der Prozessverantwortung im Informationssicherheits- Management als auch für die Wahrnehmung der Aktivitäten des IT-SB haben. Modell 2: Teil-Outsourcing des IT-SB Modell 2 richtet sich an Kunden, die einerseits die Verantwortung für den ISMS- Prozess intern wahrnehmen können und ebenfalls die Rolle des IT-SB formal intern besetzen. Andererseits verfügen sie NICHT über ausreichende Ressourcen und / oder NICHT über das erforderliche Know-how für die Wahrnehmung der operativen Tätigkeiten des IT-SB.
2.1 Mögliche Outsourcing-Modelle (Teil 2) Modell 3: QS-Unterstützung IT-SB Modell 3 ist für diejenigen Kunden konzipiert, die grundsätzlich die Aktivitäten des IT-SB selbst übernehmen. Jedoch für spezifische ISMS-Themen entweder die Unterstützung bei der Umsetzung oder eine Qualitätssicherung der Aktivitäten des IT-SB in Betracht ziehen.
2.2 Bewertung der unterschiedlichen Ausgangslagen Sparkasse Fürstenfeldbruck Modell Problemstellung Outsourcing IT-SB Kaum Ressourcen für die Prozessverantwortung (ISMS) vorhanden Aufgaben des IT-SB können nicht wahrgenommen werden Sicherheitsspezifisches Know-how fehlt Teil-Outsourcing IT-SB Ressourcen für die Prozessverantwortung (ISMS) vorhanden Ressourcen zur Überwachung / Steuerung des IT-SB vorhanden Operative Aufgaben des IT-SB können nicht wahrgenommen werden Sicherheitsspezifisches Know-how fehlt QS-Unterstützung IT- SB Ressourcen zur Überwachung / Steuerung des IT-SB vorhanden Operative Aufgaben des IT-SB werden überwiegend wahrgenommen Allgemeines Sicherheits-Know-how vorhanden Spezifisches Sicherheits-Know-how fehlt
2.2 Aufgabenverantwortung Modell Aufgaben Outsourcing IT-SB Teil-Outsourcing IT- SB QS-Unterstützung IT- SB verbleibend Gesamtverantwortung und Überwachung des ISMS (Prozessverantwortung) Kontrolle und Steuerung des IT-SB Umsetzung von Maßnahmen durch Dienstleister zu übernehmen Alle operativen Aufgaben des IT-SB Prozessverantwortung für das ISMS Unterstützung / Beratung des (internen) Prozessverantwortlichen für das ISMS Kontrolle und Steuerung des IT-SB Umsetzung von Maßnahmen Teil der operativen Aufgaben Anteil operativer Aufgaben des IT-SB (Anteil flexibel, Festlegung nach indiv. Bedarf und Größe) Prozessverantwortung für das ISMS Qualitätssicherung der Tätigkeiten des (internen) IT-SB Planung der externen Unterstützung Kontrolle und Steuerung des IT-SB Umsetzung von Maßnahmen Alle operativen Aufgaben des IT- SB
3. Entscheidung und Umsetzung im eigenen Haus Sparkasse Fürstenfeldbruck Entscheidung Seite: 14
2.3 Beschreibung der beauftragten Leistungen Das SIZ erfüllte alle gestellten Anforderungen und bietet alle beschriebenen Outsourcing-Modelle an. Im Juli 2011 erfolgte die Beauftragung. Der modulare Aufbau der Unterstützungsleistungen erlaubt zudem eine flexible Anpassung an die jeweiligen sich ggf. ändernden Gegebenheiten In einem vorgelegten Leistungsportfolio konnte die Sparkasse die zu buchenden Einzelleistungen auswählen und mit den auf das eigene Haus bezogenen Aufwänden seitens SIZ unterlegen. Aus der Gesamtsumme, d. h. des geplanten Leistungsumfanges, ergibt sich dann der Aufwand (Kosten) für die Sparkasse. Derzeit ist der Dienstleistungsvertrag auf ein Jahr befristet, um für das eigene Haus ein Gefühl für die Leistungserbringung seitens des SIZ zu bekommen. Aus heutiger Sicht ist davon auszugehen, dass diese Vertragsbeziehung verlängert wird. Adobe Acrobat Document Seite: 15
Modularer Leistungskatalog Seite: 16
4. Abschließendes Urteil Beurteilung der Leistungen Seite: 17
4. Abschließendes Urteil Die abgerufenen Leistungen beim SIZ haben zur gewünschten Entlastung des IT-SB in der Sparkasse Fürstenfeldbruck beigetragen. Die Mitarbeiter des SIZ verfügen über das erforderliche Know-How und verstehen es auch den Mitarbeitern zu vermitteln. Das in 2011 bereits durchgeführte Gesamtaudit des SIZ hat gezeigt, dass hier mit dem notwendigen Augenmerk vorgegangen wird, d. h. es wurden pragmatische Ansätze zur Einhaltung von gesetzlichen Bestimmungen, z. B. Business Continuity Management, gefunden. Anfragen durch den IT-SB der Sparkasse bei dem SIZ-Betreuer werden in sehr kurzer Zeit umfänglich und mit der notwendigen Qualität und Quantität beantwortet. Aus heutiger Sicht war die Inanspruchnahme der Unterstützungsleistung des SIZ im Bereich IT-SB die absolut richtige und notwendige Entscheidung. Seite: 18
Ende des Vortrages Vielen Dank für Ihre Aufmerksamkeit! Seite: 19