Informations-Sicherheit-Management-System (ISMS ... · Seite 7 Für das ISMS eines großen...
Transcript of Informations-Sicherheit-Management-System (ISMS ... · Seite 7 Für das ISMS eines großen...
Informations-Sicherheit-Management-System
(ISMS)
Einführung und Zertifizierung
16.6.2015; DuD Berlin; Eugen Bayerlein, Zentrale – ITP3
Bundesagentur für Arbeit (BA)
zentraler Dienstleister am Arbeitsmarkt
Körperschaft des öffentlichen Rechts mit Selbstverwaltung
knapp 100.000 BA-Mitarbeiterinnen und -Mitarbeiter
Vorstand Frank-Jürgen Weise (VV)
Raimund Becker (V Regionen)
Heinrich Alt (V Arbeitsmarkt)
Zentrale mit
10 Regionaldirektionen
156 Agenturen für Arbeit in 600 Geschäftsstellen
7 besondere Dienst- stellen
Institut für Arbeitsmarkt- und Berufsforschung (IAB) Zentrale Auslands- und Fachvermittlung (ZAV) Führungsakademie der BA Hochschule der BA IT-Systemhaus der BA BA-Service-Haus Familienkasse
zzgl. 303 Jobcenter –
gemeinsame Einrichtungen
Kooperative Zusammenarbeit
mit kommunalen Trägern im
Bereich SGBII
Die IT-Landschaft der BA
Die Informationstechnik der BA hat ihren Hauptsitz ebenfalls in Nürnberg und zählt zu den größten IT-Landschaften in Deutschland
Die Systemlandschaft fußt auf drei hochverfügbar ausgelegten zentralen Rechenzentren
Die Vision der BA Informationstechnik:
Die BA-Informationstechnik ist der
leistungsfähigste und wirtschaftlichste
IT-Dienstleister im öffentlichen Bereich
IT-Mitarbeiter/innen 2.100
Anzahl vernetzte PC 160.000
Anzahl Server 12.430
Zentrale Server unter UNIX 230
Bundesweite Server Windows 9.800
Linux-Server 2.400
Angebundene Liegenschaften 1.900
Anzahl Switche und Router 20.000
Anzahl Selbstauskunftsplätze 13.000
Monatlicher Output an
E-Mails 36 Mio
Druckseiten 43 Mio
Überweisungen 17 Mio / (8 Mrd €)
Betreute BA-IT-Verfahren 120
Zahlen und Fakten der IT
Warum ein ISMS für die IT der BA?
Die Geschäftsprozesse der BA sind ohne funktionierende Informationstechnologie (IT) nicht „lebensfähig“. Die IT ist nicht frei von Schwachstellen. So besteht ein berechtigtes Interesse, die von der IT erhobenen, verarbeiteten und genutzten Daten und Informationen zu schützen und die Informationssicherheit der IT zu planen, zu realisieren und zu kontrollieren. Ein angemessenes IT-Sicherheitsniveau lässt sich nur erreichen durch: ▬ IT-Sicherheitsanalyse mit Ermittlung bestehender Schwachstellen
▬ IT-Sicherheitskonzept dokumentiert den Status Quo
▬ erforderliche Maßnahmen werden identifiziert
▬ die Maßnahmen werden konsequent umgesetzt
Einführung eines Informations-Sicherheits-Management-System (ISMS)
Ziele des Projekts BA ISMS
Aufbau eines Information Sicherheits Management System (ISMS) für die BA
Zertifizierung des ISMS gemäß ISO 27001 auf der Basis v. IT-Grundschutz
Grundlagen
Wesentliche Voraussetzungen für eine erfolgreiche Zertifizierung
Aktive Organisation der
Informationssicherheit
Funktionierende ISMS-Prozesse unter
Einbeziehung der IT-Betriebsprozesse
(ITIL)
Umsetzen aller notwendigen Grundschutz-
Maßnahmen
Umsetzung erfolgt im Rahmen eines Stufenkonzeptes unter Zuhilfenahme externer Unterstützung
Einführung eines Informations-Sicherheits-Management-System (ISMS)
Seite 6
Für die Bundesagentur für Arbeit sind zwei
Informationsverbünde vorgesehen.
Informationsverbünde
▬ Die BA-IT wird in zwei Schritten zertifiziert:
▬ Zertifikat 1 (Z1) für den Teilinformationsverbund „IT-Produktion (Betrieb und
Infrastruktur)“
▬ Zertifikat 2 (Z2) für den Teilinformationsverbund
„BA-Verfahren (Standardarchitektur)“
Infrastruktur
Netze
Server
Standard-Basisdienste
BA-Verfahren (Standardarchitektur) SE
P
Z2
Z1
Seite 7
Für das ISMS eines großen Informationsverbundes
benötigt es Prinzipien
Wie kann man der Größe Herr werden?
▬ Prinzip „Teile und Herrsche“
▬ Aufteilung der Infrastruktur in Teilverbünde
▬ Prinzip „Vor-die-Klammer-ziehen“
▬ Verfahren nutzen gemeinsam Basisdienste (z. B. einheitliche Server,
zentrale Netze)
▬ Basisdienste erstellen eigene Sicherheitskonzepte als Basis für die
Verfahren
▬ Prinzip der „Standardisierung“
▬ Allgemeine Entscheidungen und Definitionen zur Vereinheitlichung und
Vereinfachung der Konzepterstellung
▬ Prinzip der „Automatisierung“
▬ Die Dokumentation kann nur Tool-gestützt erfolgen.
▬ Etablierung von Automatismen durch Verlinkung
Seite 8
IT-Sicherheitspolitik
übergreifende IT-Sicherheitskonzepte
basisdienstspezifische IT-Sicherheitskonzepte
verfahrensspezifische IT-Sicherheitskonzepte
Implementierung und Nachhaltung
der IT-Sicherheitsmaßnahmen
(Betriebsdokumentation, Durchführungsbestimmungen)
IT-Anwender
IT-Kunden
IT-Dienstleister
IT-Sicherheits-
Richtlinien 50
43
140
7k
Leitlinie zur Informationssicherheit
vom Vorstand verabschiedet
Information Security Management System (ISMS) IT-Gesamtsicherheitskonzept der BA - Dokumentation
öffentlich
BA-intern
bedarfsgerecht öffentlich
vertraulich
17
Seite 9
Erfahrungen aus der ISMS-Einführung
Größe und Komplexität des Projektes bieten das Potential eines Leuchtturmprojektes für das Behördenumfeld.
Die lange Projektlaufzeit führte zwangsläufig zu mehrmaligen Änderungen des Projekt-Scopes. Das Projektmanagement hatte daher eher den Charakter einer Expeditionsleitung.
Das Projekt BA ISMS hat sich zu einem Transition/Change-Projekt entwickelt: viele Arbeitsergebnisse des Projektes führen zu deutlichen, schnellen und auch z.T. schmerzhaften Folgeaktivitäten in der Organisation; das Projekt hat daher eine sehr hohe Management-Aufmerksamkeit.
Informationssicherheit ist Führungsaufgabe und muss als solche akzeptiert sein „Die IT muss zukünftig die notwendigen Aktivitäten zur Sicherstellung der IT-Sicherheit priorisieren. Führungskräfte müssen demzufolge eine Vorbildfunktion einnehmen und die Mitarbeiter für die Belange und Ziele der IT-Sicherheit aktiv sensibilisieren und ggf. im Einzelfall nachsteuern.“
Seite 10
Erfahrungen aus der ISMS-Einführung
BSI-Grundschutzstruktur bildet eine umfassende und gut zu nutzende Grundlage für IT-Sicherheitskonzeptionen
Rechtzeitige Bereitstellung eines umfassenden ISMS-Tools ist zentrale Grundvoraussetzung
Hohe Belastung der Produktverantwortlichen und der Sicherheits-organisation bei der Einführung
Dokumentationen erzeugen und pflegen
Fokus IT-Sicherheit gleitet hinter das Zertifizierungsziel !
Komplexität im ISMS steigt mit den höheren Schutzbedarfen
Erheblicher finanzieller Aufwand für die Umsetzung von wichtigen Maßnahmen
Bewusstsein für Informationssicherheit bei den technischen Produktverantwortlichen wächst; Risikoanalyse und -bewertung wird Standard
Seite 11
Z1 ist der aktuell erfolgreich zertifizierte
Informationsverbund
Z1 – „IT-Produktion der Bundesagentur für Arbeit“
„Der Informationsverbund‚ IT-Produktion der Bundesagentur für
Arbeit (BA) umfasst alle IT-Basisdienste, die für den Wirkbetrieb der
IT-Verfahren der BA unentbehrlich und damit für die gesetzlich
vorgegebene, originäre Aufgabenerfüllung der BA unabdingbar sind.
[…]
Die IT-Systeme des Informationsverbundes werden in den zentralen
Rechenzentren und Räumlichkeiten der BA in Nürnberg betrieben.“
Seite 13
Die Zertifizierung dieses großen Verbundes
beinhaltet eine entsprechende Vorbereitung
Projektinhalte zur Zertifizierungsvorbereitung (Auszug):
▬ Erstellung, Qualitätssicherung und Freigabe von 43
basisdienstspezifischen Sicherheitskonzepten inkl.
Berücksichtigung der Schnittstellen
▬ Aufbereitung und Ergänzung der Richtlinienstruktur
▬ Umsetzung und Prüfung von > 7.500 Maßnahmen
▬ Generierung der Referenzdokumente (ca. 3.750 Seiten)
▬ Vorbereitung der Mitarbeiter auf das Audit
▬ Abstimmung von Zeitschiene und Auditvorgehensweise mit dem
BSI
Seite 14
Der Auditor sollte mit bedacht gewählt werden.
Anforderungen an den Auditor
▬ Wichtig ist, dass sich der Auditor auch als Partner der auditierten
Organisation versteht
▬ Der Auditor darf nicht vergessen, dass es sich um eine Prüfsituation
handelt
▬ z. B. enormer Erfolgsdruck der Mitarbeiter im Audit -
für die BA ist die erfolgreiche Zertifizierung eine wichtige strategische Weichenstellung
▬ Der Auditor muss sich in die Organisation hineindenken können
▬ Vorstellungstermine mit dem Auditor wurden vereinbart werden
▬ Die Organisation und der Informationsverbund wurden dem Auditor vorgestellt
▬ Der Auditor sollte sich selbst vorstellen und seine Erwartungen erläutern
Seite 15
Entsprechend des Auditierungsschemas verläuft das
Audit immer einheitlich.
Ref.-Dok.
A.0 - A.7
Antrag
Nach-weise
Audit-bericht
Initialisierung Vor-Ort-Audit
Dokumentenprüfung Übergabe des Auditberichts
10.11.2014
2.1.2015
24.02.2015
06.2015
Seite 17
Ausblick (Überwachungsaudit / Re-Zertifizierung)
2014 2015 2016 2017 2018 2019 2020 2021
Zertifizierung –
Basisbetrieb
jährliches
Überwachungsaudit
Betrieb des Information Security Management System
(BA ISMS)
Start Projekt Zertifizierung
der Fachverfahrensanwendungen
Rezertifizierung
IT - Verbund
Zertifizierung -
Fachverfahrens -
anwendungen