Informations-Sicherheit-Management-System

(ISMS)

Einführung und Zertifizierung

16.6.2015; DuD Berlin; Eugen Bayerlein, Zentrale – ITP3

Bundesagentur für Arbeit (BA)

zentraler Dienstleister am Arbeitsmarkt

Körperschaft des öffentlichen Rechts mit Selbstverwaltung

knapp 100.000 BA-Mitarbeiterinnen und -Mitarbeiter

Vorstand Frank-Jürgen Weise (VV)

Raimund Becker (V Regionen)

Heinrich Alt (V Arbeitsmarkt)

Zentrale mit

10 Regionaldirektionen

156 Agenturen für Arbeit in 600 Geschäftsstellen

7 besondere Dienst- stellen

Institut für Arbeitsmarkt- und Berufsforschung (IAB) Zentrale Auslands- und Fachvermittlung (ZAV) Führungsakademie der BA Hochschule der BA IT-Systemhaus der BA BA-Service-Haus Familienkasse

zzgl. 303 Jobcenter –

gemeinsame Einrichtungen

Kooperative Zusammenarbeit

mit kommunalen Trägern im

Bereich SGBII

Die IT-Landschaft der BA

Die Informationstechnik der BA hat ihren Hauptsitz ebenfalls in Nürnberg und zählt zu den größten IT-Landschaften in Deutschland

Die Systemlandschaft fußt auf drei hochverfügbar ausgelegten zentralen Rechenzentren

Die Vision der BA Informationstechnik:

Die BA-Informationstechnik ist der

leistungsfähigste und wirtschaftlichste

IT-Dienstleister im öffentlichen Bereich

IT-Mitarbeiter/innen 2.100

Anzahl vernetzte PC 160.000

Anzahl Server 12.430

Zentrale Server unter UNIX 230

Bundesweite Server Windows 9.800

Linux-Server 2.400

Angebundene Liegenschaften 1.900

Anzahl Switche und Router 20.000

Anzahl Selbstauskunftsplätze 13.000

Monatlicher Output an

E-Mails 36 Mio

Druckseiten 43 Mio

Überweisungen 17 Mio / (8 Mrd €)

Betreute BA-IT-Verfahren 120

Zahlen und Fakten der IT

Warum ein ISMS für die IT der BA?

Die Geschäftsprozesse der BA sind ohne funktionierende Informationstechnologie (IT) nicht „lebensfähig“. Die IT ist nicht frei von Schwachstellen. So besteht ein berechtigtes Interesse, die von der IT erhobenen, verarbeiteten und genutzten Daten und Informationen zu schützen und die Informationssicherheit der IT zu planen, zu realisieren und zu kontrollieren. Ein angemessenes IT-Sicherheitsniveau lässt sich nur erreichen durch: ▬ IT-Sicherheitsanalyse mit Ermittlung bestehender Schwachstellen

▬ IT-Sicherheitskonzept dokumentiert den Status Quo

▬ erforderliche Maßnahmen werden identifiziert

▬ die Maßnahmen werden konsequent umgesetzt

Einführung eines Informations-Sicherheits-Management-System (ISMS)

Ziele des Projekts BA ISMS

Aufbau eines Information Sicherheits Management System (ISMS) für die BA

Zertifizierung des ISMS gemäß ISO 27001 auf der Basis v. IT-Grundschutz

Grundlagen

Wesentliche Voraussetzungen für eine erfolgreiche Zertifizierung

Aktive Organisation der

Informationssicherheit

Funktionierende ISMS-Prozesse unter

Einbeziehung der IT-Betriebsprozesse

(ITIL)

Umsetzen aller notwendigen Grundschutz-

Maßnahmen

Umsetzung erfolgt im Rahmen eines Stufenkonzeptes unter Zuhilfenahme externer Unterstützung

Einführung eines Informations-Sicherheits-Management-System (ISMS)

Seite 6

Für die Bundesagentur für Arbeit sind zwei

Informationsverbünde vorgesehen.

Informationsverbünde

▬ Die BA-IT wird in zwei Schritten zertifiziert:

▬ Zertifikat 1 (Z1) für den Teilinformationsverbund „IT-Produktion (Betrieb und

Infrastruktur)“

▬ Zertifikat 2 (Z2) für den Teilinformationsverbund

„BA-Verfahren (Standardarchitektur)“

Infrastruktur

Netze

Server

Standard-Basisdienste

BA-Verfahren (Standardarchitektur) SE

P

Z2

Z1

Seite 7

Für das ISMS eines großen Informationsverbundes

benötigt es Prinzipien

Wie kann man der Größe Herr werden?

▬ Prinzip „Teile und Herrsche“

▬ Aufteilung der Infrastruktur in Teilverbünde

▬ Prinzip „Vor-die-Klammer-ziehen“

▬ Verfahren nutzen gemeinsam Basisdienste (z. B. einheitliche Server,

zentrale Netze)

▬ Basisdienste erstellen eigene Sicherheitskonzepte als Basis für die

Verfahren

▬ Prinzip der „Standardisierung“

▬ Allgemeine Entscheidungen und Definitionen zur Vereinheitlichung und

Vereinfachung der Konzepterstellung

▬ Prinzip der „Automatisierung“

▬ Die Dokumentation kann nur Tool-gestützt erfolgen.

▬ Etablierung von Automatismen durch Verlinkung

Seite 8

IT-Sicherheitspolitik

übergreifende IT-Sicherheitskonzepte

basisdienstspezifische IT-Sicherheitskonzepte

verfahrensspezifische IT-Sicherheitskonzepte

Implementierung und Nachhaltung

der IT-Sicherheitsmaßnahmen

(Betriebsdokumentation, Durchführungsbestimmungen)

IT-Anwender

IT-Kunden

IT-Dienstleister

IT-Sicherheits-

Richtlinien 50

43

140

7k

Leitlinie zur Informationssicherheit

vom Vorstand verabschiedet

Information Security Management System (ISMS) IT-Gesamtsicherheitskonzept der BA - Dokumentation

öffentlich

BA-intern

bedarfsgerecht öffentlich

vertraulich

17

Seite 9

Erfahrungen aus der ISMS-Einführung

Größe und Komplexität des Projektes bieten das Potential eines Leuchtturmprojektes für das Behördenumfeld.

Die lange Projektlaufzeit führte zwangsläufig zu mehrmaligen Änderungen des Projekt-Scopes. Das Projektmanagement hatte daher eher den Charakter einer Expeditionsleitung.

Das Projekt BA ISMS hat sich zu einem Transition/Change-Projekt entwickelt: viele Arbeitsergebnisse des Projektes führen zu deutlichen, schnellen und auch z.T. schmerzhaften Folgeaktivitäten in der Organisation; das Projekt hat daher eine sehr hohe Management-Aufmerksamkeit.

Informationssicherheit ist Führungsaufgabe und muss als solche akzeptiert sein „Die IT muss zukünftig die notwendigen Aktivitäten zur Sicherstellung der IT-Sicherheit priorisieren. Führungskräfte müssen demzufolge eine Vorbildfunktion einnehmen und die Mitarbeiter für die Belange und Ziele der IT-Sicherheit aktiv sensibilisieren und ggf. im Einzelfall nachsteuern.“

Seite 10

Erfahrungen aus der ISMS-Einführung

BSI-Grundschutzstruktur bildet eine umfassende und gut zu nutzende Grundlage für IT-Sicherheitskonzeptionen

Rechtzeitige Bereitstellung eines umfassenden ISMS-Tools ist zentrale Grundvoraussetzung

Hohe Belastung der Produktverantwortlichen und der Sicherheits-organisation bei der Einführung

Dokumentationen erzeugen und pflegen

Fokus IT-Sicherheit gleitet hinter das Zertifizierungsziel !

Komplexität im ISMS steigt mit den höheren Schutzbedarfen

Erheblicher finanzieller Aufwand für die Umsetzung von wichtigen Maßnahmen

Bewusstsein für Informationssicherheit bei den technischen Produktverantwortlichen wächst; Risikoanalyse und -bewertung wird Standard

Seite 11

Z1 ist der aktuell erfolgreich zertifizierte

Informationsverbund

Z1 – „IT-Produktion der Bundesagentur für Arbeit“

„Der Informationsverbund‚ IT-Produktion der Bundesagentur für

Arbeit (BA) umfasst alle IT-Basisdienste, die für den Wirkbetrieb der

IT-Verfahren der BA unentbehrlich und damit für die gesetzlich

vorgegebene, originäre Aufgabenerfüllung der BA unabdingbar sind.

[…]

Die IT-Systeme des Informationsverbundes werden in den zentralen

Rechenzentren und Räumlichkeiten der BA in Nürnberg betrieben.“

Erfahrungen aus den Audits

Seite 13

Die Zertifizierung dieses großen Verbundes

beinhaltet eine entsprechende Vorbereitung

Projektinhalte zur Zertifizierungsvorbereitung (Auszug):

▬ Erstellung, Qualitätssicherung und Freigabe von 43

basisdienstspezifischen Sicherheitskonzepten inkl.

Berücksichtigung der Schnittstellen

▬ Aufbereitung und Ergänzung der Richtlinienstruktur

▬ Umsetzung und Prüfung von > 7.500 Maßnahmen

▬ Generierung der Referenzdokumente (ca. 3.750 Seiten)

▬ Vorbereitung der Mitarbeiter auf das Audit

▬ Abstimmung von Zeitschiene und Auditvorgehensweise mit dem

BSI

Seite 14

Der Auditor sollte mit bedacht gewählt werden.

Anforderungen an den Auditor

▬ Wichtig ist, dass sich der Auditor auch als Partner der auditierten

Organisation versteht

▬ Der Auditor darf nicht vergessen, dass es sich um eine Prüfsituation

handelt

▬ z. B. enormer Erfolgsdruck der Mitarbeiter im Audit -

für die BA ist die erfolgreiche Zertifizierung eine wichtige strategische Weichenstellung

▬ Der Auditor muss sich in die Organisation hineindenken können

▬ Vorstellungstermine mit dem Auditor wurden vereinbart werden

▬ Die Organisation und der Informationsverbund wurden dem Auditor vorgestellt

▬ Der Auditor sollte sich selbst vorstellen und seine Erwartungen erläutern

Seite 15

Entsprechend des Auditierungsschemas verläuft das

Audit immer einheitlich.

Ref.-Dok.

A.0 - A.7

Antrag

Nach-weise

Audit-bericht

Initialisierung Vor-Ort-Audit

Dokumentenprüfung Übergabe des Auditberichts

10.11.2014

2.1.2015

24.02.2015

06.2015

Ausblick

Seite 17

Ausblick (Überwachungsaudit / Re-Zertifizierung)

2014 2015 2016 2017 2018 2019 2020 2021

Zertifizierung –

Basisbetrieb

jährliches

Überwachungsaudit

Betrieb des Information Security Management System

(BA ISMS)

Start Projekt Zertifizierung

der Fachverfahrensanwendungen

Rezertifizierung

IT - Verbund

Zertifizierung -

Fachverfahrens -

anwendungen