Zertifizierung IT-Sicherheitsbeauftragter

Transkript

1 Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung 3. Zertifikatserhalt und Aufbauzertifizierung 4. Zertifizierung von Unternehmen und Behörden 1

2 Fortbildungsgang für IT-Sicherheitsbeauftragte IT-Sicherheitsstrategie Nationaler Plan zum Schutz der Informationsinfrastrukturen Mit der Umsetzung soll IT-Sicherheit h i mittel- und langfristig i auf hohem Niveau gewährleistet werden. Die BAköV und das BSI haben dazu den Fortbildungsgang für IT- Sicherheitsbeauftragte in der öffentlichen Verwaltung entwickelt. Die Einrichtungen werden auch zukünftig gemeinsam für die Umsetzung und Aktualisierung Sorge tragen! Verantwortliche des IT-Sicherheitsmanagements sowie die IT- Sicherheitsbeauftragte sollen für ihre Tätigkeit befähigt, zertifiziert und dauerhaft fortgebildet werden. Bisher wurden ca. 180 Zertifikate vergeben (Stand: Januar 2010). Fortbildungsweg Gestaltung der Fortbildung ist für den Einzelnen flexibel Trägt den individuellen Vorkenntnissen, Berufserfahrungen und Aufgabenfeldern f Rechnung, Fortbildungsgang modular und in Stufen aufgebaut. Der (potentielle) IT-Sicherheitsbeauftragte kann sich bedarfsgerecht seinen individuellen Lernpfad zusammenstellen. Selbsteinschätzungstest unterstützt die Teilnehmenden, den individuellen Fortbildungsbedarf zu ermitteln 2

3 Fortbildungskurse nach Baköv IT-Sicherheitsbeauftragte I Basis: 15 Tage IT-Sicherheitsbeauftragte I - Basis Kompakt: 4 Tage Grundschutz und BSI-Standards IT-Sicherheitsbeauftragte II Aufbau: 8 Tage IT-Sicherheitsbeauftragte III Aufbau Behördenangepasste Spezialisierung Einzelcoaching durch das BSI Projektarbeit Präsentation der Projektarbeit Abschlusstest Fortbildungspfad 3

4 Bereitstellung eines Handbuches Ein Handbuch für den Basislehrgang IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung I - Basis wird jedem Teilnehmer ausgehändigt. Inhaltlich li h den Schwerpunkten des Basislehrganges angepasst und dient der grundlegenden Orientierung Kurze Erörterungen, Verweise auf weiterführende Literatur und Links Kann als Nachschlagewerk für IT-Sicherheitsbeauftragte genutzt werden. Gleichzeitig werden für die besuchten Seminare ergänzende Unterlagen zur Verfügung gestellt. Jahrestagung für IT-Sicherheitsbeauftragte Ergänzt wird das Angebot zur Fortbildung für IT-Sicherheitsbeauftragte durch die Jahrestagung für IT-Sicherheitsbeauftragte. Diese bietet Möglichkeiten i der fachlichen h Diskussion i sowie des offenen Informations- und Erfahrungsaustausches. Der Besuch dieser Veranstaltung kann auch dazu genutzt werden, um Punkte für die Aufrechterhaltung des Zertifikats zu erwerben. 4

5 Projektarbeit und Abschlusstest Auf der Grundlage der Inhalte des Basisseminars und den Anforderungen aus dem Aufgabenbereich ist ein überschaubares Projekt innerhalb der Behörde zu absolvieren Zusammenarbeit mit dem Fachlichen Berater der Berufsakademie oder der eigenen Behörde/dem Unternehmen Projektthemen liegen bereits vor ( Zeitaufwand des Projektes: mindestens 20 Stunden (ohne Vorbereitung der Präsentation) Umfang des Projektes wird mit dem Fachlichen Berater besprochen. Dokumentation sollte max. 20 Seiten umfassen. Workshop Projektpräsentation Präsentation der Projektarbeit erfolgt in einem Workshop der. Die Abgabe b der Arbeit muss ausnahmslos spätestens zwei iwochen vor dem Workshop erfolgen. Alle Teilnehmenden präsentieren ihre Projektarbeit und führen ein Gespräch darüber. Dieses Gespräch wird - die Präsentation eingeschlossen jeweils einen Zeitraum von etwa 30 Minuten beanspruchen. Teilnahme am Workshop ist verpflichtend und grundsätzlich Voraussetzung der Prüfung zur Zertifizierung! 5

6 Abschlusstest Im Abschlusstest wird das Verständnis für fachliche Zusammenhänge nachgewiesen. Der Test umfasst insgesamt 120 Fragen und wird in elektronischer Form dargestellt (Multiple Choice). Zeit: 120 min Umfang und Schwierigkeitsgrad der Testfragen orientieren sich an den inhaltlichen Schwerpunkten des Basislehrganges. Die Auswahl der Fragen für die Prüfung erfolgt automatisch aus einem Fragenpool. Zertifikatserhalt Nach bestandener Prüfung wird das Zertifikat: IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung I Basis erteilt. Das mit der Prüfung erworbene Zertifikat ist 5 Jahre gültig. Der Erhalt bzw. die Verlängerung des Zertifikats ist über eine vorgegebene zu erreichende Punktzahl möglich (40 Punkte über 5 Jahre). Hierfür werden mit dem Blick auf einen Kompetenzerhalt Seminare und Veranstaltungen (mit Erfahrungsaustausch) angeboten. 6

7 IT-Sicherheitsbeauftragte II und III Aufbau Aufbauseminare IT-Sicherheitsbeauftragte II und III Aufbau setzen inhaltlich auf entsprechende Abschnitte des Basisseminars IT- Sicherheitsbeauftragte I Basis auf. Vermittlung von Wissen für die Tätigkeiten als IT-Sicherheitsbeauftragte zu speziellen Themen der IT-Sicherheit und -Organisation Die Vorlage des Zertifikats Stufe I oder vergleichbarer Fortbildungsprogramme ist Voraussetzung für die Teilnahme. Kann nur über die Baköv erworben werden. Das Zertifikat der Stufe II kann nur über den Besuch eines Abschnitts des Aufbauseminars mit anschließender Prüfung verlängert werden. Die Verlängerung des Zertifikats der Stufe III wird durch die Erstellung einer weiteren Studie erreicht. Qualifizierte Sicherheitsbeauftragte als Basis für die Zertifizierung der Organisation Zertifizierte IT-Sicherheitsbeauftragte arbeiten nach IT- Grundschutz IT-Sicherheit einer Organisation wird zertifiziert auf Basis von ISO/IEC 27001:2005 Information Security Management Systems Requirements spezifiziert Anforderungen an Informationssicherheits-Managementsysteme (ISMS) ist anwendbar in Organisationen jeglicher Art, Ausprägung und Größe kann als Grundlage für Vertragsbeziehungen zwischen Organisationen benutzt werden erlaubt die Implementierung und den Betrieb von integrierten Managementsystemen für Informationssicherheit (ISO 27001), Qualität (ISO 9001) und Umwelt (ISO 14001) ISO/IEC ist Bestandteil von IT-Grundschutz! 7

8 ISO Zertifizierung auf Basis von IT-Grundschutz ISO IT-Grundschutz Warum Zertifizierung der Organisation? Optimierung interner Prozesse geordneter effektiver IT-Betrieb mittelfristige i ti Kosteneinsparungen IT-Sicherheitsniveau ist messbar Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Mitarbeiter und Unternehmensleitung identifizieren sich mit IT-Sicherheitszielen und sind stolz auf das Erreichte 8

9 Zertifizierungsablauf vergibt / veröffentlicht Zertifikat Antragsteller prüft IT-Verbund erstellt Prüfbericht gibt Prüfbericht an BSI Zertifizierungsstelle beauftragt Prüfung der Umsetzung von IT-Grundschutz überprüft / lizenziert Auditor prüft Prüfbericht ISO Auditor auf Basis von IT-Grundschutz ISO Zertifizierung Phasen der Zertifizierung Initialisierung Zertifizierungs-Antrag Befugnis für die Durchführung eines Audits Ggf. Abstimmung des IT-Verbundes Durchführung des Audits Prüfung der Dokumentation Vorbereitung des Audit-Tätigkeiten vor Ort Durchführung der Audit-Tätigkeiten vor Ort Re-Zertifizierungs- Audit Bewertung des Audits Erstellung des Auditreports Nachprüfung 9

10 ISO Zertifizierung Stufenkonzept Ve ertrauenswürdigkeit C B A ISO Zertifikat nach IT-Grundschutz Auditor-Testat Aufbaustufe Auditor-Testat Einstiegsstufe Sicherheit ISO Zertifizierung Siegelstufen Umsetzung der Maßnahmen zur Qualifizierung nach IT- Grundschutz A (Einstieg) B (Aufbau) C(Zertifikat) Z (zusätzlich) Diese Maßnahmen müssen für alle drei Ausprägungen der Qualifizierung nach IT-Grundschutz (Auditortestat Einstiegsstufe, Auditortestat Aufbaustufe und ISO Zertifikat auf der Basis von IT- Grundschutz) umgesetzt sein. Diese Maßnahmen sind essentiell für die Sicherheit innerhalb des betrachteten Bausteins. Sie sind vorrangig umzusetzen. Diese Maßnahmen müssen für das Auditortestat Aufbaustufe und für das ISO Zertifikat auf der Basis von IT-Grundschutz umgesetzt sein. Sie sind besonders wichtig für den Aufbau einer kontrollierbaren IT-Sicherheit. Eine zügige Realisierung ist anzustreben. Diese Maßnahmen müssen für das ISO Zertifikat auf der Basis von IT-Grundschutz umgesetzt sein. Sie sind wichtig für die Abrundung der IT-Sicherheit. Bei Engpässen können sie zeitlich nachrangig umgesetzt werden. Diese Maßnahmen müssen weder für eine Auditor-Testat noch für das ISO Zertifikat auf der Basis von IT-Grundschutz verbindlich umgesetzt werden. Sie stellen Ergänzungen dar, die vor allem bei höheren Sicherheitsanforderungen erforderlich sein können. 10

11 ISO Zertifizierung und Auditor-Testate Auditor-Testat Einstiegsstufe Auditor-Testat Aufbaustufe ISO Zertifikat IT-Grundschutz- Auditor IT-Grundschutz- Auditor ISO Auditor Veröffentlichung der ISO Zertifikate auf Basis von IT-Grundschutz Veröffentlichung Internet unter KES diverse Publikationen usw. 11

12 Informationen zur Zertifizierung Anmeldung zur Zertifizierung Prof. Jürgen Müller Telefon: 0365 / juergen.mueller@ba-gera.de Anmeldung zur Fortbildung Violetta Schönfeld Telefon: 0365 / violetta.schoenfeld@futuredat.de 12