Beauftragung externer BfIS

Die von einem externen Beauftragten für Informationssicherheit zu erbringenden Leistungen richten sich in erster Linie nach den im Bestellungsschreiben genannten Aufgaben (Muster der SAKD).

Ergänzend ist jedoch ein Vertrag zu schließen, in welchem darüber hinaus Aspekte der Zusammenarbeit, der Vorgehensweise und der Methodik geregelt werden. Als Vertragsvorlage eignen sich z.B. die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT).

Folgende Formulierungsvorschläge (in Anführungszeichen, kursiv) und Erläuterungen gehen auf diese Aspekte ein. Zur Erstellung eines konkreten Vertrages sollte deren Verwendung nach einer Anpassung an die in einer Behörde vorliegenden Rahmenbedingungen und Ziele abgewogen werden. ###PLATZHALTER### sind durch entsprechende Werte zu ersetzen.

Methodik

"Der Auftragnehmer wendet in seiner Tätigkeit für den Auftraggeber die BSI-IT-Grundschutz-Methodik (BSI-Broschüre zum IT-Grundschutz) an."

Nur mit der Anwendung einer etablierten Methodik ist eine systematische (vollständige, inhaltlich fundierte, dokumentierte, revisionsfähige) Absicherung gewährleistet. Neben dem BSI-IT-Grundschutz gibt es weitere Methodiken. Die BSI-Methodik wird von der SAKD empfohlen, da sie sehr verbreitet ist, es zahlreiche kostenlose Informationen und Vorarbeiten gibt, Schulungen und Werkzeuge oft darauf basieren und das SächsISichG die Methodik empfiehlt. Formulierungen wie "orientiert sich an" oder "basiert auf" schwächen das Ansinnen der systematischen Absicherung und das Ergebnis ist nicht zertifizierbar, falls erforderlich.

Mit der Abbildung von Verwaltungsverfahren als verteilte Anwendungen über Netzgrenzen von verbundenen Systemen ist die Erfüllung von Informationssicherheitsanforderungen, basierend auf der BSI-Grundschutz-Methodik, in Teilbereichen verpflichtend.

Werkzeug

"Der Auftragnehmer erfasst den Informationsverbund des Auftraggebers, die Anforderungen, die Gefährdungen und die Maßnahmen und deren Umsetzung elektronisch in einer beim BSI gelisteten Anwendung und übergibt diese Daten in strukturierter lesbarer Form nach jeder größeren Änderung, jährlich zu jedem ###TAG, MONAT DER ÜBERGABE### und zum Vertragsende an den Auftragnehmer. Die Anwendung stellt die Bausteine des BSI-IT-Grundschutzes zur Verfügung und ermöglicht die Ausleitung der Informationen in Form von Listen und Reports.

Die Erfassung erfolgt mit der Anwendung ###NAME DER ANWENDUNG### im Format ###FORMATBEZEICHNUNG###."

Aufgrund des u.U. erheblichen Umfanges der Daten sollte bei einer Vertragsauflösung oder einem Vertragsübergang der Datenbestand medienbrucharm übertragen werden können. Eine Speicherung in Form von Excel-, Word- oder PDF-Dokumenten ist hier nicht zielführend. Auch wenn die Anwendungen zur Erfassung der Informationssicherheitsinformationen sehr speziell sind und das Format proprietär, so können die nach der beschriebenen Anforderung übergebenen Daten in eine gleiche Anwendung eines anderen Dienstleisters importiert werden. Sollte das Zielsystem ein anderes sein, kann zumindest eine Konvertierung angestrebt werden.

Vertraulichkeit

"Der Auftragnehmer behandelt alle Informationen des Auftraggebers als vertraulich. Eine Weitergabe an Dritte ist nur mit ausdrücklicher Zustimmung des Auftraggebers gestattet, welche Empfänger und Umfang bestimmt.
Hiervon ausgenommen sind die jährlichen Meldungen nach §5, Abs. 8, Satz 2 SächsISichG."

In den Informationen ist der gesamte Informationsverbund der Behörde mit den noch ausstehenden Maßnahmen (quasi Schwachstellen) detailliert beschrieben. Unter Umständen kann hier auf vorhandene Verschlusssachenanweisungen der Behörde Bezug genommen werden.

Meldung an den BfIS des Freistaates Sachsen

"Der Auftragnehmer stimmt der Übermittlung seiner Kontaktdaten nach §8 Sächsisches Informationssicherheitsgesetz an den Beauftragten für Informationssicherheit des Freistaates Sachsen zu."

Mitwirkung des Auftraggebers

"Der Auftraggeber stellt die für die Erfüllung des Vertrages nötigen personellen und finanziellen Ressourcen zur Verfügung. Er benennt einen übergeordneten Ansprechpartner mit Vertretung, ggfs. die Mitglieder eines Informationssicherheits-Teams und im Bedarfsfall fachliche Ansprechpartner.

Er bindet den Auftragnehmer rechtzeitig in Projekte ein und erbringt benötigte Zuarbeiten zeitnah."

Bestimmte Tätigkeiten können aufgrund der Intention, der benötigten Detailkenntnisse und auch aus Kostengründen nur mit Hilfe der Behörde ausgeführt werden. Z.B. muss die Behördenleitung die Ziele festlegen und Dokumente inhaltlich ausgestalten und verabschieden. Die Feststellung des Schutzbedarfes von Prozessen können Behördenmitarbeiter in Form von Interviews mit den Prozessinhabern mit einem Formular als Handreichung gut selbst vornehmen. Und letztlich können die identifizierten Maßnahmen zur Verbesserung der Informationssicherheit nur von der Behörde umgesetzt werden.

Zusammenarbeit von Auftraggeber und Auftragnehmer

"Ziel der Zusammenarbeit ist eine ständige Aufrechterhaltung der Informationssicherheit. Insbesondere bei neuen Gefährdungen oder Vorfällen muss eine unverzügliche Reaktion sicher gestellt sein.

Die Kommunikation erfolgt telefonisch, über E-Mail-Funktionspostfächer und/oder über eine sichere Internet-Plattform zur Zusammenarbeit.

Die benannten Ansprechpartner des Auftragnehmers und des Auftraggebers oder deren benannte Vertreter sichern die Erreichbarkeit während der Dienstzeit ###VON BIS WOCHENTAGE UHRZEIT### mit einer Reaktionszeit von ###ANZAHL### Stunden über die Kommunikationskanäle ab.

Bei einer direkten Kommunikation mit den fachlichen Ansprechpartnern oder dem Informationssicherheits-Team ist der benannte übergeordnete Ansprechpartner in Kenntnis zu setzen."

Leistungen des Auftragnehmers

Initialpaket

"Der Auftragnehmer erarbeitet folgende Dokumente gemäß der BSI-IT-Grundschutzmethodik:

  1. Leitlinie zur Informationssicherheit
  2. Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
  3. Definition der Schutzbedarfskategorien
  4. Strukturanalyse
    - Abgrenzung des Informationsverbunds,
    - Bereinigter Netzplan,
    - Liste der Geschäftsprozesse, Anwendungen, IT-Systeme, Räume,
      Gebäude und Standorte, Kommunikationsverbindungen, Dienstleister
  5. Schutzbedarfsfeststellung der Objekte der Strukturanalyse
  6. Modellierung – Zuordnung der Bausteine des BSI-IT-Grundschutz (Anforderungen, Gefährdungen, Maßnahmen) zu den Objekten der Strukturanalyse
  7. Ergebnisse des IT-Grundschutz-Checks
  8. Ergebnisse der Risikoanalyse
  9. Realisierungsplan

Er stellt dafür Vorlagen zur Verfügung, erfasst die Daten in der vereinbarten Anwendung und übergibt die erarbeiteten Dokumente an den Auftraggeber.

Der Auftraggeber stellt zur Unterstützung eine enge Zusammenarbeit mit dem Auftragnehmer sicher, indem er an Abstimmungen teilnimmt und alle nötigen Informationen zeitnah zur Verfügung stellt."

Je nach initial angestrebten Sicherheitsniveau (Basis-, Standard-, Kernabsicherung) und Umfang der Unterstützung durch den Dienstleister muss die Liste der Dokumente angepasst werden. Die Umsetzung kann auch in Stufen erfolgen, z.B. erst Basisabsicherung und im Anschluss Standard- oder Kernabsicherung.

Jährliches Leistungspaket

"Der Auftragnehmer führt eine jährliche Mitarbeitersensibilisierung/Schulung mit einer Dauer von 4 Stunden beim Auftraggeber durch (inkl. Vorbereitung und Anreise zum Auftraggeber).

Er analysiert die Aktivitäten beim Auftraggeber und weitere Informationsquellen zur Informationssicherheit und übermittelt daraus abgeleitete Informationen zu neuen Gefährdungen und Vorschläge zu deren Abwehr an den Auftraggeber:

Der Auftragnehmer führt mit Unterstützung durch den Auftraggeber die Revision der Dokumente 4 bis 9 (siehe Initialpaket) durch und übergibt die erarbeiteten Dokumente an den Auftraggeber.

Er fasst die Meldungen nach §5 SächsISichG zusammen und übermittelt sie an den Beauftragten für Informationssicherheit des Freistaates Sachsen."

Tätigkeiten nach Aufwand

"Der Auftragnehmer wird nach Einzelbeauftragung tätig z.B.

  • Zur Beratung der Behördenleitung in der Planung von IT-Projekten
  • Bei Ereignissen und Vorfällen
  • Zur Mitwirkung bei Zertifizierungen"

Zahlungen

"Für das Initialpaket wird eine Vergütung in Höhe von ###SUMME### € nach Abschluss der Tätigkeiten des Paketes vereinbart."

Je nach Laufzeit des Projektes sind u.U. Abschläge nach Projektfortschritt zu vereinbaren.

"Die im jährlichen Leistungspaket genannten Tätigkeiten werden dem AN mit einer pauschalen Summe von ###SUMME### € jährlich im Voraus vergütet.

Einzeln beauftragte Leistungen werden nach Aufwand nach Erbringung der Leistung abgerechnet.

Der Stundensatz für Tätigkeiten nach Aufwand beträgt ###EURO JE STUNDE###€. Hinzu kommen Reisekosten in Höhe von ###EURO### je Kilometer und ggfs. Übernachtungskosten.

Die aufgeführten Beträge sind Nettobeträge und werden nach Rechnungsstellung zuzüglich der geltenden Umsatzsteuer fällig."