Neubeschaffung Switche-Wlan APs-NAC Technik

das Zentralinstitut für Seelische Gesundheit beabsichtigt, im Rahmen dieses Verfahrens die Vergabe an einen Bieter für die Lieferung und Implementierung von aktiven Komponenten Switche-WLAN APs NAC incl. Konzepterstellung und bittet um die Abgabe von Angeboten. Einführung Das Zentralinstitut für Seelische Gesundheit (ZI-Mannheim) beabsichtigt, Komponenten zu beschaffen, die den strengen Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) für kritische Infrastrukturen (KRITIS) entsprechen. Diese Anforderungen sind darauf ausgelegt, die Sicherheit und Integrität der Systeme in kritischen Infrastrukturen zu gewährleisten und damit den Schutz sensibler Daten und die Verfügbarkeit wesentlicher Funktionen zu sichern. In diesem Kapitel werden die spezifischen Anforderungen an die zu liefernden Komponenten detailliert beschrieben. Sicherheitszertifizierungen Die Komponenten müssen entsprechende Sicherheitszertifizierungen nachweisen, die den BSI-KRITIS-Vorgaben entsprechen. Hierzu zählen unter anderem: • Common Criteria (CC): Komponenten sollten nach den Common Criteria für IT-Sicherheit zertifiziert sein, mindestens auf Evaluierungsstufe EAL 2 oder höher. • BSI-IT-Grundschutz: Komponenten müssen den Anforderungen des IT-Grundschutzes entsprechen oder entsprechende Sicherheitsmaßnahmen gemäß dem BSI-Grundschutz-Standard implementieren. Zugriffskontrolle und Authentifizierung • Zugriffskontrollen: Die Komponenten müssen robuste Mechanismen für die Zugangskontrolle bereitstellen. Dies schließt die Unterstützung für Mehrfaktor-Authentifizierung (MFA) sowie rollenbasierte Zugriffskontrollen (RBAC) ein. • Protokollierung und Monitoring: Jeder Zugriff auf die Komponenten muss protokolliert werden, um eine Nachverfolgbarkeit zu gewährleisten. Es müssen detaillierte Logs erstellt werden, die regelmäßig überprüft und ausgewertet werden können. Schutz vor Malware und Cyber-Angriffen • Antiviren- und Anti-Malware-Schutz: Die Komponenten müssen Schutzmechanismen gegen Viren, Malware und andere Bedrohungen beinhalten oder mit solchen Mechanismen kompatibel sein. • Schwachstellenmanagement: Es muss ein kontinuierliches Schwachstellenmanagement vorhanden sein, einschließlich der regelmäßigen Aktualisierung und Patching der Systeme. Datenintegrität und -vertraulichkeit • Verschlüsselung: Alle sensiblen Daten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden. Die Verschlüsselungsprotokolle müssen den aktuellen Sicherheitsstandards entsprechen (z.B. AES-256). • Integritätsprüfungen: Die Komponenten müssen Mechanismen zur Sicherstellung der Datenintegrität bieten, um Manipulationen zu verhindern und frühzeitig zu erkennen. Betriebskontinuität Redundanz und Ausfallsicherheit • Redundante Systeme: Die Komponenten müssen über Redundanzmechanismen verfügen, um Ausfälle zu vermeiden. Dies kann durch redundante Hardware, Netzwerkknoten oder Kommunikationswege erreicht werden. • Notfallwiederherstellung: Es müssen Pläne und Verfahren zur Notfallwiederherstellung für die bereitgestellten Komponenten vorhanden sein, die eine schnelle Wiederherstellung der Funktionalität nach einem Ausfall oder einem Sicherheitsvorfall gewährleisten. Skalierbarkeit • Erweiterbarkeit: Die Komponenten sollten so gestaltet sein, dass sie bei Bedarf leicht erweitert werden können, um zukünftigen Anforderungen oder einem wachsenden Volumen gerecht zu werden. Dokumentation und Schulung • Technische Dokumentation: Eine umfassende technische Dokumentation der Komponenten muss bereitgestellt werden. Diese Dokumentation sollte Installationsanleitungen, Konfigurationshinweise und eine detaillierte Beschreibung der Sicherheitsmechanismen umfassen. • Schulungsangebote: Der Anbieter muss Schulungen für die Administratoren und Benutzer der Komponenten anbieten, um sicherzustellen, dass diese die Sicherheitsmechanismen korrekt anwenden und mögliche Sicherheitsrisiken verstehen. Compliance und Audits • Auditfähigkeit: Die Komponenten müssen so konzipiert sein, dass sie regelmäßige Sicherheits- und Compliance-Audits unterstützen können. Dies beinhaltet die Bereitstellung aller erforderlichen Informationen und Protokolle für die Auditoren. • Zertifizierungen und Compliance-Nachweise: Der Anbieter muss Nachweise erbringen, dass die Komponenten den gesetzlichen und regulatorischen Anforderungen entsprechen. Diese Nachweise können durch entsprechende Zertifizierungen und Prüfberichte erbracht werden. Schlussfolgerung: Die zu liefernden Komponenten für das Ausschreibungsverfahren ZI-Mannheim müssen umfassende Sicherheitsanforderungen erfüllen, die den BSI-KRITIS-Vorgaben entsprechen. Dazu gehören robuste Sicherheitsmaßnahmen, die Unterstützung von Betriebskontinuitätspläne, detaillierte Dokumentation und die Möglichkeit zur regelmäßigen Prüfung und Schulung. Nur durch die strikte Einhaltung dieser Anforderungen kann sichergestellt werden, dass die Komponenten den hohen Anforderungen an die Sicherheit und Integrität kritischer Infrastrukturen gerecht werden