IT-Sicherheitscheck

Das MHKBD schreibt einen Rahmenvertrag über die Durchführung des IT-Sicherheitschecks auf Landesebene und kommunaler Ebene aus. Abrufberechtigte Parteien sind in Nordrhein-Westfalen: - die Landesbehörden, - die nordrhein-westfälischen Kommunen, - die IT-Dienstleister, - die vom Land NRW und/oder den nordrhein-westfälischen Kommunen unmittelbar oder mittelbar beherrscht werden. Der Auftragnehmer muss zur Durchführung des IT-Sicherheitschecks geeignete Prüfschemata, z.B. in Form von geeigneten Fragebögen, entwickeln. Es müssen bei dieser Prüfung alle in der Praxis vorkommenden IT-Betriebsszenarien im Land Nordrhein-Westfalen in ausreichender Qualität und Güte sowie die Erfüllung der informationssicherheitstechnischen Obliegenheiten seitens zu prüfender Organisation erfasst sein. Bei der Entwicklung der Prüfschemata muss sich an einschlägigen Dokumenten des Bundesamts für Sicherheit in der Informationstechnik, insbesondere des Wegs in die Basisabsicherung (WiBA), orientiert werden. Zu den vorkommenden Betriebsszenarien zählen insbesondere der Fall eines vollständigen Eigenbetriebs von IT-Leistungen sowie der Fall von Outsourcing von Leistungen und auch etwaige Mischformen. Diese Betriebsszenarien müssen vollständig durch die Prüfschemata erfasst sowie - hinsichtlich Anforderungserfüllung - im Rahmen der Prüfung erhoben werden. Definitorisch gilt: Eigenbetrieb liegt dann vor, wenn eine datenverantwortende Stelle (Behörde) gleichzeitig auch datenverarbeitende Stelle ist. Outsourcing liegt dann vor, wenn eine datenverantwortende Stelle (Behörde) ihre IT von einer datenverarbeitenden Stelle betreiben lässt (IT-Dienstleister, der vom Land NRW und/oder den nordrhein-westfälischen Kommunen unmittelbar oder mittelbar beherrscht wird). Sollte eine datenverantwortende Stelle IT-Dienste von IT-Dienstleistern betreiben lassen, die nicht mittelbar oder unmittelbar vom Land NRW und/oder den nordrhein-westfälischen Kommunen beherrscht werden, so sind diese (externen) IT-Dienstleister nicht vom Umfang der Prüfungen umfasst und müssen selbst nicht in Prüfschemata aufgenommen werden. Gleichwohl muss jedoch auch in diesen Fällen durch die Prüfschemata erhoben werden, ob die datenverantwortende Stelle allen einschlägigen Obliegenheiten des BSI IT-Grundschutzes sowie der BSI-Normen 200-x in hinreichender Qualität und Güte nachgekommen ist. Der Auftragnehmer muss die Prüfschemata strikt nach den fachlichen Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x erstellen, inkl. der spezifischen Realisation einer Prüfung mittels WiBA. Auf Abruf der abrufberechtigten Parteien muss der Auftragnehmer einen IT-Sicherheitscheck durchführen. Ein IT-Sicherheitscheck im Sinne der vorliegenden Ausschreibung ist eine überwiegend organisatorisch ausgerichtete standardisierte Überprüfung des Reifegrads eines Informationssicherheitsmanagements (ISMS) eines öffentlichen Auftraggebers. Im Fokus stehen u.a. die vorhandenen Richtlinien, Rollen, Verantwortlichkeiten und Prozesse, insbesondere inkl. Outsourcing, sowie deren gelebte Umsetzung im Rahmen eines ISMS auf Basis des BSI IT-Grundschutz-Kompendiums und der BSI-Normenreihe 200-x. Die Bewertung erfolgt durch den späteren Auftragnehmer primär qualitativ durch geeignete Prüfschemata mittels z.B. Fragebögen, Workshops und Interviews. Ziel ist ein standardisierter Report bzgl. Reifegrad des ISMS in der geprüften Organisation. Zudem muss der Report konkrete und eigenständig nachnutzbare Handlungsbedarfe mit zugehörigen Handlungsempfehlungen aufzeigen. Explizit nicht Gegenstand der Ausschreibung ist die Behebung der aufgefundenen Defizite oder Erbringung von individuellen Beratungsleistungen über die im standardisierten Report und ggf. Ergebnispräsentation gegenüber den geprüften Organisationen hinaus. Die technische Umsetzung der Vorgaben des ISMS wird hierbei lediglich überblicksartig und stichprobenartig betrachtet, ohne den Einsatz tiefergehender technischer Scans oder aktiver Prüfmaßnahmen. Die Stichproben müssen hierbei repräsentativ gewählt werden und sind insbesondere in Bereichen erfahrungsgemäß hoher Fehlerträchtigkeit anzusiedeln. Der Umfang des IT-Sicherheitschecks wird im Rahmen der Leistungsbeschreibung einheitlich vorgegeben werden. Der Auftragnehmer muss mindestens 50 IT-Sicherheitschecks pro Monat durchführen können. Der Auftragnehmer muss dem MHKBD zudem quartalsweise zwei schriftliche High- Level-Reports zuliefern (eine für die Landesverwaltungs- und eine für die Kommunalebene). In diesen High-Level-Reports sind die Prüfergebnisse nach seitens MHKBD im Rahmen der Leistungsbeschreibung definierten Kriterien aggregiert zusammenzufassen (z.B. aber nicht nur regionale Zugehörigkeit, Behördengröße, IT-Selbst- bzw. IT-Fremdbetrieb usw.). Wesentliche Trends inkl. globalen Handlungsbedarfen müssen aus diesen High-Level-Reports zweifelsfrei ableitbar sein. Der Auftraggeber behält sich vor, die Anforderungen im Laufe des Verfahrens zu präzisieren und anzupassen.