IT-Security Experte für Wirksamkeitsprüfung VS-IT (E-JUSTIZ)

für nachfolgende Tätigkeit suchen wir 1 Bewerber mit folgenden Qualifikationen - vielleicht wären Sie dafür verfügbar oder können eine Empfehlung aussprechen:

Mit der Nutzung der männlichen Form des Wortes „Berater / Entwickler etc.“ sind alle Geschlechtsformen weiblich/männlich/divers gemeint

Die vorgegebenen Kriterien müssen erfüllt werden - nach Angebotsabgabe erhalten Sie eine entsprechende Vorlage, die ausgefüllt werden muss!

Mit dieser Anfrage suchen wir IT-Security Experten

1.Leistungsumfang / Aufgabenbeschreibung:

Das Verfahren E-JUSTIZ nutzt den von dem Unternehmen Governikus GmbH & Co. KG bereitgestellten Connector „EGVP-Enterprise“ zur Anbindung der BA an das Justiznetz.

Für EGVP-Enterprise wurde mit der Version 5.2.12 erstmalig eine vorläufige Einsatzerlaubnis des BSI für die Nutzung des Produktes zur Verarbeitung von Verschlusssachen bis VS-NfD ausgesprochen. Über den Konnektor EGVP-Enterprise kann daher ein Empfang bzw. eine Versendung von VS-NfD-Nachrichten erfolgen. EGVP-Enterprise ist vor diesem Hintergrund als Komponente einer VS-IT einzuordnen.

Gemäß § 50 VSA darf eine VS-IT nur nach Freigabe durch die Dienststellenleitung betrieben werden. Für die BA repräsentiert die Vorstandsvorsitzende diese Dienststellenleitung. Eine Freigabe gem. § 50 VSA bedingt die Erfüllung der vom BSI bereitgestellten Anforderungen, eine Risikoanalyse bei Abweichungen zu diesen Anforderungen, eine Wirksamkeitsprüfung der Umsetzung der Anforderungen sowie die Erstellung eines zusammenfassenden Votums durch den IT-Geheimschutzbeauftragten.

Mit dem vorliegenden Abruf wird die Durchführung der Wirksamkeitsprüfung durch einen externen Dienstleister forciert. Die Wirksamkeitsprüfung erfolgt im Auftrag des IT-Geheimschutzes der Zentrale der BA, die zudem abnahmeberechtigt ist. Der Unterstützungsbedarf wird durch Aufgaben im Kontext der Wirksamkeitsprüfung, insbesondere mit Bezug auf deren erstmalige Durchführung und den Know-How-Aufbau flankiert.

1.Umzusetzende RfCs / Arbeitspakete und Beauftragung des externen Dienstleisters:

Zur Unterstützung des oben genannten Leistungsumfangs sind folgende Aufgaben im Rahmen der Unterstützung als IT-Security Enterprise Experte und IT-Security Experte wahrzunehmen. Die Verarbeitung von VS im Kontext dieser Aufgaben wird ausgeschlossen:

- Unterstützung bei der Konzeption und Strukturierung von Prozessen und Vorgehensweisen zur Durchführung von Wirksamkeitsprüfung im Kontext von VS-IT (z. B. auf Grundlage von BSI-Empfehlungen)

- Vermittlung von Methodenwissen (Wissenstransfer) und best practices zur Durchführung von Wirksamkeitsprüfungen und deren Berücksichtigung im zusammenfassenden Votum

Phase I - Analyse und Vorbereitung

Aufgabenübernahme durch Enterprise Experte

- Festlegung der Methodik zur Durchführung von Wirksamkeitsprüfungen (z. B. auf Grundlage von BSI-Empfehlungen)

- Erarbeitung eines methodischen Prüfplans und Fragenkatalogs auf Basis der Ergebnisse der Dokumentensichtung (z. B. auf Grundlage von BSI-Empfehlungen).

Aufgabenübernahme durch Security Experte

- Erstellung einer Übersicht der zum Einsatz kommenden VS-IT auf Basis bereits vorhandener Strukturanalysen und Modellierungen

- Analyse und Bewertung des CON.11.1 (inkl. referenzierter Dokumente) sowie der Einsatzerlaubnis EGVP-Enterprise

- Strukturierte Zusammenstellung der relevanten Dokumente für die Durchführung der Wirksamkeitsprüfung (Richtlinien zur Informationssicherheit, etc.)

- Zusammenstellung und Dokumentation aller Personen, Rollen und Berechtigungen, die in die Entwicklung, Administration, den Betrieb oder Pflege und Wartung der VS-IT involviert sind

- Analyse der relevanten Einsatz- und Betriebsbedingungen im Hinblick auf ihre Relevanz für die Wirksamkeitsprüfung

- Erarbeitung eines methodischen Prüfplans und Fragenkatalogs auf Basis der Ergebnisse der Dokumentensichtung (z. B. auf Grundlage von BSI-Empfehlungen).

Phase II - Prüfung und Auswertung

Aufgabenübernahme durch Enterprise Experte

- Dokumentation und Bewertung der Ergebnisse der Interviews und Vor-Ort-Prüfungen sowie Durchführung einer fachlich-methodischen Einschätzung der Wirksamkeit

- Unterstützung bei der Ableitung von Handlungsoptionen zur Risikoübernahme und dem Auflagenmanagement für eine Freigabe der VS-IT

Aufgabenübernahme durch Security Experte

- Vorbereitung und Durchführung strukturierter Interviews mit prüfungsrelevanten Rollen zur Erhebung von Informationen über die Wirksamkeit implementierter Maßnahmen

- Durchführung von Interviews sowie Vor-Ort-Prüfungen zur Erhebung von Informationen über die praktische Umsetzung dokumentierter Sicherheitsmaßnahmen

- Dokumentation und Bewertung der Ergebnisse der Interviews und Vor-Ort-Prüfungen sowie Durchführung einer fachlich-methodischen Einschätzung der Wirksamkeit

- Durchführung von Risikoanalysen zu ggf. identifizierten Mängeln sowie nicht bzw. nur teilweise wirksam umgesetzten Sicherheitsmaßnahmen

- Konzeption und Dokumentation geeigneter Maßnahmen zur Risikomitigierung und Erstellung eines Realisierungsplans basierend auf den identifizierten Risiken

2.Besondere Anforderungen (optional):

Erforderliche Kompetenzen an IT-Security Experte:

- Aktuelle Zertifizierung im Bereich der ISO27001 auf Basis IT-Grundschutz (z. B IT-Grundschutz-Praktiker).

- Zertifizierung im Bereich ISO 22301 oder im Bereich ISO 27001 (z. B. als Lead Auditor)

- Vertiefte Kenntnisse zur Durchführung von Wirksamkeitsprüfungen von VS-IT

- Vertiefte Kenntnisse im Bereich der Erbringung von Audit-Leistungen im VS-Umfeld (z. B. ISO 27001 auf Basis IT-Grundschutz)

Grundkenntnisse im Bereich der Analyse und Bewertung von IT-Governance-Maßnahmen in komplexen Organisationen

Überprüfung, Bewertung und Planung von Informationssicherheitsprozessen

Implementierung von Informationssicherheit, Risikomanagement und Business Continuity Management

Erstellung und Umsetzung von IT-Sicherheitsrichtlinien

Durchführung von Risikoanalysen und Schutzbedarfsfeststellungen

Konzeption und Erstellung von IT-Sicherheitskonzepte

Beurteilung von Hochverfügbarkeitssystemen im Hinblick auf IT-Sicherheitsmaßnahmen/-Konzepte

Ableitung von Maßnahmenkatalogen aus Basischecks der IT-Sicherheit und erweiterten Risikoanalysen

Konzeption und Umsetzung eines vorliegenden IT-Gesamtsicherheitskonzeptes in ein DB-gestütztes Content-Management-System

BSI-Standards 200-1, 200-2, 200-3 und 100-4 (sofern neue BSI-Standard veröffentlicht werden, sind diese anzusetzen)

remote (160 h) und Nürnberg (40 h)

remote (160 h) und Nürnberg (40 h)

90,00 € pro Stunde für remote und Nürnberg - Achtung: 10 % kostenlose Einarbeitung!!!!!

Wenn Sie uns ein qualifiziertes Angebot zu dieser Anfrage unterbreiten können, senden Sie uns bitte ein aussagekräftiges Profil zu, inkl. einer konkreten Aussage zur Verfügbarkeit und den Konditionen. Bitte beachten Sie, daß wir Ihre uns überlassenen Daten ausschließlich zweckgebunden nach §5 BDSG zur Vermittlung von Projekteinsätzen verwenden. Eine Weitergabe an Dritte im Rahmen dieses Zweckes erfolgt nur nach Einholung Ihrer Zustimmung. Vielen Dank schon jetzt für Ihre Unterstützung.