der d21-leitfaden it-sicherheitskriterien im vergleich · zielgruppen inter- und innerbetriebliche...
Embed Size (px)
TRANSCRIPT
Der D21Der D21--LeitfadenLeitfaden
"IT"IT--Sicherheitskriterien im Vergleich"Sicherheitskriterien im Vergleich"
DrDr. Harald . Harald NiggemannNiggemannEE--Mail: Harald.Mail: Harald.NiggemannNiggemann@@bsibsi..bundbund.de.de
BBundesamt für undesamt für SSicherheit in der icherheit in der IInformationstechniknformationstechnikReferat I 1.4 Referat I 1.4 -- Systemsicherheit und GrundschutzSystemsicherheit und Grundschutz
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 22
http://http://wwwwww.initiatived21.de (Auszüge).initiatived21.de (Auszüge)
Was ist Initiative D21?Was ist Initiative D21?
Initiative D21 ist eine Initiative der deutschen Initiative D21 ist eine Initiative der deutschen
Wirtschaft mit der Zielsetzung, den Wandel Wirtschaft mit der Zielsetzung, den Wandel
von der Industrievon der Industrie-- zur Informationsgesellschaft zur Informationsgesellschaft
in Deutschland zu beschleunigen.in Deutschland zu beschleunigen.
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 33
http://http://wwwwww.initiatived21.de (Auszüge).initiatived21.de (Auszüge)
Wer ist Initiative D21?Wer ist Initiative D21?
Initiative D21 ist ein gemeinnütziger, Initiative D21 ist ein gemeinnütziger, eingetragener Verein, gegründet ameingetragener Verein, gegründet am27. Juli 1999 in Stuttgart.27. Juli 1999 in Stuttgart.
Die Initiative hat über 300 Mitwirkende.Die Initiative hat über 300 Mitwirkende.
Vorsitz: Erwin Staudt, IBM.Vorsitz: Erwin Staudt, IBM.
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 44
http://http://wwwwww.initiatived21.de (Auszüge).initiatived21.de (Auszüge)
Arbeitsgruppe 5:Arbeitsgruppe 5: (ehemals AG 6)(ehemals AG 6)
Sicherheit und Vertrauen im InternetSicherheit und Vertrauen im Internet
Projektgruppe:Projektgruppe:
ITIT--Sicherheitskriterien undSicherheitskriterien und
ITIT--GrundschutzGrundschutz--Zertifikat/QualifizierungZertifikat/Qualifizierung
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 55
ITIT--Sicherheitskriterien undSicherheitskriterien undITIT--GrundschutzGrundschutz--Zertifikat/QualifizierungZertifikat/Qualifizierung
Harald BosseHarald Bosse TÜV Nord TÜV Nord SecuritySecurityChristoph Christoph CapellaroCapellaro Ernst & YoungErnst & YoungAnja Anja DiekDiek ULD SchleswigULD Schleswig--HolsteinHolsteinSascha Sascha DubovyDubovy FiduciaFiducia InformationszentraleInformationszentraleGoswin EisenGoswin Eisen CSC PLOENZKECSC PLOENZKEUli Uli GeitzGeitz Stadt HagenStadt HagenRudolf HackenbergRudolf Hackenberg TT--SystemsSystemsMichael HangeMichael Hange BSIBSIWolfWolf--Rüdiger MoritzRüdiger Moritz Infineon TechnologiesInfineon TechnologiesHarald NiggemannHarald Niggemann BSIBSIMargot SeidelMargot Seidel TÜV Nord TÜV Nord SecuritySecurityJörn Jörn VoßbeinVoßbein UIMCUIMCGerhard WeckGerhard Weck InfodasInfodasIan Williams Ian Williams FiduciaFiducia InformationszentraleInformationszentrale
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 66
Motivation (1)Motivation (1)
•• Verbesserungen in der Umsetzung und in der Verbesserungen in der Umsetzung und in der Transparenz von ITTransparenz von IT--Sicherheitsmaßnahmen Sicherheitsmaßnahmen sind erforderlich.sind erforderlich.
•• Hersteller, Hersteller, DienstleisterDienstleister, , IntegratorenIntegratoren und und Anwender sind gefordert.Anwender sind gefordert.
•• In der Praxis wird meist auf StandardIn der Praxis wird meist auf Standard--Kriterienwerke zurückgegriffen, um den Kriterienwerke zurückgegriffen, um den Aufwand zu minimieren.Aufwand zu minimieren.
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 77
Motivation (2)Motivation (2)
•• Sowohl für Produkte als auch für Sowohl für Produkte als auch für Gesamtlösungen haben sich nebeneinander Gesamtlösungen haben sich nebeneinander unterschiedliche Kriterienwerke etabliert.unterschiedliche Kriterienwerke etabliert.
•• Diese ITDiese IT--Sicherheitskriterien überlappen Sicherheitskriterien überlappen teilweise inhaltlich.teilweise inhaltlich.
•• Sie setzen jedoch unterschiedliche Sie setzen jedoch unterschiedliche Schwerpunkte und richten sich an Schwerpunkte und richten sich an verschiedene Zielgruppen.verschiedene Zielgruppen.
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 88
FragestellungenFragestellungen
•• Welche Sicherheitsaussage lässt sich auf Welche Sicherheitsaussage lässt sich auf Grundlage der einzelnen Kriterienwerke Grundlage der einzelnen Kriterienwerke treffen?treffen?
•• Welche ITWelche IT--Sicherheitskriterien sind inhaltlich Sicherheitskriterien sind inhaltlich für einen bestimmten vorliegenden für einen bestimmten vorliegenden Anwendungsfall als Hilfsmittel geeignet?Anwendungsfall als Hilfsmittel geeignet?
•• Bei welchen Kriterienwerken zur ITBei welchen Kriterienwerken zur IT--Sicherheit Sicherheit ist die verwendete Methodik dem ist die verwendete Methodik dem vorliegenden Problem angemessen?vorliegenden Problem angemessen?
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 99
Zielsetzung des LeitfadensZielsetzung des Leitfadens
Der LeitfadenDer Leitfaden
ITIT--Sicherheitskriterien im VergleichSicherheitskriterien im Vergleich
soll als Hilfsmittel bei der Beantwortung dieser soll als Hilfsmittel bei der Beantwortung dieser
Fragen in konkreten Anwendungsfällen dienen.Fragen in konkreten Anwendungsfällen dienen.
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1010
Kriterienwerke imKriterienwerke imThemenbereich ITThemenbereich IT--SicherheitSicherheit
•• ITIT--GrundschutzhandbuchGrundschutzhandbuch•• ISO / IEC 17799 und BS 7799ISO / IEC 17799 und BS 7799•• ISO TR 13335ISO TR 13335•• ITSEC / CommonITSEC / Common CriteriaCriteria•• FIPS 140FIPS 140--1/21/2•• TaskTask Force Sicheres InternetForce Sicheres Internet•• CobiTCobiT•• Gütesiegel/Gütesiegel/ProduktauditProduktaudit SchleswigSchleswig--HolsteinHolstein•• ISO 9000ISO 9000
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1111
Methodik: GegenüberstellungMethodik: Gegenüberstellunganhand ausgewählter Teilaspekte (1)anhand ausgewählter Teilaspekte (1)
•• Zielsetzung und InhaltZielsetzung und Inhalt
•• ZielgruppenZielgruppen
•• VorgehensweiseVorgehensweise
•• SkalierbarkeitSkalierbarkeit
•• Aktualität / AktualisierbarkeitAktualität / Aktualisierbarkeit
•• Vollständigkeit / SicherheitsniveauVollständigkeit / Sicherheitsniveau
•• Anwendbarkeit auf gängige Anwendbarkeit auf gängige UnternehmensstrukturenUnternehmensstrukturen
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1212
•• Aufwand / Kosten der UmsetzungAufwand / Kosten der Umsetzung
•• ToolTool--UnterstützungUnterstützung
•• Berücksichtigung einschlägiger GesetzeBerücksichtigung einschlägiger Gesetze
•• Vorgaben fürVorgaben für kryptographischekryptographische VerfahrenVerfahren
•• QualifizierungsQualifizierungs-- bzwbzw. Zertifizierungssystem. Zertifizierungssystem
•• InternationalitätInternationalität
•• Quelle und weitere InformationenQuelle und weitere Informationen
Methodik: GegenüberstellungMethodik: Gegenüberstellunganhand ausgewählter Teilaspekte (2)anhand ausgewählter Teilaspekte (2)
Inhaltliche AusrichtungInhaltliche Ausrichtung
Syst
em-
bezo
gen IT-GSHB ISO 9000
ISO 13335ISO 17799
CobiT
Task Force DS-Produktaudit*
Prod
ukt-
bezo
gen
FIPS 140ITSEC/CC
technisch nicht-technisch
ZielgruppenZielgruppenInter- und innerbetrieblicheZielgruppenausrichtung derIT-SicherheitskriterienLegende:• P ≡ primäre Zielgruppe• S ≡ sekundäre Zielgruppe
IT-G
run
dsc
hu
tzh
and
bu
ch
ISO
17
79
9 /
BS
77
99
ISO
13
33
5
ITS
EC
/ C
om
mo
n C
rite
ria
FIP
S 1
40
Task
Fo
rce-
Kat
alo
ge
Co
biT
DS
-Pro
du
ktau
dit
*
ISO
90
00
a) Art des UnternehmensHardware-Hersteller S S P S P XSoftware-Hersteller S S P P P P XNetz-Vermittler S S P S S XServer-Betreiber P P S P S S XInhalte-Anbieter P P P S XUnternehmen als Anwender P P P S S P X
b) Rolle innerhalb des UnternehmensManagement S P P P P PProjektmanagement P P P P P P P P PIT-Sicherheitsbeauftragte P P P P P P S P SIT-Leitung P P P S S P P S SAdministratoren P S S P S SRevisoren S S P S
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1515
•• Keines der in dem Leitfaden betrachteten Keines der in dem Leitfaden betrachteten Kriterienwerke verspricht "umfassende" Kriterienwerke verspricht "umfassende" Sicherheit.Sicherheit.
•• Behandelt werden jeweils nur Teilaspekte des Behandelt werden jeweils nur Teilaspekte des Problems.Problems.
•• In den meisten Fällen ist es daher zweckmäßig, In den meisten Fällen ist es daher zweckmäßig, die Kriterienwerke synergetisch zu nutzen.die Kriterienwerke synergetisch zu nutzen.
Szenarien (1)Szenarien (1)
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1616
•• ITIT--Grundschutz + Common Grundschutz + Common CriteriaCriteria
•• ISO 17799 + ITISO 17799 + IT--GrundschutzGrundschutz
•• ISO 9000 + ISO 17799ISO 9000 + ISO 17799
•• ITIT--Grundschutz +Grundschutz + CobiTCobiT
Szenarien (2)Szenarien (2)
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1717
InhaltsverzeichnisInhaltsverzeichnis
11 Zielsetzung und Initiierung des ProjektesZielsetzung und Initiierung des Projektes22 Fachliche EinführungFachliche Einführung33 MethodikMethodik44 GegenüberstellungGegenüberstellung55 SzenarienSzenarien66 Zusammenfassung und weitere VorgehensweiseZusammenfassung und weitere Vorgehensweise6.16.1 Hilfe zur SelbsthilfeHilfe zur Selbsthilfe6.26.2 Kombination von ITKombination von IT--SicherheitskriterienSicherheitskriterien6.36.3 Qualifizierung/Zertifizierung nach ITQualifizierung/Zertifizierung nach IT--GrundschutzGrundschutzAA Anforderungen desAnforderungen des KonTraGKonTraG an die ITan die IT--SicherheitSicherheit
Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 1818
Bezugsquelle und KontaktBezugsquelle und Kontakt
Als PDF-Datei vom Webserver der Initiative D21:
http://www.initiatived21.de
⇒ Arbeitsgruppen
⇒ UAG: IT-Sicherheitskriterien undIT-Grundschutz-Zertifikat/Qualifizierung
Anmerkungen und Ideen sind willkommen:
E-Mail: [email protected]