德国it安全认证体系 - isccc.gov.cn · pdf filebsi认证: 目前正在评估:...
TRANSCRIPT
德国IT安全认证体系Joachim Weber
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第2页
德国IT安全认证方案
1.2.
3.4.5.
BSI的作用德国IT安全认证体系详细的认证程序国际认可德国国内的情况
1. BSI的作用
BSI组织
BSI的使命
BSI的简史BSI的作用 – 分部D2
l 主任 Arne Schönbohm
l
l
l
l
l
l
l
l
部门B:为政府、私营部门和社会做咨询
部门CK:网络安全和关键基础设施
部门D:数字化、认证和标准化的网络安全
l 分部D2:认证和标准化
部门KT:不断增加安全性需求的密码技术和IT管理
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第4页
BSI - 组织
IT安全磋 商和政府支持检测 反馈
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第5页
加密创新
BSI的使命通过为政府、企业和社会提供保护、检测和反馈,确保数字化领域的信息安全。
保护
网络安全
机密信息的安全
安全身份认证
认识运动
UP同盟和UP KRITIS
对信息基础设施进行保护的国家计划(NPSI)
德国行政管理的中央IT安全服务提供商
国家通信安全与认证机构(NCSA)
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第6页
网络安全联盟
网络防御中心(CAZ)
国家网络防御当局(NCDA)
德国网络安全策略
中央网络安全机关
新的通用框架
通过设立BSI的法律(BSIG)
BSI的建立
BSI的简史IT安全法(IT-SiG)
CAZ的建立
BSIG的修正
BSI的作用 – 分部D2
公共框架和法律框架
对IT安全产品、基础设施和服务的IT安全要求
标准化基于设计的安全
认证
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第7页
2. 德国IT安全认证体系
认证产品
认证方案中的合作伙伴
进行德国认证的原因认证体系品牌BSI:高水准的信任度
全球范围内的德国认证通用标准 - CCRA(自2014年起)
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第9页
认证产品
卫生领域的身份证
电子身份证件和相关阅读器
数位式行车纪录器(EU)
服务器操作系统、应用服务器和数据库
安全元件
认证方案中的合作伙伴
国际标准化
国家认证中心
国家IT安全
IT安全德国制造
制造商
经济
测试中心
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第10页
国家认证中心
德国联邦信息安全局
进行德国认证的原因
经济强化德国确保IT安全和隐私的地位
为国际环境中的德国制造商提供支持
公正地审核私人测试中心,确保制造商的利益最大化
政治
参与编制国际标准
在设计适宜的安全指南方面的
专业知识
社会
凭借BSI的授权和声誉建立信任
代表国际认可的测试质量(SOGIS、
CCRA和DAkkS)
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第11页
认证体系
技术指南
法律要求(EnWG、SigG ...)
一致性测试合格的私人测试中心
认证BSI
认证证明产品符合测试和法律要求
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第12
页
测试方法(例如,ISO 27001、通用标准/ISO 15408)
利益相关方的申请
品牌BSI:高水准的信任度
人员和服务证书
测试中心/人员的执业资格和资格鉴定
安全服务的认证
例如,ISO/IEC 17025
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第13页
产品认证
通用标准/PP安全 技术指南(TR)功能/互操作性
体系和服务认证
ISO 27001/IT-基线
保护认证 - IT安全
➝BSI认证:
➝目前正在评估:
华为AR系列服务路由器AR1220
华为OptiX OSN 1800 V V100R13C00
➝更多的认证正在准备中
法律(BSIG):如果满足了必要标准要求(成功完成评估)且公共利益不与此类证书的颁发相抵触,则可颁发证书。
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 |
第14页
示例:华为
图片版权归华为所有
国际认可等级达到EAL 2或符合cPP要求。 欧洲认可等级达到EAL 4,并且在选择的技术领域内,欧洲认可等级达到EAL 7。
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第15页
全球范围内的德国认证
通用标准 - CCRA(自2014年起)
“低保障政策”:相互认可等级不超过EAL 2级
“协同保护框架”(cPP):COTS产品保护框架的协同发展
(EAL 1-4级)
积极性:
可比性评估能够促进共同体发展
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第16页
3. 详细的认证程序
通用标准 - 角色分配
认证过程中的主要职责
BSI – 认证机构 ITSEF评估报告和文件关于评估报告的评论
评估结果的批准
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第18页
指导性应用证书产品和文件的评估现场考察
通用标准 - 角色分配申请人
(开发者)
安全要求
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第19页
认证过程中的主要职责
□开发者:
□ 提供ToE和文件
□ ITSEF(IT安全评估机构):
□ 评估ToE并提供报告
□认证机构
□□□
中央机构确保统一方法
确保可比性评估结果
4. 德国国内的情况
BSI:德国国内的情况
欧洲前景
国家能源网络数字化的德国法规
••
••
•
••
••
•
德国:BSI – IT安全方面的20年以上的独立国家认证机构
技术标准和认证为政府进行监管的工具
关键基础设施保护领域示例:• 电子健康,• 能源网,• eID文件,• 交通方面的远程信息处理,• 付款交易
BSI通过量身定制的技术标准和认证过程为政府法律倡议提供支持从欧洲和国家层面上提供支持
每年发布超过100张证书(其中大约75%的证书为高保障级别证书)
9个国家评估实验室
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第21页
BSI:德国国内的情况
••••
•••
•
欧洲数字化单一市场宣传概念通用的监管机制,促进树立共同的欧洲价值观
IT行业对欧洲IT安全证书具有强烈的市场驱动兴趣寻求在世界市场中的竞争优势
欧洲和国际IT安全标准化与合作(SOG-IS MRA和 CCRA)
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第22页
欧洲前景
通用准则
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第23页
• 数字化并集成150万分散的可再生能源具有高度复杂性
• 需要使用智能网络,用以链接能源产生、存储和消耗• 挑战:威胁不断增加、基础设施变得更为复杂、数据量增加
→ 在能源网络和安全的通信基础设施方面,我们需要值得信赖的产品和系统
电力
测量数据和状态信息/控制信号
示例:数字化和能源转型
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第24页
国家能源网络数字化的德国法规
能源转型的数字化法案(2016年9月2日)• 以关于电力、天然气和能源效率的EU指令为依据
• 为德国国内的智能能源网络设定法律和技术依据
第1条:计量表连接点操作法案
• 处理智能计量系统的安装和操作问题• 确保高水平的数据保护、IT安全和互操作性• 使用保护框架和技术指南实现安全和• IT部件的合规性/兼容性• 确保更多应用领域(例如,智能电网和电动交通)的发展
德国国内推广现状
900家DSO(配电网运营公司)和4200万个计量表连接点•8个来自于制造商的由BSI进行评估/认证的智能电表网关;•现场试验和试点目前正在进行中•
市场规模(最低限度)
• > 6,000 kWH和发电厂 > 7 kW ≈ 560万个网关(8亿欧元/年)
IT安全
未来的保证
隐私
快速推广
智能电表网关
Joachim Weber| 德国IT安全认证方案 | 11.09.2017 | 第25页
感谢您的关注!
联系人Joachim Weber
分部D2的负责人:认证和标准化部门电子邮箱:[email protected]电话:+49 (0) 228 99 9582-0
传真:+49 (0) 228 99 10 9582-5400
Bundesamt für Sicherheit in der InformationstechnikPostfach 20036353133 Bonn
www.bsi.bund.de/EN/