24.11.2003 [email protected] 1
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Österreichisches IT-SicherheitshandbuchInformationsveranstaltung am 24.11. 2003
Neuerungen in Version 2.1
DI Herbert Leitold
Zentrum für sichere Informations-technologie Austria, A-SIT
24.11.2003 [email protected] 2
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Inhaltsübersicht
• Einleitung• Inhaltliche Neuerungen• Technische Neuerungen• Zusammenfassung
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 3
Teile des IT-SIHA
• Teil 1 – IT Sicherheitsmanagement– Allgemeine Anleitung für die Umsetzung eines
kontinuierlichen IT-Sicherheitsprozesses• Teil 2 – IT Sicherheitsmaßnahmen
– auf organisatorischer, personeller, infrastruktureller und technischer Ebene
– Bedachtnahme auf spezifisch österreichische Gegebenheiten
• Normen, Gesetze– Nutzung von vergleichbaren Standards
• BSI IT-Grundschutzhandbuch• Zusammenarbeit mit BSI, ISB
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 4
Vergleich Sicherheitskriterien
• aus initi@tive D21 Arbeitsgruppe 5IT-Sicherheitskriterien im Vergleich http://www.initiatived21.de
IT-Grundschutz-HBISO 9000
ISO 17799ISO 13335
CobiT
Taskforce Sicheres Internet
DS-Produktaudit (Schleswig Holst.)
FIPS-140ITSEC
Common CriteriaTechnisch nicht technisch
Pro
du
kt-
bez
og
enS
yste
m-
bez
og
en
österr. IT-SIHABSI IT-GSHB
BS 7799
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 5
Überlegungen zu „SIHA alt“
• Aktualität– Teil 1 im Wesentlichen aus 1998, seither
• gesetzliche Änderungen, update von Normen – Teil 2 Version 2.0 – September 2001, seither
• Konzept Bürgerkarte, IKT Board, Operative Unit, etc.
• Volumen– Fließtext (90 + 280 Seiten)
• Zielgruppenorientierung
• Wartbarkeit– Für die EntwicklerInnen des SIHA
• Einbringen von Aktualisierungen– Für die AnwenderInnen des SIHA
• Einphasen von Änderungen nach einer Umsetzung
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 6
Ziele eines Updates
• Zielgruppenorientierung– Anpassbarkeit an Organisationseinheit– Benutzerspezifische Ansichten
• Unterstützung der UmsetzerInnen– Checklisten– Technische Hilfsmittel
• Wartbarkeit– Für die EntwicklerInnen des SIHA
• Zeitbezug von Referenzen auflösen– Für die AnwenderInnen des SIHA
• Automatismen für “delta-Dokumente”
24.11.2003 [email protected] 7
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Inhaltliche Neuerungen• SIHA - Teil 1
Aktuelle Gesetze / Normen Richtlinien (OECD, NIS, etc.)
• SIHA - Teil 2 Stabsstelle, IKT-Board (bis 11.3.03) diverse weitere Dokumente
• Sicherheits-/Verteidigungsdoktrin• K-Fall Überlegungen BKA
diverse technische Entwicklungen
• z.B. WLAN, Common Criteria
24.11.2003 [email protected] 8
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Technische Neuerungen
• Konzept• Zielgruppenorientierung• Spezifische Ansichten• Checklisten
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 9
Grundüberlegung
• Sicherheitshandbuch Teil 2 soll– nicht Detailtiefe der BSI GSHB Modellierung aufweisen– trotzdem automatisierte Elemente aufweisen
– nicht auf hohe Abstraktion BS7799 zurückfallen– sondern konkrete Vorgaben für mittleren Schutzbedarf
pragmatischer, methodischer Mittelweg Entwicklung aus der Sicht der Anwendbarkeit getrieben
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 10
Zielgruppenorientierung “statische” Sichtweise
• Sicherheitshandbuch soll an die Gegebenheit der Organisationseinheit „personalisierbar“ sein– Anpassen an Anwender „im Großen“
• Aspekte der Organisationseinheit, die sich kaum ändern, jedoch auf Maßnahmen Einfluss haben– Größe der Organisationseinheit
– Umfeld öffentl. Verwaltung vs. Privatwirtschaft organisationsize { SMALL | LARGE }
Attribute { egovernment | industry }
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 11
• Sicherheitshandbuch soll für konkrete Be-trachterIn / UmsetzerIn personalisierbar sein– Daraus ergeben sich anwenderspezifische
Ansichten
• Rollenmodell der Ansichten
Zielgruppenorientierung“dynamische” Sichtweise
RELEVANT FÜR
ManagementLeitung
Umsetzung Wartung
AnwenderIn Kunde
INTERN(in OE)
EntscheidungsträgerIn
z.B. Sach-bearbeiterIn
EXTERN(außer OE)
z.B. externer Dienstleister
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 12
Allg. IT-Sicherheitshandbuch
Ansicht MANAGEMENTAnsicht UMSETZERIN
Ansicht ANWENDERIN
Anpassung an Org.-Einheit (Größe; Verwaltung/Privatw.)
Sicherheitshandbuch der Org.-Einheit
Personalisierung / Konzept
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 13
Umsetzung - XML
• XML Mittel der Wahl– Strukturierung der Daten– Trennung von Information und Darstellung
<topic version="2.1.000" prefix="SYS" ordinal="11.5" name="Regelung des Einsatzes von Kryptomodulen" egovernment="NOT_SET" industry="NOT_SET" orgsize="NOT_SET">
<role><maintenance type="NOT_SET" /> <management type="NOT_SET" /> <user type="NOT_SET" /> <client type="NOT_SET" />
</role>
<abstract>Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden.</abstract>
<detailed>Wichtige organisatorische Regelungen dafür sind:</detailed>
<itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED"
orgsize="LARGE">
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 16
Checklisten
• Hier Ansicht “Anwender”
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 17
Vorgeschlagene Prioritäten
• VERBINDLICH – gesetzliche Vorgabe oder IKT-Board Beschluss
• IKT Board Beschluss für Privatwirtschaft als Information
• EMPFOHLEN – ist für „SIHA Konformität“ umzusetzen; begründetes
Abgehen, wenn Gefährdung anders begegnet• SYS 8.13 Sicherer Betrieb WWW-Server (z.B. wenn
ausgelagert)
• SINNVOLL– Maßnahme/Kriterium, die vorgeschlagen wird, je nach
Gegebenheit in OE soll diese über Notwendigkeit entscheiden
• Auch „downgrade“ auf SINNVOLL bei Organisationsgröße KLEIN, wenn Maßnahme (Kriterium) für OE GROSS empfohlen
• INFORMATION– Zusatzinformationen
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 18
Zeitbezug Referenzen
Das Vertrauen in Betriebssysteme: Dieses Vertrauen in Betriebssysteme (Windows) ist durch eine Policy, die die Vertrauenseinstellungen festlegt, zu ermöglichen und zu stärken. Für auszuliefernde Geräte im Bundesbereich sind Initialkonfigurationen entsprechend festzulegen und umzusetzen. Für die Wirtschaft und die Bürgerinnen und Bürger sind entsprechende Werkzeuge online zur Verfügung zu stellen
Alle in der Bundesverwaltung auszuliefernden Arbeitsstationen sind initial so auszuliefern, dass keinem Zertifizierungsdienst automatisch vertraut wird.
24.11.2003 [email protected] 19
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
ZusammenfassungNeuerungen im Österreichischem IT-Sicherheitshandbuch v. 2.1• Inhaltliche Aktualisierungen• Technische Neuausrichtung
XML als Datenbasis Damit technische Basis für
• Zielgruppenorientierung• Checklisten
Unterstützung in der Umsetzung
24.11.2003 [email protected] 20
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Wir danken für Ihre Aufmerksamkeit
A-SIT, Zentrum für sichere Informationstechnologie – Austria
Herbert.Leitold@a-sit. at
http://www.a-sit.at Unterstützung IT-Sicherheitshandbuch