sicherheit im projekt...sicherheit im projekt 2 das isb erlässt gestützt auf ziffer 3.2 der...
TRANSCRIPT
-
Eidgenössisches Departement für
Umwelt, Verkehr, Energie und Kommunikation UVEK
Bundesamt für Strassen ASTRA
Sicherheit im Projekt
inkl. Informationen zur Erstellung
einer Schutzbedarfsanalyse
28.03.2019
Autor: W. Hoffmann, ISBO ASTRA
-
Bundesamt für Strassen ASTRA
Rechtliche Grundlage
Sicherheit im Projekt 2
Das ISB erlässt gestützt auf Ziffer 3.2 der Weisungen des
Bundesrates über die IKT-Sicherheit in der Bundesverwaltung
(WIsB) vom 1. September 2015 oben gezeigten Vorgaben.
-
Bundesamt für Strassen ASTRA
Aktualisierungszyklus sicherheits-
relevanter Dokument
Sicherheit im Projekt 3
Workshop
ASTRA
Initialisierung Konzept Realisierung EinführungDaten-/
Informations
klassifikation
Grundlage:
ISB-
Dokument
Zugriffsmatrix
ISDS-Konzept
Aktualisiert:
Schuban/
Grundschutz
Schuban/
Grundschutz
erstellt
(unterschrieben)
Vorlagen
Schuban,
Grundschutz
anfordern
Aktualisiert:
Schuban/
Grundschutz
ISDS-Konzept
Dokumente immer auf Basis der tatsächlich designten / realisierten Lösung erstellen. Keine Varianten!
Überprüfung auf Aktualität der Schuban/Grundschutz-Dokumente sowie des ISDS-Konzeptes nach
jeder Phase. Bei Änderungen im Projektverlauf sind die Dokumente neu zu unterschreiben.
Aktualisiert:
Schuban/
Grundschutz
ISDS-Konzept
(unterschrieben)
Aktualisierungszyklen
Sicherheits-, Architektur-
konformitätsprüfung (BIT*)
* Begleitung durch IT-GOV sicherstellen
-
Bundesamt für Strassen ASTRA
Sicherheitsaspekte bei Hermes 5
Was wird wann ausgefüllt?
Sicherheit im Projekt 4
Achtung: Schuban immer in Verbindung mit dem Grundschutzdokument
zusammen erstellen! Beide Dokumente müssen unterschrieben sein!
RINA
-
Bundesamt für Strassen ASTRA
Vorgehensmodell «Informations- und
Datenschutz in Projekten»
5
Datenfluss-
analyse
Schutzbedarfs-
analyse
ggf.
Clientanalyse
Daten-
klassifikation
Verbindung-
aufbau/Benutzer
Schutzbedarfs-
ermittlung
Auswahl
Schutzmittel
Umsetzungs-
konzepte
Initia
lisie
rung
Konzept
RINA
Fach +
DS
BO
Projekt
-
Bundesamt für Strassen ASTRA
Voraussetzungen zur Durchführung
der Schuban - Datenklassifikation
• Grundlage für die ordnungsgemässe Durchführung der
Schuban ist eine dokumentierte Klassifikation der Daten /
Informationen nach DSG/ISchV, die in einem
System/Service/Schnittstelle vorliegen.
• Die Klassifikation berücksichtigt insbesondere den Aspekt
der Vertraulichkeit der Daten/Informationen.
• Grundlage bietet das ISB-Dokument «Zugriffsmatrix» in der
jeweils aktuellen Version.
• Die aktuellsten Vorlagen für Schuban, Grundschutz und
ISDS-Konzept sind beim ISBO Wolfgang Hoffmann
anzufordern.
Sicherheit im Projekt 6
Daten-
klassifikation
-
Bundesamt für Strassen ASTRA
Beispiel: Daten in IVZ
7
Führerdaten, Administrativmassnahmen, Medizinische Daten
Fahrzeugdaten-,
Versicherungsdaten
Schilddaten
Ordnungsbussen-
verfahren
Daten-
klassifikation
-
Bundesamt für Strassen ASTRA
Datenklassifikation
8
aus: ISB-Dokument Zugriffsmatrix
IVZ Datenmodell
Klassifikationsmatrix
Ergebnis:
Klassifizierte Daten.
Bei Unsicherheiten, den
DSBO konsultieren!
Daten-
klassifikation
Daten auf Typ- oder Cluster-
Ebene klassifizieren
-
Bundesamt für Strassen ASTRA
Erstellung der Einstufung in
Schuban
Sicherheit im Projekt 9
Grundlage für Vertraulichkeit: Klassifizierte Daten
Risikoanalyse,
ISDS-Konzept
erforderlich
SN2
Erweiterte Kapitel
im IKT-Grundschutz
SN1
Daten-
klassifikation
-
Bundesamt für Strassen ASTRA
Informations-/Datenflussanalyse
Beispiel IVZ
10
StVA
• Betrachtung aller Schnittstellen zu Partnersystemen
• Grundlage ist die Datenklassifikation
Ergebnis:
Vertraulichkeit der
übertragenen
Daten je Partner
und Technologie
Sicherheit im Projekt
Datenfluss
-analyse
-
Bundesamt für Strassen ASTRA
Analyse Verbindungsaufbau /
Benutzer
11
StVA: D11.1
VBS1
SVSAA: D36.1
Halter, Schild, Fahrzeug
Führerausweis, Personen,
Adressdaten, Massnahmen,
Bild, Unterschrift
Halter, Schild, Fahrzeug
Führerausweis(Militär-
kategorie)
3
3
3
Vertraulichkeitsstufe
2
1
Bundesnetz
DMZ Partner
CAZ
SSZVerbindungsaufbau
Informationsfluss
Connectivity (Prozess)
Client-
analyse
Ergebnis: Richtung Verbindungsaufbau,
Auslöser Person oder Prozess
Verbindung-
aufbau/Benutzer
Beispiel IVZ
-
Bundesamt für Strassen ASTRA
Datenklassifikation je Partnersystem
und Technologie - Schutzbedarfsanalyse
12Sicherheit im Projekt
Datenfluss
-analyse
Schutzbedarf der Schnittstellen
Ergebnis: vollständige Schuban und
Grundschutzdokument
-
Bundesamt für Strassen ASTRA
SN1
Umfang Schuban/IKT-Grundschutz
13
Einstufung ArchitekturskizzeRINA
IKT-Grundschutz Erhöhter Schutz
SN2
Schuban
-
Bundesamt für Strassen ASTRA
Schutzbedarf der Schnittstellen ermitteln
14
1 2 3
j in SSZ
aus: ISB-Dokument Zugriffsmatrix
Ergebnis:
Authentisierungsmittel
«generisch»
Schutzbedarfs-
ermittlung
BV
-Netz
SS
Z
-
Bundesamt für Strassen ASTRA
Auswahl des Schutzmittels
15
j
SwissGov PKI
Vasco Token
Ergebnis:
Konkretes Zertifikat
Auswahl
Schutzmittel
-
Bundesamt für Strassen ASTRA
Umsetzungskonzept Beispiel
16
Umsetzungs-
konzept
Technologie Partner Vertraulichkeit Stufe Person/Prozess Schutzmittel Zugang
TVDX-Konnektor StVA vertraulich 3 Prozess SwissGov PKI Klasse C KTV
SVSAA vertraulich 3 Prozess SwissGov PKI Klasse C BV
Web Service MKF FL vertraulich 3 Prozess SwissGov PKI Klasse C KTV
RIPOL vertraulich 3 Prozess SwissGov PKI Klasse C BV
CLS intern 2 Prozess Bedag ZertifikatI Klasse C KTV
OBV EUCARIS FR/DE intern 2 Prozess sTesta-Netzt mit Kryptobox sTesta (EU-Netz)
SARI intern 2 Prozess SwissGov PKI Klasse C Internet
ASTRA FKR intern 2 Prozess SwissGov PKI Klasse C BV
ASTRA ETC Mobile intern 2 Prozess SwissGov PKI Klasse C BV
ASTRA FAVU intern 2 Prozess SwissGov PKI Klasse C BV
Web GUI StVA vertraulich 3 Person SwissGov PKI Klasse B KTV
RIPOL vertraulich 3 Person SwissGov PKI Klasse B BV
SVSAA vertraulich 3 Person SwissGov PKI Klasse B BV
ASTRA FFR vertraulich 3 Person SwissGov PKI Klasse B BV
Gerichte vertraulich 3 Person SwissGov PKI Klasse B KTV
NVB intern 2 Person SuisseID Internet
LSVA/OZD nicht klassifiziert 1 Person SwissGov PKI Klasse B BV
Filetransfer via
WebDAV SSZStVA vertraulich 3 Prozess SwissGov PKI Klasse C KTV
SVSAA vertraulich 3 Prozess SwissGov PKI Klasse C BV
ASTRA FFR intern 2 Person SwissGov PKI Klasse B BV
BFS intern 2 Prozess SwissGov PKI Klasse B BV
SARI intern 2 Prozess SwissGov PKI Klasse C Internet
OBV-CH intern 2 PersonUsername/Passwort bei KTV
SwissGov Klasse C bei InternetKTV
NVB intern 2 Person SwissGov PKI Klasse C Internet
LSVA OZD intern 2 Prozess SwissGov PKI Klasse C BV
BFE intern 2 Person SwissGov PKI Klasse B BV
Filetransfer via
WebDAV ETZImporteure nicht klassifiziert 1 Prozess oder Person Username/Passwort Internet
Auswertungen/Datenlief
erungennicht klassifiziert 1 Prozess oder Person Username/Passwort Internet
Filetransfer via (s)ftp Targa nicht klassifiziert 1 Prozess Username/Passwort BV
DWH ASTRA vertraulich 3 Prozess Username/SSH-KeyBV mit
Ausnahmebewilligung
OBV SAP intern 2 Prozess SwissGov PKI Klasse C
BV mit
Ausnahmebewilligung
-
Bundesamt für Strassen ASTRA
Vorgehensweise bei der Umsetzung
der Schnittstellen
• Spezifikation für die Partner erstellen
• Meetings mit Partnern durchführen
• Zertifikate mit den vorhandenen Prozessen bestellen
• Zertifikate im Partnersystem implementieren, ggf.
Anpassungen des Systems (Zertifikattauglich machen)
• Begleitung der Implementierung
• eIAM mit den gelieferten Informationen/Schlüssel
konfigurieren
• Verbindungstests mit Partnern durchführen
• Ggf. Fehlerkorrekturen
• Abnahme
17