Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

Transkript

1 Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

2 DIN e. V. DIN ist ein eingetragener gemeinnütziger Verein und wird privatwirtschaftlich getragen. DIN ist laut eines Vertrages mit der Bundesrepublik Deutschland die zuständige deutsche Normungsorganisation für die europäischen und internationalen Normungsaktivitäten. 2014, DIN e. V. 2

3 Normen in der Rechtsordnung Eine anerkannte Regel der Technik ist eine technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe des Standes der Technik angesehen wird. Der Stand der Technik ist ein entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind basierend auf den diesbezüglichen gesicherten Erkenntnisse von Wissenschaft, Technik und Erfahrung. 2014, DIN e. V. 3

4 Grundlagen der Konformitätsbewertung DIN EN ISO Konformitätsbewertung Begriffe und allgemeine Grundlagen Definition Konformitätsbewertung: Darlegung, dass festgelegte Anforderungen bezogen auf ein Produkt, einen Prozess, ein System, eine Person oder eine Stelle erfüllt sind. Definition Zertifizierung: Bestätigung durch eine dritte Seite bezogen auf Produkte, Prozesse, Systeme oder Personen 4

5 Wie ist eine Norm zu lesen DIN (identisch mit ISO/IEC Direktiven Teil2), Anhang H: Verbformen zur Formulierung von Festlegungen Anforderung muss darf nicht Empfehlung sollte sollte nicht Zulässigkeit darf braucht nicht Möglichkeit und Vermögen kann kann nicht Anforderungen in Normen sind Zertifizierungsgrundlage! 2014, DIN e. V. 5

6 Grundlagen der Konformitätsbewertung - AkkStelleG (DAkks) - BSI - DIN EN ISO/IEC Akkreditierung Akkreditierungsstelle Konformitätsbewertungsstelle - BSI - DIN EN ISO/IEC ISO/IEC Zertifizierung Zertifizierter (z. B. Unternehmen) - ISO/IEC ISO/IEC Selbsterklärung 2014, DIN e. V. 6

7 Normen und Standards als Akkreditierungsgrundlage Quelle: , DIN e. V. 7

8 Zertifizierung von IT-Sicherheit Zertifiziert werden können: Organisationen z.b. Managementsysteme (nach ISO/IEC 27001) z.b. Standorte (nach ISO/IEC 15408) z.b. Prüfstellen (nach 9 BSI-Gesetz oder ISO/IEC ) Produkte z.b. nach ISO/IEC z.b. nach Technischen Richtlinien des BSI Personen z.b. BSI Zertifikate auf Grundlage 9 BSI-Gesetz z.b. Sachverständige nach DIN EN ISO/IEC Konformitätsbewertung Allgemeine Anforderungen an Stellen, die Personen zertifizieren 2014, DIN e. V. 8

9 Zertifizierbarkeit von IT Sicherheitsmanagement-Systemen Nach ISO/IEC Anforderungen an ein Managementsystem zur Verankerung der IT-Sicherheit in der Organisation Nach BSI Grundschutz BSI-Grundschutz ist abgestimmt mit ISO/IEC Zertifikat: ISO/IEC auf Basis IT-Grundschutz 2014, DIN e. V. 9

10 Struktur der ISO/IEC 27000er Reihe 2014, DIN e. V. 10

11 Zertifizierbarkeit von Standorten Nach ISO/IEC Common Criteria Zeitlich begrenztes Zertifikat Nach BSI Grundschutz BSI-Grundschutz ist abgestimmt mit ISO/IEC Zertifikat: ISO/IEC auf Basis IT-Grundschutz 2014, DIN e. V. 11

12 Zertifizierbarkeit von Produkten Nach ISO/IEC Common Criteria Evaluation Assurance Level EAL 1-7 Europäisches Abkommen SOGIS-MRA V3 Gegenseitige Anerkennung von Zertifikaten (SOGIS-Logo) Internationales Abkommen CCRA Gegenseitige Anerkennung von Zertifikaten bis einschließlich EAL 4 (CCRA-Logo) Nach Schutzprofilen (PP) Ein Schutzprofil kann zertifiziert werden Übereinstimmung mit Schutzprofil kann bestätigt werden Bsp. Smart Meter Gateway (BSI-CC-PP-0073) Nach Technischen Richtlinien des BSI BSI TR für Smart Meter 2014, DIN e. V. 12

13 IT-Sicherheitszertifikate für Personen Vielzahl privatwirtschaftlicher Zertifikate DIN EN ISO/IEC Sachverständige und Gutachter BSI Zertifikate für Auditteamleiter für ISO/IEC Audits Auditor D IS Revision und IS Beratungsexperte Penetrationstester 2014, DIN e. V. 13

14 Zertifizierungsstellen Staatliche Zertifizierungsstellen Fallen unter SOGIS-MRA und CCRA In Deutschland das Bundesamt für Sicherheit in der Informationstechnik, BSI Private Zertifizierungsstellen können vom BSI anerkannt werden fallen nicht unter SOGIS-MRA und CCRA Nach ISO/IEC , DIN e. V. 14

15 Konformitätsprüfung nach BSI-Grundschutz Abbildung 1: Vorgang der Konformitätsprüfung Quelle: BSI Broschüre Zertifizierte IT-Sicherheit : , DIN e. V. 15

16 Herausforderungen der Zertifizierbarkeit Zertifikate können durch technische Entwicklung schnell überholt werden Produktzertifikate sind versionsabhängig Handling von Updates Zertifizierungsprozess aufwendig 2014, DIN e. V. 16

17 Erarbeitung von IT-Sicherheitsnormen als Zertifizierungsgrundlage IT-Sicherheit generisch anwendungsbezogen Unabhängig von Technologie Branche Anwendungsfall Abhängig von Technologie (z.b. RFID) Branche (z.b. Medizin) Anwendungsfall (Bahnsignalanlagen) 2014, DIN e. V. 17

18 IT-Sicherheitsnormung Gremienübersicht (Auswahl KRITIS Sektoren) generisch national NIA 27 anwendungsbezogen europäisch international ISO/IEC /JTC1 /SC27 Energie Ernährung Verkehr Gesundheit Finanzen IKT Medien Wasser DKE ETSI/CLC IEC NAL NL,NSMT NAMed/FB 7 CEN/TC 251 ISO/TC 215 NIA ISO/TC 68 DKE, NIA NVBF NAW ETSI,CEN JTC1, ITU Koordinierungsstelle IT-Sicherheit 2014, DIN e. V. 18