Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 14.11.2003 Rolle von A-SIT Manfred Holzbach Zentrum für sichere Informations-technologie Austria, A-SIT 24.11.2003 Manfred.Holzbach@a-sit.at
Inhaltsübersicht About A-SIT A-SIT und das BKA Warum SIHA ? Internationale Standards Warum Version 2.1 ? Perspektiven 24.11.2003 Manfred.Holzbach@a-sit.at
About A-SIT (www.a-sit.at) Kompetent, neutral, Verfügbar, schlank 21.Mai 1999 Gründung durch Bund, OeNB, TU Graz Seit 2003 SFG 2 Standorte Wien, Graz 13 feste MA Notwendigkeiten: Bestätigungsstelle (SigG Infrastruktur) Zahlungssystemaufsicht-Infrastruktur Systemische Unterstützung öffentlicher Institutionen Technologiebeobachtung 24.11.2003 Manfred.Holzbach@a-sit.at
About A-SIT (www.a-sit.at) Thema: IT-Sicherheit Kompetent, neutral, Verfügbar, schlank 21.Mai 1999 Gründung durch Bund, OeNB, TU Graz Seit 2003 SFG 2 Standorte Wien, Graz 13 feste MA Notwendigkeiten: Bestätigungsstelle (SigG Infrastruktur) Zahlungssystemaufsicht-Infrastruktur Systemische Unterstützung öffentlicher Institutionen Technologiebeobachtung 24.11.2003 Manfred.Holzbach@a-sit.at
About A-SIT (www.a-sit.at) Thema: IT-Sicherheit Kompetent, neutral, Verfügbar, schlank 21.Mai 1999 Gründung durch Bund, OeNB, TU Graz Seit 2003 SFG Schwerpunkte: E-Government Si-Technik E-Payments Technologie: Signatur, Verschlüsselung, Chipkarten „Grundschutz“ Si-Policies, Si-Normen „Grundschutz“ 2 Standorte Wien, Graz 13 feste MA Notwendigkeiten: Bestätigungsstelle (SigG Infrastruktur) Zahlungssystemaufsicht-Infrastruktur Systemische Unterstützung öffentlicher Institutionen Technologiebeobachtung Akkreditierung ab 2004: Zertifizierungsstelle Überwachungsstelle 24.11.2003 Manfred.Holzbach@a-sit.at
A-SIT und BKA CIO Stabsstelle: gibt vor Strategien, Konzepte, Regelwerke A-SIT: unterstützt, untersucht Ausarbeitung, Prototypen, Weißbuch Bürgerkarte 2001 SIHA Überarbeitung 2001 Security Layer Prototyp 2002 SSL Strategiepapier 2003 E-Gov Gütesiegel Streitfälle SIHA Überarbeitung 2003 Amtsgutachten für DSK ab 2003 24.11.2003 Manfred.Holzbach@a-sit.at
Österr. Gegeben- heiten Gesetze, Normen A-SIT und das SIHA Grundschutz- Handbuch BSI-D Österr. Gegeben- heiten Gesetze, Normen SIHA 1998 (BMI) 24.11.2003 Manfred.Holzbach@a-sit.at
Österr. Gegeben- heiten Gesetze, Normen A-SIT und das SIHA Grundschutz- Handbuch BSI-D Österr. Gegeben- heiten Gesetze, Normen SIHA 1998 (BMI) SIHA 2001 (BMÖLS-ASIT) 24.11.2003 Manfred.Holzbach@a-sit.at
A-SIT und das SIHA Grundschutz- Handbuch BSI-D Österr. Gegeben- heiten Gesetze, Normen SIHA 1998 (BMI) Koop.- Vereinbarung BSI-ASIT SIHA 2001 (BMÖLS-ASIT) e-Government IKT-Board 24.11.2003 Manfred.Holzbach@a-sit.at
A-SIT und das SIHA Grundschutz- Handbuch BSI-D Österr. Gegeben- heiten Gesetze, Normen SIHA 1998 (BMI) Koop.- Vereinbarung BSI-ASIT SIHA 2001 (BMÖLS-ASIT) e-Government IKT-Board SIHA 2003 (BKA-ASIT) Neue Darstellung 24.11.2003 Manfred.Holzbach@a-sit.at
Warum SIHA ? IT-Sicherheit = integraler Bestandteil von IT-Systemen (Entwicklung, Betrieb) Ermitteln von Si-Zielen und Si-Strategien einheitliche Vorgehensweise und Terminologie Leitlinien und Vorgaben, basierend auf internationalen Richtlinien und Normen, österreichischen Rechtsnormen, Standards, Terminologien präzise Formulierungen, effiziente Umsetzbarkeit in die Praxis NEU: Checklisten zur Überprüfung der Umsetzung 24.11.2003 Manfred.Holzbach@a-sit.at
SIHA / Internationale Standards ISO 13335 Guidelines on the Management of IT-Security (GMITS) IT-Grundschutzhandbuch des BSI (IT GSHB) BS 7799 / ISO 17799 / A 7799 24.11.2003 Manfred.Holzbach@a-sit.at
ISO 13335 GMITS Guidelines on the Management of IT-Security Part 1 (1996): Concepts and models for IT Security Part 2 (1997): Managing and planning IT Security Part 3 (1998): Techniques for the management of IT Security Part 4 (2000): Selection of Safeguards Part 5 (2001): Management Guidance on network security 24.11.2003 Manfred.Holzbach@a-sit.at
ISO 13335 GMITS Guidelines on the Management of IT-Security Parts 1,2,3 GMITS Teil 1 SIHB Teil 3 Checklisten Parts 4,5 GMITS Teil 2 SIHB 24.11.2003 Manfred.Holzbach@a-sit.at
IT-Grundschutzhandbuch (GSHB) Herausgeber: BSI Sehr detailliert, konkret und daher umfangreich Schwerpunkt: Maßnahmenkataloge zur Gewährleistung eines Standard-Sicherheitsniveaus Bereiche: Infrastruktur Hard- und Software Organisation Kommunikation Personal Notfallvorsorge Aktualisierung und Erweiterung alle 6 - 9 Monate www.bsi.bund.de 24.11.2003 Manfred.Holzbach@a-sit.at
GSHB - SIHA Checklisten Teil 1 SIHA GSHB Teil 2 SIHA 24.11.2003 Manfred.Holzbach@a-sit.at
BS 7799 / ISO 17799 Part 2: BS 7799-2 „Specification for information security management systems“ Basis für formales Verfahren zu Zertifizierung High-Level, daher nicht konkret 24.11.2003 Manfred.Holzbach@a-sit.at
BS 7799 Checklisten Teil 1 SIHB BS 7799 Teil 2 SIHB 24.11.2003 Manfred.Holzbach@a-sit.at
Warum SIHA Version 2.1 ? Inhaltliche Anpassung => z.B. Änderungen im dt. GSHB Normative Anpassungen => z.B. ISO-IEC 17799 Neue Regelwerke => z.B. InfoSiG, IKT-Board Beschlüsse Neue Erfordernisse => Checklisten zur Erfüllung => Tools zur Konformitätsbeurteilung => Benutzer- und servicefreundliche Darstellung (XML) 24.11.2003 Manfred.Holzbach@a-sit.at
e-Government = strategisches Ziel Warum SIHA Version 2.1 ? e-Government = strategisches Ziel Inhaltliche Anpassung => z.B. Änderungen im dt. GSHB Normative Anpassungen => z.B. ISO-IEC 17799 Neue Regelwerke => z.B. InfoSiG, IKT-Board Beschlüsse Neue Erfordernisse => Checklisten zur Erfüllung => Tools zur Konformitätsbeurteilung => Benutzer- und servicefreundliche Darstellung (XML) 24.11.2003 Manfred.Holzbach@a-sit.at
Wo gibt es das SIHA ? 24.11.2003 Manfred.Holzbach@a-sit.at
Wo gibt es das SIHA ? Klassische PDF-Version 24.11.2003 Manfred.Holzbach@a-sit.at
Wo gibt es das SIHA ? Klassische PDF-Version Neue XML-Version 24.11.2003 Manfred.Holzbach@a-sit.at
Perspektiven Inhaltliche Weiterentwicklung =zwingend, sonst nicht aktuell Weiterentwicklung der Tools => Handhabbarkeit, Added Value Nutzbarkeit für die Wirtschaft (Bedarf KMUs) => inhaltlich gegeben, aber: => durchgestyltes Produkt erforderlich => spezifische Anforderungen an Checklisten => Awareness, Akzeptanz 24.11.2003 Manfred.Holzbach@a-sit.at
Perspektiven Inhaltliche Weiterentwicklung =zwingend, sonst nicht aktuell Weiterentwicklung der Tools => Handhabbarkeit, Added Value Nutzbarkeit für die Wirtschaft (Bedarf KMUs) => inhaltlich gegeben, aber: => durchgestyltes Produkt erforderlich => spezifische Anforderungen an Checklisten => Awareness, Akzeptanz => „Vermarktung“ notwendig Vorschlag: Kooperation mit WKÖ 24.11.2003 Manfred.Holzbach@a-sit.at
Wir danken für Ihre Aufmerksamkeit A-SIT, Zentrum für sichere Informationstechnologie – Austria Manfred.Holzbach@a-sit. at http://www.a-sit.at Unterstützung IT-Sicherheitshandbuch 24.11.2003 Manfred.Holzbach@a-sit.at