Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11. 2003 Neuerungen in Version 2.1 DI Herbert Leitold Zentrum für sichere Informations-technologie Austria, A-SIT 24.11.2003 Herbert.Leitold@a-sit.at

Inhaltsübersicht Einleitung Inhaltliche Neuerungen Technische Neuerungen Zusammenfassung 24.11.2003 Herbert.Leitold@a-sit.at

Teile des IT-SIHA Teil 1 – IT Sicherheitsmanagement Allgemeine Anleitung für die Umsetzung eines kontinuierlichen IT-Sicherheitsprozesses Teil 2 – IT Sicherheitsmaßnahmen auf organisatorischer, personeller, infrastruktureller und technischer Ebene Bedachtnahme auf spezifisch österreichische Gegebenheiten Normen, Gesetze Nutzung von vergleichbaren Standards BSI IT-Grundschutzhandbuch Zusammenarbeit mit BSI, ISB 24.11.2003 Herbert.Leitold@a-sit.at

Vergleich Sicherheitskriterien aus initi@tive D21 Arbeitsgruppe 5 IT-Sicherheitskriterien im Vergleich http://www.initiatived21.de IT-Grundschutz-HB ISO 9000 ISO 17799 ISO 13335 CobiT Taskforce Sicheres Internet DS-Produktaudit (Schleswig Holst.) FIPS-140 ITSEC Common Criteria System- bezogen BSI IT-GSHB österr. IT-SIHA BS 7799 Produkt- bezogen Technisch nicht technisch 24.11.2003 Herbert.Leitold@a-sit.at

Überlegungen zu „SIHA alt“ Aktualität Teil 1 im Wesentlichen aus 1998, seither gesetzliche Änderungen, update von Normen Teil 2 Version 2.0 – September 2001, seither Konzept Bürgerkarte, IKT Board, Operative Unit, etc. Volumen Fließtext (90 + 280 Seiten) Zielgruppenorientierung Wartbarkeit Für die EntwicklerInnen des SIHA Einbringen von Aktualisierungen Für die AnwenderInnen des SIHA Einphasen von Änderungen nach einer Umsetzung 24.11.2003 Herbert.Leitold@a-sit.at

Ziele eines Updates Zielgruppenorientierung Anpassbarkeit an Organisationseinheit Benutzerspezifische Ansichten Unterstützung der UmsetzerInnen Checklisten Technische Hilfsmittel Wartbarkeit Für die EntwicklerInnen des SIHA Zeitbezug von Referenzen auflösen Für die AnwenderInnen des SIHA Automatismen für “delta-Dokumente” 24.11.2003 Herbert.Leitold@a-sit.at

Inhaltliche Neuerungen SIHA - Teil 1 Aktuelle Gesetze / Normen Richtlinien (OECD, NIS, etc.) SIHA - Teil 2 Stabsstelle, IKT-Board (bis 11.3.03) diverse weitere Dokumente Sicherheits-/Verteidigungsdoktrin K-Fall Überlegungen BKA diverse technische Entwicklungen z.B. WLAN, Common Criteria 24.11.2003 Herbert.Leitold@a-sit.at

Technische Neuerungen Konzept Zielgruppenorientierung Spezifische Ansichten Checklisten 24.11.2003 Herbert.Leitold@a-sit.at

Grundüberlegung Sicherheitshandbuch Teil 2 soll nicht Detailtiefe der BSI GSHB Modellierung aufweisen trotzdem automatisierte Elemente aufweisen nicht auf hohe Abstraktion BS7799 zurückfallen sondern konkrete Vorgaben für mittleren Schutzbedarf  pragmatischer, methodischer Mittelweg  Entwicklung aus der Sicht der Anwendbarkeit getrieben 24.11.2003 Herbert.Leitold@a-sit.at

Zielgruppenorientierung “statische” Sichtweise Sicherheitshandbuch soll an die Gegebenheit der Organisationseinheit „personalisierbar“ sein Anpassen an Anwender „im Großen“ Aspekte der Organisationseinheit, die sich kaum ändern, jedoch auf Maßnahmen Einfluss haben Größe der Organisationseinheit Umfeld öffentl. Verwaltung vs. Privatwirtschaft organisationsize { SMALL | LARGE } Attribute { egovernment | industry } 24.11.2003 Herbert.Leitold@a-sit.at

Zielgruppenorientierung “dynamische” Sichtweise Sicherheitshandbuch soll für konkrete Be-trachterIn / UmsetzerIn personalisierbar sein Daraus ergeben sich anwenderspezifische Ansichten Rollenmodell der Ansichten RELEVANT FÜR Management Leitung Umsetzung Wartung AnwenderIn Kunde INTERN (in OE) EntscheidungsträgerIn z.B. Sach-bearbeiterIn EXTERN (außer OE) z.B. externer Dienstleister 24.11.2003 Herbert.Leitold@a-sit.at

Personalisierung / Konzept Allg. IT-Sicherheitshandbuch Anpassung an Org.-Einheit (Größe; Verwaltung/Privatw.) Sicherheitshandbuch der Org.-Einheit Ansicht MANAGEMENT Ansicht UMSETZERIN Ansicht ANWENDERIN 24.11.2003 Herbert.Leitold@a-sit.at

Umsetzung - XML Technik folgt XML Mittel der Wahl Strukturierung der Daten Trennung von Information und Darstellung <topic version="2.1.000" prefix="SYS" ordinal="11.5" name="Regelung des Einsatzes von Kryptomodulen" egovernment="NOT_SET" industry="NOT_SET" orgsize="NOT_SET"> <role> <maintenance type="NOT_SET" /> <management type="NOT_SET" /> <user type="NOT_SET" /> <client type="NOT_SET" /> </role> <abstract>Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden.</abstract> <detailed>Wichtige organisatorische Regelungen dafür sind:</detailed> <itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED" orgsize="LARGE"> Technik folgt 24.11.2003 Herbert.Leitold@a-sit.at

Bsp. Übersicht Demonstration folgt 24.11.2003 Herbert.Leitold@a-sit.at

Bsp. Gesamtansicht Demonstration folgt 24.11.2003 Herbert.Leitold@a-sit.at

Checklisten Demonstration folgt Hier Ansicht “Anwender” 24.11.2003 Herbert.Leitold@a-sit.at

Vorgeschlagene Prioritäten VERBINDLICH gesetzliche Vorgabe oder IKT-Board Beschluss IKT Board Beschluss für Privatwirtschaft als Information EMPFOHLEN ist für „SIHA Konformität“ umzusetzen; begründetes Abgehen, wenn Gefährdung anders begegnet SYS 8.13 Sicherer Betrieb WWW-Server (z.B. wenn ausgelagert) SINNVOLL Maßnahme/Kriterium, die vorgeschlagen wird, je nach Gegebenheit in OE soll diese über Notwendigkeit entscheiden Auch „downgrade“ auf SINNVOLL bei Organisationsgröße KLEIN, wenn Maßnahme (Kriterium) für OE GROSS empfohlen INFORMATION Zusatzinformationen 24.11.2003 Herbert.Leitold@a-sit.at

Zeitbezug Referenzen Das Vertrauen in Betriebssysteme: Dieses Vertrauen in Betriebssysteme (Windows) ist durch eine Policy, die die Vertrauenseinstellungen festlegt, zu ermöglichen und zu stärken. Für auszuliefernde Geräte im Bundesbereich sind Initialkonfigurationen entsprechend festzulegen und umzusetzen. Für die Wirtschaft und die Bürgerinnen und Bürger sind entsprechende Werkzeuge online zur Verfügung zu stellen Alle in der Bundesverwaltung auszuliefernden Arbeitsstationen sind initial so auszuliefern, dass keinem Zertifizierungsdienst automatisch vertraut wird. 24.11.2003 Herbert.Leitold@a-sit.at

Zusammenfassung Neuerungen im Österreichischem IT-Sicherheitshandbuch v. 2.1 Inhaltliche Aktualisierungen Technische Neuausrichtung XML als Datenbasis Damit technische Basis für Zielgruppenorientierung Checklisten Unterstützung in der Umsetzung 24.11.2003 Herbert.Leitold@a-sit.at

Wir danken für Ihre Aufmerksamkeit A-SIT, Zentrum für sichere Informationstechnologie – Austria Herbert.Leitold@a-sit. at http://www.a-sit.at  Unterstützung  IT-Sicherheitshandbuch 24.11.2003 Herbert.Leitold@a-sit.at