Der D21-Leitfaden IT-Sicherheitskriterien im Vergleich · Zielgruppen Inter- und innerbetriebliche...

Der D21Der D21--LeitfadenLeitfaden

"IT"IT--Sicherheitskriterien im Vergleich"Sicherheitskriterien im Vergleich"

DrDr. Harald . Harald NiggemannNiggemannEE--Mail: Harald.Mail: Harald.NiggemannNiggemann@@bsibsi..bundbund.de.de

BBundesamt für undesamt für SSicherheit in der icherheit in der IInformationstechniknformationstechnikReferat I 1.4 Referat I 1.4 -- Systemsicherheit und GrundschutzSystemsicherheit und Grundschutz

Bundesamt für SicherheitBundesamt für Sicherheitin der Informationstechnikin der InformationstechnikDrDr. Harald . Harald NiggemannNiggemann 22

http://http://wwwwww.initiatived21.de (Auszüge).initiatived21.de (Auszüge)

Was ist Initiative D21?Was ist Initiative D21?

Initiative D21 ist eine Initiative der deutschen Initiative D21 ist eine Initiative der deutschen

Wirtschaft mit der Zielsetzung, den Wandel Wirtschaft mit der Zielsetzung, den Wandel

von der Industrievon der Industrie-- zur Informationsgesellschaft zur Informationsgesellschaft

in Deutschland zu beschleunigen.in Deutschland zu beschleunigen.



Wer ist Initiative D21?Wer ist Initiative D21?

Initiative D21 ist ein gemeinnütziger, Initiative D21 ist ein gemeinnütziger, eingetragener Verein, gegründet ameingetragener Verein, gegründet am27. Juli 1999 in Stuttgart.27. Juli 1999 in Stuttgart.

Die Initiative hat über 300 Mitwirkende.Die Initiative hat über 300 Mitwirkende.

Vorsitz: Erwin Staudt, IBM.Vorsitz: Erwin Staudt, IBM.



Arbeitsgruppe 5:Arbeitsgruppe 5: (ehemals AG 6)(ehemals AG 6)

Sicherheit und Vertrauen im InternetSicherheit und Vertrauen im Internet

Projektgruppe:Projektgruppe:

ITIT--Sicherheitskriterien undSicherheitskriterien und

ITIT--GrundschutzGrundschutz--Zertifikat/QualifizierungZertifikat/Qualifizierung


ITIT--Sicherheitskriterien undSicherheitskriterien undITIT--GrundschutzGrundschutz--Zertifikat/QualifizierungZertifikat/Qualifizierung

Harald BosseHarald Bosse TÜV Nord TÜV Nord SecuritySecurityChristoph Christoph CapellaroCapellaro Ernst & YoungErnst & YoungAnja Anja DiekDiek ULD SchleswigULD Schleswig--HolsteinHolsteinSascha Sascha DubovyDubovy FiduciaFiducia InformationszentraleInformationszentraleGoswin EisenGoswin Eisen CSC PLOENZKECSC PLOENZKEUli Uli GeitzGeitz Stadt HagenStadt HagenRudolf HackenbergRudolf Hackenberg TT--SystemsSystemsMichael HangeMichael Hange BSIBSIWolfWolf--Rüdiger MoritzRüdiger Moritz Infineon TechnologiesInfineon TechnologiesHarald NiggemannHarald Niggemann BSIBSIMargot SeidelMargot Seidel TÜV Nord TÜV Nord SecuritySecurityJörn Jörn VoßbeinVoßbein UIMCUIMCGerhard WeckGerhard Weck InfodasInfodasIan Williams Ian Williams FiduciaFiducia InformationszentraleInformationszentrale


Motivation (1)Motivation (1)

•• Verbesserungen in der Umsetzung und in der Verbesserungen in der Umsetzung und in der Transparenz von ITTransparenz von IT--Sicherheitsmaßnahmen Sicherheitsmaßnahmen sind erforderlich.sind erforderlich.

•• Hersteller, Hersteller, DienstleisterDienstleister, , IntegratorenIntegratoren und und Anwender sind gefordert.Anwender sind gefordert.

•• In der Praxis wird meist auf StandardIn der Praxis wird meist auf Standard--Kriterienwerke zurückgegriffen, um den Kriterienwerke zurückgegriffen, um den Aufwand zu minimieren.Aufwand zu minimieren.


Motivation (2)Motivation (2)

•• Sowohl für Produkte als auch für Sowohl für Produkte als auch für Gesamtlösungen haben sich nebeneinander Gesamtlösungen haben sich nebeneinander unterschiedliche Kriterienwerke etabliert.unterschiedliche Kriterienwerke etabliert.

•• Diese ITDiese IT--Sicherheitskriterien überlappen Sicherheitskriterien überlappen teilweise inhaltlich.teilweise inhaltlich.

•• Sie setzen jedoch unterschiedliche Sie setzen jedoch unterschiedliche Schwerpunkte und richten sich an Schwerpunkte und richten sich an verschiedene Zielgruppen.verschiedene Zielgruppen.


FragestellungenFragestellungen

•• Welche Sicherheitsaussage lässt sich auf Welche Sicherheitsaussage lässt sich auf Grundlage der einzelnen Kriterienwerke Grundlage der einzelnen Kriterienwerke treffen?treffen?

•• Welche ITWelche IT--Sicherheitskriterien sind inhaltlich Sicherheitskriterien sind inhaltlich für einen bestimmten vorliegenden für einen bestimmten vorliegenden Anwendungsfall als Hilfsmittel geeignet?Anwendungsfall als Hilfsmittel geeignet?

•• Bei welchen Kriterienwerken zur ITBei welchen Kriterienwerken zur IT--Sicherheit Sicherheit ist die verwendete Methodik dem ist die verwendete Methodik dem vorliegenden Problem angemessen?vorliegenden Problem angemessen?


Zielsetzung des LeitfadensZielsetzung des Leitfadens

Der LeitfadenDer Leitfaden

ITIT--Sicherheitskriterien im VergleichSicherheitskriterien im Vergleich

soll als Hilfsmittel bei der Beantwortung dieser soll als Hilfsmittel bei der Beantwortung dieser

Fragen in konkreten Anwendungsfällen dienen.Fragen in konkreten Anwendungsfällen dienen.


Kriterienwerke imKriterienwerke imThemenbereich ITThemenbereich IT--SicherheitSicherheit

•• ITIT--GrundschutzhandbuchGrundschutzhandbuch•• ISO / IEC 17799 und BS 7799ISO / IEC 17799 und BS 7799•• ISO TR 13335ISO TR 13335•• ITSEC / CommonITSEC / Common CriteriaCriteria•• FIPS 140FIPS 140--1/21/2•• TaskTask Force Sicheres InternetForce Sicheres Internet•• CobiTCobiT•• Gütesiegel/Gütesiegel/ProduktauditProduktaudit SchleswigSchleswig--HolsteinHolstein•• ISO 9000ISO 9000


Methodik: GegenüberstellungMethodik: Gegenüberstellunganhand ausgewählter Teilaspekte (1)anhand ausgewählter Teilaspekte (1)

•• Zielsetzung und InhaltZielsetzung und Inhalt

•• ZielgruppenZielgruppen

•• VorgehensweiseVorgehensweise

•• SkalierbarkeitSkalierbarkeit

•• Aktualität / AktualisierbarkeitAktualität / Aktualisierbarkeit

•• Vollständigkeit / SicherheitsniveauVollständigkeit / Sicherheitsniveau

•• Anwendbarkeit auf gängige Anwendbarkeit auf gängige UnternehmensstrukturenUnternehmensstrukturen


•• Aufwand / Kosten der UmsetzungAufwand / Kosten der Umsetzung

•• ToolTool--UnterstützungUnterstützung

•• Berücksichtigung einschlägiger GesetzeBerücksichtigung einschlägiger Gesetze

•• Vorgaben fürVorgaben für kryptographischekryptographische VerfahrenVerfahren

•• QualifizierungsQualifizierungs-- bzwbzw. Zertifizierungssystem. Zertifizierungssystem

•• InternationalitätInternationalität

•• Quelle und weitere InformationenQuelle und weitere Informationen

Methodik: GegenüberstellungMethodik: Gegenüberstellunganhand ausgewählter Teilaspekte (2)anhand ausgewählter Teilaspekte (2)

Inhaltliche AusrichtungInhaltliche Ausrichtung

Syst

em-

bezo

gen IT-GSHB ISO 9000

ISO 13335ISO 17799

CobiT

Task Force DS-Produktaudit*

Prod

ukt-

bezo

gen

FIPS 140ITSEC/CC

technisch nicht-technisch

ZielgruppenZielgruppenInter- und innerbetrieblicheZielgruppenausrichtung derIT-SicherheitskriterienLegende:• P ≡ primäre Zielgruppe• S ≡ sekundäre Zielgruppe

IT-G

run

dsc

hu

tzh

and

bu

ch

ISO

17

79

9 /

BS

77

99

ISO

13

33

5

ITS

EC

/ C

om

mo

n C

rite

ria

FIP

S 1

40

Task

Fo

rce-

Kat

alo

ge

Co

biT

DS

-Pro

du

ktau

dit

*

ISO

90

00

a) Art des UnternehmensHardware-Hersteller S S P S P XSoftware-Hersteller S S P P P P XNetz-Vermittler S S P S S XServer-Betreiber P P S P S S XInhalte-Anbieter P P P S XUnternehmen als Anwender P P P S S P X

b) Rolle innerhalb des UnternehmensManagement S P P P P PProjektmanagement P P P P P P P P PIT-Sicherheitsbeauftragte P P P P P P S P SIT-Leitung P P P S S P P S SAdministratoren P S S P S SRevisoren S S P S


•• Keines der in dem Leitfaden betrachteten Keines der in dem Leitfaden betrachteten Kriterienwerke verspricht "umfassende" Kriterienwerke verspricht "umfassende" Sicherheit.Sicherheit.

•• Behandelt werden jeweils nur Teilaspekte des Behandelt werden jeweils nur Teilaspekte des Problems.Problems.

•• In den meisten Fällen ist es daher zweckmäßig, In den meisten Fällen ist es daher zweckmäßig, die Kriterienwerke synergetisch zu nutzen.die Kriterienwerke synergetisch zu nutzen.

Szenarien (1)Szenarien (1)


•• ITIT--Grundschutz + Common Grundschutz + Common CriteriaCriteria

•• ISO 17799 + ITISO 17799 + IT--GrundschutzGrundschutz

•• ISO 9000 + ISO 17799ISO 9000 + ISO 17799

•• ITIT--Grundschutz +Grundschutz + CobiTCobiT

Szenarien (2)Szenarien (2)


InhaltsverzeichnisInhaltsverzeichnis

11 Zielsetzung und Initiierung des ProjektesZielsetzung und Initiierung des Projektes22 Fachliche EinführungFachliche Einführung33 MethodikMethodik44 GegenüberstellungGegenüberstellung55 SzenarienSzenarien66 Zusammenfassung und weitere VorgehensweiseZusammenfassung und weitere Vorgehensweise6.16.1 Hilfe zur SelbsthilfeHilfe zur Selbsthilfe6.26.2 Kombination von ITKombination von IT--SicherheitskriterienSicherheitskriterien6.36.3 Qualifizierung/Zertifizierung nach ITQualifizierung/Zertifizierung nach IT--GrundschutzGrundschutzAA Anforderungen desAnforderungen des KonTraGKonTraG an die ITan die IT--SicherheitSicherheit


Bezugsquelle und KontaktBezugsquelle und Kontakt

Als PDF-Datei vom Webserver der Initiative D21:

http://www.initiatived21.de

⇒ Arbeitsgruppen

⇒ UAG: IT-Sicherheitskriterien undIT-Grundschutz-Zertifikat/Qualifizierung

Anmerkungen und Ideen sind willkommen:

E-Mail: [email protected]

Der D21-Leitfaden IT-Sicherheitskriterien im Vergleich · Zielgruppen Inter- und innerbetriebliche...

Documents

Transcript of Der D21-Leitfaden IT-Sicherheitskriterien im Vergleich · Zielgruppen Inter- und innerbetriebliche...