24.11.2003 Herbert.Leitold@a-sit.at 1

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

Österreichisches IT-SicherheitshandbuchInformationsveranstaltung am 24.11. 2003

Neuerungen in Version 2.1

DI Herbert Leitold

Zentrum für sichere Informations-technologie Austria, A-SIT

24.11.2003 Herbert.Leitold@a-sit.at 2

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

Inhaltsübersicht

• Einleitung• Inhaltliche Neuerungen• Technische Neuerungen• Zusammenfassung

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 3

Teile des IT-SIHA

• Teil 1 – IT Sicherheitsmanagement– Allgemeine Anleitung für die Umsetzung eines

kontinuierlichen IT-Sicherheitsprozesses• Teil 2 – IT Sicherheitsmaßnahmen

– auf organisatorischer, personeller, infrastruktureller und technischer Ebene

– Bedachtnahme auf spezifisch österreichische Gegebenheiten

• Normen, Gesetze– Nutzung von vergleichbaren Standards

• BSI IT-Grundschutzhandbuch• Zusammenarbeit mit BSI, ISB

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 4

Vergleich Sicherheitskriterien

• aus initi@tive D21 Arbeitsgruppe 5IT-Sicherheitskriterien im Vergleich http://www.initiatived21.de

IT-Grundschutz-HBISO 9000

ISO 17799ISO 13335

CobiT

Taskforce Sicheres Internet

DS-Produktaudit (Schleswig Holst.)

FIPS-140ITSEC

Common CriteriaTechnisch nicht technisch

Pro

du

kt-

bez

og

enS

yste

m-

bez

og

en

österr. IT-SIHABSI IT-GSHB

BS 7799

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 5

Überlegungen zu „SIHA alt“

• Aktualität– Teil 1 im Wesentlichen aus 1998, seither

• gesetzliche Änderungen, update von Normen – Teil 2 Version 2.0 – September 2001, seither

• Konzept Bürgerkarte, IKT Board, Operative Unit, etc.

• Volumen– Fließtext (90 + 280 Seiten)

• Zielgruppenorientierung

• Wartbarkeit– Für die EntwicklerInnen des SIHA

• Einbringen von Aktualisierungen– Für die AnwenderInnen des SIHA

• Einphasen von Änderungen nach einer Umsetzung

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 6

Ziele eines Updates

• Zielgruppenorientierung– Anpassbarkeit an Organisationseinheit– Benutzerspezifische Ansichten

• Unterstützung der UmsetzerInnen– Checklisten– Technische Hilfsmittel

• Wartbarkeit– Für die EntwicklerInnen des SIHA

• Zeitbezug von Referenzen auflösen– Für die AnwenderInnen des SIHA

• Automatismen für “delta-Dokumente”

24.11.2003 Herbert.Leitold@a-sit.at 7

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

Inhaltliche Neuerungen• SIHA - Teil 1

Aktuelle Gesetze / Normen Richtlinien (OECD, NIS, etc.)

• SIHA - Teil 2 Stabsstelle, IKT-Board (bis 11.3.03) diverse weitere Dokumente

• Sicherheits-/Verteidigungsdoktrin• K-Fall Überlegungen BKA

diverse technische Entwicklungen

• z.B. WLAN, Common Criteria

24.11.2003 Herbert.Leitold@a-sit.at 8

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

Technische Neuerungen

• Konzept• Zielgruppenorientierung• Spezifische Ansichten• Checklisten

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 9

Grundüberlegung

• Sicherheitshandbuch Teil 2 soll– nicht Detailtiefe der BSI GSHB Modellierung aufweisen– trotzdem automatisierte Elemente aufweisen

– nicht auf hohe Abstraktion BS7799 zurückfallen– sondern konkrete Vorgaben für mittleren Schutzbedarf

pragmatischer, methodischer Mittelweg Entwicklung aus der Sicht der Anwendbarkeit getrieben

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 10

Zielgruppenorientierung “statische” Sichtweise

• Sicherheitshandbuch soll an die Gegebenheit der Organisationseinheit „personalisierbar“ sein– Anpassen an Anwender „im Großen“

• Aspekte der Organisationseinheit, die sich kaum ändern, jedoch auf Maßnahmen Einfluss haben– Größe der Organisationseinheit

– Umfeld öffentl. Verwaltung vs. Privatwirtschaft organisationsize { SMALL | LARGE }

Attribute { egovernment | industry }

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 11

• Sicherheitshandbuch soll für konkrete Be-trachterIn / UmsetzerIn personalisierbar sein– Daraus ergeben sich anwenderspezifische

Ansichten

• Rollenmodell der Ansichten

Zielgruppenorientierung“dynamische” Sichtweise

RELEVANT FÜR

ManagementLeitung

Umsetzung Wartung

AnwenderIn Kunde

INTERN(in OE)

EntscheidungsträgerIn

z.B. Sach-bearbeiterIn

EXTERN(außer OE)

z.B. externer Dienstleister

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 12

Allg. IT-Sicherheitshandbuch

Ansicht MANAGEMENTAnsicht UMSETZERIN

Ansicht ANWENDERIN

Anpassung an Org.-Einheit (Größe; Verwaltung/Privatw.)

Sicherheitshandbuch der Org.-Einheit

Personalisierung / Konzept

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 13

Umsetzung - XML

• XML Mittel der Wahl– Strukturierung der Daten– Trennung von Information und Darstellung

<topic version="2.1.000" prefix="SYS" ordinal="11.5" name="Regelung des Einsatzes von Kryptomodulen" egovernment="NOT_SET" industry="NOT_SET" orgsize="NOT_SET">

<role><maintenance type="NOT_SET" /> <management type="NOT_SET" /> <user type="NOT_SET" /> <client type="NOT_SET" />

</role>

<abstract>Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden.</abstract>

<detailed>Wichtige organisatorische Regelungen dafür sind:</detailed>

<itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED"

orgsize="LARGE">

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 14

Bsp. Übersicht

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 15

Bsp. Gesamtansicht

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 16

Checklisten

• Hier Ansicht “Anwender”

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 17

Vorgeschlagene Prioritäten

• VERBINDLICH – gesetzliche Vorgabe oder IKT-Board Beschluss

• IKT Board Beschluss für Privatwirtschaft als Information

• EMPFOHLEN – ist für „SIHA Konformität“ umzusetzen; begründetes

Abgehen, wenn Gefährdung anders begegnet• SYS 8.13 Sicherer Betrieb WWW-Server (z.B. wenn

ausgelagert)

• SINNVOLL– Maßnahme/Kriterium, die vorgeschlagen wird, je nach

Gegebenheit in OE soll diese über Notwendigkeit entscheiden

• Auch „downgrade“ auf SINNVOLL bei Organisationsgröße KLEIN, wenn Maßnahme (Kriterium) für OE GROSS empfohlen

• INFORMATION– Zusatzinformationen

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

24.11.2003 Herbert.Leitold@a-sit.at 18

Zeitbezug Referenzen

Das Vertrauen in Betriebssysteme: Dieses Vertrauen in Betriebssysteme (Windows) ist durch eine Policy, die die Vertrauenseinstellungen festlegt, zu ermöglichen und zu stärken. Für auszuliefernde Geräte im Bundesbereich sind Initialkonfigurationen entsprechend festzulegen und umzusetzen. Für die Wirtschaft und die Bürgerinnen und Bürger sind entsprechende Werkzeuge online zur Verfügung zu stellen

Alle in der Bundesverwaltung auszuliefernden Arbeitsstationen sind initial so auszuliefern, dass keinem Zertifizierungsdienst automatisch vertraut wird.

24.11.2003 Herbert.Leitold@a-sit.at 19

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

ZusammenfassungNeuerungen im Österreichischem IT-Sicherheitshandbuch v. 2.1• Inhaltliche Aktualisierungen• Technische Neuausrichtung

XML als Datenbasis Damit technische Basis für

• Zielgruppenorientierung• Checklisten

Unterstützung in der Umsetzung

24.11.2003 Herbert.Leitold@a-sit.at 20

I T –

S I C

H E

R H

E I T

S H

A N

D B

U C

H

Wir danken für Ihre Aufmerksamkeit

A-SIT, Zentrum für sichere Informationstechnologie – Austria

Herbert.Leitold@a-sit. at

http://www.a-sit.at Unterstützung IT-Sicherheitshandbuch