Anforderungen an Antragsteller zur Zertifizierung als IT-Sicherheitsdienstleister im Bereich Digitalfunk BOS. DigBOS

Transkript

1 Anforderungen an Antragsteller zur Zertifizierung als IT-Sicherheitsdienstleister im Bereich Digitalfunk BOS DigBOS Version vom

2 Änderungshistorie Version Datum Name Beschreibung Anerkennungsstelle S 25 Erstausgabe QMB D Austausch der Abbildung 1: Dokumentenübersicht (Zertifizierungs- und Anerkennungsprogramm) QMB D Austausch der Abbildung 1: Dokumentenübersicht (Zertifizierungs- und Anerkennungsprogramm) Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: service-center@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik

3 DigBOS Inhaltsverzeichnis Inhaltsverzeichnis Änderungshistorie Einleitung Zielsetzung des Dokuments IT-Sicherheitsdienstleister Eingliederung in die Dokumentenstruktur Zertifizierungsprogramm Einführung Digitalfunk BOS Anforderungen an die IT-Sicherheitsdienstleister für den Digitalfunk BOS Zusätzliche Anforderungen an die Prüfstellen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS Zusätzliche Anforderungen an die Prüfstellen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS Zusätzliche Anforderungen an das Prüflabor (ZPL) im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS Verfahren zur Zertifizierung Zusätzlich notwendige Unterlagen zur Beantragung Spezielle Informationen zur Systembegutachtung Durchführung der Fachbegutachtung Durchführung der Begutachtung des Informationssicherheitsmanagementsystems Aufrechterhaltung der Zertifizierung Anforderungen an die Tätigkeiten des IT-Sicherheitsdienstleisters Anforderungen an den Ablauf der Prüfung Anforderungen an die Bereitstellung des ZPL Rezertifizierung Spezielle Rahmenbedingungen Weitere Regelungen zur Zusammenarbeit Prüfstellen für den Digitalfunk BOS Prüflabors (ZPL) für den Digitalfunk BOS Arbeitstreffen mit den IT-Sicherheitsdienstleistern Verfahren bei Mängeln bei den Prüfungen oder der Bereitstellung des ZPL Referenzen und Glossar Abbildungsverzeichnis Abbildung 1: Dokumentenübersicht (Zertifizierungs- und Anerkennungsprogramm)...5 Tabellenverzeichnis Tabelle 1: Mindestanzahl der kompetenten BOS-Interoperabilitätsprüfer in den Kompetenzbereichen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS... 7 Tabelle 2: Mindestanzahl der kompetenten BOS-Interoperabilitätsprüfer in den Kompetenzbereichen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS... 8 Bundesamt für Sicherheit in der Informationstechnik 3 von 15

4 Inhaltsverzeichnis DigBOS Tabelle 3: Mindestanzahl der kompetenten ZPL-Mitarbeiter in den Kompetenzbereichen im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS von 15 Bundesamt für Sicherheit in der Informationstechnik

5 DigBOS Einleitung 1 Einleitung Die Zertifizierung als IT-Sicherheitsdienstleister wird auf Veranlassung des Inhabers oder der Geschäftsleitung einer Stelle durchgeführt. Zertifiziert werden Stellen, die von natürlichen oder juristischen Personen des Privatrechts betrieben werden. Hinsichtlich staatlicher Stellen gelten ggf. abweichende Regelungen. 1.1 Zielsetzung des Dokuments IT-Sicherheitsdienstleister Dieses Dokument beinhaltet detaillierte Anforderungen und weitere Informationen als Ergänzung zur übergeordneten Verfahrensbeschreibung zur Anerkennung von Prüfstellen und Zertifizierung von IT-Sicherheitsdienstleistern [VB-Produkte]. Es richtet sich insbesondere an die Antragsteller, die sich dafür entschieden haben, eine Zertifizierung im Bereich Digitalfunk BOS (DigBOS) durchführen zu lassen. Es werden die speziellen Anforderungen mit detaillierten Hinweisen zu Verfahrensabläufen benannt, die ein Antragsteller berücksichtigen muss. An den entsprechenden Stellen im Dokument wird z. B. auf Formulare oder weitere Hilfsmittel hingewiesen, die besonders bei einer Erstzertifizierung hilfreich sind. 1.2 Eingliederung in die Dokumentenstruktur Einen Überblick über die zur Verfügung stehenden Dokumente sowie die Zertifizierungs- und Anerkennungsprogramme gibt die folgende Abbildung. Alle Dokumente stellen Informationen zielgruppenorientiert zur Verfügung. Abbildung 1: Dokumentenübersicht (Zertifizierungs- und Anerkennungsprogramm) Die Beschreibung der verschiedenen Dokumentenkategorien befindet sich in der übergeordneten [VB-Stellen]. Das Dokument Verzeichnisse [Verzeichnisse] gibt einen Überblick über alle benötigten Hilfs- und Informationsquellen (Literaturverzeichnis) und enthält ein Stichwort- und Abkürzungsverzeichnis (Glossar). Bundesamt für Sicherheit in der Informationstechnik 5 von 15

6 2 Zertifizierungsprogramm DigBOS Zertifizierungsprogramm 2.1 Einführung Digitalfunk BOS In Deutschland wird ein bundesweit einheitliches digitales Sprech- und Datenfunksystem für Behörden und Organisationen mit Sicherheitsaufgaben (BOS) aufgebaut. Für den funktionsfähigen Betrieb des Digitalfunk BOS ist es unerlässlich, dass sämtliche für die Nutzung im Digitalfunk BOS bestimmten Endgeräte störungsfrei mit allen anderen Komponenten des Digitalfunk BOS zusammenwirken und bestimmte, von der Bundesanstalt für den Digitalfunk der BOS (BDBOS) vorgegebene Leistungsmerkmale erfüllen. Daher dürfen nur solche Endgeräte im Digitalfunk BOS eingesetzt werden, die auf Basis der von der BDBOS vorgegeben BOS-Interoperabilitätsrichtlinien [BOS-IOP-Richtlinien] entsprechend technisch überprüft worden sind. Die technische Prüfung eines Funkgeräts oder einer Leitstelle auf der Basis der BOS-IOP-Richtlinien erfolgt durch BSI-zertifizierte IT-Sicherheitsdienstleister, die direkt von den Endgeräteherstellern oder -lieferanten beauftragt werden und diesen gegenüber für die Ergebnisse verantwortlich sind. Auf Grundlage der entsprechenden Prüfberichte entscheidet die Zertifizierungsstelle der BDBOS über die Zertifizierung des Endgeräts. Die Interoperabilitätsprüfungen finden im Zertifizierungsprüflabor (ZPL) auf der Testplattform der BDBOS statt, das für den Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS zertifiziert ist. Somit werden folgende drei Geltungsbereiche unterschieden: 1. Prüfstellen für die Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS, 2. Prüfstellen für die Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS, 3. Prüflabor für die Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS (ZPL). Bei Prüfstellen in den Geltungsbereichen Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS und Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS kann sich eine Zertifizierung über ein oder beide Geltungsbereiche erstrecken. Die fachliche Antragsprüfung sowie die fachliche Begutachtung werden durch Experten der BDBOS durchgeführt. Nach diesen fachlichen Prüfungen geben die Experten der BDBOS eine Empfehlung zur Zertifizierung ab. Zu diesem Zweck werden die eingereichten Fachkundenachweise und die Unterlagen zur Begutachtung an die Experten der BDBOS übermittelt. 2.1 Anforderungen an die IT-Sicherheitsdienstleister für den Digitalfunk BOS Sowohl die Prüfstellen als auch das Prüflabor (ZPL) für Interoperabilitätsprüfungen müssen die Anforderungen der DIN EN ISO/IEC 17025:2005 [ISO 17025] einhalten sowie über die erforderliche Fachkompetenz im jeweiligen Geltungsbereich verfügen. Während der Laufzeit der Zertifizierung ist es erforderlich, zwischen dem BSI, der Zertifizierungsstelle und der Prüfstelle bzw. dem Prüflabor sicherheitssensible Informationen mit dem Geheimhaltungsgrad 6 von 15 Bundesamt für Sicherheit in der Informationstechnik

7 DigBOS Zertifizierungsprogramm VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NFD) [VSA] auszutauschen. Die Einhaltung der Bestimmungen zum Umgang mit Verschlusssachen gemäß dem Kapitel der Verfahrensbeschreibung zur Anerkennung von Prüfstellen und Prüflaboren sowie Zertifizierung von IT-Sicherheitsdienstleistern [VB-Stellen] ist daher eine Voraussetzung für die Zertifizierung der Prüfstelle bzw. des Prüflabors. Bei Beantragung der Zertifizierung als IT-Sicherheitsdienstleister muss die Verpflichtungserklärung aller beteiligten Mitarbeiter vorliegen. Des weiteren muss die Bereitschaft (schriftliche Eigenerklärung) zur Aufnahme in die Geheimschutzbetreuung des Bundes seitens des IT-Sicherheitsdienstleisters sowie zur Durchführung einer Sicherheitsüberprüfung der benannten Experten beim BSI vorliegen Zusätzliche Anforderungen an die Prüfstellen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS Im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS muss nachgewiesen werden, dass die Prüfstelle die technischen Anforderungen umgesetzt hat und die fachlichen Voraussetzungen erfüllt, um Interoperabilitätsprüfungen im beantragten Geltungsbereich durchführen zu können. Die Stelle muss zudem die Gewähr dafür bieten, entsprechende Interoperabilitätsprüfungen sowohl fachlich mit der erforderlichen Qualität als auch mit der nötigen Unabhängigkeit und Zuverlässigkeit durchzuführen. Die Prüfstelle in diesem Geltungsbereich muss für die Kompetenzbereiche TETRA-Standard und TETRA-Funksystemtechnik, Labor- und Feldtests von Funkgeräten, Spezifikation und Validierung von IOP-Richtlinien und Testumgebungen sowie Kryptographische Verfahren (BOS-Kryptosystem) qualifiziert sein. Bei der Prüfstelle müssen mindestens fünf kompetente BOS-Interoperabilitätsprüfer, die mehrere Kompetenzbereiche abdecken können, beschäftigt sein. Dabei müssen die Kompetenzbereiche insgesamt wie folgt abgedeckt werden: Kompetenzbereich Mindestanzahl der kompetenten BOS-Interoperabilitätsprüfer im Kompetenzbereich TETRA-Standard und TETRA-Funksystemtechnik 2 Labor- und Feldtests von Funkgeräten 2 Spezifikation und Validierung von IOP-Richtlinien und Testumgebungen Kryptographische Verfahren (BOS-Kryptosystem) 2 Tabelle 1: Mindestanzahl der kompetenten BOS-Interoperabilitätsprüfer in den Kompetenzbereichen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Funkgeräte im Digitalfunk BOS Zusätzliche Anforderungen an die Prüfstellen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS Im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS muss nachgewiesen werden, dass die Prüfstelle die technischen Anforderungen umgesetzt hat und die fachlichen Voraussetzungen erfüllt, um Interoperabilitätsprüfungen im beantragten Geltungsbereich durchführen zu können. Die Prüfstelle muss zudem die Gewähr dafür bieten, entsprechende Bundesamt für Sicherheit in der Informationstechnik 7 von 15

8 2 Zertifizierungsprogramm DigBOS Interoperabilitätsprüfungen sowohl fachlich mit der erforderlichen Qualität als auch mit der nötigen Unabhängigkeit und Zuverlässigkeit durchzuführen. Die Prüfstelle in diesem Geltungsbereich muss für die Kompetenzbereiche TETRA-Standard und TETRA-Funksystemtechnik, Labortests von Leitstellen, Spezifikation und Validierung von IOP-Richtlinien und Testumgebungen sowie Kryptographische Verfahren (BOS-Kryptosystem) qualifiziert sein. In der Prüfstelle müssen mindestens fünf kompetente BOS-Interoperabilitätsprüfer, die mehrere Kompetenzbereiche abdecken können, beschäftigt sein. Dabei müssen die Kompetenzbereiche insgesamt wie folgt abgedeckt werden: Kompetenzbereiche Mindestanzahl der kompetenten BOS-Interoperabilitätsprüfer im Kompetenzbereich TETRA-Standard und TETRA-Funksystemtechnik 2 Labortests von Leitstellen 2 Spezifikation und Validierung von IOP-Richtlinien und Testumgebungen Kryptographische Verfahren (BOS-Kryptosystem) 2 Tabelle 2: Mindestanzahl der kompetenten BOS-Interoperabilitätsprüfer in den Kompetenzbereichen im Geltungsbereich Durchführung von Interoperabilitätsprüfungen für Leitstellen im Digitalfunk BOS 2 8 von 15 Bundesamt für Sicherheit in der Informationstechnik

9 DigBOS Zertifizierungsprogramm Zusätzliche Anforderungen an das Prüflabor (ZPL) im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS Die Zertifizierung als IT-Sicherheitsdienstleister zur Bereitstellung eines Zertifizierungsprüflabors (ZPL) kann nur von dem jeweiligen Betreiber des Digitalfunk BOS beantragt werden, da nur dieser in der Lage und vor dem Hintergrund der hohen Sicherheitsanforderungen des Digitalfunk BOS - dazu berechtigt ist, die für die technische Überprüfung der Endgeräte benötigte Testplattform bereitzustellen und so zu konfigurieren, dass sie die technischen und funktionalen Eigenschaften, insbesondere die Netztopologie, die Dienste und Protokolle des BOS-Digitalfunknetzes abbildet. In diesem Geltungsbereich muss nachgewiesen werden, dass das Prüflabor die technischen Anforderungen umgesetzt hat und die fachlichen Voraussetzungen erfüllt, um den durchführenden Prüfstellen eine störungsfreie und reibungslose Interoperabilitätsprüfung zu ermöglichen. Das ZPL muss zudem die Gewähr dafür bieten, die Aufgaben sowohl fachlich mit der erforderlichen Qualität als auch mit der nötigen Unabhängigkeit und Zuverlässigkeit durchzuführen. Das BSI legt hierbei besonderen Wert auf eine konstruktive Zusammenarbeit mit den durchführenden Prüfstellen und einen abgestimmten Ablauf der Prozesse, um störungsfreie und reibungslose Interoperabilitätsprüfungen zu ermöglichen. Das ZPL muss für die Kompetenzbereiche TETRA-Standard und TETRA-Funksystemtechnik, Labor- und Feldtests von Funkgeräten, Labortests von Leitstellen, Bereitstellung und Konfiguration des ZPL gemäß Verfahrensbeschreibung zur Bereitstellung und Konfiguration des ZPL sowie Kryptographische Verfahren (BOS-Kryptosystem) qualifiziert sein. Im ZPL müssen mindestens fünf kompetente Zertifizierungsprüflabor-Mitarbeiter (im Folgenden: ZPL-Mitarbeiter), die mehrere Kompetenzbereiche abdecken können, beschäftigt sein. Dabei müssen die Kompetenzbereiche insgesamt wie folgt abgedeckt werden: Kompetenzbereiche Mindestanzahl der kompetenten ZPL-Mitarbeiter im Kompetenzbereich TETRA-Standard und TETRA-Funksystemtechnik 5 Labor- und Feldtests von Funkgeräten 5 Labortests von Leitstellen 5 Bereitstellung und Konfiguration des ZPL 5 Kryptographische Verfahren (BOS-Kryptosystem) 5 Tabelle 3: Mindestanzahl der kompetenten ZPL-Mitarbeiter in den Kompetenzbereichen im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS Bundesamt für Sicherheit in der Informationstechnik 9 von 15

10 3 Verfahren zur Zertifizierung DigBOS Verfahren zur Zertifizierung 3.1 Zusätzlich notwendige Unterlagen zur Beantragung Zusätzlich müssen folgende Informationen und speziellen Unterlagen beigefügt werden: 1. Dokumentierte Verfahren bzgl. der Durchführung von Interoperabilitätsprüfungen in den Geltungsbereichen Durchführung von Interoperabilitätsprüfungen für Funkgeräte und Leitstellen im Digitalfunk BOS (DIN EN ISO/IEC 17025:2005, Kap. 5.4) einschließlich der Regelungen zur Handhabung von Prüfgegenständen (bzw. Referenzgeräten; DIN EN ISO/IEC 17025:2005, Kap. 5.8) und der Regelungen zur Sicherung der Qualität von Prüfergebnissen (DIN EN ISO/IEC 17025:2005, Kap. 5.9). Die Verfahrensdokumentation muss die Durchführung und Protokollierung jedes einzelnen Testfalls beschreiben. Bereitstellung und Konfiguration des Zertifizierungsprüflabors mit denen alle Testfälle durchgeführt werden können, im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS (DIN EN ISO/IEC 17025:2005, Kap. 5.4) und der Regelungen zur Sicherung der Qualität der Konfiguration (DIN EN ISO/IEC 17025:2005, Kap. 5.9). Es muss eine Verfahrensdokumentation zur Bereitstellung und Konfiguration des ZPL erstellt werden, mit der alle Testfälle durchgeführt werden sollen. 2. Vorlagen für einen Prüfbericht in den Geltungsbereichen Durchführung von Interoperabilitätsprüfungen für Funkgeräte und Leitstellen im Digitalfunk BOS. für die Dokumentation der Konfiguration der Prüfumgebung im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS. für Verfahrensbeschreibungen zur Durchführung der BOS-Testfälle und darauf basierender prüfstelleninterner Prüfberichte in den Geltungsbereichen Durchführung von Interoperabilitätsprüfungen für Funkgeräte und Leitstellen im Digitalfunk BOS. 3. Aufzeichnungen: Im Geltungsbereich Bereitstellung eines Zertifizierungsprüflabors für Interoperabilitätsprüfungen mit Wirknetzrelevanz für den Digitalfunk BOS müssen Aufzeichnungen über jeden Prüfeinrichtungsgegenstand und seine Software (DIN EN ISO/IEC 17025:2005, Kap. 5.5) bereitgestellt werden. 4. Stellungnahme (kann auch nachgeliefert werden): Eine schriftliche Stellungnahme zu allen Einzelaspekten der Anforderungen an die Sicherheit von Stellen [AS-Stellen] mit den Informationen darüber, durch welche Maßnahmen der Antragsteller die Einzelaspekte der Anforderungen erfüllt und an welchen Stellen in der ISMS-Dokumentation die Maßnahmen dokumentiert sind. 5. Mindestens 3 Referenzprojekte im beantragten Geltungsbereich. 6. Benennung der BOS-Interoperabilitätsprüfer bzw. ZPL-Mitarbeiter mit relevanter Projekt- und Arbeitshistorie sowie Kompetenzprofilen in diesem Gebiet. 10 von 15 Bundesamt für Sicherheit in der Informationstechnik

11 DigBOS Verfahren zur Zertifizierung 7. Bestätigung, dass sich das Unternehmen in der Geheimschutzbetreuung durch das Bundesministerium für Wirtschaft und Energie (BMWi) befindet, bzw. es bereit ist, in die Geheimschutzbetreuung durch das BMWi aufgenommen zu werden. 8. Bestätigung, dass das gesamte für die Leistungserbringung eingesetzte Personal bereit ist, sich einer erweiterten Sicherheitsüberprüfung gemäß SÜG [SÜG] zu unterziehen, falls eine entsprechende Verschlusssachenermächtigung nicht bereits ausgesprochen wurde und nicht noch gültig ist. 3.2 Spezielle Informationen zur Systembegutachtung Bei der Systembegutachtung muss zur Erfüllung der DIN EN ISO/IEC 17025:2015 ggf. eine Fachbegutachtung erfolgen, um nachzuweisen, dass ausreichend Fachkompetenz vorhanden ist. Konkretisierte Anforderungen bezüglich der Sicherstellung der Vertraulichkeit, Verfügbarkeit und der Integrität der DIN EN ISO/IEC 17025, werden insbesondere bei der Begutachtung des Informationssicherheitsmanagementsystems des IT-Sicherheitsdienstleisters auf Grundlage des Dokuments Anforderungen an die Sicherheit von Stellen [AS-Stellen] durchgeführt Durchführung der Fachbegutachtung Die Fachbegutachtung besteht in der Regel aus einem Interview mit den eingesetzten Prüfern/Evaluatoren sowie eine Begutachtung der technischen Ausstattung des IT-Sicherheitsdienstleisters. Schwerpunkt der Fachbegutachtung sind zum einen die technischen Kapitel der Norm ISO/IEC 17025:2005 (Kapitel 5) sowie spezielle fachliche Anforderungen, die sich aus dem Betätigungsumfeld des IT-Sicherheitsdienstleisters im Geltungsbereich ergeben. Die speziellen Inhalte und Besonderheiten der Fachbegutachtung ergeben sich aus den fachlichen Anforderungen des Geltungsbereichs sowie den Vorgaben und Inhalten der entsprechenden Anforderungsdokumente. Eine Fachbegutachtung erfolgt dabei mindestens alle 3 Jahre im Rahmen der Systembegutachtung Durchführung der Begutachtung des Informationssicherheitsmanagementsystems Der IT-Sicherheitsdienstleister muss ein ISMS betreiben, das u.a. die in der [AS-Stellen] beschriebenen Anforderungen umsetzt. Zusätzlich muss das ISMS auf einer, auf die Stelle angepassten Risikoanalyse basieren. Hierbei sind die in der Stelle bearbeiteten Informationen gemäß Ihres Schutzbedarfs zu klassifizieren. Die Anforderungen an die Sicherheit von Stellen [AS-Stellen] konkretisieren Anforderungen bezüglich der Sicherstellung der Vertraulichkeit, Verfügbarkeit und der Integrität der DIN EN ISO/IEC 17025, und sind für alle beim BSI zertifizierten IT-Sicherheitsdienstleister für den Geltungsbereich DigBOS verbindlich und werden im Rahmen von regelmäßigen Begutachtungen vom BSI überprüft. Das ISMS der Stelle muss nicht-öffentliche Daten in Prüfverfahren, dem IT-Sicherheitsdienstleister überantwortete Prüfgegenstände und Prüfgeräte, sowie die Räumlichkeiten und Infrastruktur der Stelle umfassen, erfassen und den Schutz gemäß dieses Konzeptes sicherstellen. Die Anforderungen der [AS-Stellen] an das ISMS gliedern sich im Hinblick auf die Vertraulichkeit in zwei Stufen. Ein IT-Sicherheitsdienstleister für den Geltungsbereich DigBOS verfügt über Informationen, deren Bundesamt für Sicherheit in der Informationstechnik 11 von 15

12 3 Verfahren zur Zertifizierung DigBOS Schutzbedarf im Sinne der [AS-Stellen] in Hinblick auf Vertraulichkeit höchstens als normal einzustufen sind. 12 von 15 Bundesamt für Sicherheit in der Informationstechnik

13 DigBOS Aufrechterhaltung der Zertifizierung 4 Aufrechterhaltung der Zertifizierung 4.1 Anforderungen an die Tätigkeiten des IT-Sicherheitsdienstleisters Anforderungen an den Ablauf der Prüfung Die Prüfstellen für den Digitalfunk BOS führen ihre Tätigkeiten nach den Vorgaben der Zertifizierungsstelle der BDBOS (u.a. Nutzung der BOS-Musterprüfberichte) und insbesondere den BOS-IOP-Richtlinien [BOS-IOP-Richtlinien] durch Anforderungen an die Bereitstellung des ZPL Das ZPL führt seine Tätigkeiten nach den Vorgaben der Zertifizierungsstelle der BDBOS durch. 4.2 Rezertifizierung Fünf Monate vor Ablauf der Zertifizierung muss ein erneuter Antrag auf Rezertifizierung gestellt werden, damit gewährleistet ist, dass die Zertifizierung lückenlos fortgeführt werden kann. Bundesamt für Sicherheit in der Informationstechnik 13 von 15

14 5 Spezielle Rahmenbedingungen DigBOS Spezielle Rahmenbedingungen 5.1 Weitere Regelungen zur Zusammenarbeit Prüfstellen für den Digitalfunk BOS Rückmeldungen zu Erfahrungen im Einsatz der BOS-IOP-Richtlinien finden in gesonderten Besprechungen zum kontinuierlichen Verbesserungsprozess statt. Bei der Durchführung von Interoperabilitätsprüfungen stellt die Prüfstelle sicher, dass sie der BDBOS jederzeit umfassend Auskunft über Ablauf und Inhalt der Interoperabilitätsprüfungen geben kann sowie gegebenenfalls Mitarbeiter des BDBOS im Rahmen der Prüfbegleitung an Review-Sitzungen teilnehmen lässt Prüflabors (ZPL) für den Digitalfunk BOS Rückmeldungen zu Erfahrungen zur Bereitstellung und Konfiguration des ZPL finden in gesonderten Besprechungen zum kontinuierlichen Verbesserungsprozess statt. Bei der Bereitstellung und Konfiguration des ZPL stellt das ZPL sicher, dass es der BDBOS jederzeit umfassend Auskunft über die Konfigurationsstände des ZPL geben kann sowie gegebenenfalls Mitarbeiter der BDBOS im Rahmen der Prüfbegleitung an Review-Sitzungen teilnehmen lässt. 5.2 Arbeitstreffen mit den IT-Sicherheitsdienstleistern Das BSI kann im Einvernehmen mit der BDBOS, den zertifizierten Prüfstellen und dem ZPL maximal vier eintägige Treffen bzw. Workshops pro Jahr insbesondere zur Klärung schwieriger Grundsatz- oder Kriterienfragen veranstalten. Das ZPL lässt hieran jeweils mindestens einen fachkompetenten Mitarbeiter teilnehmen. Auf Vorschlag des BSI oder des IT-Sicherheitsdienstleisters werden Arbeitssitzungen zu spezifischen Fragestellungen durchgeführt. Hierunter fallen z.b. Diskussionen zu den fachlichen Anforderungen, Änderungen des Zertifizierungsverfahrens, Schulung hinsichtlich spezieller Methoden und Werkzeuge, Informationsaustausch zum Stand der Technik und zu Angriffsmethoden und Analysen, Spezifische Treffen z.b. zu Kryptothemen, Erfahrungsaustausch zum Qualitätsmanagement. Die Anzahl solcher Arbeitssitzungen wird nach Dringlichkeit und fachlichen Erfordernissen festgelegt. 5.3 Verfahren bei Mängeln bei den Prüfungen oder der Bereitstellung des ZPL Sollten bei den Prüfungen oder bei der Bereitstellung des ZPL (Qualitäts-)Mängel festgestellt, so wird zunächst versucht, diese zwischen der Anerkennungsstelle und dem zertifizierten IT-Sicherheitsdienstleister zu klären. Für den Fall, dass keine zufriedenstellende Klärung möglich ist, wird ein Mahn- und Aussetzungsverfahren durchgeführt. 14 von 15 Bundesamt für Sicherheit in der Informationstechnik

15 DigBOS Referenzen und Glossar 6 Referenzen und Glossar Die Aufschlüsselung der referenzierten Dokumente und das Glossar befindet sich im Dokument Verzeichnisse [Verzeichnisse]. Bundesamt für Sicherheit in der Informationstechnik 15 von 15