Sektorspezifische Zertifikate

Transkript

1 Sektorspezifische Zertifikate

2 Inhalt 1. Standardisierung 2. Generisch vs. Spezifische Vorgaben 3. ISO/IEC und Beispiele 4. Internationale Anerkennung 5. IT-Sicherheitsgesetz Sektorspezifische Zertifizierung Seite 2

3 Das BSI - präventiv ausgerichtete zivile Behörde - unabhängige und neutrale Stelle - im Geschäftsbereich des BMI Mitarbeiter, Budget ca. 80 Mio. - operativ für die Bundesverwaltung - beratend für die Wirtschaft - informativ für die Privatanwender Sektorspezifische Zertifizierung Seite 3

4 Leitsatz Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Reaktion und Detektion für Staat, Wirtschaft und Gesellschaft. Sektorspezifische Zertifizierung Seite 4

5 1. Standardisierung ISMS Normen vs. Standards Entstehung von Normen ISO/IEC JTC1 SC 27 WG1

6 Was ist ein ISMS? Informations Sicherheits Management System Information - IT ist hier nur ein Aspekt Sicherheit - nicht Interoperabilität, Safety, Ergonomie Management - wird durch (oberste) Leitung getragen System - geplant, mess- & steuerbar, dokumentiert - kein Produkt Vorgaben z.b. ISO/IEC 27001, IT-Grundschutz Sektorspezifische Zertifizierung Seite 6

7 Normen vs. Standards Norm: Vorgabedokument angemessene Beteiligung aller interessierten Kreise Konsens als Basis Standard: Vorgabedokument Gründer bestimmt Beteiligung (z.b. nur bestimmte Firmen) Entscheidungsgewicht offen, z.b. nach Beitrag Verpflichtende Umsetzung? Nein, außer Gesetzesvorgabe Sektorspezifische Zertifizierung Seite 7

8 Exkurs: Entstehung von Normen Wiedergegeben mit Erlaubnis des DIN e.v. Sektorspezifische Zertifizierung Seite 8

9 ISO/IEC JTC1 SC27 SC 27 Chair: Walter Fumy (DE), Vice-chair: Marijke De Soete (BE), Secretariat: Krystyna Passia (DIN) WG1 (Information security management systems) Convenor: Edward Humphreys (GB) Vice-convenor: Dale Johnstone (AU) WG2 (Cryptography and security mechanisms) Convenor: Takeshi Chikazawa (JP) Vice-convenor: Toshio Tatsuta (JP) WG3 (Security Evaluation, Testing and Specification) Convenor: Miguel Bañón (ES) Vice-convenor: Naruki Kai (JP) WG4 (Security controls and services) Convenor: Johann Amsenga (ZA) Vice-convenor: François Lorek (FR) WG5 (Identity management and privacy technologies) Convenor: Kai Rannenberg (DE) Vice-convenor: Jan Schallaböck (DE) SWG-M (Management) Convenor Faud Khan (CA) Vice-convenor Ariosto Farias (BR) SWG-T (Transversal Items) Convenor Andreas Fuchsberger (DE) Vice-convenor Laura Lindsay (US) Sektorspezifische Zertifizierung Seite 9 (C) ISO/IEC SC27 JTC1 SC27, Verwendet mit Erlaubnis. Weitere Infos unter

10 2. Generisch vs. Spezifisch Probleme des generischen Ansatzes Sektorspezifische Normen bisher Sektorspezifische Normen international Beispiel ISO/IEC TR 27019

11 Probleme des generischen Ansatzes Allgemeine Einschätzung: Generischer Ansatz ist valide und gerechtfertigt (nicht 10 verschiedene ISMS-Normen) Für bestimmte Sektoren sind Ergänzungen oder Verfeinerungen der ISO/IEC notwendig Beispiele: - World Lottery Association: Anforderungen an den Scope des ISMS - Cloud: SLA muss öffentlich sein - Datenschutz: Anforderungen an die Risikoanalyse - : Bestimmte Maßnahmen müssen zwingend umgesetzt werden Sektorspezifische Zertifizierung Seite 11

12 Sektorspezifische ISMS-Normen (bisher) Definieren nur Maßnahmen (controls), d.h. keine Anforderungen (Format-)Vorgaben nur durch Standing Document - Z.B. war die IEC inkompatibel zur ISO/IEC Unklares Zusammenspiel bei Berücksichtigung mehrerer Sektoren Unklare Transparenz für Dritte, ob/welche sektorspezifische Norm (und wie) umgesetzt wird ( SLA nicht öffentlich!) Kein Sektor -ISMS-Zertifikat (sauber) möglich Sektorspezifische Zertifizierung Seite 12

13 Sektorspezifische Zertifizierung (international) Zertifikate nach ISO/IEC ISO Survey Abfrage in Beispielländern (2014): JP, IT, CH und SE - Primär native Zertifikate - Cloud Security Alliance: CSA Star-Programm: IT, JP (etwas) Behörden-Anforderungen (27001+X): CH, JP, DE In ISO/IEC JTC1 SC27 werden eine Reihe sektorspezifische Maßnahmennormen entwickelt (Cloud, Telekommunikation, Energieversorgung) Sektorspezifische Zertifizierung Seite 13

14 Beispiel für DE: DIN ISO/IEC TR Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC Entwickelt in DE (mit D-A-CH-Beiträgen) im DIN und DKE Im Fast-Track -Verfahren international normiert - Derzeit in Revision, wird jetzt International Standard Wird in deutscher Regulierung (IT-Sicherheitskatalog der BNetzA) verwandt. Sektorspezifische Zertifizierung Seite 14

15 und Beispiele ISO/IEC Anleitung für Autoren Mögliche Kombinationen Beispiel 1 Smart Meter Gateway Admin Beispiel 2 Trust Service Provider

16 ISO/IEC 27009: Erstellung von sektorspezifischen Normen Sektorspezifische Anwendung der ISO/IEC Anforderungen Verfügbar auf Deutsch/Englisch Scope Einsatz der ISO/IEC für einen Sektor Wie Anforderungen hinzunehmen, verfeinern Wie mit Maßnahmengruppen ( Control-Sets ) umgehen Sicherstellung, dass kein Konflikt mit ISO/IEC Anhang A: Blaupause für einen sektorspezifischen Standard bzw. eine sektorspezifische Norm. Zielgruppe: Organisationen, die sektorspezifische Standards (nicht notwendigerweise Normen) erstellen Sektorspezifische Zertifizierung Seite 16

17 Mögliche Kombination gemäß ISO/IEC CD ISO/IEC Sektor- Norm Sektor- ISMS- Standard auf Basis Sektor- Standard Sektorspezifische Zertifizierung Seite 17

18 Beispiel 1 Sektor Smart-Meter-Gateway-Admin Geregelt in der Messsystemverordnung (MsysV) Stelle/Rolle im Rahmen des Energiewirtschaftsgesetzes, für die besondere Sicherheitsanforderungen gelten Alternative Zertifizierungsmöglichkeit: - ISO auf der Basis von IT-Grundschutz (im BSI) - ISO (native) + TR (bei akkreditierter Zert.-Stelle) TR wurde mit den interessierten Kreisen erarbeitet Erste Zertifikate bereits erteilt, Liste auf BSI-Seiten in Vorbereitung Sektorspezifische Zertifizierung Seite 18

19 Schematische Darstellung Beispiel 1 ISO/IEC 27001:2013 (native) BSI TR schreibt BSI qualifiziert zertifiziert nach beschäftigt beauftragt TR-Auditor auditiert Akkreditierte Zertifizierungsstelle (gem. ISO/IEC 27006) zertifiziert ISMS (Kunde) überwacht DAkkS Sektorspezifische Zertifizierung Seite 19

20 Beispiel 2 Sektor Trust Service Provider BSI TR 3145 Secure CA operation Generic requirements for Trust Centers instantiating as Certification Authority (CA) in a Public-Key Infrastructure (PKI) with security level 'high'. Schema bei BSI seit Herbst 2014 etabliert Momentan 11 Auditoren dafür zertifiziert (Stand November 2016) Mehrere Zertifizierungen bereits danach erfolgt Wird derzeit als sektorspezifische Norm gemäß ISO/IEC in der ISO internationalisiert (momentan Study Period hierzu) Sektorspezifische Zertifizierung Seite 20

21 Schematische Darstellung Beispiel 2 ISO/IEC 27001:2013 (native) zertifiziert nach BSI TR schreibt zertifiziert nach beschäftigt beauftragt BSI zertifiziert überwacht TR-Auditor auditiert zertifiziert (TR) Akkreditierte Zertifizierungsstelle (gem. ISO/IEC 27006) zertifiziert (27001) ISMS (Kunde) überwacht DAkkS Sektorspezifische Zertifizierung Seite 21

22 4. Internationale Anerkennung Zertifizierung und internationale Anerkennung

23 Zertifizierung und internationale Anerkennung Derzeit internationale Anerkennung für reine native Zertifikate nach ISO/IEC in Vorbereitung Akkreditierung erstreckt sich nur auf den reinen ISO/IEC Anteil Faktisch Akkreditierten Zertifizierungsstellen wird schon oft vertraut, d.h. faktisch oft schon internationale Anerkennung Vermutlich auch bei sektorspezifischen Zertifikaten faktische Anerkennung (zumindest für den Anteil) Akkreditierte Zertifizierung? Relativ leicht möglich DAkkS-Vorgaben zu beachten Sektorspezifische Zertifizierung Seite 23

24 5. IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz B3S

25 IT-Sicherheitsgesetz Umsetzung läuft Betroffene Betreiber müssen die Informationssicherheit der kritischen Infrastrukturen angemessen schützen ( 8a BSIG (neu)) Die Branchen der kritischen Infrastrukturen können Branchenspezifische Sicherheitsstandards (B3S) entwickeln diese beim BSI* für die Eignung für den Schutz prüfen lassen ihre Compliance zu diesen Standards durch z.b. Audits oder Zertifizierungen nachweisen * Im Benehmen/Einvernehmen mit weiteren Behörden Sektorspezifische Zertifizierung Seite 25

26 Branchenspezifische Standards == Sektorspezifische Standards? Mehrere Vorteile: Etablierte, bewährte Basis-Norm (ISO/IEC 27001) Nur Delta-Definition in Branchenstandard notwendig Auditierungs- und Zertifizierungsschema etabliert, nur geringer Aufwand für Sektorspezifika Zertifizierung nach ISO/IEC kann international genutzt werden, z.b. zum Marketing ( Security made in Germany ) Bei Interesse kann der Branchenstandard relativ einfach in die Internationale Normung (bei ISO) eingebracht werden Wettbewerbsvorteil Akkreditierungsschema (bei Bedarf) mit überschaubaren Aufwand erstellbar Sektorspezifische Zertifizierung Seite 26

27 Fazit ISO/IEC bietet Rezept für sektorspezifische Sicherheitsstandards (und Normen) Das BSI entwickelt solche in Form von TRen Branchenspezifische Sicherheitsstandards können auch in Form von sektorspezifischen Sicherheitsstandards (gem. ISO/IEC 27009) gestaltet werden. Zu der sektorspezifischen Zertifzierung gibt es unter weitere Informationen (inkl. einer Broschüre) Sektorspezifische Zertifizierung Seite 27

28 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Hr. Dr. Helge Kreutzmann Referent Tel. +49 (0) Fax +49 (0) Bundesamt für Sicherheit in der Informationstechnik Referat D25 Godesberger Allee Bonn Sektorspezifische Zertifizierung Seite 28