Der D21-Leitfaden "IT-Sicherheitskriterien im Vergleich"

Größe: px

Ab Seite anzeigen:

Download "Der D21-Leitfaden "IT-Sicherheitskriterien im Vergleich""

Horst Waltz
vor 8 Jahren
Abrufe

1 Der D21-Leitfaden "IT-Sicherheitskriterien im Vergleich" Dr.. Harald Niggemann Harald.Niggemann Referat I Systemsicherheit und Grundschutz

2 (Auszüge) Was ist Initiative D21? Initiative D21 ist eine Initiative der deutschen Wirtschaft mit der Zielsetzung, den Wandel von der Industrie- zur Informationsgesellschaft in Deutschland zu beschleunigen. Dr. Harald Niggemann 2

3 (Auszüge) Wer ist Initiative D21? Initiative D21 ist ein gemeinnütziger, eingetragener Verein, gegründet am 27. Juli 1999 in Stuttgart. Die Initiative hat über 300 Mitwirkende. Vorsitz: Erwin Staudt, IBM. Dr. Harald Niggemann 3

4 (Auszüge) Arbeitsgruppe 5: (ehemals AG 6) Sicherheit und Vertrauen im Internet Projektgruppe: IT-Sicherheitskriterien und IT-Grundschutz Grundschutz-Zertifikat/Qualifizierung Dr. Harald Niggemann 4

5 IT-Sicherheitskriterien und IT-Grundschutz Grundschutz-Zertifikat/Qualifizierung Harald Bosse Christoph Capellaro Anja Diek Sascha Dubovy Goswin Eisen Uli Geitz Rudolf Hackenberg Michael Hange Wolf-Rüdiger Moritz Harald Niggemann Margot Seidel Jörn Voßbein Gerhard Weck Ian Williams TÜV Nord Security Ernst & Young ULD Schleswig-Holstein Fiducia Informationszentrale CSC PLOENZKE Stadt Hagen T-Systems BSI Infineon Technologies BSI TÜV Nord Security UIMC Infodas Fiducia Informationszentrale Dr. Harald Niggemann 5

6 Motivation (1) Verbesserungen in der Umsetzung und in der Transparenz von IT-Sicherheitsmaßnahmen sind erforderlich. Hersteller, Dienstleister, Integratoren und Anwender sind gefordert. In der Praxis wird meist auf Standard- Kriterienwerke zurückgegriffen, um den Aufwand zu minimieren. Dr. Harald Niggemann 6

7 Motivation (2) Sowohl für Produkte als auch für Gesamtlösungen haben sich nebeneinander unterschiedliche Kriterienwerke etabliert. Diese IT-Sicherheitskriterien überlappen teilweise inhaltlich. Sie setzen jedoch unterschiedliche Schwerpunkte und richten sich an verschiedene Zielgruppen. Dr. Harald Niggemann 7

8 Fragestellungen Welche Sicherheitsaussage lässt sich auf Grundlage der einzelnen Kriterienwerke treffen? Welche IT-Sicherheitskriterien sind inhaltlich für einen bestimmten vorliegenden Anwendungsfall als Hilfsmittel geeignet? Bei welchen Kriterienwerken zur IT-Sicherheit ist die verwendete Methodik dem vorliegenden Problem angemessen? Dr. Harald Niggemann 8

9 Zielsetzung des Leitfadens Der Leitfaden IT-Sicherheitskriterien im Vergleich soll als Hilfsmittel bei der Beantwortung dieser Fragen in konkreten Anwendungsfällen dienen. Dr. Harald Niggemann 9

10 Kriterienwerke im Themenbereich IT-Sicherheit IT-Grundschutzhandbuch ISO / IEC und BS 7799 ISO TR ITSEC / Common Criteria FIPS 140-1/2 1/2 Task Force Sicheres Internet CobiT Gütesiegel/Produktaudit Schleswig-Holstein ISO 9000 Dr. Harald Niggemann 10

11 Methodik: Gegenüberstellung anhand ausgewählter Teilaspekte (1) Zielsetzung und Inhalt Zielgruppen Vorgehensweise Skalierbarkeit Aktualität / Aktualisierbarkeit Vollständigkeit / Sicherheitsniveau Anwendbarkeit auf gängige Unternehmensstrukturen Dr. Harald Niggemann 11

12 Methodik: Gegenüberstellung anhand ausgewählter Teilaspekte (2) Aufwand / Kosten der Umsetzung Tool-Unterstützung Berücksichtigung einschlägiger Gesetze Vorgaben für kryptographische Verfahren Qualifizierungs- bzw.. Zertifizierungssystem Internationalität Quelle und weitere Informationen Dr. Harald Niggemann 12

13 Inhaltliche Ausrichtung IT-GSHB ISO 9000 ISO ISO CobiT Task Force DS-Produktaudit* FIPS 140 ITSEC/CC Systembezogen Produktbezogen technisch nicht-technisch

14 Zielgruppen Inter- und innerbetriebliche Zielgruppenausrichtung der IT-Sicherheitskriterien Legende: P primäre Zielgruppe S sekundäre Zielgruppe IT-Grundschutzhandbuch ISO / BS 7799 ISO ITSEC / Common Criteria FIPS 140 Task Force-Kataloge CobiT DS-Produktaudit* ISO 9000 a) Art des Unternehmens Hardware-Hersteller S S P S P X Software-Hersteller S S P P P P X Netz-Vermittler S S P S S X Server-Betreiber P P S P S S X Inhalte-Anbieter P P P S X Unternehmen als Anwender P P P S S P X b) Rolle innerhalb des Unternehmens Management S P P P P P Projektmanagement P P P P P P P P P IT-Sicherheitsbeauftragte P P P P P P S P S IT-Leitung P P P S S P P S S Administratoren P S S P S S Revisoren S S P S

15 Szenarien (1) Keines der in dem Leitfaden betrachteten Kriterienwerke verspricht "umfassende" Sicherheit. Behandelt werden jeweils nur Teilaspekte des Problems. In den meisten Fällen ist es daher zweckmäßig, die Kriterienwerke synergetisch zu nutzen. Dr. Harald Niggemann 15

16 Szenarien (2) IT-Grundschutz + Common Criteria ISO IT-Grundschutz ISO ISO IT-Grundschutz + CobiT Dr. Harald Niggemann 16

17 Inhaltsverzeichnis 1 Zielsetzung und Initiierung des Projektes 2 Fachliche Einführung 3 Methodik 4 Gegenüberstellung 5 Szenarien 6 Zusammenfassung und weitere Vorgehensweise 6.1 Hilfe zur Selbsthilfe 6.2 Kombination von IT-Sicherheitskriterien 6.3 Qualifizierung/Zertifizierung nach IT-Grundschutz A Anforderungen des KonTraG an die IT-Sicherheit Dr. Harald Niggemann 17

18 Bezugsquelle und Kontakt Als PDF-Datei vom Webserver der Initiative D21: Arbeitsgruppen UAG: IT-Sicherheitskriterien und IT-Grundschutz-Zertifikat/Qualifizierung Anmerkungen und Ideen sind willkommen: Dr. Harald Niggemann 18

Ähnliche Dokumente

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem