Kriterienkatalog und Vorgehensweise für die Zertifizierung eines Penetrationstests. datenschutz cert GmbH Version 1.2

Transkript

1 Kriterienkatalog und Vorgehensweise für die Zertifizierung eines Penetrationstests datenschutz cert GmbH Version 1.2

2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für die Zertifizierung eines Penetrationstests 1. Zertifizierter Penetrationstest 4 2. Gegenstand der Zertifizierung 5 3. Kriterienkatalog 6 4. Begutachtungsprozess Laufzeiten Beteiligte Ablauf der Zertifizierung Durchführung der Zertifizierung Zertifikatsliste Kosten und Gebühren Logo AGB 9 5. Struktur des Gutachtens datenschutz cert GmbH Leitlinien Akkreditierungen Kontakt 12 Seite 2

3 Historie Version Datum geänderte Kapitel Grund der Änderung Erstellung aus Konzeptpaper geändert durch Sönke Maseberg Finalisierung Sönke Maseberg Kurzgutachten gestrichen, da inhaltlich durch Zertifikat ausgedrückt Anpassung zur Veröffentlichung als Kriterienkatalog Sönke Maseberg Sönke Maseberg Dokumenten-Überwachungsverfahren Titel: Regelspezifisches Zertifizierungsschema für zertifizierten Penetrationstest Anlage ZS10 Status: final Pfad, wo dieses Dokument zu finden ist: \Interncert\Intern_dsc\Zertifizierungsstelle\Zertifizierung sschema Dokument-/ Prozessbesitzer: Sönke Maseberg Datum: Version: 1.2 Seite 3

4 1. Zertifizierter Penetrationstest Penetrationstests werden eingesetzt, um die tatsächliche, aktuell gegebene Sicherheit eines Systems, eines Netzes oder einer Anwendung gegen Angriffe zu testen. Dabei wird durch den Penetrationstester ein Angriff durchgeführt und abhängig vom definierten Umfang die Kompromittierung des Testziels angestrebt. Bedingt durch die Vielzahl möglicher Vorgehensweisen für einen Penetrationstest und der uneinheitlichen Dokumentation des Vorgehens ist es für einen Kunden schwer, die Qualität eines durchgeführten Tests zu bewerten und die Ergebnisse unterschiedlicher Tests zu vergleichen. Die datenschutz cert GmbH führt aus diesem Grund nicht nur selbst Penetrationstests durch, sondern zertifiziert Penetrationstests und erteilt entsprechende Zertifikate für durchgeführte Penetrationstests. Damit wird durch eine unabhängige Instanz sichergestellt, --- dass der durchgeführte Test den Anforderungen des Kunden entspricht und --- nachvollziehbar, strukturiert und plausibel erfolgt ist, und --- dass der Tester hinreichend fachkundig ist. Der zertifizierte Penetrationstest richtet sich zum einen an Unternehmen, die ihre Systeme durch einen Penetrationstest testen lassen und eine weitere unabhängige Instanz die Testergebnisse validieren lassen möchten. Zum anderen ist das Zertifikat interessant für Unternehmen, die selbst Penetrationstests im Kundenauftrag durchführen, und ihren Kunden die Qualität des durchgeführten Penetrationstests nachweisen wollen. Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme und setzt das Zertifizierungsschema auch für den zertifizierten Penetrationstest ein. Im Nachfolgenden wird vorgestellt, wie die datenschutz cert GmbH einen Penetrationstest zertifiziert und welche Kriterien der Prüfung zugrunde liegen. Bremen, den 21. März 2012 Dr. Sönke Maseberg/ datenschutz cert GmbH Seite 4

5 2. Gegenstand der Zertifizierung Die Experten der datenschutz cert GmbH sowie qualifizierte Dritte führen Penetrationstests auf IT-Systeme von Kunden durch und dokumentieren das Ergebnis. Welche IT-Systeme untersucht werden sollen, richtet sich nach Ihren konkreten Anforderungen und Wünschen: --- Soll das IT-Netz von außen oder von innen geprüft werden? --- Soll das ganze Netz oder sollen einzelne Netzsegmente getestet werden? --- Sollen Blackbox-Tests oder Whitebox-Tests mit Hintergrundwissen gefahren werden? --- Wann soll ein Test durchgeführt werden (Abstimmung über ein geeignetes Zeitfenster)? Ziel der Zertifizierung eines Penetrationstest durch die datenschutz cert GmbH ist die Feststellung, ob der durchgeführte Test den dokumentierten Anforderungen des Kunden entspricht und die Einzeltests nachvollziehbar, strukturiert und plausibel begründet sind. Es wird explizit nicht die Sicherheit des getesteten Systems zertifiziert. Die Ergebnisse der Zertifizierung werden in Form eines Kurzgutachtens veröffentlicht. Die Identität der getesteten Institution kann dabei auf Wunsch anonymisiert werden, allerdings muss aus der Veröffentlichung die Identität des Penetrationstesters sowie die Art des Tests hervorgehen. Damit ist für Dritte nachvollziehbar, für welche Tests der Penetrationstester bereits eine Zertifizierung erhalten und damit einen Qualitätsnachweis erbracht hat. Seite 5

6 3. Kriterienkatalog Für die Begutachtung ist die Vorlage des Testreports und des Testprotokolls sowie der vorausgehenden Prüfvereinbarung zwingend erforderlich. Art und Umfang der Dokumente müssen geeignet sein, die Bewertung der Prüfpunkte zu ermöglichen. Die Daten über die Systeme des Kunden in den Dokumenten können pseudonymisiert vorgelegt werden. Weiterhin muss ein Fachkundenachweis des ausführenden Testers vorliegen. Die vorgelegten Dokumente müssen folgende Punkte erfüllen: A1. Der Prüfgegenstand und das Prüfziels müssen gemeinsam mit dem Kunden definiert worden sein; A2. die operativen und strukturellen Risiken müssen gegenüber dem Kunden deutlich gemacht und von diesem akzeptiert worden sein; A3. ein Auflistung der rechtlichen Grundlagen und zu beachtenden gesetzlichen Regelungen muss vorliegen, die notwendigen Exkulpationen durch den Kunden sowie evtl. betroffene Dritte muss vorliegen; A4. Art, Umfang und Ziel des Penetrationstests müssen definiert sein; A5. die Auswahl der durchgeführten Tests muss begründet sein und es muss dargestellt werden, dass die Zielsetzung des Penetrationstests vollständig und sinnvoll erfüllt ist; A6. die aufeinander aufbauende Abfolge der einzelnen Tests muss schlüssig begründet sein; A7. für jeden Test müssen die Art des Tests, der Zeitpunkt, die Dauer, die Durchführung, der durchführende Tester und das Ergebnis nachvollziehbar sein; A8. auf dem Test basierende Schlussfolgerungen, Bewertungen und Einschätzungen müssen begründet sein; A9. die Ergebnisse des Penetrationstests müssen sich aus den einzelnen Prüfschritten herleiten lassen und eindeutig dokumentiert sein; Zu einzelnen Tests kann der Auditor oder die Zertifizierungsstelle eine detaillierte Darlegung des Testvorgangs fordern, um sich von der Korrektheit der gemachten Angaben zu überzeugen. Jede der o.g. Anforderungen muss der Auditor prüfen und ihre korrekte Erfüllung bestätigen. Seite 6

7 4. Begutachtungsprozess In diesem Abschnitt wird vorgestellt, wie die datenschutz cert GmbH einen Penetrationstest zertifiziert. 4.1 Laufzeiten Ein Penetrationstest kann nur den gegenwärtigen Zustand eines Systems oder eines IT-Verbundes prüfen. Somit ist auch die Zertifizierung auf den Zeitpunkt des Penetrationstestes beschränkt. 4.2 Beteiligte Kunde Der Kunde ist der Auftraggeber des Penetrationstestes und der Eigentümer des getesteten IT-Verbundes. Er muss sein Einverständnis zur Übergabe der Zertifizierungsunterlagen an den Auditor erklären. Darüber hinaus wird vom Kunden keine weitere Leistung erwartet Tester Der Tester ist der ausführende Penetrationstester bzw. das mit dem Penetrationstest beauftragte Unternehmen. Der Tester stellt den Antrag auf Zertifizierung des durchgeführten Penetrationstestes. Er stellt dafür die benötigten Unterlagen zur Verfügung und gibt, soweit von den Auditoren oder der Zertifizierungsstelle gefordert, weitere Informationen über den durchgeführten Penetrationstest Auditoren Auditoren prüfen die Dokumentation des Penetrationstestes auf Konformität zu den o.g. Anforderungen und erstellen den Auditbericht. Potentielle Auditoren können einen Antrag auf Lizenzierung formlos bei der datenschutz cert GmbH stellen. Fachkundenachweis: --- Erfahrung im Bereich Informationstechnik und -sicherheit; --- Kenntnisse über Penetrationstests und ihre Durchführung; --- Übung im Umgang mit Kriterienwerken Zertifizierungsstelle Die Zertifizierungsstelle prüft den Auditbericht auf Vollständigkeit und Nachvollziehbarkeit der gemachten Angaben. Sie prüft dabei sowohl die formalen Anforderungen an den Auditbericht als auch die inhaltliche Angaben zum Penetrationstest. Seite 7

8 4.3 Ablauf der Zertifizierung 4.4 Durchführung der Zertifizierung Die Zertifizierung des Penetrationstests erfolgt im Anschluss an die Testdurchführung. Der Penetrationstester führt daher unter Beachtung der geforderten Dokumentationspflichten den Penetrationstest in gewohnter Weise durch. Im Anschluss an den Penetrationstest wird ein Antrag auf Zertifizierung der Tests bei der datenschutz cert GmbH gestellt. Die Zertifizierungsstelle benennt einen Auditor, welcher vom Penetrationstester die benötigten Unterlagen (Prüfvereinbarung, Testprotokoll und Testreport) erhält. Auf der Basis dieser Unterlagen und evtl. Rückfragen wird der Auditbericht erstellt. Nach einer Prüfung des Auditberichts durch die datenschutz cert GmbH wird der Penetrationstest zertifiziert. Der Penetrationstester kann dann durch Vorlage des Zertifikates gegenüber seinem Kunden die Qualität und die sachgerechte Ausführung des Tests nachweisen. 4.5 Zertifikatsliste Eine Liste unserer erteilten Zertifizierungen kann abgerufen werden unter: Aus der Liste sind der Antragsteller, der Geltungsbereich, die Zertifikats-ID sowie die Gültigkeit der Zertifizierung ersichtlich. 4.6 Kosten und Gebühren Die Kosten für den zertifizierten Penetrationstest sind stark abhängig vom konkreten Test. Für ein konkretes Angebot sprechen Sie uns bitte einfach an! Das Zertifikat zum Penetrationstest beinhaltet selbstverständlich: --- Prüfung und Bewertung durch einen Auditor; --- Erstellung eines ausführlichen und aussagekräftigen Auditreports; --- Zertifizierung mit Ausstellung des Zertifikats; Seite 8

9 4.7 Logo --- Listung des Zertifikats (i.d. R. 3 Jahre). Für einen zertifizierten Penetrationstest kann ein Logo verwendet werden, das die folgenden Inhalte/Anforderungen enthält: --- Angabe des Regelwerks: zertifizierter Penetrationstest; --- Logo/Name der Zertifizierungsstelle; --- ID des Zertifikats, evtl. mit Jahreskennung; Darüber hinaus erhält ein Kunde für einen zertifizierten Penetrationstest ein Zertifikat, welches folgende Informationen enthält: 4.8 AGB --- den Namen des Kunden; --- den Namen des Penetrationstester; --- eine exakte Beschreibung des Untersuchungsgegenstands/ Geltungsbereich; --- Zeitraum des Penetrationstests; --- Datum zur Erteilung; --- Zertifizierungs-ID; --- Angaben zum angewendeten Regelwerk; --- Angaben zur Zertifizierungsstelle. Im Übrigen sind die Allgemeinen Geschäftsbedingungen der datenschutz cert GmbH zu beachten, die unter abgerufen werden können. Seite 9

10 5. Struktur des Gutachtens Kunde: xxx Penetrationstester: Auditor: xxx xxx Zeitraum des Penetrationstests: xxx Gültigkeit: --- Dieses Gutachten gilt für den Penetrationstest des o.g. Testzeitraumes. Beschreibung des Testgegenstandes: --- Bei dem Testgegenstand handelt es sich um die Systeme xxx / das Netzwerk xxx --- Die Systeme sind gekennzeichnet durch die Nutzung als xxx --- Es handelt sich um Webserver/ server / xxx Zusammenfassung der Art des Penetrationstests: --- Wie Prüfpunkt A4 Ergebnis des Penetrationstests: --- Der Penetrationstest hat zu dem Ergebnis geführt, dass xxx Feststellungen: Die Anforderungen an den Penetrationstest werden umgesetzt: A1 Der Prüfgegenstande und das Prüfziels müssen gemeinsam mit dem Kunden definiert worden sein. Umgesetzt durch: xxx A2 Ergebnis der Auditierung: Die Anforderungen zur Zertifizierung eines Penetrationstestes sind umgesetzt. Besonders hervorzuheben ist xxx. Seite 10

11 6. datenschutz cert GmbH Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüfaktivitäten als auch Zertifizierungstätigkeiten ein einerseits für IT-Systeme und -Produkte und andererseits für Verfahren und Managementprozesse. Die datenschutz cert GmbH ist ein Unternehmen der datenschutz nord-gruppe. Sitz der Gesellschaft ist Bremen. Geschäftsführer ist Dr. Sönke Maseberg. 6.1 Leitlinien Die datenschutz cert GmbH bietet Konformitätsbewertungen unter folgenden grundsätzlichen Leitlinien an: Unabhängigkeit und Unparteilichkeit Wir sind unabhängig und unparteilich. Es gilt das übergeordnete Interesse und die vorrangige Pflicht, Auditierungen, Evaluierungen, Zertifizierungen und Bestätigungen entsprechend den Vorgaben frei von internen und externen kommerziellen, finanziellen und sonstigen Zwängen durchzuführen. Maßstab ist das jeweilige Kriterienwerk. Zudem führen wir keinerlei Beratung durch. Wir haben einen "Ausschuss zur Sicherstellung der Unparteilichkeit der datenschutz cert GmbH" (Ausschuss) etabliert, mit dem die grundsätzlichen Regelungen zur Unabhängigkeit und Unparteilichkeit der Zertifizierungstätigkeiten diskutiert und durchgeführte Zertifizierungsprozesse auf ihre Unabhängigkeit hin überprüft werden. Zur Gewährleistung der Unabhängigkeit und Unparteilichkeit unserer erteilten Zertifikate setzen wir für den Auditierungs- und Zertifizierungsprozess darüber hinaus regelmäßig externe Fachbegutachter ein Vertraulichkeit Wir sichern Ihnen Vertraulichkeit zu Offenheit und Transparenz Wir sind offen und transparent hinsichtlich unser Tätigkeiten, d.h. --- wir kommunizieren klar und unmissverständlich, was und nach welchen Regeln geprüft und zertifizieren wird; --- unsere Zertifikate und Auditreports sind klar und verständlich formuliert; --- wir veröffentlichen die zugrundeliegenden Regelwerke - sofern nicht durch Copyright geschützt -; --- wir benennen klar, wofür wir akkreditiert sind; --- wir lassen uns selber regelmäßig auditieren; --- wir sind offen für alle Anfragen und Beschwerden: Wenn Sie Fragen zu einem von uns erteilten Zertifikat haben oder potentiell den Missbrauch eines Zertifikats vermuten: Bitte sprechen Sie uns an. Wir sichern Ihnen Ver- Seite 11

12 traulichkeit zu und gehen der Sache nach. Wir informieren Sie über den Stand der Untersuchung sowie den Abschluss Datenschutz Wir kommen aus dem Datenschutz. Jede Art von Konformitätsprüfung wird - im Rahmen des jeweiligen Untersuchungsgegenstands - unter den besonderen Aspekten des Datenschutzes beleuchtet. Dadurch stellen wir sicher, dass die von uns geprüften und bewerteten IT-Produkte und -Systeme den Anforderungen des Datenschutzes genügen. Unser Anspruch ist, dass sich "datenschutz certifizierte" Produkte und Prozesse etablieren und für unsere Kunden einen Mehrwert zu einem besseren Datenschutz darstellen und dass unser Zertifikat eine entsprechende Anerkennung genießt. 6.2 Akkreditierungen Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme und setzt das Zertifizierungsschema auch für diese Begutachtungen ein. Die datenschutz cert GmbH ist als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert und ist danach berechtigt, Evaluierungen gemäß Common Criteria (CC) durchzuführen. Die datenschutz cert GmbH ist darüber hinaus als Gutachter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein akkreditiert. Die Akkreditierung gilt sowohl für den Bereich Technik als auch für den Bereich Recht. Die datenschutz cert GmbH ist bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Die datenschutz cert GmbH beschäftigt beim BSI lizenzierte Auditoren für ISO auf der Basis von IT-Grundschutz. 6.3 Kontakt datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen Tel.: Fax: office@datenschutz-cert.de Internet: Seite 12