Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß TR datenschutz cert GmbH Version 1.0

Transkript

1 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß TR datenschutz cert GmbH Version 1.0

2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß TR Einleitung 4 2. Grundlage und Aufgabenverteilung 5 3. Anforderungen an Auditoren 5 4. Audit-/Zertifizierungsprozess 5 5. Gültigkeit/ Laufzeit 6 6. Zertifikat 6 7. Zertifikatsliste 7 8. Entzug, Aussetzen oder Einschränken eines Zertifikates Ablauf eines Zertifikates 8 9. Kosten und Gebühren AGB und Sonderbedingungen datenschutz cert GmbH Leitlinien Akkreditierungen 10 Seite 2

3 Historie Version Datum geänderte Kapitel Grund der Änderung geändert durch Finalisierung nach Abnahme durch Zertifizierungsstelle Dr. Maseberg Dokumenten-Überwachungsverfahren Status: final Prozess-/Dokumentbesitzer: Dr. Maseberg Version: 1.0 Seite 3

4 1. Einleitung ist einer der zentralen Kommunikationswege sowohl privat als auch in der Geschäftswelt. Und obwohl s ohne weitere Sicherheitsmaßnahmen bekanntlich eher mit einer Postkarte als mit einem eingeschriebenen Brief zu vergleichen sind, haben sich diese weiteren Sicherheitsmaßnahmen etwa durch eine kryptographische Absicherung bislang noch nicht vollständig durchgesetzt. Ein Ansatz, den -Transport zu sichern, wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durch die Technische Richtlinie BSI-TR Secure E- Mail Transport verfolgt. In dieser TR geht es darum, ein Mindestmaß an IT- Sicherheitsmaßnahmen für -Diensteanbieter zu formulieren. Neben den Anforderungen ( BSI TR : Secure Transport Requirements for Service Providers (EMSP) regarding a secure Transport of s ) umfasst die TR auch eine Prüfspezifikation ( BSI TR : Testspecification Conformance Tests for Secure Transport in compliance to BSI TR ). Damit wird eine unabhängige Auditierung und Zertifizierung ermöglicht. Eine Besonderheit dieser TR ist, dass nicht das BSI ein solches Zertifikat erteilt, sondern Zertifizierungsstellen, die bei der Deutschen Akkreditierungsstelle (DAkkS) für Managementsysteme akkreditiert sind. Grundlage hierfür ist das BSI- Zertifizierungsschema Hinweis für Zertifizierungsstellen von sektorspezifischen Managementsystemen basierend auf ISO/IEC (MS-ExternZert). Die datenschutz cert GmbH erfüllt mit ihrer DAkkS-Akkreditierung gem. ISO/IEC diese Anforderungen und bietet die Zertifizierung von -Diensten gem. BSI-TR an. Das vorliegende Dokument beschreibt den Auditierungs- und Zertifizierungsprozess und ist ein Extrakt aus dem vollständigen Zertifizierungsschema der datenschutz cert GmbH. Bremen, den 29. November 2016 Dr. Sönke Maseberg datenschutz cert GmbH Seite 4

5 2. Grundlage und Aufgabenverteilung Die folgenden Dokumente der Technischen Richtlinie stellen die Grundlage für die Auditierung und Zertifizierung dar: [BSI_TR ] [BSI_TR ] [BSI_Prog-Personen] Bundesamt für Sicherheit in der Informationstechnik, BSI TR : Secure Transport Requirements for Service Providers (EMSP) regarding a secure Transport of E- Mails. Bundesamt für Sicherheit in der Informationstechnik, BSI TR : Testspecification Conformance Tests for Secure Transportin compliance to BSI TR Bundesamt für Sicherheit in der Informationstechnik, Programm zur Kompetenzfeststellung und Zertifizierung von Personen, Anlage 1 zur Verfahrensbeschreibung zur Kompetenzfeststellung und Zertifizierung von Personen (Prog- Personen). Gemäß des BSI-Zertifizierungsschemas [BSI_MS-ExternZert] Bundesamt für Sicherheit in der Informationstechnik, Hinweis für Zertifizierungsstellen von sektorspezifischen Managementsystemen basierend auf ISO/IEC (MS- ExternZert) sind den verschiedenen Akteuren folgende Aufgaben zugeordnet: --- Das BSI erstellt die Technischen Richtlinien, in diesem Kontext etwa [BSI_TR ] und [BSI_TR ]. --- Das BSI zertifiziert die Auditoren gem. [BSI_Prog-Personen]. --- Die datenschutz cert GmbH lizenziert auf dieser Grundlage die Auditoren. --- Die Auditoren führen Prüfungen gem. der Technischen Richtlinien durch. --- Die datenschutz cert GmbH führt auf Grundlage des Auditergebnisses die Zertifizierung gem. dieses Zertifizierungsschemas durch. 3. Anforderungen an Auditoren Zur Lizenzierung von Auditoren gem. der BSI TR werden die folgenden Anforderungen gestellt: --- Zertifizierung des Auditors zu dieser TR durch das BSI auf Grundlage des BSI-Dokumentes [BSI_Prog-Personen]; --- Vorlage des BSI-Auditorenzertifikates zu dieser TR Audit-/Zertifizierungsprozess Es wird ein zwei-stufiges Zertifizierungsverfahren eingesetzt: --- Der Auditor prüft die Konformität eines -Dienstes gegen ein Regelwerk und erstellt einen Auditreport. Seite 5

6 Die Auditierung erfolgt gem. der in der TR vorgeschriebenen Vorgehensweise: [BSI_TR ] und [BSI_TR ]. --- Die Zertifizierungsstelle prüft den Auditreport, insbesondere um eine Vergleichbarkeit zwischen den Audits sicherstellen zu können. Gem. der [BSI_TR ] kann die Auditierung und Zertifizierung des - Dienstes zusammen mit der Auditierung und Zertifizierung des Informationssicherheits-Managementsystems (ISMS) gem. ISO/IEC erfolgen. Eine Zertifizierung gem. ISO/IEC ist jedoch nicht vorgeschrieben. 5. Gültigkeit/ Laufzeit Jedes Zertifikat ist drei Jahre gültig. Jedes Zertifizierungsverfahren besteht aus folgenden Phasen: --- Erst-Zertifizierung (Zeitpunkt t = Zertifikatsdatum); Überwachungsaudit (Zeitpunkt t + max. 12 Monate); Überwachungsaudit (Zeitpunkt t + max. 24 Monate); --- Re-Zertifizierungsaudit (Zeitpunkt t + max. 36 Monate). Zertifikatsdatum ist das Datum der Zertifikats-Entscheidung. 6. Zertifikat Für einen zertifizierten -Dienst kann der Kunde ein Logo verwenden, das die folgenden Inhalte/Anforderungen enthält: --- Angabe der Norm; --- Logo/Name der Zertifizierungsstelle; --- ID des Zertifikats, evtl. mit Jahreskennung; --- Ablaufdatum. Darüber hinaus erhält ein Kunde für einen zertifizierten -Dienst ein Zertifikat, welches folgende Informationen enthält: --- den Namen des Diensteanbieters; --- eine exakte Beschreibung des Untersuchungsgegenstands/ Geltungsbereich; --- Grundlagen der Zertifizierung: --- Implementation Conformance Statement des Diensteanbieters; --- Auditreport; --- verwendete BSI-TR und -Prüfspezifikation; --- BSI-Zertifizierungsschema; --- Prüfzeitraum; --- Datum des letzten Audittages; Seite 6

7 --- Datum der Zertifizierung; --- Ablaufdatum; --- Zertifizierungs-ID; --- Angaben zum angewendeten Regelwerk; --- Angaben zur Zertifizierungsstelle. Dieses Zertifikat weist kein DAkkS-Logo auf. Stattdessen wird das BSI-Logo aus [BSI_MS-ExternZert] verwendet. In den Fällen, wo gleichzeitig das ISMS des Kunden zertifiziert wird, werden zwei Zertifikate erteilt (Das mit der DAkkS abgestimmte ISO/IEC Zertifikat wird nicht um ein weiteres Regelwerk oder das BSI-Logo erweitert.) 7. Zertifikatsliste Eine Liste unserer erteilten Zertifizierungen kann abgerufen werden unter: Aus der Liste sind der Antragsteller, der Geltungsbereich, die Zertifikats-ID sowie die Gültigkeit der Zertifizierung ersichtlich. 8. Entzug, Aussetzen oder Einschränken eines Zertifikates Das Zertifikat wird entzogen, wenn der Antragsteller nachhaltig gegen die Zertifizierungsvoraussetzungen verstößt. Ein solcher Verstoß liegt insbesondere vor, wenn --- der zertifizierte Untersuchungsgegenstand in der beschriebenen Weise verändert wurde und der Anbieter keine Prüfung ermöglicht, --- im Rahmen der Prüfung nicht die für die Vergabe des Zertifikats erforderlichen Voraussetzungen erfüllt werden, --- der Antragsteller aufgrund drohender oder eingetretener Insolvenz einen zuverlässigen Geschäftsbetrieb nicht mehr aufrechterhalten kann oder --- die Zertifizierungskosten nicht spätestens innerhalb von 4 Wochen nach Abschluss der Zertifizierung gegenüber der Zertifizierungsstelle beglichen werden. Die Zertifizierungsstelle teilt dem Antragsteller die Gründe des Zertifikatsentzugs mit. Im Falle des Entzuges wird das über die Zertifikatsliste online unter veröffentlichte Zertifikat auf den Status als entzogen gesetzt und spätestens nach 4 Wochen aus der Liste entfernt. Der Entzug des Zertifikates kann auch anderweitig veröffentlicht werden. Ferner kann die datenschutz cert GmbH Zertifikate aussetzen, wenn eine wesentliche Anforderung des Regelwerkes nicht erfüllt wird (max. Aussetzung: 6 Monate), oder einschränken, wenn für diesen ausgeschlossenen Teil wesentliche Anforderung des Regelwerkes nicht erfüllt werden (Einschränkung des Geltungsbereiches). Im Anschluss an eine Aussetzung erfolgt entweder die Behebung unter Berücksichtigung entsprechender Nachweise (mit Wiederherstellung) oder die Zurückziehung des Zertifikates. Seite 7

8 8.1 Ablauf eines Zertifikates Soweit das Zertifikat nach Ablauf der Gültigkeit entfällt, hat der Anbieter dafür zu sorgen, dass das Logo und sämtliche Hinweise auf eine gültige Zertifizierung aus den genutzten Medien unverzüglich entfernt werden. 9. Kosten und Gebühren Für die Zertifizierung veranschlagt die datenschutz cert GmbH Kosten in Höhe von 3.900,-- Euro zzgl. gesetzlicher Umsatzsteuer von derzeit 19 %. Die einmaligen Zertifizierungskosten gelten für die gesamte Laufzeit des Zertifikats (i.d. R. drei Jahre) und umfassen --- Prüfbegleitung des Auditors durch die Zertifizierungsstelle; --- Ausstellung des Zertifikats; --- Darstellung Ihres Zertifikats in der Zertifikatsliste unter Übergabe Ihres Zertifikats. 10. AGB und Sonderbedingungen Im Falle eines Vertragsschlusses gelten ausschließlich unsere Allgemeinen Geschäftsbedingungen sowie unsere Sonderbedingungen für Dienstleistungen im Rahmen von Auditierungen und Zertifizierungen, die Sie unter abrufen können. Seite 8

9 11. datenschutz cert GmbH Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüfaktivitäten als auch Zertifizierungstätigkeiten ein einerseits für IT-Systeme und -Produkte und andererseits für Verfahren und Managementprozesse. Die datenschutz cert GmbH ist ein Unternehmen der datenschutz nord-gruppe. Sitz der Gesellschaft ist Bremen. Geschäftsführer ist Dr. Sönke Maseberg Leitlinien Die datenschutz cert GmbH bietet Konformitätsbewertungen unter folgenden grundsätzlichen Leitlinien an: Unabhängigkeit und Unparteilichkeit Wir sind unabhängig und unparteilich. Es gilt das übergeordnete Interesse und die vorrangige Pflicht, Auditierungen, Evaluierungen, Zertifizierungen und Bestätigungen entsprechend den Vorgaben frei von internen und externen kommerziellen, finanziellen und sonstigen Zwängen durchzuführen. Maßstab ist das jeweilige Kriterienwerk. Zudem führen wir keinerlei Beratung durch. Wir haben einen "Ausschuss zur Sicherstellung der Unparteilichkeit der datenschutz cert GmbH" (Ausschuss) etabliert, mit dem die grundsätzlichen Regelungen zur Unabhängigkeit und Unparteilichkeit der Zertifizierungstätigkeiten diskutiert und durchgeführte Zertifizierungsprozesse auf ihre Unabhängigkeit hin überprüft werden. Zur Gewährleistung der Unabhängigkeit und Unparteilichkeit unserer erteilten Zertifikate setzen wir für den Auditierungs- und Zertifizierungsprozess darüber hinaus regelmäßig externe Fachbegutachter ein. Vertraulichkeit Wir sichern Ihnen Vertraulichkeit zu. Offenheit und Transparenz Wir sind offen und transparent hinsichtlich unser Tätigkeiten, d.h. --- wir kommunizieren klar und unmissverständlich, was und nach welchen Regeln geprüft und zertifizieren wird; --- unsere Zertifikate und Auditreports sind klar und verständlich formuliert; --- wir veröffentlichen die zugrundeliegenden Regelwerke - sofern nicht durch Copyright geschützt -; --- wir benennen klar, wofür wir akkreditiert sind; --- wir lassen uns selber regelmäßig auditieren; --- wir sind offen für alle Anfragen und Beschwerden: Wenn Sie Fragen zu einem von uns erteilten Zertifikat haben oder potentiell den Missbrauch eines Zertifikats vermuten: Bitte sprechen Sie uns an. Wir sichern Ihnen Ver- Seite 9

10 Datenschutz traulichkeit zu und gehen der Sache nach. Wir informieren Sie über den Stand der Untersuchung sowie den Abschluss. Wir kommen aus dem Datenschutz. Jede Art von Konformitätsprüfung wird - im Rahmen des jeweiligen Untersuchungsgegenstands - unter den besonderen Aspekten des Datenschutzes beleuchtet. Dadurch stellen wir sicher, dass die von uns geprüften und bewerteten IT-Produkte und -Systeme den Anforderungen des Datenschutzes genügen. Unser Anspruch ist, dass sich "datenschutz certifizierte" Produkte und Prozesse etablieren und für unsere Kunden einen Mehrwert zu einem besseren Datenschutz darstellen und dass unser Zertifikat eine entsprechende Anerkennung genießt Akkreditierungen Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle und darf danach international gültige Zertifikate für ISO konforme Informationssicherheits- Managementsysteme (ISMS) erteilen. Die Akkreditierung der DAkkS umfasst ferner ISO/IEC und ETSI TS-Normen. Ferner ist die datenschutz cert GmbH bei der DAkkS für Produkte und Dienstleistungen gemäß ISO/IEC akkreditiert und darf danach Zertifikate für Vertrauensdienste gemäß eidas erteilen. Auditoren der datenschutz cert GmbH sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für die TR (Smart Meter Gateway Administratoren) zertifiziert. Die datenschutz cert GmbH ist als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert und ist danach berechtigt, Evaluierungen gemäß Common Criteria (CC) durchzuführen. Die datenschutz cert GmbH ist bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Die datenschutz cert GmbH beschäftigt beim BSI lizenzierte IT-Grundschutz-/ ISO Auditoren und IS-Revisoren. Ferner ist die datenschutz cert GmbH beim BSI anerkannter IT-Sicherheitsdienstleister für IS-Revision und Penetrationstest. Die datenschutz cert GmbH ist darüber hinaus als Gutachter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein akkreditiert. Die Akkreditierung gilt sowohl für den Bereich Technik als auch für den Bereich Recht. Die Auditoren sind zudem anerkannte EuroPriSe Experten für Recht und Technik. Seite 10

11 Kontakt datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen Tel.: Fax: Internet: Seite 11