Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit
DIN e. V. DIN ist ein eingetragener gemeinnütziger Verein und wird privatwirtschaftlich getragen. DIN ist laut eines Vertrages mit der Bundesrepublik Deutschland die zuständige deutsche Normungsorganisation für die europäischen und internationalen Normungsaktivitäten. 2014, DIN e. V. 2
Normen in der Rechtsordnung Eine anerkannte Regel der Technik ist eine technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe des Standes der Technik angesehen wird. Der Stand der Technik ist ein entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind basierend auf den diesbezüglichen gesicherten Erkenntnisse von Wissenschaft, Technik und Erfahrung. 2014, DIN e. V. 3
Grundlagen der Konformitätsbewertung DIN EN ISO 17000 Konformitätsbewertung Begriffe und allgemeine Grundlagen Definition Konformitätsbewertung: Darlegung, dass festgelegte Anforderungen bezogen auf ein Produkt, einen Prozess, ein System, eine Person oder eine Stelle erfüllt sind. Definition Zertifizierung: Bestätigung durch eine dritte Seite bezogen auf Produkte, Prozesse, Systeme oder Personen 4
Wie ist eine Norm zu lesen DIN 820-2 (identisch mit ISO/IEC Direktiven Teil2), Anhang H: Verbformen zur Formulierung von Festlegungen Anforderung muss darf nicht Empfehlung sollte sollte nicht Zulässigkeit darf braucht nicht Möglichkeit und Vermögen kann kann nicht Anforderungen in Normen sind Zertifizierungsgrundlage! 2014, DIN e. V. 5
Grundlagen der Konformitätsbewertung - AkkStelleG (DAkks) - BSI - DIN EN ISO/IEC 17011 Akkreditierung Akkreditierungsstelle Konformitätsbewertungsstelle - BSI - DIN EN ISO/IEC 17021 - ISO/IEC 27006 Zertifizierung Zertifizierter (z. B. Unternehmen) - ISO/IEC 27001 - ISO/IEC 15408 Selbsterklärung 2014, DIN e. V. 6
Normen und Standards als Akkreditierungsgrundlage Quelle: www.dakks.de 2014, DIN e. V. 7
Zertifizierung von IT-Sicherheit Zertifiziert werden können: Organisationen z.b. Managementsysteme (nach ISO/IEC 27001) z.b. Standorte (nach ISO/IEC 15408) z.b. Prüfstellen (nach 9 BSI-Gesetz oder ISO/IEC 15408 ) Produkte z.b. nach ISO/IEC 15408 z.b. nach Technischen Richtlinien des BSI Personen z.b. BSI Zertifikate auf Grundlage 9 BSI-Gesetz z.b. Sachverständige nach DIN EN ISO/IEC 17024 Konformitätsbewertung Allgemeine Anforderungen an Stellen, die Personen zertifizieren 2014, DIN e. V. 8
Zertifizierbarkeit von IT Sicherheitsmanagement-Systemen Nach ISO/IEC 27001 Anforderungen an ein Managementsystem zur Verankerung der IT-Sicherheit in der Organisation Nach BSI Grundschutz BSI-Grundschutz ist abgestimmt mit ISO/IEC 27001 Zertifikat: ISO/IEC 27001 auf Basis IT-Grundschutz 2014, DIN e. V. 9
Struktur der ISO/IEC 27000er Reihe 2014, DIN e. V. 10
Zertifizierbarkeit von Standorten Nach ISO/IEC 15408 Common Criteria Zeitlich begrenztes Zertifikat Nach BSI Grundschutz BSI-Grundschutz ist abgestimmt mit ISO/IEC 27001 Zertifikat: ISO/IEC 27001 auf Basis IT-Grundschutz 2014, DIN e. V. 11
Zertifizierbarkeit von Produkten Nach ISO/IEC 15408 Common Criteria Evaluation Assurance Level EAL 1-7 Europäisches Abkommen SOGIS-MRA V3 Gegenseitige Anerkennung von Zertifikaten (SOGIS-Logo) Internationales Abkommen CCRA Gegenseitige Anerkennung von Zertifikaten bis einschließlich EAL 4 (CCRA-Logo) Nach Schutzprofilen (PP) Ein Schutzprofil kann zertifiziert werden Übereinstimmung mit Schutzprofil kann bestätigt werden Bsp. Smart Meter Gateway (BSI-CC-PP-0073) Nach Technischen Richtlinien des BSI BSI TR-03109 für Smart Meter 2014, DIN e. V. 12
IT-Sicherheitszertifikate für Personen Vielzahl privatwirtschaftlicher Zertifikate DIN EN ISO/IEC 17024 Sachverständige und Gutachter BSI Zertifikate für Auditteamleiter für ISO/IEC 27001 Audits Auditor DE-Mail IS Revision und IS Beratungsexperte Penetrationstester 2014, DIN e. V. 13
Zertifizierungsstellen Staatliche Zertifizierungsstellen Fallen unter SOGIS-MRA und CCRA In Deutschland das Bundesamt für Sicherheit in der Informationstechnik, BSI Private Zertifizierungsstellen können vom BSI anerkannt werden fallen nicht unter SOGIS-MRA und CCRA Nach ISO/IEC 27006 2014, DIN e. V. 14
Konformitätsprüfung nach BSI-Grundschutz Abbildung 1: Vorgang der Konformitätsprüfung Quelle: BSI Broschüre Zertifizierte IT-Sicherheit : 2012 2014, DIN e. V. 15
Herausforderungen der Zertifizierbarkeit Zertifikate können durch technische Entwicklung schnell überholt werden Produktzertifikate sind versionsabhängig Handling von Updates Zertifizierungsprozess aufwendig 2014, DIN e. V. 16
Erarbeitung von IT-Sicherheitsnormen als Zertifizierungsgrundlage IT-Sicherheit generisch anwendungsbezogen Unabhängig von Technologie Branche Anwendungsfall Abhängig von Technologie (z.b. RFID) Branche (z.b. Medizin) Anwendungsfall (Bahnsignalanlagen) 2014, DIN e. V. 17
IT-Sicherheitsnormung Gremienübersicht (Auswahl KRITIS Sektoren) generisch national NIA 27 anwendungsbezogen europäisch international ISO/IEC /JTC1 /SC27 Energie Ernährung Verkehr Gesundheit Finanzen IKT Medien Wasser DKE ETSI/CLC IEC NAL NL,NSMT NAMed/FB 7 CEN/TC 251 ISO/TC 215 NIA ISO/TC 68 DKE, NIA NVBF NAW ETSI,CEN JTC1, ITU Koordinierungsstelle IT-Sicherheit 2014, DIN e. V. 18