IT-Risk-Management. Klassifizierung von Sicherheitsanforderungen

Ähnliche Dokumente
Grundlagen des Datenschutzes und der IT-Sicherheit (5) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

IT Sicherheit: Bewertungskriterien

Einführung in die Common Criteria

Bewertungskriterien für sichere Software

IT Sicherheit: Bewertungskriterien

IT Sicherheitsstandards

Zertifizierungsreport

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN...

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

BSI-CC-PP Anforderungen an die Kommunikationsinfrastrukur für sicherheitsrelevante Anwendungen (KISA), Version 1.0. entwickelt von der

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

Einstieg in die Cybersicherheit: Introduction to Cybersecurity und Cybersecurity Essentials

Zertifizierungsreport

Technische Richtlinie BSI TR-03109

Informations- und Netzwerksicherheit: Ein Überblick. B. Plattner / H. Lubich Sicherheit in Datennetzen Einführung 1

Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework

Hauke Kästing IT-Security in der Windindustrie

IT Sicherheitsstandards

Ein Vorgehensmodell zur Durchführung einer prozessorientierten Sicherheitsanalyse Daniela Simić-Draws

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2)

Sicherheitsmaßnahmen bei der Vernetzung der Akteure des Gesundheitswesens

PriS - The Privacy Safeguard

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Zertifizierungsreport

Merkblatt: Spezielle Anforderungen an Kryptografiemodule

Digitale Signaturen in Theorie und Praxis

Recht im Internet. CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management

NGO Tag - Sicherheit und Datenschutz in der Cloud Microsoft Deutschland GmbH Unter den Linden 17, Berlin

Systeme II. Christian Schindelhauer Sommersemester Vorlesung

Datenschutz und Datensicherheit Probleme, Erfolge, bestehende Herausforderungen

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

Datenmissbrauch durch Identity Management verhindern

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar Torsten Trunkl

IT-Sicherheit - Sicherheit vernetzter Systeme -

CEN Normungsaktivitäten mit Bezug zu eidas (EU-VO 910/2014) Workshop Elektronisches Siegel im Sinne der eidas-verordnung

Mobile Sicherheit: (Un)lösbarer Spagat zwischen Sicherheit und Komfort? Live-Webinar am 07. Dezember von Uhr

Digitalisierung versus Datenschutz und IT-Sicherheit. Peter Haase

TUB Campuskarte und danach

Das Internet vergisst nicht

Informationssicherheit 2018

Übersicht über die IT- Sicherheitsstandards

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Denn es geh t um ihr Geld: Kryptographie

Grundlagen des Datenschutzes und der IT-Sicherheit (12)

Grundlagen des Datenschutzes und der IT-Sicherheit (13) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Ein Weg zu datenschutzgerechten Sicherheitstechnologien

»Alternative«Methoden zur Erhöhung der Sicherheitstransparenz [im Open-Source-Bereich]

Datenschutzaspekte bei Konzepten des AAL

ETSI TS : Electronic Signatures and Infrastructures (ESI): Policy

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Datenschutz im Smart Grid. Präsentation Proseminar SS2014 Von Dominik Pataky

Als die digitale Privatheit Laufen lernte

Sicherheit in Pervasiven Systemen. Peter Langendörfer & Zoya Dyka

Zentral verwaltete Netzwerke. Grundlage:

WebLogic goes Security!

COMPUGROUP / UNI BONN / B-IT. Technischer Beschlagnahmeschutz. elektronische Patientenakten Priv.-Doz. Dr. Adrian Spalka.

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Selbstdatenschutz - Tools und Technik

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

1. Tagung zum Schutzprofil für Smart Meter

Datenschutz für medizinische Patientendaten

BSI-PP Schutzprofil für USB-Datenträger, Version 1.4. entwickelt von der. Fachhochschule Bonn-Rhein-Sieg

Einführung in die asymmetrische Kryptographie

TÜV Rheinland. Ihr Partner für Informationssicherheit.

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion

Kapitel 2: Grundlagen

N. Sicherheit. => Literatur: Tanenbaum & vansteen: Verteilte Systeme.

Ein semantisches Modell

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Merkblatt: Spezielle Anforderungen an Kryptografiemodule

Sicherung der Kommunikation zwischen OAM und WebGate

Werner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen. Maßnahmen für die betriebliche Praxis.

Sicherheit von Wearables

SMart esolutions Informationen zur Datensicherheit

_isis12_de_sample_set01_v1, Gruppe A

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 18. Oktober 2017 WS 2017/2018

Raoul Borenius, DFN-AAI-Team

Sicherheit der Komponenten der Telematik-Infrastruktur

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Sicher in der Cloud Best Practice Sicherheitskonzept

Umfassende Sicherheit - Safety meets Security -

DATENSCHUTZ in der Praxis

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit (6) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

PCI/DSS Security Compliance im Zahlungsverkehr mit HSMs

NSA-Affäre Kapitulation für den Datenschutz?

VERTRAUEN IST GUT. SICHERHEIT IST BESSER! MAXIMALE DATENSICHERHEIT MIT UTAX.

Datensicherheit. 8. Datensicherheit

WebSphere MQ (MQSeries) Recovery and Security

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

Dr. Thomas P. Ruhroth

- 1 - H&G Hansen & Gieraths

h(m) Message encrypt Bobs geheimer Schlüssel digitale Signatur encrypt(ks,h(m)) digitale Signatur encrypt(ks,h(m)) decrypt h(m ) Message

Transkript:

IT-Risk-Management Anhang zu V4: Sicherheitsbewertung CC-Funktionsklassen R. Grimm Institut für Wirtschafts- und Verwaltungsinformatik Universität Koblenz R. Grimm 1 / 71 Klassifizierung von Sicherheitsanforderungen Common Criteria liefert Strukturmodell für Anforderungen Funktionsklassen Protection Profiles (PP, Schutzprofile) wählen gemäß Anwendungskontext aus Funktionsklassen aus Beispiel PP for non-political Internet voting Beispiel PP für Router gegen Online-Überwachung ToE werden gemäß PP geprüft, ob ihre Sicherheitsmaßnahmen den in PP spezifizierten Anforderungen genügen R. Grimm 2 / 71 Seite 1 1

CC Funktionsklassen als Grundfunktionen PP bzw. ST definieren Sicherheitsziele Sicherheitsziele werden durch Sicherheitsanforderungen konkretisiert Qualitätsanforderungen und funktionale Anforderungen Funktionale Anforderungen sind strukturiert: Funktionsklassen Funktionsklassen enthalten Familien, Familien enthalten Komponenten Die CC-Funktionsklassen bilden ein feiner strukturiertes Konzept der älteren IT-SEC- Grundfunktionen R. Grimm 3 / 71 CC/Common Criteria Funktionsklassen 1. Sicherheitsprotokollierung 2. Kommunikation 3. Kryptografische Unterstützung 4. Schutz der Benutzerdaten 5. Identifikation und Authentifizierung 6. Sicherheitsmanagement 7. Privatsphäre 8. Schutz der Sicherheitsfunktionen des EVG (ToE) 9. Betriebsmittelnutzung 10. EVG-Zugriff 11. Vertrauenswürdiger Pfad/Kanal R. Grimm 4 / 71 Seite 2 2

CC: FAU - Sicherheitsprotokollierung F-AU / Audit Erzeugen von Aufzeichnungsprozessen für sicherheitsrelevante Ereignisse (z.b. Zugriffe) Erkennen, Aufzeichnen, Speichern, Analysieren von Ereignissen Zuordnung zu den Verantwortlichen R. Grimm 5 / 71 CC: FCO Kommunikation F-CO / Communication Identifikation: wer ist verantwortlich Integrität: wofür ist er verantwortlich Nicht-Abstreitbarkeit der Urheberschaft einer Nachricht Nicht-Abstreitbarkeit des Empfangs einer Nachricht R. Grimm 6 / 71 Seite 3 3

CC: FCS Kryptografische Unterstützung F-CS / Cryptographic Support Schlüsselmanagement Verschlüsseln und entschlüsseln von Daten/Kommunikation mit Schlüsseln und Algorithmen R. Grimm 7 / 71 CC: FDP Schutz der Benutzerdaten F-DP / Data Protection Datenauthentifikation Zugriffskontrolle Informationsflusskontrolle Import/Export von Daten bzgl. geschützter Bereiche Vertraulichkeit und Integrität der Daten R. Grimm 8 / 71 Seite 4 4

CC: FIA Identifikation und Authentifizierung F-IA / Identification and Authentication Definition und Management von Benutzer- und Sicherheitsattributen Benutzererkennung Autorisierung (Rollen von Berechtigungen) Zuordnung Benutzer-Rollen R. Grimm 9 / 71 CC: FMT Sicherheitsmanagement F-MT / Management of Target Management des Produkts (ToE) Managementrollen: Zuordnung von Sicherheitsattributen Interaktion zwischen Managern Interaktion der Manager mit ToE Zum Beispiel Separation-of-Duty R. Grimm 10 / 71 Seite 5 5

CC: FPR Privatsphäre F-PR / Privacy Schutz der Privatsphäre Schutz der Identität vor Unbefugten Informationelle Selbstbestimmung Unverkettbarkeit von Nutzeraktionen Unbeobachtbarkeit bzw. Steuerung der Verkettbarkeit/Beobachtbarkeit durch Nutzer selbst Anonymität / Pseudonymität u.a. Methoden Eigene Vorlesung über Prinzipien des Datenschutzes und über Datenspuren R. Grimm 11 / 71 CC: FPT Schutz der Sicherheitsfunktionen F-PT / Protection of Technical Security Functions Absicherung der Schutzfunktionen Absicherung der Daten der Schutzfunktionen Integrität, Konsistenz Zugriffsschutz Vertraulichkeit Wiederherstellung Synchronisierung Selbsttests R. Grimm 12 / 71 Seite 6 6

CC: FRU Betriebsmittelnutzung F-RU / Resource Usage Verfügbarkeit Rechenfähigkeit Speicherfähigkeit Fehlertoleranz Priorisierung von Zugriffen R. Grimm 13 / 71 CC: FTA EVG Zugriff F-TA / Target Access Zugriff von Nutzern auf das Produkt (TA/Security Target) Schutz von Sitzungen Begrenzung bei mehreren Sitzungen Sperrungen von Sitzungen Zugriffswarnungen Sammeln von Zugriffshistorien R. Grimm 14 / 71 Seite 7 7

CC: FTP Vertrauenswürdige Kanäle F-TP / Trusted Paths Vertrauenswürdige Kanäle zwischen den Schutzfunktionen Nutzern und Schutzfunktionen Schutzfunktionen und anderen IT-Produkten R. Grimm 15 / 71 Literaturhinweise [ ] ISO: Common Criteria for IT Security Evaluation, Version 3.1, Sep 2007. http://www.commoncriteriaportal.org/cc/ [30.4.2012] R. Grimm 16 / 71 Seite 8 8

Beispielfragen 1. (a) Benennen und erläutern Sie (kurz) die sechs ITSEC-Grundfunktionen. (b) Welches Konstrukt aus den modernen Common Criteria hat die ITSEC- Grundfunktionen verfeinert? (Funktionsklassen) (c) Benennen Sie vier (sechs/acht/alle) der elf Funktionsklassen der Common Criteria und erläutern Sie jede kurz. R. Grimm 17 / 71 Seite 9 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback