Erklärung zum Zertifizierungsbetrieb der HvS PKI



Ähnliche Dokumente
Erklärung zum Zertifizierungsbetrieb der BG

Erklärung zum Zertifizierungsbetrieb der Root-CA im FMG-KONZERN. Version 1.0 vom

Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI. - Sicherheitsniveaus: Global, Classic und Basic -

Erklärung zum Zertifizierungsbetrieb der DFN-PKI. Sicherheitsniveau Global

Erklärung zum Zertifizierungsbetrieb der DFN-PKI. Sicherheitsniveau Global

Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global -

der Uni Konstanz Server CA in der

Erklärung zum Zertifizierungsbetrieb der MDR CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der DFN-PKI

- Sicherheitsniveau: Global -

zum Zertifizierungsbetrieb der HTW-Dresden CA in der DFN-PKI Hochschule für Technik und Wirtschaft Dresden (FH) CP & CPS V1.1,

Erklärung zum Zertifizierungsbetrieb der DHBW CA in der DFN-PKI. - Sicherheitsniveau: Global -

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI

der DLR CA Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

White Paper. Konfiguration und Verwendung des Auditlogs Winter Release

Lenkung der QM-Dokumentation

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Sicherheit - Dokumentation. Erstellt von James Schüpbach

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

ITIL & IT-Sicherheit. Michael Storz CN8

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitsbestätigung und Bericht. T-Systems SE Zertifizierungsdiensteanbieter Bundesnotarkammer

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Überprüfung der digital signierten E-Rechnung

Collax -Archivierung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

BSI Technische Richtlinie

BACKUP über Internet funktionsweise & Konfiguration

Firewalls für Lexware Info Service konfigurieren

Maintenance & Re-Zertifizierung

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

IT-Grundschutz - der direkte Weg zur Informationssicherheit

openk platform Dokumentation Setup Liferay Version 0.9.1

Dokumentenlenkung - Pflicht oder Kür-

a.sign Client Lotus Notes Konfiguration

Collax Archive Howto

IT Security Investments 2003

Software-Validierung im Testsystem

Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

AMS Alarm Management System

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Dok.-Nr.: Seite 1 von 6

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Mobile-Szenario in der Integrationskomponente einrichten

GPP Projekte gemeinsam zum Erfolg führen

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Containerformat Spezifikation

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Projektmanagement in Outlook integriert InLoox 5.x Installationshilfe für Windows Terminalserver

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Kurzanleitung Datensicherungsclient (DS-Client)

Mediumwechsel - VR-NetWorld Software

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Inhalt... 1 Einleitung... 1 Systemanforderungen... 1 Software Download... 1 Prüfdokumentation... 4 Probleme... 5 Hintergrund... 5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Firewalls für Lexware Info Service konfigurieren

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

WLAN - MUW-NET, MUW-GUEST, eduroam // Howto für APPLE iphone/ipad ab ios8

Lenkung von Dokumenten und Aufzeichnungen. Studienabteilung

Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Projektmanagement in Outlook integriert

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Name Funktion Datum Unterschrift

HSR git und subversion HowTo

Checkliste zum Datenschutz in Kirchengemeinden

Software-Lizenzierung und Aktivierung: Verteilen von Software mit Apple Remote Desktop

Auf Nummer sicher. Der Kern der IT ist das beschleunigen von Arbeitsabläufen. Diesen kern pflegen wir.

Anleitung zur Datensicherung und -rücksicherung in der VR-NetWorld Software

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

1. Klicken Sie auf das Menü Datei und dort auf das Untermenü Sichern.

ERSTELLEN VON INCENTIVES IM ZANOX NETZWERK

Lehrer: Kurs wiederherstellen

Installation von Zertifikaten

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher

Mediumwechsel - VR-NetWorld Software

Outlook 2000 Thema - Archivierung

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Manuelles Enrollment Domain Controller Zertifikate

Transkript:

Erklärung zum Zertifizierungsbetrieb der HvS PKI HvS-Consulting AG Seite 1 von 10

Freigabe Datum Erstellt: Marc Ströbel Technical Security Consultant HvS-Consulting AG Genehmigt: Michael Hochenrieder Vorstand HvS-Consulting AG 07.01.2013 22.01.2013 Versionshistorie Version Datum Autor Änderungen 0.1 07.01.2013 Ströbel (HvS) IS-FOX-Template 0.2 10.0.12013 Akbaba (HvS) Anpassung sämtlicher Textstellen gem. Kommentare 1.0 22.01.2013 Hochenrieder (HvS) Finales Review & Freigabe Mitgeltende Unterlagen Dokument Zertifizierungsrichtlinie der HvS PKI Veröffentlichung http://www.hvs-consulting.de/pki HvS-Consulting AG Seite 2 von 10

Inhaltsverzeichnis 1 Einleitung... 4 1.1 Überblick...4 1.2 Dokumentenname sowie Identifikation...4 1.3 Teilnehmer der Zertifizierungsinfrastruktur (PKI)...4 1.4 Anwendungsbereich...4 1.5 Verwaltung der Zertifizierungsrichtlinie...4 1.6 Definitionen und Abkürzungen...4 2 VERÖFFENTLICHUNGEN UND VERZEICHNISDIENST... 5 2.1 Verzeichnisdienste...5 2.2 Veröffentlichung von Zertifizierungs-Informationen...5 2.3 Aktualisierung der Informationen (Zeitpunkt, Frequenz)...5 2.4 Zugangskontrolle zu Verzeichnisdiensten...5 3 IDENTIFIZIERUNG UND AUTHENTIFIZIERUNG... 5 4 ABLAUFORGANISATION (Certificate Life-cycle)... 5 5 INFRASTRUKTURELLE, ORGANISATORISCHE UND PERSONELLE SICHERHEITSMASSNAHMEN... 5 5.1 Infrastrukturelle Sicherheitsmaßnahmen...5 5.2 Organisatorische Sicherheitsmaßnahmen...6 5.3 Personelle Sicherheitsmaßnahmen...6 5.4 Überwachung / Protokollierung...7 5.5 Archivierung...7 5.6 Schlüsselwechsel der Zertifizierungsstelle...8 5.7 Kompromittierung und Wiederherstellung (disaster recovery)...8 5.8 Einstellung des Betriebs...8 6 TECHNISCHE SICHERHEITSMASSNAHMEN... 8 6.1 Schlüsselerzeugung und Installation...8 6.2 Schutz privater Schlüssel und Einsatz kryptographischer Module...8 6.3 Weitere Aspekte des Schlüsselmanagements...8 6.4 Aktivierungsdaten...8 6.5 Sicherheitsmaßnahmen für Computer...9 6.6 Technische Maßnahmen im Lebenszyklus...9 6.7 Sicherheitsmaßnahmen für das Netzwerk...9 6.8 Zeitstempel...9 7 PROFILE FÜR ZERTIFIKATE, SPERRLISTEN UND ONLINESTATUSABFRAGEN... 9 8 KONFORMITÄTSPRÜFUNG (Compliance Audit, Assessments)... 9 9 INFORMATIONEN ZUM DOKUMENT... 9 10 GLOSSAR... 10 HvS-Consulting AG Seite 3 von 10

1 Einleitung 1.1 Überblick Dieses Dokument stellt die Erklärung zum Zertifizierungsbetrieb der HvS PKI (CPS) dar. Es beschreibt Spezifikationen, Prozesse und technische Sicherheitsmaßnahmen der beiden CAs (Root-CA, Issue-CA) für die Ausstellung von Zertifikaten. Diesem Dokument zugehörig ist die Zertifizierungsrichtlinie (CP) der HvS in der jeweils aktuellen Version: "Zertifizierungsrichtlinie der HvS PKI". 1.2 Dokumentenname sowie Identifikation Diese CPS ist folgendermaßen identifiziert: Titel: Erklärung zum Zertifizierungsbetrieb der HvS PKI Version: 1.0 Object Identifier (OID): 1.3.6.1.4.1.39398.30.2.1.0 Der OID [OID] ist wie folgt zusammengesetzt: {iso(1) identified-organization(3) dod(6) internet(1) private(4) enterprise(1) HvS(39398) pki(30) cps(2) major-version(1) minor- version(0)} 1.3 Teilnehmer der Zertifizierungsinfrastruktur (PKI) 1.3.1 Zertifizierungsstellen 1.3.2 Registrierungsstellen 1.3.3 Zertifikatsinhaber (Subscribers) 1.3.4 Zertifikatsprüfer (Relying Parties) 1.3.5 Weitere Teilnehmer 1.4 Anwendungsbereich 1.5 Verwaltung der Zertifizierungsrichtlinie 1.6 Definitionen und Abkürzungen HvS-Consulting AG Seite 4 von 10

2 VERÖFFENTLICHUNGEN UND VERZEICHNISDIENST 2.1 Verzeichnisdienste 2.2 Veröffentlichung von Zertifizierungs-Informationen 2.3 Aktualisierung der Informationen (Zeitpunkt, Frequenz) 2.4 Zugangskontrolle zu Verzeichnisdiensten 3 IDENTIFIZIERUNG UND AUTHENTIFIZIERUNG 4 ABLAUFORGANISATION (Certificate Life-cycle) 5 INFRASTRUKTURELLE, ORGANISATORISCHE UND PERSONELLE SICHERHEITSMASSNAHMEN 5.1 Infrastrukturelle Sicherheitsmaßnahmen 5.1.1 Einsatzort und Bauweise Die Komponenten der PKI sind in den speziell gesicherten Rechenzentren der HvS untergebracht. 5.1.2 Räumlicher Zugang Nur autorisierte Personen haben Zutritt zu den Rechenzentren der HvS. 5.1.3 Stromversorgung und Klimaanlagen Die Rechenzentren von HvS sind mit einer Notstromversorgung ausgestattet und klimatisiert. 5.1.4 Gefährdung durch Wasser In den Rechenzentren von HvS wurden Vorkehrungen gegen Überschwemmung und Wassereinbruch getroffen. 5.1.5 Brandschutz Die Rechenzentren von HvS sind mit Rauchmeldern und Löscheinrichtungen gemäß der gesetzlichen Anforderungen ausgestattet. HvS-Consulting AG Seite 5 von 10

5.1.6 Aufbewahrung von Datenträgern Alle Daten werden innerhalb der Rechenzentren der HvS gelagert. HvS betreibt zwei räumlich voneinander getrennte Rechenzentren. 5.1.7 Externe Datensicherung 5.2 Organisatorische Sicherheitsmaßnahmen 5.2.1 Rollenkonzept 5.2.2 Anzahl involvierter Personen pro Aufgabe 5.2.3 Identifizierung und Authentifizierung jeder Rolle 5.2.4 Rollen, die eine Aufgabentrennung erfordern 5.3 Personelle Sicherheitsmaßnahmen 5.3.1 Anforderungen an Mitarbeiter Die Mitarbeiter der HvS PKI müssen mit folgenden Themen vertraut sein: Zertifikate und das Zusammenspiel mit dem Schlüsselmaterial Rollenkonzept der HvS PKI Prozesse der HvS PKI Datenschutz und Informationssicherheit bei HvS bzw. der HvS PKI 5.3.2 Sicherheitsüberprüfung der Mitarbeiter 5.3.3 Anforderungen an Schulungen Bei HvS werden ausschließlich qualifizierte Mitarbeiter eingesetzt, für die regelmäßig geeignete Schulungen durchgeführt werden. Mitarbeiter erhalten erst nach Nachweis der notwendigen Fachkunde die Berechtigung, spezifische Rollen auszuführen. 5.3.4 Häufigkeit und Anforderungen an Fortbildungen Die Frequenz der Schulungen orientiert sich an den Anforderungen der PKI. Schulungen müssen insbesondere bei der Einführung neuer Richtlinien, IT-Systeme und Sicherheitstechnik durchgeführt werden. 5.3.5 Häufigkeit und Ablauf von Arbeitsplatzwechseln 5.3.6 Sanktionen für unerlaubte Handlungen Unautorisierte Handlungen, die die Sicherheit der IT-Systeme der PKI gefährden oder gegen Datenschutzbestimmungen verstoßen, werden disziplinarisch geahndet. Bei strafrechtlicher Relevanz werden die zuständigen Behörden informiert. HvS-Consulting AG Seite 6 von 10

5.3.7 Anforderungen an unabhängige, selbstständige Zulieferer 5.3.8 Dokumentation für Mitarbeiter Den Mitarbeitern der PKI steht neben CP und diesem CPS die Dokumentation der PKI zur Verfügung. 5.4 Überwachung / Protokollierung 5.4.1 Überwachte Ereignisse Zur Abwehr von Angriffen und zur Kontrolle der ordnungsgemäßen Funktion der PKI werden u.a. nachfolgende Ereignisse in Form von Log-Dateien oder Papierprotokollen erfasst: Bootvorgänge fehlgeschlagene Login-Versuche Eingang und Genehmigung von Zertifikatanträgen und Sperranträgen Ausstellung und Sperrung von Zertifikaten Einrichtung und Änderung von Rollenzuordnungen und Berechtigungen 5.4.2 Häufigkeit der Protokollanalyse Eine Überprüfung der Protokolldaten findet regelmäßig mindestens einmal pro Quartal statt. Bei Verdacht auf außergewöhnliche Ereignisse werden Sonderprüfungen vorgenommen. 5.4.3 Aufbewahrungsfrist für Protokolldaten Die Aufbewahrungsdauer von Dokumenten und Zertifikaten entspricht mindestens der Gültigkeitsdauer des Zertifikats der CA, mit dem das Zertifikat des Zertifikatnehmers erstellt wurde, zuzüglich eines Jahres. 5.4.4 Schutz von Protokolldaten Elektronische Logdateien werden mit Mitteln des Betriebssystems gegen Zugriff, Löschung und Manipulation geschützt und sind nur den System- und Netzwerkadministratoren zugänglich. 5.4.5 Backup der Protokolldaten Die Protokolldaten werden zusammen mit anderen relevanten Daten der PKI einem regelmäßigen Backup unterzogen. 5.4.6 Überwachungssystem (intern oder extern) 5.4.7 Benachrichtigung bei schwerwiegenden Ereignissen Bei schwerwiegenden Ereignissen wird unverzüglich der IT-Sicherheitsbeauftragte der HvS informiert. In Zusammenarbeit mit den Systemadministratoren werden notwendige Aktionen festgelegt, um auf die Ereignisse adäquat reagieren zu können, ggf. wird die Geschäftsleitung informiert. 5.4.8 Schwachstellenanalyse Mindestens einmal alle drei Jahre findet eine Schwachstellenuntersuchung im Rahmen eines Audits durch externe Dienstleister statt. 5.5 Archivierung 5.5.1 Archivierte Daten HvS-Consulting AG Seite 7 von 10

5.5.2 Aufbewahrungsfrist für archivierte Daten 5.5.3 Schutz der Archive 5.5.4 Backup der Archive (Datensicherungskonzept) 5.5.5 Anforderungen an Zeitstempel 5.5.6 Archivierungssystem (intern oder extern) 5.5.7 Prozeduren für Abruf und Überprüfung archivierter Daten 5.6 Schlüsselwechsel der Zertifizierungsstelle Falls ein Schlüssel der CA kompromittiert wurde, gelten die in Abschnitt 5.7aufgeführten Regelungen. Nach Erzeugung eines neuen CA-Schlüssels muss dieser gemäß Kapitel 2 veröffentlicht werden. 5.7 Kompromittierung und Wiederherstellung (disaster recovery) 5.8 Einstellung des Betriebs 6 TECHNISCHE SICHERHEITSMASSNAHMEN 6.1 Schlüsselerzeugung und Installation 6.2 Schutz privater Schlüssel und Einsatz kryptographischer Module 6.3 Weitere Aspekte des Schlüsselmanagements 6.4 Aktivierungsdaten HvS-Consulting AG Seite 8 von 10

6.5 Sicherheitsmaßnahmen für Computer Die Root-CA wird offline als Standalone-System betrieben. Diese wird nur halbjährlich zur Aktualisierung der CRLS / Patching etc. online geschaltet. Die Issue-CAs laufen als Onlinesysteme in dedizierten Netzen und werden regelmäßig gepatcht bzw. gehärtet. 6.6 Technische Maßnahmen im Lebenszyklus Jede CA muss in ihrem CPS den Lebenszyklus der Sicherheitsmaßnahmen beschreiben. 6.6.1 Maßnahmen der Systementwicklung 6.6.2 Maßnahmen im Sicherheitsmanagement 6.6.3 Lebenszyklus der Sicherheitsmaßnahmen 6.7 Sicherheitsmaßnahmen für das Netzwerk Das Netzwerk ist in verschiedene Sicherheitszonen unterteilt, die jeweils durch ein Firewallsystem voneinander abgeschottet sind. Darüber hinaus werden zur Abwehr von Angriffen aus dem Internet, wie auch aus dem Intranet, Intrusion Prevention bzw. Detection sowie SIEM Systeme eingesetzt. Kritische Sicherheitsvorfälle werden unverzüglich durch die PKI-Administration verfolgt und bearbeitet. Auf allen Firewalls ist ein Regelwerk aktiviert, das nur den in einer definierten Kommunikationsmatrix erlaubten Netzwerkverkehr zulässt. 6.8 Zeitstempel 7 PROFILE FÜR ZERTIFIKATE, SPERRLISTEN UND ONLINESTATUSABFRAGEN 8 KONFORMITÄTSPRÜFUNG (Compliance Audit, Assessments) 9 INFORMATIONEN ZUM DOKUMENT HvS-Consulting AG Seite 9 von 10

10 GLOSSAR HvS-Consulting AG Seite 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback