Upload
till-lech
View
102
Download
0
Embed Size (px)
Citation preview
24.11.2003 [email protected] 1
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Österreichisches IT-SicherheitshandbuchInformationsveranstaltung am 14.11.2003
Rolle von A-SIT
Manfred Holzbach
Zentrum für sichere Informations-technologie Austria, A-SIT
24.11.2003 [email protected] 2
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Inhaltsübersicht• About A-SIT• A-SIT und das BKA• Warum SIHA ?• Internationale Standards• Warum Version 2.1 ?• Perspektiven
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 3
About A-SIT (www.a-sit.at)21.Mai 1999 Gründung durchBund, OeNB, TU GrazSeit 2003 SFG
Notwendigkeiten:Bestätigungsstelle (SigG Infrastruktur)Zahlungssystemaufsicht-InfrastrukturSystemische Unterstützungöffentlicher InstitutionenTechnologiebeobachtung
2 Standorte Wien, Graz13 feste MA
Kompetent, neutral,Verfügbar, schlank
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 4
About A-SIT (www.a-sit.at)21.Mai 1999 Gründung durchBund, OeNB, TU GrazSeit 2003 SFG
Notwendigkeiten:Bestätigungsstelle (SigG Infrastruktur)Zahlungssystemaufsicht-InfrastrukturSystemische Unterstützungöffentlicher InstitutionenTechnologiebeobachtung
2 Standorte Wien, Graz13 feste MA
Kompetent, neutral,Verfügbar, schlank
Thema:IT-Sicherheit
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 5
About A-SIT (www.a-sit.at)21.Mai 1999 Gründung durchBund, OeNB, TU GrazSeit 2003 SFG
Notwendigkeiten:Bestätigungsstelle (SigG Infrastruktur)Zahlungssystemaufsicht-InfrastrukturSystemische Unterstützungöffentlicher InstitutionenTechnologiebeobachtung
Schwerpunkte:E-Government Si-TechnikE-PaymentsTechnologie: Signatur, Verschlüsselung,Chipkarten„Grundschutz“Si-Policies, Si-Normen„Grundschutz“
2 Standorte Wien, Graz13 feste MA
Akkreditierung ab 2004:ZertifizierungsstelleÜberwachungsstelle
Kompetent, neutral,Verfügbar, schlank
Thema:IT-Sicherheit
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 6
A-SIT und BKA
Weißbuch Bürgerkarte 2001
SIHA Überarbeitung 2001
SSL Strategiepapier 2003
SIHA Überarbeitung 2003 Amtsgutachten für DSK ab 2003
CIO Stabsstelle: gibt vorStrategien, Konzepte, Regelwerke
A-SIT: unterstützt, untersuchtAusarbeitung, Prototypen,
Security Layer Prototyp 2002
E-Gov Gütesiegel Streitfälle
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 7
A-SIT und das SIHA
Grundschutz-Handbuch BSI-D
Österr. Gegeben-heiten
Gesetze, NormenSIHA 1998 (BMI)
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 8
A-SIT und das SIHA
Grundschutz-Handbuch BSI-D
Österr. Gegeben-heiten
Gesetze, NormenSIHA 1998 (BMI)
SIHA 2001 (BMÖLS-ASIT)
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 9
A-SIT und das SIHA
Grundschutz-Handbuch BSI-D
Österr. Gegeben-heiten
Gesetze, NormenSIHA 1998 (BMI)
SIHA 2001 (BMÖLS-ASIT) e-Government
IKT-Board
Koop.-Vereinbarung
BSI-ASIT
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 10
A-SIT und das SIHA
Grundschutz-Handbuch BSI-D
Österr. Gegeben-heiten
Gesetze, NormenSIHA 1998 (BMI)
SIHA 2001 (BMÖLS-ASIT)
SIHA 2003 (BKA-ASIT)
e-GovernmentIKT-Board
Neue Darstellung
Koop.-Vereinbarung
BSI-ASIT
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 11
Warum SIHA ?
• IT-Sicherheit = integraler Bestandteil von IT-Systemen (Entwicklung, Betrieb)
• Ermitteln von Si-Zielen und Si-Strategien• einheitliche Vorgehensweise und Terminologie• Leitlinien und Vorgaben, basierend auf
internationalen Richtlinien und Normen, österreichischen Rechtsnormen, Standards, Terminologien
• präzise Formulierungen, effiziente Umsetzbarkeit in die Praxis
• NEU: Checklisten zur Überprüfung der Umsetzung
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 12
• ISO 13335 Guidelines on the Management of IT-Security (GMITS)
• IT-Grundschutzhandbuch des BSI (IT GSHB)
• BS 7799 / ISO 17799 / A 7799
SIHA / Internationale Standards
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 13
ISO 13335 GMITSGuidelines on the Management of IT-Security
• Part 1 (1996): Concepts and models for IT Security
• Part 2 (1997): Managing and planning IT Security
• Part 3 (1998): Techniques for the management of IT Security
• Part 4 (2000): Selection of Safeguards• Part 5 (2001): Management Guidance
on network security
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 14
ISO 13335 GMITSGuidelines on the Management of IT-Security
Teil 1 SIHB
Parts 1,2,3GMITS
Teil 2 SIHB
Parts 4,5GMITS
Teil 3Checklisten
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 15
IT-Grundschutzhandbuch (GSHB)
• Herausgeber: BSI• Sehr detailliert, konkret und daher umfangreich• Schwerpunkt: Maßnahmenkataloge zur
Gewährleistung eines Standard-Sicherheitsniveaus
• Bereiche: Infrastruktur Hard- und SoftwareOrganisation Kommunikation Personal Notfallvorsorge
• Aktualisierung und Erweiterung alle 6 - 9 Monate• www.bsi.bund.de
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 16
GSHB - SIHA
Teil 2 SIHA
GSHB
Teil 1 SIHA
Checklisten
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 17
BS 7799 / ISO 17799
Part 2: BS 7799-2 „Specification for information security management systems“
• Basis für formales Verfahren zu Zertifizierung• High-Level, daher nicht konkret
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 18
BS 7799
Teil 1 SIHB
BS 7799
Teil 2 SIHB
Checklisten
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 19
Warum SIHA Version 2.1 ?
• Inhaltliche Anpassung=> z.B. Änderungen im dt. GSHB
• Normative Anpassungen=> z.B. ISO-IEC 17799
• Neue Regelwerke=> z.B. InfoSiG, IKT-Board Beschlüsse
• Neue Erfordernisse=> Checklisten zur Erfüllung=> Tools zur Konformitätsbeurteilung=> Benutzer- und servicefreundliche Darstellung (XML)
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 20
Warum SIHA Version 2.1 ?
• Inhaltliche Anpassung=> z.B. Änderungen im dt. GSHB
• Normative Anpassungen=> z.B. ISO-IEC 17799
• Neue Regelwerke=> z.B. InfoSiG, IKT-Board Beschlüsse
• Neue Erfordernisse=> Checklisten zur Erfüllung=> Tools zur Konformitätsbeurteilung=> Benutzer- und servicefreundliche Darstellung (XML)
e-Government= strategisches Ziel
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 22
Wo gibt es das SIHA ?
KlassischePDF-Version
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 23
Wo gibt es das SIHA ?
KlassischePDF-Version
NeueXML-Version
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 24
Perspektiven
• Inhaltliche Weiterentwicklung=zwingend, sonst nicht aktuell
• Weiterentwicklung der Tools=> Handhabbarkeit, Added Value
• Nutzbarkeit für die Wirtschaft (Bedarf KMUs)=> inhaltlich gegeben, aber:=> durchgestyltes Produkt erforderlich=> spezifische Anforderungen an Checklisten=> Awareness, Akzeptanz
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
24.11.2003 [email protected] 25
Perspektiven
• Inhaltliche Weiterentwicklung=zwingend, sonst nicht aktuell
• Weiterentwicklung der Tools=> Handhabbarkeit, Added Value
• Nutzbarkeit für die Wirtschaft (Bedarf KMUs)=> inhaltlich gegeben, aber:=> durchgestyltes Produkt erforderlich=> spezifische Anforderungen an Checklisten=> Awareness, Akzeptanz
• => „Vermarktung“ notwendig
• Vorschlag: Kooperation mit WKÖ
24.11.2003 [email protected] 26
I T –
S I C
H E
R H
E I T
S H
A N
D B
U C
H
Wir danken für Ihre Aufmerksamkeit
A-SIT, Zentrum für sichere Informationstechnologie – Austria
Manfred.Holzbach@a-sit. at
http://www.a-sit.at Unterstützung IT-Sicherheitshandbuch