„Common Criteria“ auch in der Schweiz ? Internationale IT Sicherheitsnormen und Standards

Unter den Gesichtspunkten des Datenschutz und der Informatiksicherheit werden weltweit Normen zur Definition und Bewertung, Organisatorische Kriterien Kataloge, Anforderungsprofile an Applikationen und Funktionen geschaffen.

Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie

Die drei Grund-Säulen der Informatik-Sicherheit:

Intergrität (Integrity): Es darf auf keine weise und niemandem möglich sie , zufällig oder unberechtigt Daten zu verändern

Vertraulichkeit (Confidetiality): Nur wer berechtigt ist, darf Zugriff auf die für ihn bestimmte Daten und Bearbeitungsmöglichkeit erhalten

Verfügbarkeit (Availablitity): Die Daten müssen jederzeit verlustfrei zur Verfügung stehen

Die Common Criteria für Information Technology Security Evaluation (CC), und der Partner Common Methodology for Information Technology Security Evaluation (CEM) bilden die technische Basis für ein internationales Abkommen, das Common Criteria Recognition Arrangement (CCRA)

Die CC (Common Criteria) ist die treibende Kraft für die breiteste verfügbare gegenseitige Anerkennung von sicheren IT-Produkten.

Der Datenschutz und die Informatiksicherheit weisen in der Umsetzung eine grosse Schnittmenge auf. Datenschutz seinerseits bezieht die Anforderungen aus den Gesetzlichen Rahmenbedingen.
Der Datenschutz beschreibt zunächst die Bedingungen unter welchen Umständen die Beschaffung und Verarbeitung der Personen bezogenen Daten zulässig ist. In der Umsetzung kann auf Informatiksicherheit nicht verzichtet werden.

Datenschutz in der Informatiksicherheit, regelbare Begriffe:

Beschaffung Personenbezogener Daten
Speicherung solcher Daten
Transparenz diesbezüglich
Nachvollziehbarkeit

Notwendigkeit Personenbezogene Daten zu speichern / protokollieren

automatische Löschung schützenswerter Daten

Übermittlung schützenswerter Daten

Die Umsetzung des Datenschutz in der Praxis kann sehr komplexen werden.

Ich möchte einen SPAM Filter, aber meine Persönlichen Informationen sollen dabei nicht verarbeitet werden.
Ich möchte Daten in der Cloud speichern, der Betreiber aber soll die aber Anonymisiert verarbeiten (Queries)
Malware in den Netzen soll frühzeitig erkannt und bekämpft werden können, aber ohne mein Klartext Datenaufkommen zu scannen.
Fingerabdruck-Leser-Handy, Schutz der Biometrischen Daten „by Design“ und „by Default“.

Lösungsansätze:

Notwendigkeit (weniger ist mehr) Personenbezogene Daten zu erfassen / protokollieren / speichern
Synchrone / Asynchrone Verschlüsselung bei Speicherung und Übermittlung
Informationsreduktionsverfahren durch Pseudonymisierung. Homomorphen Kryptosysteme dabei werden Daten verschlüsselt verarbeitet. Anwendungsgebiete:
- eVoting
- elektronische Patienten Akten
- Spam Filter
- Cloud Speicher und Applikationen
- Online Auktionen

Zertifizierung von IT Sicherheit → TCSEC (USA) und ITSEC (EU) zu Common Criteria und ISO/IEC 15408

Die Evaluierung und Zertifizierung der Sicherheit von IT-Systemen erfordert die Festlegung von IT-Sicherheitskriterien und die Beschreibung von Schemata zur Bewertung von Sicherheitsvorkehrungen für eine transparente Prüfung.

Um die Umsetzung von sicherheitstechnischen Massnahmen zu überprüfen wurden verschiedene Normen eingeführt, welche diese Prüfung ermöglichen.

Da sind zum einen die amerikanische Normen TCSEC (Trusted computer System Evalua tion criteria). Sie werden umgangssprachlich auch als Orange Book bezeichnet. (Sicherheitsstufen von A – D; A = sehr sicher). Die Norm stammt im Wesentlichen aus den Jahren 1983 bis 1985 und wurde 2003 durch die internationalen »Common Criteria«-Standards ersetzt.

ITSEC (Information Technology Security Evaluation Criteria) beschreibt seit 1991 Normen in Europa und ist mittlerweile in Common Criteria aufgegangen. (je 5 Sicherheits-Klassen für Qualität und Funktionalität.)

Die Common Criteria liegen mittlerweile in Version 3.x vor und wurden zum internationalen Standard ISO/IEC 15408 erklärt.

ISO/IEC 15408 – Common Criteria

ISO/IEC 15408-1: Einführung und allgemeines Modell
ISO/IEC 15408-2: funktionale Sicherheitsanforderungen
ISO/IEC 15408-3: Anforderungen an die Vertrauenswürdigkeit

Bewertung der Funktionalität (Funktionsumfang) betrachteten Systems

Funktionsklassen (nicht hierarchisch) Beschreiben Funktion der Sicherheitsachidektur, zusammengefasst werden sie in einem Schutzprofil (PP Protection Profile) wiedergegeben.

FAU (Sicherheitsprotokollierung)
FCO (Kommunikation)
FCS (Kryptographische Unterstützung)
FDP (Schutz der Benutzerdaten)
FIA (Identifikation und Authentisierung)
FMT (Sicherheitsmanagement)
FPR (Privatsphäre)
FPT (Schutz der Sicherheitsfunktionen)
FRU (Betriebsmittelnutzung)
FTA (Schnittstelle)
FTP (vertrauenswürdiger Pfad/Kanal)

Bewertung er Vertrauenswürdigkeit (Qualität) betrachteten Systems.

7 Stufen der Vertrauenswürdigkeit eines IT-Systems (Evaluation Assurance Level, kurz EAL), die mit EAL1 bis EAL7 bezeichnet werden. Mit steigender Stufe steigen die Anforderungen an die Dokumentation und Prüfung eines Produktes.

EAL 1: funktionell getestet
EAL 2: strukturell getestet
EAL 3: methodisch getestet und überprüft
EAL 4: methodisch entwickelt, getestet und geprüft
EAL 5: semiformal entwickelt und getestet
EAL 6: semiformal verifizierter Entwurf und getestet
EAL 7: formal verifizierter Entwurf und getestet

Nur für EAL7 ist die vollständige Source Code Prüfung nötig.

Den “Evaluation Assurance Level” (EAL1-7) zugrunde liegen “Assurance Classes”.

Je höher das “Assurance Level” je detaillierter die Assurance Components

Entnommen aus dem Originaldokument CCPART3V3.1R4 Seiten 30 – 45

EAL 4

Aus der Liste Zertifizierter Produkte:

Beispiel OS: Suse Linux Enterprise Server EAL 4+

Zertifizierung von IT Sicherheit → Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit IT-Grundschutz

Das BSI IT-Grundschutz-Zertifikat deckt seit 2006 auch die Internationale Zertifizierungs-Norm Informationssicherheitsmanagementsysteme ISMS (ISO 27001) ab. Implementiert ist auch ISO/IEC 27006 Personenzertifizierung der Auditoren.

BSI IT-Grundschutzkataloge mit Bausteinen im Schichtmodel

Baustein B4 Netze → B4.6 WLAN

Baustein Datenschutz B 1.5 (5. Untergruppe im Baustein 1 „Übergreifende Aspekte“)

Zusätzliche Gefährdungslagen aus Sicht des Datenschutzes, Gefährdungskatalog 6.1 -6-13

Ergänzende Maßnahmenbündel für den Bereich Datenschutz, zusätzliche Massnahmenkatalog 7.1. – 7.15 (BSI BausteinDatenschutz)

BSI ISO 27001 Zertifikat auf der Basis von IT-Grundschutz

Um die erfolgreiche Umsetzung von IT-Grundschutz nach aussen sichtbar machen zu können, besteht die Möglichkeit der ISO 27001 Zertifizierung von IT-Produkten und IT-Systemen.

Schutzprofile (PP Protection Profile) nach Common Criteria (CC) für IT-Produkte. Durch das Verfassen von Schutzprofilen kann das BSI Mindeststandards für bestimmte Produktgruppen setzen. Mit der Zertifizierung eines Schutzprofils wird der Nachweis erbracht, dass das Schutzprofil vollständig, konsistent und technisch stimmig ist.

Beispiel:

Schutzprofil (PP Protection Profile) in Evaluierung: VPN-Konzentrator

]

Zertifizierungs Bericht: PBSI-DSZ-CC-0487-2009

NXP Mifare DESFire8 MF3ICD81 V0C/004 Secure SmartCard Controller with Embedded Software from NXP Semiconductors Germany GmbH

Wie wir aus dem Text entnehmen können wurde bei der Zertifizierung das bestehende PP Protection Profile: BSI-PP-0002-2001 (Smartcard IC Platform Protection Profile Version 1.0) wieder verwendet.

CertificationReportMifare; BSI-PP-0002-2001;

Das BSI ist als nationale Sicherheitsbehörde ermächtigt , Sicherheitszertifikaten für informationstechnische Systeme oder Komponenten zu erteilen (§9 BSIG , 14.August 2009). Im Gegensatz zu privatwirtschaftlichen Organisationen, braucht sie selber keine Akkreditierung als Zertifizierungsstelle.

Prüfung und Bewertung von IT-Produkten und -Systemen durch vom BSI anerkannte Prüfstellen

Das BSI schreibt: „Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet“.

Zertifizierung IT Sicherheit und Datenschutz → EuroPrisSe (das Europäische Datenschutz Siegel für IT Produkte und IT Services)

EuroPriSe ermöglicht die Zertifizierung von IT-Produkten und IT-basierten Dienstleistungen. Die Systematik für die Beurteilung der Informatik Sicherheit nach CC oder BSI ist integriert.

EuroPriSe das Europäische Datenschutz Siegel startete im Juni 2007 als Pilotprojekt, das mit 1,3 Millionen Euro durch das eTEN-Programm der Europäischen Kommission finanziert wurden.

Im Kriterienkatalog ersichtlich die Ausrichtung der Abklärungen auf Datenschutz spezifische Aspekte:

1.1.2.1 Persönliche Daten

(Artikel 2 (a) der Richtlinie 95/46/EG)

Relevante Fragen:

Werden personenbezogene Daten verarbeitet, wenn das Produkt oder die Dienstleistung wird verwendet?
Wenn ja: Welche der Daten verarbeitet, wenn das Produkt oder die Dienstleistung verwendet darstellenpersonenbezogene Daten?

3.1.7 Temporäre Dateien

Produkt-und Service:

Erstellt das Produkt oder die Dienstleistung temporäre Dateien (zB temporäre KopienDokumente die von Textverarbeitungs-Software verarbeitet werden)?
Ist der Zugriff auf diese Daten / diese Kopien durch das Produkt oder Service kontrolliert(zB durch Dateiberechtigungen nur für den Benutzer der das Originaldokument bearbeitet)?
Werden temporäre Dateien oder -Daten automatisch gelöscht?
Wird das in einer sicheren Art und Weise durchgeführt (siehe Abschnitt 3.1.6)?
existiert ein automatisiertes Verfahren, das warnt, wenn einige temporäre Dateiennicht richtig geschlossen / entfernt wurden, und das dann die Möglichkeit bietet, diesezuverlässig zu Löschen?

3.2.1 Verschlüsselung

Produkt-und Service:

Ist Verschlüsselung geeignet für den Datentransport via Medien und unsicheren Netzwerken?
Wird Verschlüsselung für beim Login Verfahren verwendet (z. B. Datenbanken oder Back-up)?
Wenn die Verschlüsselung nicht im Lieferumfang enthalten ist, wird der Anwender im Manual darauf hingewiesen?
Ist die Verschlüsselung effektiv? (Schlüssellänge, bekannte Algorithmen, etc.)
Wie sind Schlüssel verwaltet?
Was passiert, wenn Schlüssel verloren / vergessen?
Werden Schlüssel in einer sicheren Weise übertragen (z. B. Schlüssel für Festplatten-Verschlüsselung vongehosteten Servern)?

Zertifizierung

Das Verfahren besteht aus einer Evaluation des Produktes oder Dienstes durch akkreditierte rechtliche und technische Gutachter und eine Validierung des Evaluations-Gutachtens durch eine unabhängige Zertifzierungsstelle mit Sitz beim Datenschutzbeauftragten des Landes Schleswig-Holstein in Kiel, Deutschland.

Auszug aus der Expertenliste, Schweiz:

Zertifizierungs-Norm Informationssicherheitsmanagementsysteme ISMS ISO/IEC 27000 - 27016 / 27799

Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Wikipedia

ISO/IEC 27000:2009, Managementsystem für Informationssicherheit — Übersicht und Vokabular

ISO/IEC 27001:2005, Managementsystem für Informationssicherheit — Anforderungen

ISO/IEC 27002:2005, Leitfaden für Informationssicherheits-Management

ISO/IEC 27003:2010, Umsetzungsleitlinien für Informationssicherheits-Management

ISO/IEC 27004:2009, Managementsystem für Informationssicherheit — Metrik

ISO/IEC 27005:2011, Informationssicherheit — Risikomanagement

ISO/IEC 27006:2011, Anforderungen an Anbieter von Zertifizierung und Überwachung für Informationssicherheits-Managementsysteme.

ISO/IEC 27007:2011, Richtlinien für Informationssicherheits-Managementsystem Prüfung

ISO/IEC TR 27008:2011, Richtlinien für Revisoren von Informationssicherheits-Managementsystem Überprüfungen

ISO/IEC 27010:2012, Richtlinien für die Kommunikation zwischen Abteilungen und Organisationen im Informationssicherheits-Managementsystem

ITU-T X.1051 | ISO/IEC 27011:2008, Richtlinien für Informationssicherheits-Managementsysteme von Telekommunikations-Unternehmen auf der Basis von ISO/IEC 27002

ISO/IEC FDIS 27013, Richtlinien für die Integrierte Umsetzung von ISO/IEC 27001 and ISO/IEC 20000-1

ITU-T X.1054 | ISO/IEC FDIS 27014, Governance der Informationssicherheit

ISO/IEC TR 27015, Richtlinien für Informationssicherheits-Managementsysteme im Finanzsektor

ISO/IEC WD 27016, Managementsystem für Informationssicherheit – Organisatorische Ökonomie

ISO/IEC 27017 (in Entwicklung: Richtlinien für Informationssicherheit in einer Cloud – Kontrollfunktionen auf Basis (27002)

ISO/IEC 27018:2014, Informationssicherheit — In einer Cloud, Richtlinien für den Schutz von Personenbezogenen Daten

Internationale Standards die nicht unter demselben Titel genannt werden die aber Teil der ISMS Standards sind:

ISO 27799:2008, Medizinische Informatik — Managementsystem für Informationssicherheit im Gesundheitswesen auf der Basis von ISO/IEC 27002

Original Dokument ITTF: c056891_ISO_IEC_27000_2012(E).pdf

SOG-IS (Senior Officials Group for Information Security) Abkommen zur Anerkennung Nationaler Zertifikate Europaweit

Teilnehmer in diesem Vertrag sind staatliche Organisationen oder Behörden aus Ländern der Europäischen Union oder der EFTA (European Free Trade Association), die ihr Land vertreten. Sei Juni 2011 sind folgende nationalen Stellen in der Vereinbarung vertreten:

Austria, Bundeskanzleramt
Finland, FICORA – Finnish Communications Regulatory Authority
France, ANSSI – Agence Nationale de la Sécurité des Systèmes d’Information
Germany, BSI – Bundesamt für Sicherheit in der Informationstechnik
Italy, OCSI – Organismo di Certificazione della Sicurezza Informatica
The Netherlands , NLNCSA – Netherlands National Communications Security Agency, Ministry of the Interior and Kingdom Relations
Norway, SERTIT – Norwegian National Security Authority operates the Norwegian Certification Authority for IT Security
Spain, CCN – Centro Criptológico Nacional, Organismo de Certificación de la Seguridad de las Tecnologías de la Información
Sweden, FMV – Försvarets Materielverk
United Kingdom, CESG – Communications-Electronics Security Group

Die Teilnehmer arbeiten zusammen, um:

Koordinieren der Standardisierung der Common Criteria Schutzprofile und Zertifizierungs Policen zwischen den europäischen Zertifizierungsstellen, um eine gemeinsame Position in den schnell wachsenden internationalen CCRA (Common Criteria Recognition Arrangement (CC RA) Gruppe haben.
Koordination der Entwicklung von Schutz-Profilen, immer dann wenn die Europäische Kommission eine direktive erlässt, die in nationales Recht umgesetzt werden sollte und Gegenstand der IT-Sicherheit ist.
Die Vereinbarung sieht für Mitgliedsstaaten in zwei grundlegende Möglichkeiten teilzunehmen:1. Als Bescheinigter Zertifikat Anwender und2. Als Produzenten von Zertifikaten

Für Zertifikat produzierenden Ländern gibt es auch zwei Ebenen der Anerkennung innerhalb der Vereinbarung:

1. Zertifikat Anerkennung bis EAL4 (wie in CCRA)

2. Zertifikat Anerkennung auf höheren Ebenen für definierte technischen Bereichen, wenn Systeme durch den Verwaltungsausschuss für diese Ebene genehmigt wurden.

CCRA (Common Criteria Recognition Arrangement) Anerkennung Nationaler Zertifikate International

Zweck den die Mitglieder verfolgen:

Sicherzustellen, dass die Evaluation der IT-Produkte und Schutz Profile auf hohem und gleichbleibendem Standard durchgeführt werden und dies das Vertrauen in die Sicherheit dieser Produkte und Profile fördert;
Die Verfügbarkeit von evaluierten mit verstärkter Sicherheit versehenen IT-Produkte und Schutz Profile zu verbessern;
Die Doppelläufigkeit bei der Evaluierung von IT-Produkten und Schutz Profile zu beseitigen;
Kontinuierliche Verbesserung der Effizienz und Wirtschaftlichkeit bei der Evaluierung und Zertifizierung / Validierung für IT-Produkte und Schutz-Profile.

Mitglieder:

Australien, Kanada, Frankreich, Deutschland, Indien, Italien, Japan, Malaysia, Niederlanden, Neuseeland, Norwegen, Republik Korea, Spanien, Schweden, Türkei, Grossbritannien, USA, Österreich, Republik Tschechien, Dänemark, Finnland, Griechenland, Ungarn, Israel, Pakistan, Singapur,

Aktivitäten und Zielsetzungen in der Schweiz

Die Bundesinterne Informatik definiert die Grundsäulen der Informatiksicherheit wie folgt:

Verfügbarkeit

Vertraulichkeit

Integrität

Nachvollziehbarkeit

von Informationen und Daten.

Die für die Informatiksicherheit notwendigen Internen Standards auf der Ebene Bund werden vom Informatikstrategieorgan Bund (ISB)und der Entscheidungsinstanz Informatikrat Bund (IRB) überwacht.

Injiziert durch Anträge werden Fachgruppen geschaffen die die Details ausarbeiten.

Der Verein ech.ch schafft Standards für’s „e-Gov“ welche zum Teil vom ISB/IRB übernommen werden.

Update 04.07.2014:

EÖDB Tätigkeitsbericht 2014, 1.4.9 Expertengruppe FOGIS – Gesetzesentwurf zur Informationssicherheit

Der Bundesrat (BR) beschloss im Mai 2010, die Informationsschutzverordnung (ISchV) abzuändern und das VBS mit der Bildung einer interdepartementalen Arbeitsgruppe zu beauftragen, um einen Gesetzesentwurf zur Informationssicherheit auszuarbeiten. Dieser soll die bisher geltenden Anforderungen betreffend den Informationsschutz auf die Massnahmen zur Verbesserung der Informationssicherheit ausdehnen, die der BR am 16. Dezember 2009 beschlossen hat. Diese Massnahmen umfassen naturgemäss auch Aspekte des Datenschutzes, der wiederum von Erfordernissen des Öffentlichkeitsprinzips der Verwaltung abhängt.

Datenschutz in der Schweiz:

BV (Bundesverfassung): SR 101 (Art. 13 Abs. 2: Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.)

DatenSchutzGesetz (Art. 7 im DSG)

Verornung zum Bundesgesetz über den Datenschutz (VDSG)

https://www.admin.ch/opc/de/classified-compilation/19930159/index.html

Glossair

DSG (Daten-Schutz-Gesetz)
SAS (Schweizerische Akkreditierung Stelle)
VDSG (Verordnung zum Bundesgesetz über den Datenschutz )
VDSZ (Verordnung über die Daten-Schutz-Zertifizierungen)
EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter)
ISMS (Information Security Management System, ISO 27001)
DSMS (Daten-Schutz-Management-System)

Der EDÖB

Die Aufgabe des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) besteht in der Überwachung, Beratung, Information, Veröffentlichung und Administration bei Konflikten / Interessenwahrung zum Datenschutz auf Bundes Ebene sowie Beratungsfunktion in Privaten Bereichen.

Der EDÖB erhielt vom Bundesrat den Auftrag einen Kriterien-Katalog für die Zertifizierung von Produkten und Systemen im Datenschutzbereich zu erstellen. Abgestützt auf Bestehende Zertifizierungs Normen:

ISO/IEC 15408:2005 («Common Criteria for Information Technology Evaluations») und

«EuroPriSe Criteria Catalogue V0.3». sowie Norm ISO/IEC 20000:2005 (Information Technology – Service Management).

Eine Staatliche Prüfstelle die, Europaweit durch SOG-IS (Senior Officials Group for Information Security) und International durch CCRA (Common Criteria Recognition Arrangement) anerkannt wäre, existiert in der Schweiz noch nicht.

Die Produktevaluierung würde zunächst von einer SAS-akkreditierten (Schweizeriusche Akreditierungs Stelle) unabhängigen Prüfstelle durchgeführt. Der Evaluationsbericht dann an die staatliche Produktzertifizierungsstelle (die es in der Schweiz noch nicht gibt) vorgelegt.

SAS nicht zu verwechseln mit „Statement on Auditing Standards“ (SAS N0. 70)

Die Arbeitsgruppe kam zum Schluss das dies aus verschiedenen Gründen, (Komplexität, Rechtliche Situation, Kosten) bei bestehenden Voraussetzung nicht möglich sei.

Erfolgreich implementiert und erweitert wurde aber bisher (ISO/IEC 27001):

Durch die Einführung von der Verordnung über die Datenschutzzertifizierungen (VDSZ) 2008, wurden Richtlinien an die Anforderungen eines Daten-Schutz-Management-System (DSMS) erstellt. Hierzu hat man die bestehenden Normen Informations-Sicherheits-Management-Systeme (ISMS, ISO 27001) Erweitert (Datenschutz).

Auszug aus dem Tätigkeitsbericht 2009 Veröffentlicht vom EDÖB

Produkt- und Systemzertifizierung im Datenschutzbereich

Wir haben den Auftrag erhalten, baldmöglichst die Richtlinien zur Festlegung der spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. …

… ist der EDÖB beauftragt, bis zum 1. Januar 2010 die Richtlinien zu den spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. Diese Aufgabe dürfte aus folgenden Gründen äusserst schwierig werden:…

…Der Bereich der Produkte und Systeme unterscheidet sich deutlich vom Gebiet der Organisation, wie die auf der Norm ISO/IEC 15408:2005 beruhende Zertifizierung «Drittpartei» beweist (Kriterien zur Evaluierung der IT-Sicherheit, auch bekannt unter der englischen Bezeichnung «Common Criteria for Information Technology Evaluations»).

… Wir werden daher unsere Nachforschungen in diesem weit gefassten Gebiet fortführen, um die erwarteten Richtlinien möglichst bald herausgeben zu können.

Text ext. Link

2010 war dann im Tätigkeitsbericht des EDÖB folgendes zu lesen:

Entwicklung der Zertifizierung von Produkten und Dienstleistungen

Infolge der im Bereich der Zertifizierung von Produkten und Dienstleistungen aufgetretenen Schwierigkeiten haben wir beschlossen, unsere diesbezüglichen Tätigkeiten vorübergehend einzustellen. Wir haben das Bundesamt für Justiz um eine Klärung gewisser Fragen zur Gesetzgebung ersucht.

… Die Arbeitsgruppe gelangte zum Schluss, dass eine Zertifizierung von Informatikprodukten (Hard- und Software), gestützt beispielsweise auf den Anforderungskatalog «European Privacy Seal» (Euro-PriSe) – unter finanziellen Gesichtspunkten – in einem kleinen Markt wie dem unseren kaum in Frage käme, und dass ihr ausserdem verschiedene technische und rechtliche Hindernisse im Wege ständen…

Text ext. Link

Erläuterungen zu den «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS)

EDÖB erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem gestützt auf die internationalen Normen für Managementsysteme, insbesondere ISO/IEC 27001:2005.

„… dient dazu, die DSMS-Richtlinien im Kontext der schweizerischen Rechtsordnung mit Hinweisen auf die europäische Datenschutzgesetzgebung dazustellen, sowie die parallelen zu den entsprechenden ISO-Normen aufzuzeigen.“

Zusammenspiel DSMS -> ISMS

Original Dokument: commentaire+explicatif_d1.pdf

In der Praxis im Daten Center Betrieb bedeutet die Umsetzung von ISO 27001 & 27002 zum Beispiel:

Jede Hardware-und Software-Tätigkeit wird protokolliert und laufend überwacht

Zusätzliche Informationen:

Aus dem Bundesrecht > Systematische Rechtssammlung > Landesrecht:

780.11 Verordnung vom 31. Oktober 2001 über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF)

Art. 9¹Datenschutz und Datensicherheit

Für die Gewährleistung der Datensicherheit gelten die Verordnung vom 14. Juni 1993² zum Bundesgesetz über den Datenschutz und die Bestimmungen zur IKT-Sicherheit in der Bundesinformatikverordnung vom 26. September 2003³.

Die Anbieterinnen von Post- oder Fernmeldediensten folgen den Anweisungen des Dienstes für die Datensicherheit bezüglich der Übertragung der Überwachungsdaten. Sie sind für die Datensicherheit bis zum Übergabepunkt der Daten an den Dienst verantwortlich.

Art. 24¹Überwachbare Internetzugänge und Anwendungen

Folgende Internetzugänge können überwacht werden:

a. Zugang durch eine Wählverbindung zu einem Network Access Server;
b. Breitbandzugang (z.B. xDSL, Kabelmodem);
c. Zugang mittels Mobile Packet Data Technologie (z.B. über GPRS oder LTE);
d. kabelloser Zugang (z.B. Wi-Fi, Wimax, WLL);
e. andere Zugänge zum Netz via OSI-Schicht 2 (z.B. Ethernet über FTTH-Zugang);
f. andere Zugänge zum Netz via OSI-Schicht 3 (z.B. IP-Broadband-Zugang).

Folgende Anwendungen können überwacht werden:

a. synchrone und asynchrone elektronische Postdienste (z.B. Instant Messaging, E-Mail);
b. auf digitalen Medien basierende Fernmeldedienste (z.B. VoIP, Audio- und Videoübertragungen).

Die Problematik einer Staatlichen (unabhängigen ) Prüfstelle in Bezug auf die Staatssicherheit und einer möglichen Überwachung, wird aktuell vermehrt (NSA Wistleblowing) in den Medien reflektiert.

mITsicht

Daten Sicherheit – Normen / Standards – national und international