Unter den Gesichtspunkten des Datenschutz und der Informatiksicherheit werden weltweit Normen zur Definition und Bewertung, Organisatorische Kriterien Kataloge, Anforderungsprofile an Applikationen und Funktionen geschaffen.
Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie
Die drei Grund-Säulen der Informatik-Sicherheit:
Die Common Criteria für Information Technology Security Evaluation (CC), und der Partner Common Methodology for Information Technology Security Evaluation (CEM) bilden die technische Basis für ein internationales Abkommen, das Common Criteria Recognition Arrangement (CCRA)
Die CC (Common Criteria) ist die treibende Kraft für die breiteste verfügbare gegenseitige Anerkennung von sicheren IT-Produkten.
Der Datenschutz und die Informatiksicherheit weisen in der Umsetzung eine grosse Schnittmenge auf. Datenschutz seinerseits bezieht die Anforderungen aus den Gesetzlichen Rahmenbedingen. Der Datenschutz beschreibt zunächst die Bedingungen unter welchen Umständen die Beschaffung und Verarbeitung der Personen bezogenen Daten zulässig ist. In der Umsetzung kann auf Informatiksicherheit nicht verzichtet werden.
Datenschutz in der Informatiksicherheit, regelbare Begriffe:
Die Umsetzung des Datenschutz in der Praxis kann sehr komplexen werden. Lösungsansätze: Zertifizierung von IT Sicherheit → TCSEC (USA) und ITSEC (EU) zu Common Criteria und ISO/IEC 15408 Die Evaluierung und Zertifizierung der Sicherheit von IT-Systemen erfordert die Festlegung von IT-Sicherheitskriterien und die Beschreibung von Schemata zur Bewertung von Sicherheitsvorkehrungen für eine transparente Prüfung. Um die Umsetzung von sicherheitstechnischen Massnahmen zu überprüfen wurden verschiedene Normen eingeführt, welche diese Prüfung ermöglichen. Da sind zum einen die amerikanische Normen TCSEC (Trusted computer System Evalua tion criteria). Sie werden umgangssprachlich auch als Orange Book bezeichnet. (Sicherheitsstufen von A – D; A = sehr sicher). Die Norm stammt im Wesentlichen aus den Jahren 1983 bis 1985 und wurde 2003 durch die internationalen »Common Criteria«-Standards ersetzt. ITSEC (Information Technology Security Evaluation Criteria) beschreibt seit 1991 Normen in Europa und ist mittlerweile in Common Criteria aufgegangen. (je 5 Sicherheits-Klassen für Qualität und Funktionalität.) Die Common Criteria liegen mittlerweile in Version 3.x vor und wurden zum internationalen Standard ISO/IEC 15408 erklärt. Bewertung der Funktionalität (Funktionsumfang) betrachteten Systems Funktionsklassen (nicht hierarchisch) Beschreiben Funktion der Sicherheitsachidektur, zusammengefasst werden sie in einem Schutzprofil (PP Protection Profile) wiedergegeben. Bewertung er Vertrauenswürdigkeit (Qualität) betrachteten Systems. 7 Stufen der Vertrauenswürdigkeit eines IT-Systems (Evaluation Assurance Level, kurz EAL), die mit EAL1 bis EAL7 bezeichnet werden. Mit steigender Stufe steigen die Anforderungen an die Dokumentation und Prüfung eines Produktes. Nur für EAL7 ist die vollständige Source Code Prüfung nötig. Den “Evaluation Assurance Level” (EAL1-7) zugrunde liegen “Assurance Classes”. Je höher das “Assurance Level” je detaillierter die Assurance Components Entnommen aus dem Originaldokument CCPART3V3.1R4 Seiten 30 – 45 Zertifizierung von IT Sicherheit → Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit IT-Grundschutz Das BSI IT-Grundschutz-Zertifikat deckt seit 2006 auch die Internationale Zertifizierungs-Norm Informationssicherheitsmanagementsysteme ISMS (ISO 27001) ab. Implementiert ist auch ISO/IEC 27006 Personenzertifizierung der Auditoren. BSI IT-Grundschutzkataloge mit Bausteinen im Schichtmodel Baustein B4 Netze → B4.6 WLAN Baustein Datenschutz B 1.5 (5. Untergruppe im Baustein 1 „Übergreifende Aspekte“) Zusätzliche Gefährdungslagen aus Sicht des Datenschutzes, Gefährdungskatalog 6.1 -6-13 Ergänzende Maßnahmenbündel für den Bereich Datenschutz, zusätzliche Massnahmenkatalog 7.1. – 7.15 (BSI BausteinDatenschutz) Um die erfolgreiche Umsetzung von IT-Grundschutz nach aussen sichtbar machen zu können, besteht die Möglichkeit der ISO 27001 Zertifizierung von IT-Produkten und IT-Systemen. Schutzprofile (PP Protection Profile) nach Common Criteria (CC) für IT-Produkte. Durch das Verfassen von Schutzprofilen kann das BSI Mindeststandards für bestimmte Produktgruppen setzen. Mit der Zertifizierung eines Schutzprofils wird der Nachweis erbracht, dass das Schutzprofil vollständig, konsistent und technisch stimmig ist. Beispiel: Schutzprofil (PP Protection Profile) in Evaluierung: VPN-Konzentrator Zertifizierungs Bericht: PBSI-DSZ-CC-0487-2009 NXP Mifare DESFire8 MF3ICD81 V0C/004 Secure SmartCard Controller with Embedded Software from NXP Semiconductors Germany GmbH Das BSI ist als nationale Sicherheitsbehörde ermächtigt , Sicherheitszertifikaten für informationstechnische Systeme oder Komponenten zu erteilen (§9 BSIG , 14.August 2009). Im Gegensatz zu privatwirtschaftlichen Organisationen, braucht sie selber keine Akkreditierung als Zertifizierungsstelle. Prüfung und Bewertung von IT-Produkten und -Systemen durch vom BSI anerkannte Prüfstellen Das BSI schreibt: „Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet“. Zertifizierung IT Sicherheit und Datenschutz → EuroPrisSe (das Europäische Datenschutz Siegel für IT Produkte und IT Services) EuroPriSe ermöglicht die Zertifizierung von IT-Produkten und IT-basierten Dienstleistungen. Die Systematik für die Beurteilung der Informatik Sicherheit nach CC oder BSI ist integriert. EuroPriSe das Europäische Datenschutz Siegel startete im Juni 2007 als Pilotprojekt, das mit 1,3 Millionen Euro durch das eTEN-Programm der Europäischen Kommission finanziert wurden. Im Kriterienkatalog ersichtlich die Ausrichtung der Abklärungen auf Datenschutz spezifische Aspekte: (Artikel 2 (a) der Richtlinie 95/46/EG) Relevante Fragen: Produkt-und Service: Produkt-und Service: Zertifizierung Das Verfahren besteht aus einer Evaluation des Produktes oder Dienstes durch akkreditierte rechtliche und technische Gutachter und eine Validierung des Evaluations-Gutachtens durch eine unabhängige Zertifzierungsstelle mit Sitz beim Datenschutzbeauftragten des Landes Schleswig-Holstein in Kiel, Deutschland. Auszug aus der Expertenliste, Schweiz: Zertifizierungs-Norm Informationssicherheitsmanagementsysteme ISMS ISO/IEC 27000 - 27016 / 27799 Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Wikipedia ISO/IEC 27000:2009, Managementsystem für Informationssicherheit — Übersicht und Vokabular ISO/IEC 27001:2005, Managementsystem für Informationssicherheit — Anforderungen ISO/IEC 27002:2005, Leitfaden für Informationssicherheits-Management ISO/IEC 27003:2010, Umsetzungsleitlinien für Informationssicherheits-Management ISO/IEC 27004:2009, Managementsystem für Informationssicherheit — Metrik ISO/IEC 27005:2011, Informationssicherheit — Risikomanagement ISO/IEC 27006:2011, Anforderungen an Anbieter von Zertifizierung und Überwachung für Informationssicherheits-Managementsysteme. ISO/IEC 27007:2011, Richtlinien für Informationssicherheits-Managementsystem Prüfung ISO/IEC TR 27008:2011, Richtlinien für Revisoren von Informationssicherheits-Managementsystem Überprüfungen ISO/IEC 27010:2012, Richtlinien für die Kommunikation zwischen Abteilungen und Organisationen im Informationssicherheits-Managementsystem ITU-T X.1051 | ISO/IEC 27011:2008, Richtlinien für Informationssicherheits-Managementsysteme von Telekommunikations-Unternehmen auf der Basis von ISO/IEC 27002 ISO/IEC FDIS 27013, Richtlinien für die Integrierte Umsetzung von ISO/IEC 27001 and ISO/IEC 20000-1 ITU-T X.1054 | ISO/IEC FDIS 27014, Governance der Informationssicherheit ISO/IEC TR 27015, Richtlinien für Informationssicherheits-Managementsysteme im Finanzsektor ISO/IEC WD 27016, Managementsystem für Informationssicherheit – Organisatorische Ökonomie ISO/IEC 27017 (in Entwicklung: Richtlinien für Informationssicherheit in einer Cloud – Kontrollfunktionen auf Basis (27002) ISO/IEC 27018:2014, Informationssicherheit — In einer Cloud, Richtlinien für den Schutz von Personenbezogenen Daten Internationale Standards die nicht unter demselben Titel genannt werden die aber Teil der ISMS Standards sind: ISO 27799:2008, Medizinische Informatik — Managementsystem für Informationssicherheit im Gesundheitswesen auf der Basis von ISO/IEC 27002 Original Dokument ITTF: c056891_ISO_IEC_27000_2012(E).pdf SOG-IS (Senior Officials Group for Information Security) Abkommen zur Anerkennung Nationaler Zertifikate Europaweit Teilnehmer in diesem Vertrag sind staatliche Organisationen oder Behörden aus Ländern der Europäischen Union oder der EFTA (European Free Trade Association), die ihr Land vertreten. Sei Juni 2011 sind folgende nationalen Stellen in der Vereinbarung vertreten: Die Teilnehmer arbeiten zusammen, um: Für Zertifikat produzierenden Ländern gibt es auch zwei Ebenen der Anerkennung innerhalb der Vereinbarung: 1. Zertifikat Anerkennung bis EAL4 (wie in CCRA) 2. Zertifikat Anerkennung auf höheren Ebenen für definierte technischen Bereichen, wenn Systeme durch den Verwaltungsausschuss für diese Ebene genehmigt wurden. CCRA (Common Criteria Recognition Arrangement) Anerkennung Nationaler Zertifikate International Zweck den die Mitglieder verfolgen: Mitglieder: Australien, Kanada, Frankreich, Deutschland, Indien, Italien, Japan, Malaysia, Niederlanden, Neuseeland, Norwegen, Republik Korea, Spanien, Schweden, Türkei, Grossbritannien, USA, Österreich, Republik Tschechien, Dänemark, Finnland, Griechenland, Ungarn, Israel, Pakistan, Singapur, Die Bundesinterne Informatik definiert die Grundsäulen der Informatiksicherheit wie folgt: von Informationen und Daten. Die für die Informatiksicherheit notwendigen Internen Standards auf der Ebene Bund werden vom Informatikstrategieorgan Bund (ISB)und der Entscheidungsinstanz Informatikrat Bund (IRB) überwacht. Injiziert durch Anträge werden Fachgruppen geschaffen die die Details ausarbeiten. Der Verein ech.ch schafft Standards für’s „e-Gov“ welche zum Teil vom ISB/IRB übernommen werden. Update 04.07.2014: EÖDB Tätigkeitsbericht 2014, 1.4.9 Expertengruppe FOGIS – Gesetzesentwurf zur Informationssicherheit Der Bundesrat (BR) beschloss im Mai 2010, die Informationsschutzverordnung (ISchV) abzuändern und das VBS mit der Bildung einer interdepartementalen Arbeitsgruppe zu beauftragen, um einen Gesetzesentwurf zur Informationssicherheit auszuarbeiten. Dieser soll die bisher geltenden Anforderungen betreffend den Informationsschutz auf die Massnahmen zur Verbesserung der Informationssicherheit ausdehnen, die der BR am 16. Dezember 2009 beschlossen hat. Diese Massnahmen umfassen naturgemäss auch Aspekte des Datenschutzes, der wiederum von Erfordernissen des Öffentlichkeitsprinzips der Verwaltung abhängt. Verornung zum Bundesgesetz über den Datenschutz (VDSG) Glossair Die Aufgabe des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) besteht in der Überwachung, Beratung, Information, Veröffentlichung und Administration bei Konflikten / Interessenwahrung zum Datenschutz auf Bundes Ebene sowie Beratungsfunktion in Privaten Bereichen. Der EDÖB erhielt vom Bundesrat den Auftrag einen Kriterien-Katalog für die Zertifizierung von Produkten und Systemen im Datenschutzbereich zu erstellen. Abgestützt auf Bestehende Zertifizierungs Normen: ISO/IEC 15408:2005 («Common Criteria for Information Technology Evaluations») und «EuroPriSe Criteria Catalogue V0.3». sowie Norm ISO/IEC 20000:2005 (Information Technology – Service Management). Eine Staatliche Prüfstelle die, Europaweit durch SOG-IS (Senior Officials Group for Information Security) und International durch CCRA (Common Criteria Recognition Arrangement) anerkannt wäre, existiert in der Schweiz noch nicht. Die Produktevaluierung würde zunächst von einer SAS-akkreditierten (Schweizeriusche Akreditierungs Stelle) unabhängigen Prüfstelle durchgeführt. Der Evaluationsbericht dann an die staatliche Produktzertifizierungsstelle (die es in der Schweiz noch nicht gibt) vorgelegt. SAS nicht zu verwechseln mit „Statement on Auditing Standards“ (SAS N0. 70) Die Arbeitsgruppe kam zum Schluss das dies aus verschiedenen Gründen, (Komplexität, Rechtliche Situation, Kosten) bei bestehenden Voraussetzung nicht möglich sei. Erfolgreich implementiert und erweitert wurde aber bisher (ISO/IEC 27001): Durch die Einführung von der Verordnung über die Datenschutzzertifizierungen (VDSZ) 2008, wurden Richtlinien an die Anforderungen eines Daten-Schutz-Management-System (DSMS) erstellt. Hierzu hat man die bestehenden Normen Informations-Sicherheits-Management-Systeme (ISMS, ISO 27001) Erweitert (Datenschutz). Auszug aus dem Tätigkeitsbericht 2009 Veröffentlicht vom EDÖB Produkt- und Systemzertifizierung im Datenschutzbereich Wir haben den Auftrag erhalten, baldmöglichst die Richtlinien zur Festlegung der spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. … … ist der EDÖB beauftragt, bis zum 1. Januar 2010 die Richtlinien zu den spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. Diese Aufgabe dürfte aus folgenden Gründen äusserst schwierig werden:… …Der Bereich der Produkte und Systeme unterscheidet sich deutlich vom Gebiet der Organisation, wie die auf der Norm ISO/IEC 15408:2005 beruhende Zertifizierung «Drittpartei» beweist (Kriterien zur Evaluierung der IT-Sicherheit, auch bekannt unter der englischen Bezeichnung «Common Criteria for Information Technology Evaluations»). … Wir werden daher unsere Nachforschungen in diesem weit gefassten Gebiet fortführen, um die erwarteten Richtlinien möglichst bald herausgeben zu können. Text ext. Link 2010 war dann im Tätigkeitsbericht des EDÖB folgendes zu lesen: Entwicklung der Zertifizierung von Produkten und Dienstleistungen Infolge der im Bereich der Zertifizierung von Produkten und Dienstleistungen aufgetretenen Schwierigkeiten haben wir beschlossen, unsere diesbezüglichen Tätigkeiten vorübergehend einzustellen. Wir haben das Bundesamt für Justiz um eine Klärung gewisser Fragen zur Gesetzgebung ersucht. … Die Arbeitsgruppe gelangte zum Schluss, dass eine Zertifizierung von Informatikprodukten (Hard- und Software), gestützt beispielsweise auf den Anforderungskatalog «European Privacy Seal» (Euro-PriSe) – unter finanziellen Gesichtspunkten – in einem kleinen Markt wie dem unseren kaum in Frage käme, und dass ihr ausserdem verschiedene technische und rechtliche Hindernisse im Wege ständen… Text ext. Link Erläuterungen zu den «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS) EDÖB erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem gestützt auf die internationalen Normen für Managementsysteme, insbesondere ISO/IEC 27001:2005. Original Dokument: commentaire+explicatif_d1.pdf Aus dem Bundesrecht > Systematische Rechtssammlung > Landesrecht: 780.11 Verordnung vom 31. Oktober 2001 über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) Art. 91Datenschutz und Datensicherheit Für die Gewährleistung der Datensicherheit gelten die Verordnung vom 14. Juni 19932 zum Bundesgesetz über den Datenschutz und die Bestimmungen zur IKT-Sicherheit in der Bundesinformatikverordnung vom 26. September 20033. Die Anbieterinnen von Post- oder Fernmeldediensten folgen den Anweisungen des Dienstes für die Datensicherheit bezüglich der Übertragung der Überwachungsdaten. Sie sind für die Datensicherheit bis zum Übergabepunkt der Daten an den Dienst verantwortlich. Folgende Internetzugänge können überwacht werden: Folgende Anwendungen können überwacht werden: Die Problematik einer Staatlichen (unabhängigen ) Prüfstelle in Bezug auf die Staatssicherheit und einer möglichen Überwachung, wird aktuell vermehrt (NSA Wistleblowing) in den Medien reflektiert.
ISO/IEC 15408 – Common Criteria
BSI ISO 27001 Zertifikat auf der Basis von IT-Grundschutz
Aktivitäten und Zielsetzungen in der Schweiz
Datenschutz in der Schweiz:
Der EDÖB
Zusätzliche Informationen: