„Common Criteria“ auch in der Schweiz ? Internationale IT Sicherheitsnormen und Standards 1

Unter den Gesichtspunkten des Datenschutz und der Informatiksicherheit werden weltweit Normen zur Definition und Bewertung, Organisatorische Kriterien Kataloge, Anforderungsprofile an Applikationen und Funktionen geschaffen.

Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie

Die drei Grund-Säulen der Informatik-Sicherheit:

Intergrität (Integrity): Es darf auf keine weise und niemandem möglich sie , zufällig oder unberechtigt Daten zu verändern
Vertraulichkeit (Confidetiality): Nur wer berechtigt ist, darf Zugriff auf die für ihn bestimmte Daten und Bearbeitungsmöglichkeit erhalten
Verfügbarkeit (Availablitity): Die Daten müssen jederzeit verlustfrei zur Verfügung stehen

Die Common Criteria für Information Technology Security Evaluation (CC), und der Partner Common Methodology for Information Technology Security Evaluation (CEM) bilden die technische Basis für ein internationales Abkommen, das Common Criteria Recognition Arrangement (CCRA)

Die CC (Common Criteria) ist die treibende Kraft für die breiteste verfügbare gegenseitige Anerkennung von sicheren IT-Produkten.

Der Datenschutz und die Informatiksicherheit weisen in der Umsetzung eine grosse Schnittmenge auf. Datenschutz seinerseits bezieht die Anforderungen aus den Gesetzlichen Rahmenbedingen.
Der Datenschutz beschreibt zunächst die Bedingungen unter welchen Umständen die Beschaffung und Verarbeitung der Personen bezogenen Daten zulässig ist. In der Umsetzung kann auf Informatiksicherheit nicht verzichtet werden.

Datenschutz in der Informatiksicherheit, regelbare Begriffe:

  • Beschaffung Personenbezogener Daten
  • Speicherung solcher Daten
  • Transparenz diesbezüglich
  • Nachvollziehbarkeit
  • Notwendigkeit Personenbezogene Daten zu speichern / protokollieren
  • automatische Löschung schützenswerter Daten
  • Übermittlung schützenswerter Daten

    •  

    Die Umsetzung des Datenschutz in der Praxis kann sehr komplexen werden.

    • Ich möchte einen SPAM Filter, aber meine Persönlichen Informationen sollen dabei nicht verarbeitet werden.
    • Ich möchte Daten in der Cloud speichern, der Betreiber aber soll die aber Anonymisiert verarbeiten (Queries)
    • Malware in den Netzen soll frühzeitig erkannt und bekämpft werden können, aber ohne mein Klartext Datenaufkommen zu scannen.
    • Fingerabdruck-Leser-Handy, Schutz der Biometrischen Daten „by Design“ und „by Default“.

     

    Lösungsansätze:

    • Notwendigkeit (weniger ist mehr) Personenbezogene Daten zu erfassen / protokollieren / speichern
    • Synchrone / Asynchrone Verschlüsselung bei Speicherung und Übermittlung
    • Informationsreduktionsverfahren durch Pseudonymisierung. Homomorphen Kryptosysteme dabei werden Daten verschlüsselt verarbeitet. Anwendungsgebiete:
      • eVoting
      • elektronische Patienten Akten
      • Spam Filter
      • Cloud Speicher und Applikationen
      • Online Auktionen

     

    Zertifizierung von IT Sicherheit → TCSEC (USA) und ITSEC (EU) zu Common Criteria und ISO/IEC 15408

    Die Evaluierung und Zertifizierung der Sicherheit von IT-Systemen erfordert die Festlegung von IT-Sicherheitskriterien und die Beschreibung von Schemata zur Bewertung von Sicherheitsvorkehrungen für eine transparente Prüfung.

    Um die Umsetzung von sicherheitstechnischen Massnahmen zu überprüfen wurden verschiedene Normen eingeführt, welche diese Prüfung ermöglichen.

    Da sind zum einen die amerikanische Normen TCSEC (Trusted computer System Evalua tion criteria). Sie werden umgangssprachlich auch als Orange Book bezeichnet. (Sicherheitsstufen von A – D; A = sehr sicher). Die Norm stammt im Wesentlichen aus den Jahren 1983 bis 1985 und wurde 2003 durch die internationalen »Common Criteria«-Standards ersetzt.

    ITSEC (Information Technology Security Evaluation Criteria) beschreibt seit 1991 Normen in Europa und ist mittlerweile in Common Criteria aufgegangen. (je 5 Sicherheits-Klassen für Qualität und Funktionalität.)

    Die Common Criteria liegen mittlerweile in Version 3.x vor und wurden zum internationalen Standard ISO/IEC 15408 erklärt.

    ISO/IEC 15408 – Common Criteria

     

    • ISO/IEC 15408-1: Einführung und allgemeines Modell
    • ISO/IEC 15408-2: funktionale Sicherheitsanforderungen
    • ISO/IEC 15408-3: Anforderungen an die Vertrauenswürdigkeit

    Bewertung der Funktionalität (Funktionsumfang) betrachteten Systems

    Funktionsklassen (nicht hierarchisch) Beschreiben Funktion der Sicherheitsachidektur, zusammengefasst werden sie in einem Schutzprofil (PP Protection Profile) wiedergegeben.

    • FAU (Sicherheitsprotokollierung)
    • FCO (Kommunikation)
    • FCS (Kryptographische Unterstützung)
    • FDP (Schutz der Benutzerdaten)
    • FIA (Identifikation und Authentisierung)
    • FMT (Sicherheitsmanagement)
    • FPR (Privatsphäre)
    • FPT (Schutz der Sicherheitsfunktionen)
    • FRU (Betriebsmittelnutzung)
    • FTA (Schnittstelle)
    • FTP (vertrauenswürdiger Pfad/Kanal)

    Bewertung er Vertrauenswürdigkeit (Qualität) betrachteten Systems.

    7 Stufen der Vertrauenswürdigkeit eines IT-Systems (Evaluation Assurance Level, kurz EAL), die mit EAL1 bis EAL7 bezeichnet werden. Mit steigender Stufe steigen die Anforderungen an die Dokumentation und Prüfung eines Produktes.

    • EAL 1: funktionell getestet
    • EAL 2: strukturell getestet
    • EAL 3: methodisch getestet und überprüft
    • EAL 4: methodisch entwickelt, getestet und geprüft
    • EAL 5: semiformal entwickelt und getestet
    • EAL 6: semiformal verifizierter Entwurf und getestet
    • EAL 7: formal verifizierter Entwurf und getestet

    Nur für EAL7 ist die vollständige Source Code Prüfung nötig.

    Den “Evaluation Assurance Level” (EAL1-7) zugrunde liegen “Assurance Classes”.

    Je höher das “Assurance Level” je detaillierter die Assurance Components

    EAL1

    Entnommen aus dem Originaldokument CCPART3V3.1R4 Seiten 30 – 45

    EAL 4

    EAL4

    Aus der Liste Zertifizierter Produkte:

     

    CCCertifiedProd

    Beispiel OS: Suse Linux Enterprise Server EAL 4+

     

    CCCertificationReportSuseLinux

    Zertifizierung von IT Sicherheit → Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit IT-Grundschutz

    Das BSI IT-Grundschutz-Zertifikat deckt seit 2006 auch die Internationale Zertifizierungs-Norm Informationssicherheitsmanagementsysteme ISMS (ISO 27001) ab. Implementiert ist auch ISO/IEC 27006 Personenzertifizierung der Auditoren.

    BSI IT-Grundschutzkataloge mit Bausteinen im Schichtmodel

    BSIZertifizierte-Produkte

    Baustein B4 Netze → B4.6 WLAN

    MenuBSIMwLAN

    MenuBSIMAssnahmen

    Baustein Datenschutz B 1.5 (5. Untergruppe im Baustein 1 „Übergreifende Aspekte“)

    BSIDatenschutzBaustein

    Zusätzliche Gefährdungslagen aus Sicht des Datenschutzes, Gefährdungskatalog 6.1 -6-13

    Ergänzende Maßnahmenbündel für den Bereich Datenschutz, zusätzliche Massnahmenkatalog 7.1. – 7.15 (BSI BausteinDatenschutz)

    BSI ISO 27001 Zertifikat auf der Basis von IT-Grundschutz

     

    Um die erfolgreiche Umsetzung von IT-Grundschutz nach aussen sichtbar machen zu können, besteht die Möglichkeit der ISO 27001 Zertifizierung von IT-Produkten und IT-Systemen.

    Schutzprofile (PP Protection Profile) nach Common Criteria (CC) für IT-Produkte. Durch das Verfassen von Schutzprofilen kann das BSI Mindeststandards für bestimmte Produktgruppen setzen. Mit der Zertifizierung eines Schutzprofils wird der Nachweis erbracht, dass das Schutzprofil vollständig, konsistent und technisch stimmig ist.

    Beispiel:

    Schutzprofil (PP Protection Profile) in Evaluierung: VPN-Konzentrator

    ]

    Zertifizierungs Bericht: PBSI-DSZ-CC-0487-2009

    NXP Mifare DESFire8 MF3ICD81 V0C/004 Secure SmartCard Controller with Embedded Software from NXP Semiconductors Germany GmbH

    BSIreport

    Wie wir aus dem Text entnehmen können wurde bei der Zertifizierung das bestehende PP Protection Profile: BSI-PP-0002-2001 (Smartcard IC Platform Protection Profile Version 1.0) wieder verwendet.

    CertificationReportMifare; BSI-PP-0002-2001;

     

    Das BSI ist als nationale Sicherheitsbehörde ermächtigt , Sicherheitszertifikaten für informationstechnische Systeme oder Komponenten zu erteilen (§9 BSIG , 14.August 2009). Im Gegensatz zu privatwirtschaftlichen Organisationen, braucht sie selber keine Akkreditierung als Zertifizierungsstelle.

    Prüfung und Bewertung von IT-Produkten und -Systemen durch vom BSI anerkannte Prüfstellen

    Das BSI schreibt: „Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet“.

    Zertifizierung IT Sicherheit und DatenschutzEuroPrisSe (das Europäische Datenschutz Siegel für IT Produkte und IT Services)

    EuroPriSe ermöglicht die Zertifizierung von IT-Produkten und IT-basierten Dienstleistungen. Die Systematik für die Beurteilung der Informatik Sicherheit nach CC oder BSI ist integriert.

    EuroPriSe das Europäische Datenschutz Siegel startete im Juni 2007 als Pilotprojekt, das mit 1,3 Millionen Euro durch das eTEN-Programm der Europäischen Kommission finanziert wurden.

    Im Kriterienkatalog ersichtlich die Ausrichtung der Abklärungen auf Datenschutz spezifische Aspekte:

    1.1.2.1 Persönliche Daten

    (Artikel 2 (a) der Richtlinie 95/46/EG)

    Relevante Fragen:

    • Werden personenbezogene Daten verarbeitet, wenn das Produkt oder die Dienstleistung wird verwendet?
    • Wenn ja: Welche der Daten verarbeitet, wenn das Produkt oder die Dienstleistung verwendet darstellenpersonenbezogene Daten?

    3.1.7 Temporäre Dateien

    Produkt-und Service:

    • Erstellt das Produkt oder die Dienstleistung temporäre Dateien (zB temporäre KopienDokumente die von Textverarbeitungs-Software verarbeitet werden)?
    • Ist der Zugriff auf diese Daten / diese Kopien durch das Produkt oder Service kontrolliert(zB durch Dateiberechtigungen nur für den Benutzer der das Originaldokument bearbeitet)?
    • Werden temporäre Dateien oder -Daten automatisch gelöscht?
    • Wird das in einer sicheren Art und Weise durchgeführt (siehe Abschnitt 3.1.6)?
    • existiert ein automatisiertes Verfahren, das warnt, wenn einige temporäre Dateiennicht richtig geschlossen / entfernt wurden, und das dann die Möglichkeit bietet, diesezuverlässig zu Löschen?

    3.2.1 Verschlüsselung

    Produkt-und Service:

    • Ist Verschlüsselung geeignet für den Datentransport via Medien und unsicheren Netzwerken?
    • Wird Verschlüsselung für beim Login Verfahren verwendet (z. B. Datenbanken oder Back-up)?
    • Wenn die Verschlüsselung nicht im Lieferumfang enthalten ist, wird der Anwender im Manual darauf hingewiesen?
    • Ist die Verschlüsselung effektiv? (Schlüssellänge, bekannte Algorithmen, etc.)
    • Wie sind Schlüssel verwaltet?
    • Was passiert, wenn Schlüssel verloren / vergessen?
    • Werden Schlüssel in einer sicheren Weise übertragen (z. B. Schlüssel für Festplatten-Verschlüsselung vongehosteten Servern)?

    Zertifizierung

    Das Verfahren besteht aus einer Evaluation des Produktes oder Dienstes durch akkreditierte rechtliche und technische Gutachter und eine Validierung des Evaluations-Gutachtens durch eine unabhängige Zertifzierungsstelle mit Sitz beim Datenschutzbeauftragten des Landes Schleswig-Holstein in Kiel, Deutschland.

    Auszug aus der Expertenliste, Schweiz:

    CCExperts

     

    Zertifizierungs-Norm Informationssicherheitsmanagementsysteme ISMS ISO/IEC 27000 - 27016 / 27799

    Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Wikipedia

    ISO/IEC 27000:2009, Managementsystem für Informationssicherheit — Übersicht und Vokabular

    ISO/IEC 27001:2005, Managementsystem für Informationssicherheit — Anforderungen

    ISO/IEC 27002:2005, Leitfaden für Informationssicherheits-Management

    ISO/IEC 27003:2010, Umsetzungsleitlinien für Informationssicherheits-Management

    ISO/IEC 27004:2009, Managementsystem für Informationssicherheit — Metrik

    ISO/IEC 27005:2011, Informationssicherheit — Risikomanagement

    ISO/IEC 27006:2011, Anforderungen an Anbieter von Zertifizierung und Überwachung für Informationssicherheits-Managementsysteme.

    ISO/IEC 27007:2011, Richtlinien für Informationssicherheits-Managementsystem Prüfung

    ISO/IEC TR 27008:2011, Richtlinien für Revisoren von Informationssicherheits-Managementsystem Überprüfungen

    ISO/IEC 27010:2012, Richtlinien für die Kommunikation zwischen Abteilungen und Organisationen im Informationssicherheits-Managementsystem

    ITU-T X.1051 | ISO/IEC 27011:2008, Richtlinien für Informationssicherheits-Managementsysteme von Telekommunikations-Unternehmen auf der Basis von ISO/IEC 27002

    ISO/IEC FDIS 27013, Richtlinien für die Integrierte Umsetzung von ISO/IEC 27001 and ISO/IEC 20000-1

    ITU-T X.1054 | ISO/IEC FDIS 27014, Governance der Informationssicherheit

    ISO/IEC TR 27015, Richtlinien für Informationssicherheits-Managementsysteme im Finanzsektor

    ISO/IEC WD 27016, Managementsystem für Informationssicherheit – Organisatorische Ökonomie

    ISO/IEC 27017 (in Entwicklung: Richtlinien für Informationssicherheit in einer Cloud – Kontrollfunktionen auf Basis (27002)

    ISO/IEC 27018:2014,  Informationssicherheit — In einer Cloud, Richtlinien für den Schutz von Personenbezogenen Daten

    Internationale Standards die nicht unter demselben Titel genannt werden die aber Teil der ISMS Standards sind:

    ISO 27799:2008, Medizinische Informatik — Managementsystem für Informationssicherheit im Gesundheitswesen auf der Basis von ISO/IEC 27002

    Original Dokument ITTF: c056891_ISO_IEC_27000_2012(E).pdf

    SOG-IS (Senior Officials Group for Information Security) Abkommen zur Anerkennung Nationaler Zertifikate Europaweit

    Teilnehmer in diesem Vertrag sind staatliche Organisationen oder Behörden aus Ländern der Europäischen Union oder der EFTA (European Free Trade Association), die ihr Land vertreten. Sei Juni 2011 sind folgende nationalen Stellen in der Vereinbarung vertreten:

    • Austria, Bundeskanzleramt
    • Finland, FICORA – Finnish Communications Regulatory Authority
    • France, ANSSI – Agence Nationale de la Sécurité des Systèmes d’Information
    • Germany, BSI – Bundesamt für Sicherheit in der Informationstechnik
    • Italy, OCSI – Organismo di Certificazione della Sicurezza Informatica
    • The Netherlands , NLNCSA – Netherlands National Communications Security Agency, Ministry of the Interior and Kingdom Relations
    • Norway, SERTIT – Norwegian National Security Authority operates the Norwegian Certification Authority for IT Security
    • Spain, CCN – Centro Criptológico Nacional, Organismo de Certificación de la Seguridad de las Tecnologías de la Información
    • Sweden, FMV – Försvarets Materielverk
    • United Kingdom, CESG – Communications-Electronics Security Group

     

    Die Teilnehmer arbeiten zusammen, um:

    • Koordinieren der Standardisierung der Common Criteria Schutzprofile und Zertifizierungs Policen zwischen den europäischen Zertifizierungsstellen, um eine gemeinsame Position in den schnell wachsenden internationalen CCRA (Common Criteria Recognition Arrangement (CC RA) Gruppe haben.
    • Koordination der Entwicklung von Schutz-Profilen, immer dann wenn die Europäische Kommission eine direktive erlässt, die in nationales Recht umgesetzt werden sollte und Gegenstand der IT-Sicherheit ist.
    • Die Vereinbarung sieht für Mitgliedsstaaten in zwei grundlegende Möglichkeiten teilzunehmen:1. Als Bescheinigter Zertifikat Anwender und2. Als Produzenten von Zertifikaten

    Für Zertifikat produzierenden Ländern gibt es auch zwei Ebenen der Anerkennung innerhalb der Vereinbarung:

    1. Zertifikat Anerkennung bis EAL4 (wie in CCRA)

    2. Zertifikat Anerkennung auf höheren Ebenen für definierte technischen Bereichen, wenn Systeme durch den Verwaltungsausschuss für diese Ebene genehmigt wurden.

    CCRA (Common Criteria Recognition Arrangement) Anerkennung Nationaler Zertifikate International

    Zweck den die Mitglieder verfolgen:

    1. Sicherzustellen, dass die Evaluation der IT-Produkte und Schutz Profile auf hohem und gleichbleibendem Standard durchgeführt werden und dies das Vertrauen in die Sicherheit dieser Produkte und Profile fördert;
    2. Die Verfügbarkeit von evaluierten mit verstärkter Sicherheit versehenen IT-Produkte und Schutz Profile zu verbessern;
    3. Die Doppelläufigkeit bei der Evaluierung von IT-Produkten und Schutz Profile zu beseitigen;
    4. Kontinuierliche Verbesserung der Effizienz und Wirtschaftlichkeit bei der Evaluierung und Zertifizierung / Validierung für IT-Produkte und Schutz-Profile.

     

    Mitglieder:

    Australien, Kanada, Frankreich, Deutschland, Indien, Italien, Japan, Malaysia, Niederlanden, Neuseeland, Norwegen, Republik Korea, Spanien, Schweden, Türkei, Grossbritannien, USA, Österreich, Republik Tschechien, Dänemark, Finnland, Griechenland, Ungarn, Israel, Pakistan, Singapur,

     

    Aktivitäten und Zielsetzungen in der Schweiz

    Die Bundesinterne Informatik definiert die Grundsäulen der Informatiksicherheit wie folgt:

    Verfügbarkeit
    Vertraulichkeit
    Integrität
    Nachvollziehbarkeit

    von Informationen und Daten.

    Update: 1.1.2021

    Der Bereich Digitale Transformation und IKT-Lenkung (DTI) hat seine Tätigkeit als neue Einheit der Bundeskanzlei am 1. Januar 2021 aufgenommen. Der Bereich DTI übernimmt die Aufgaben

    • des früheren Informatiksteuerungsorgans des Bundes (ISB),
    • der Geschäftsstelle Digitale Schweiz aus dem Bundesamt für Kommunikation (BAKOM) und
    • der Fachstelle GEVER Bund der Bundeskanzlei.

    Die für die Informatiksicherheit notwendigen Internen Standards auf der Ebene Bund werden vom Informatikstrategieorgan Bund (ISB)und der Entscheidungsinstanz Informatikrat Bund (IRB) überwacht.

    Grundschutz (admin.ch)

    Injiziert durch Anträge werden Fachgruppen geschaffen die die Details ausarbeiten.

    Der Verein ech.ch schafft Standards für’s „e-Gov“ welche zum Teil vom ISB/IRB übernommen werden.

    Update 04.07.2014:

    EÖDB Tätigkeitsbericht 2014, 1.4.9 Expertengruppe FOGIS – Gesetzesentwurf zur Informationssicherheit

    Der Bundesrat (BR) beschloss im Mai 2010, die Informationsschutzverordnung (ISchV) abzuändern und das VBS mit der Bildung einer interdepartementalen Arbeitsgruppe zu beauftragen, um einen Gesetzesentwurf zur Informationssicherheit auszuarbeiten. Dieser soll die bisher geltenden Anforderungen betreffend den Informationsschutz auf die Massnahmen zur Verbesserung der Informationssicherheit ausdehnen, die der BR am 16. Dezember 2009 beschlossen hat. Diese Massnahmen umfassen naturgemäss auch Aspekte des Datenschutzes, der wiederum von Erfordernissen des Öffentlichkeitsprinzips der Verwaltung abhängt.

     

    Datenschutz in der Schweiz:

    BV (Bundesverfassung): SR 101 (Art. 13 Abs. 2: Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.)

    Art13BV

    DatenSchutzGesetz (Art. 7 im DSG)

     

    DSG art7

    Verornung zum Bundesgesetz über den Datenschutz (VDSG)

    https://www.admin.ch/opc/de/classified-compilation/19930159/index.html

     

    Glossair

    • DSG (Daten-Schutz-Gesetz)
    • SAS (Schweizerische Akkreditierung Stelle)
    • VDSG (Verordnung zum Bundesgesetz über den Datenschutz )
    • VDSZ (Verordnung über die Daten-Schutz-Zertifizierungen)
    • EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter)
    • ISMS (Information Security Management System, ISO 27001)
    • DSMS (Daten-Schutz-Management-System)

     

    Der EDÖB

    Die Aufgabe des EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) besteht in der Überwachung, Beratung, Information, Veröffentlichung und Administration bei Konflikten / Interessenwahrung zum Datenschutz auf Bundes Ebene sowie Beratungsfunktion in Privaten Bereichen.

    Der EDÖB erhielt vom Bundesrat den Auftrag einen Kriterien-Katalog für die Zertifizierung von Produkten und Systemen im Datenschutzbereich zu erstellen. Abgestützt auf Bestehende Zertifizierungs Normen:

    ISO/IEC 15408:2005 («Common Criteria for Information Technology Evaluations») und

    «EuroPriSe Criteria Catalogue V0.3». sowie Norm ISO/IEC 20000:2005 (Information Technology – Service Management).

    Eine Staatliche Prüfstelle die, Europaweit durch SOG-IS (Senior Officials Group for Information Security) und International durch CCRA (Common Criteria Recognition Arrangement) anerkannt wäre, existiert in der Schweiz noch nicht.

    Die Produktevaluierung würde zunächst von einer SAS-akkreditierten (Schweizeriusche Akreditierungs Stelle) unabhängigen Prüfstelle durchgeführt. Der Evaluationsbericht dann an die staatliche Produktzertifizierungsstelle (die es in der Schweiz noch nicht gibt) vorgelegt.

    SAS nicht zu verwechseln mit „Statement on Auditing Standards“ (SAS N0. 70)

    Update: ISAE 3402 und SSAE 16 (Ablösung von SAS 70)

    Die Arbeitsgruppe kam zum Schluss das dies aus verschiedenen Gründen, (Komplexität, Rechtliche Situation, Kosten) bei bestehenden Voraussetzung nicht möglich sei.

    Erfolgreich implementiert und erweitert wurde aber bisher (ISO/IEC 27001):

    Durch die Einführung von der Verordnung über die Datenschutzzertifizierungen (VDSZ) 2008, wurden Richtlinien an die Anforderungen eines Daten-Schutz-Management-System (DSMS) erstellt. Hierzu hat man die bestehenden Normen Informations-Sicherheits-Management-Systeme (ISMS, ISO 27001) Erweitert (Datenschutz).

     

    Auszug aus dem Tätigkeitsbericht 2009 Veröffentlicht vom EDÖB

    Produkt- und Systemzertifizierung im Datenschutzbereich

    Wir haben den Auftrag erhalten, baldmöglichst die Richtlinien zur Festlegung der spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. …

    … ist der EDÖB beauftragt, bis zum 1. Januar 2010 die Richtlinien zu den spezifischen Kriterien herauszugeben, die ein Produkt im Rahmen einer Zertifizierung erfüllen muss. Diese Aufgabe dürfte aus folgenden Gründen äusserst schwierig werden:…

    …Der Bereich der Produkte und Systeme unterscheidet sich deutlich vom Gebiet der Organisation, wie die auf der Norm ISO/IEC 15408:2005 beruhende Zertifizierung «Drittpartei» beweist (Kriterien zur Evaluierung der IT-Sicherheit, auch bekannt unter der englischen Bezeichnung «Common Criteria for Information Technology Evaluations»).

    … Wir werden daher unsere Nachforschungen in diesem weit gefassten Gebiet fortführen, um die erwarteten Richtlinien möglichst bald herausgeben zu können.

    Update: Datenschutzzertifizierung (admin.ch)

    2010 war dann im Tätigkeitsbericht des EDÖB folgendes zu lesen:

    Entwicklung der Zertifizierung von Produkten und Dienstleistungen

    Infolge der im Bereich der Zertifizierung von Produkten und Dienstleistungen aufgetretenen Schwierigkeiten haben wir beschlossen, unsere diesbezüglichen Tätigkeiten vorübergehend einzustellen. Wir haben das Bundesamt für Justiz um eine Klärung gewisser Fragen zur Gesetzgebung ersucht.

    … Die Arbeitsgruppe gelangte zum Schluss, dass eine Zertifizierung von Informatikprodukten (Hard- und Software), gestützt beispielsweise auf den Anforderungskatalog «European Privacy Seal» (Euro-PriSe) – unter finanziellen Gesichtspunkten – in einem kleinen Markt wie dem unseren kaum in Frage käme, und dass ihr ausserdem verschiedene technische und rechtliche Hindernisse im Wege ständen…

    Text ext. Link

     

    Erläuterungen zu den «Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem (DSMS)

    EDÖB erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem gestützt auf die internationalen Normen für Managementsysteme, insbesondere ISO/IEC 27001:2005.

    „… dient dazu, die DSMS-Richtlinien im Kontext der schweizerischen Rechtsordnung mit Hinweisen auf die europäische Datenschutzgesetzgebung dazustellen, sowie die parallelen zu den entsprechenden ISO-Normen aufzuzeigen.“

    Unbenannt

    Zusammenspiel DSMS -> ISMS

    Unbenannt

     

    Original Dokument: commentaire+explicatif_d1.pdf

     

    In der Praxis im Daten Center Betrieb bedeutet die Umsetzung von ISO 27001 & 27002 zum Beispiel:

    • Jede Hardware-und Software-Tätigkeit wird protokolliert und laufend überwacht

     

    Zusätzliche Informationen:

     

    Aus dem Bundesrecht > Systematische Rechtssammlung > Landesrecht:

    780.11 Verordnung vom 31. Oktober 2001 über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF)

    Art. 91Datenschutz und Datensicherheit

    Für die Gewährleistung der Datensicherheit gelten die Verordnung vom 14. Juni 19932 zum Bundesgesetz über den Datenschutz und die Bestimmungen zur IKT-Sicherheit in der Bundesinformatikverordnung vom 26. September 20033.

    Die Anbieterinnen von Post- oder Fernmeldediensten folgen den Anweisungen des Dienstes für die Datensicherheit bezüglich der Übertragung der Überwachungsdaten. Sie sind für die Datensicherheit bis zum Übergabepunkt der Daten an den Dienst verantwortlich.

    Art. 241Überwachbare Internetzugänge und Anwendungen

    Folgende Internetzugänge können überwacht werden:

    a. Zugang durch eine Wählverbindung zu einem Network Access Server;
    b. Breitbandzugang (z.B. xDSL, Kabelmodem);
    c. Zugang mittels Mobile Packet Data Technologie (z.B. über GPRS oder LTE);
    d. kabelloser Zugang (z.B. Wi-Fi, Wimax, WLL);
    e. andere Zugänge zum Netz via OSI-Schicht 2 (z.B. Ethernet über FTTH-Zugang);
    f. andere Zugänge zum Netz via OSI-Schicht 3 (z.B. IP-Broadband-Zugang).

    Folgende Anwendungen können überwacht werden:

    a. synchrone und asynchrone elektronische Postdienste (z.B. Instant Messaging, E-Mail);
    b. auf digitalen Medien basierende Fernmeldedienste (z.B. VoIP, Audio- und Videoübertragungen).

     

    Die Problematik einer Staatlichen (unabhängigen ) Prüfstelle in Bezug auf die Staatssicherheit und einer möglichen Überwachung, wird aktuell vermehrt (NSA Wistleblowing) in den Medien reflektiert.