1 / 22

Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11.2003

Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11.2003. Technische Aspekte. DI Thomas Rössler Zentrum für sichere Informations-technologie Austria, A-SIT. Inhaltsübersicht. Einleitung Technische Grundlagen XML – XSL - XSLT Das Konzept und das Schema

abel
Download Presentation

Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11.2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Österreichisches IT-SicherheitshandbuchInformationsveranstaltung am 24.11.2003 Technische Aspekte • DI Thomas Rössler • Zentrum für sichere Informations-technologie Austria, A-SIT Thomas.Roessler@a-sit.at

  2. Inhaltsübersicht Einleitung Technische Grundlagen XML – XSL - XSLT Das Konzept und das Schema Die Transformationen Anwendbarkeit Thomas.Roessler@a-sit.at

  3. Einleitung <?xml version="1.0" encoding="UTF-8"?> <booklet xmlns="http://www.a-sit.at/siha/stuktur_2.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.a-sit.at/siha/stuktur_2.xsd X:\workdata\SIHA_Update\XML\struktur_2.xsd"> <meta> <booktitle>Österreichisches IT-Sicherheitshandbuch</booktitle> <booksubtitle>Teil 1: IT-Sicherheitsmanagement</booksubtitle> <bookversion>2.1</bookversion> <bookdate>Mai 2003</bookdate> <documentname>OE-IT-SIHB_V2_1_Teil1.html</documentname> </meta> <chapter version="2.1.000"> <title> <name>Vorwort (Management Summary)</name> </title> Thomas.Roessler@a-sit.at

  4. Einleitung <?xml version="1.0" encoding="UTF-8"?> <booklet xmlns="http://www.a-sit.at/siha/stuktur_2.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.a-sit.at/siha/stuktur_2.xsd X:\workdata\SIHA_Update\XML\struktur_2.xsd"> <meta> <booktitle>Österreichisches IT-Sicherheitshandbuch</booktitle> <booksubtitle>Teil 1: IT-Sicherheitsmanagement</booksubtitle> <bookversion>2.1</bookversion> <bookdate>Mai 2003</bookdate> <documentname>OE-IT-SIHB_V2_1_Teil1.html</documentname> </meta> <chapter version="2.1.000"> <title> <name>Vorwort (Management Summary)</name> </title> Thomas.Roessler@a-sit.at

  5. Die Extensible Markup Language (XML) • XML ist eine Metasprache zur Definition von Markup-Sprachen • Mit XML kann man die logische Bedeutung von Daten, Informationen und Texten definieren • XML ist unter Kontrolle eines internationalen Normungsgremium • XML ist ein offener Standard und wird breit unterstützt • Für XML existieren eine Fülle von Standardtechnologien <?xml version=“1.0“?> Thomas.Roessler@a-sit.at

  6. Die Extensible Markup Language (XML) • Demnach eignet sich XML für das Sicherheitshandbuch… • … die Daten und Informationen werden in einer geeigneten XML-Struktur erfasst • … dieses XML-Dokument stellt den zentralen Datenbestand dar • … es repräsentiert das Sicherheitshandbuch • … eignet sich zur manigfaltigen Darstellung, Weiterverarbeitung, zur Verwendung in Zusammenhang mit anderen Anwendungen und Programmen… Thomas.Roessler@a-sit.at

  7. XML-Schema • Das XML-Schema definiert die Struktur und Form des XML-Sicherheitshandbuchs • Das Schema ist die Spezifikation und Grundlage einer XML-Anwendung • Ziel dabei: • die Struktur des Sicherheitshandbuchs ideal abzubilden • alle notwendigen Informationen berücksichtigen • ein XML-Dokument zu formulieren, das auch hinsichtlich zukünftiger Anwendungen flexibel und keinesfalls einschränkend ist Thomas.Roessler@a-sit.at

  8. Kapitel Kapitel Kapitel Sektionen Sektionen Sektionen Sektionen Textblöcke Textblöcke Textblöcke Textblöcke Das XML-Schema Buch • Struktur: • Zusatzinformationen: Priorität Org-Art Referenz Zielgruppe Version Org-Größe … Darstellung Meta-Info Textart Thomas.Roessler@a-sit.at

  9. Kapitel Sektion Abschnitt Das XML-Schema <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von IT-Systemen mittels baulichen und infrastrukturellen Vorkehrungen. Dabei sind verschiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSHB" index="M 1.19" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten ent­sprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen bei einstiegsgefährdeten Türen oder Fenstern, </item> … Thomas.Roessler@a-sit.at

  10. Kapitel Sektion Abschnitt Das XML-Schema <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von IT-Systemen mittels baulichen und infrastrukturellen Vorkehrungen. Dabei sind verschiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSHB" index="M 1.19" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten ent­sprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen bei einstiegsgefährdeten Türen oder Fenstern, </item> … Relevanz aus Sicht der Organisation: industry = MANDATORY| RECOMMENDED| VOLUNTARY| NOT RELEVANT Relevanz aus Sicht der Organisation: egovernment = MANDATORY| RECOMMENDED| VOLUNTARY| NOT RELEVANT Relevanz aus Sicht der Benutzerrolle: wir unterscheiden zwischen folgenden Rollen: management = INTERN | EXTERN maintenance = INTERN | EXTERN user = INTERN | EXTERN client = INTERN | EXTERN Relevanz aus Sicht der Organisation: size = SMALL | LARGE Thomas.Roessler@a-sit.at

  11. Die Transformationen • XML-Dokumente können in andere Dokumente transformiert werden • weitere XML-Dokumente • HTML-Dokumente zur Darstellung in Browsern • etc. • Dies geschieht unter Verwendung von XML-Stylesheet-Transformationen (XSLT) Thomas.Roessler@a-sit.at

  12. Zieldokument Zieldokument Zieldokument XML-Dokument <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnittebenen Maßnahmen dienen dem Schutz von IT-Systemen m und infrastrukturellen Vorkehrungen. Dabei sind veiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSH" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gesprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RNDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen hrdeten Türen oder Fenstern, </item> … <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnittebenen Maßnahmen dienen dem Schutz von IT-Systemen m und infrastrukturellen Vorkehrungen. Dabei sind veiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSH" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gesprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RNDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen hrdeten Türen oder Fenstern, </item> … <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnittebenen Maßnahmen dienen dem Schutz von IT-Systemen m und infrastrukturellen Vorkehrungen. Dabei sind veiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSH" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gesprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RNDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen hrdeten Türen oder Fenstern, </item> … <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von IT-Systemen mittels baulichen und infrastrukturellen Vorkehrungen. Dabei sind verschiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSHB" index="M 1.19" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten ent­sprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen bei einstiegsgefährdeten Türen oder Fenstern, </item> … Die Transformationen XSL- Stylesheet XSL- Stylesheet XSL- Stylesheet …verschiedene Stylesheets… Konfiguration XSLT Aus einem Datendokument… …verschiedene Zieldokumente Thomas.Roessler@a-sit.at

  13. Die Transformationen • Anhand dieser Transformationen werden aus dem Sicherheitshandbuch verschiedenste Ansichten erzeugt • Für folgende HTML-Dokumente wurden entsprechende Stylesheets entworfen: • Komplettansicht • Zusammenfassende Überblicksansicht • zielgruppen- und rollenorientierte Checklisten • diverse Indizes (Referenzlisten) • eigene Ansichten für SW-Ausdrucke Thomas.Roessler@a-sit.at

  14. Die Transformationen • Vorteile dieser Vorgehensweise • Daten sind nur in einem zentralen Datendokument enthalten  einfache Datenpflege (Updates, etc.) • neue Ansichten (Zieldokumente) einfach erzeugbar durch Entwicklung entsprechender Stylesheets somit ist Sicherheitshandbuch sehr flexibel • Sicherheitshandbuch kann einfach auch Online angeboten werden Thomas.Roessler@a-sit.at

  15. HTML-Dokumente • In erster Linie wird das Sicherheitshandbuch in HTML-Dokumente transformiert • Vorteil der Repräsentation als HTML-Dokument: • Dokumente können in jedem Web-Browser (Internet Explorer, Netscape Navigator, Mozilla, etc.) dargestellt werden – keine zusätzliche Software notwendig • weiterverwendbar • Dokumente können sehr dynamisch gestaltet werden, zum Beispiel werden Textpassagen und Dokumente verknüpft, etc. • Transformationsergebnisse eignen sich ohne Modifikation für eine Online Version des Handbuchs <HTML> Thomas.Roessler@a-sit.at

  16. XML-Dokument <chapter version="2.1.000"> <title> <name>Bauliche und infrastrue Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesemeschriebenen Maßnen dienen dem Schutz von IT-Syls baulichen und inastrukturellen Vorkehrungen. Dabei sind verschi Schutzbenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > ="BSI GSHB" index="M 1.19" title="Einbruchsschutz"/> durch Server bereitgestellt Sicherheitshandbuch als Online-Service • Durch selbes Prinzip der Transformation kann das Handbuch ohne Modifikation auch online zur Verfügung gestellt werden XSL- Stylesheet + Thomas.Roessler@a-sit.at

  17. XML-Dokument <chapter version="2.1.000"> <title> <name>Bauliche und infrastrukturelle Maßnahmen</name> <ordinal>1</ordinal> </title> <abstract>Die in diesem Abschnitt beschriebenen Maßnahmen dienen dem Schutz von IT-Systemen mittels baulichen und infrastrukturellen Vorkehrungen. Dabei sind verschiedene Schutzebenen zu … </abstract> <section version="2.1.000"> <title> <name>Bauliche Maßnahmen</name> <ordinal>1</ordinal> </title> <topic version="2.1.000" prefix="INF" ordinal="1.3" name="Einbruchsschutz" > <convergence source="BSI GSHB" index="M 1.19" title="Einbruchsschutz"/> <abstract>Die gängigen Maßnahmen zum Einbruchsschutz sollten den örtlichen Gegebenheiten ent­sprechend angepasst werden. </abstract> <detailed>Dazu gehören:</detailed> <itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED" orgsize="SMALL"> <role> <maintenance type="INTERN"/> </role>Sicherungen bei einstiegsgefährdeten Türen oder Fenstern, </item> … SiHa Tool Report Info Vorgaben Organisation: e-Government Grösse: klein Rolle: Administration Kapitelauswahl Massnahmen Details Kapitel 1 SYS 1.1 1 Welche Personen können. MANDATORY Kapitel 1.1 SYS 1.2 2 Kann der Besitz von ... REQUIRED Kapitel 1.2 SYS 1.3 3 Dürfen auch andere Perso REQUIRED Kapitel 2 ... 4 Wie wird der Zugang.. VOLUNTARY …. ... ... Display Umsetzung 5.1 Berechtigungssysteme, Schlüssel- und Teilweise Nein Ja Passwortverwaltung Durch organisatorische und technische Begründung... Vorkehrungen ist sicherzustellen, dass der Zugriff zu IT-Systemen, Netzwerken, Programmen und Daten nur berechtigten Personen oder Prozessen und nur im Rahmen der festgelegten Regeln möglich ist. ….. Übernehmen Löschen OK Einbindung in Anwendungen • Dank XML kann der Datenbestand des Sicherheits-handbuchs über definierte Schnittstellen einfach in Applikationen eingebunden werden Thomas.Roessler@a-sit.at

  18. Vorteile auf einem Blick… • gesamtes Sicherheitshandbuch liegt in einem XML-Dokument vor • XML ist offener Standard - wird vielfältig unterstützt • auf Basis des Dokuments werden alle Ansichten mittels Transformationen erzeugt Trennung von Daten und deren Darstellung • neue Ansichten einfach realisierbar – es müssen nur neue XSL-Stylesheets erzeugt werden • Sicherheitshandbuch ist online-fähig • XML erlaubt es das Handbuch einfach in Applikationen zu integrieren Thomas.Roessler@a-sit.at

  19. Demonstration Lassen Sie sich von den Vorteilen überzeugen…. … anhand einer kleinen… Demonstration Thomas.Roessler@a-sit.at

  20. Erster Schritt… • Vorkonfiguration des Sicherheitshandbuches… • Eigenschaften der Organisation • Art, Grösse • Verantwortlichkeiten • etc. • auch mit Tool möglich 1 Thomas.Roessler@a-sit.at

  21. Zweiter Schritt… • Abrufen der verschiedenen Ansichten des Sicherheitshandbuches… … auf Basis der Vorkonfiguration… zum Beispiel: Übersichtsdarstellungen, Komplettansicht, diverse Checklisten, … 2 Thomas.Roessler@a-sit.at

  22. Wir danken für Ihre Aufmerksamkeit A-SIT, Zentrum für sichere Informationstechnologie – Austria Thomas.Roessler@a-sit. at http://www.a-sit.at  Unterstützung  IT-Sicherheitshandbuch Thomas.Roessler@a-sit.at

More Related