1 / 20

Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11. 2003

Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11. 2003. Neuerungen in Version 2.1. DI Herbert Leitold Zentrum für sichere Informations-technologie Austria, A-SIT. Inhaltsübersicht. Einleitung Inhaltliche Neuerungen Technische Neuerungen Zusammenfassung.

dolf
Download Presentation

Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am 24.11. 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Österreichisches IT-SicherheitshandbuchInformationsveranstaltung am 24.11. 2003 Neuerungen in Version 2.1 • DI Herbert Leitold • Zentrum für sichere Informations-technologie Austria, A-SIT Herbert.Leitold@a-sit.at

  2. Inhaltsübersicht Einleitung Inhaltliche Neuerungen Technische Neuerungen Zusammenfassung Herbert.Leitold@a-sit.at

  3. Teile des IT-SIHA • Teil 1 – IT Sicherheitsmanagement • Allgemeine Anleitung für die Umsetzung eines kontinuierlichen IT-Sicherheitsprozesses • Teil 2 – IT Sicherheitsmaßnahmen • auf organisatorischer, personeller, infrastruktureller und technischer Ebene • Bedachtnahme auf spezifisch österreichische Gegebenheiten • Normen, Gesetze • Nutzung von vergleichbaren Standards • BSI IT-Grundschutzhandbuch • Zusammenarbeit mit BSI, ISB Herbert.Leitold@a-sit.at

  4. österr. IT-SIHA BSI IT-GSHB BS 7799 Vergleich Sicherheitskriterien • aus initi@tive D21 Arbeitsgruppe 5IT-Sicherheitskriterien im Vergleich http://www.initiatived21.de System-bezogen Produkt-bezogen Technisch nicht technisch Herbert.Leitold@a-sit.at

  5. Überlegungen zu „SIHA alt“ • Aktualität • Teil 1 im Wesentlichen aus 1998, seither • gesetzliche Änderungen, update von Normen • Teil 2 Version 2.0 – September 2001, seither • Konzept Bürgerkarte, IKT Board, Operative Unit, etc. • Volumen • Fließtext (90 + 280 Seiten) • Zielgruppenorientierung • Wartbarkeit • Für die EntwicklerInnen des SIHA • Einbringen von Aktualisierungen • Für die AnwenderInnen des SIHA • Einphasen von Änderungen nach einer Umsetzung Herbert.Leitold@a-sit.at

  6. Ziele eines Updates • Zielgruppenorientierung • Anpassbarkeit an Organisationseinheit • Benutzerspezifische Ansichten • Unterstützung der UmsetzerInnen • Checklisten • Technische Hilfsmittel • Wartbarkeit • Für die EntwicklerInnen des SIHA • Zeitbezug von Referenzen auflösen • Für die AnwenderInnen des SIHA • Automatismen für “delta-Dokumente” Herbert.Leitold@a-sit.at

  7. Inhaltliche Neuerungen SIHA - Teil 1 Aktuelle Gesetze / Normen Richtlinien (OECD, NIS, etc.) SIHA - Teil 2 Stabsstelle, IKT-Board (bis 11.3.03) diverse weitere Dokumente Sicherheits-/Verteidigungsdoktrin K-Fall Überlegungen BKA diverse technische Entwicklungen z.B. WLAN, Common Criteria Herbert.Leitold@a-sit.at

  8. Technische Neuerungen Konzept Zielgruppenorientierung Spezifische Ansichten Checklisten Herbert.Leitold@a-sit.at

  9. Grundüberlegung • Sicherheitshandbuch Teil 2 soll • nicht Detailtiefe der BSI GSHB Modellierung aufweisen • trotzdem automatisierte Elemente aufweisen • nicht auf hohe Abstraktion BS7799 zurückfallen • sondern konkrete Vorgaben für mittleren Schutzbedarf  pragmatischer, methodischer Mittelweg  Entwicklung aus der Sicht der Anwendbarkeit getrieben Herbert.Leitold@a-sit.at

  10. organisationsize { SMALL | LARGE } Attribute { egovernment | industry } Zielgruppenorientierung “statische” Sichtweise • Sicherheitshandbuch soll an die Gegebenheit der Organisationseinheit „personalisierbar“ sein • Anpassen an Anwender „im Großen“ • Aspekte der Organisationseinheit, die sich kaum ändern, jedoch auf Maßnahmen Einfluss haben • Größe der Organisationseinheit • Umfeld öffentl. Verwaltung vs. Privatwirtschaft Herbert.Leitold@a-sit.at

  11. Zielgruppenorientierung“dynamische” Sichtweise • Sicherheitshandbuch soll für konkrete Be-trachterIn / UmsetzerIn personalisierbar sein • Daraus ergeben sich anwenderspezifische Ansichten • Rollenmodell der Ansichten Herbert.Leitold@a-sit.at

  12. Anpassung an Org.-Einheit (Größe; Verwaltung/Privatw.) Sicherheitshandbuch der Org.-Einheit Ansicht ANWENDERIN Ansicht MANAGEMENT Ansicht UMSETZERIN Personalisierung / Konzept Allg. IT-Sicherheitshandbuch Herbert.Leitold@a-sit.at

  13. Umsetzung - XML • XML Mittel der Wahl • Strukturierung der Daten • Trennung von Information und Darstellung <topic version="2.1.000" prefix="SYS" ordinal="11.5" name="Regelung des Einsatzes von Kryptomodulen" egovernment="NOT_SET" industry="NOT_SET" orgsize="NOT_SET"> <role> <maintenance type="NOT_SET" /> <management type="NOT_SET" /> <user type="NOT_SET" /> <client type="NOT_SET" /> </role> <abstract>Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von Kryptomodulen gestellt werden. Diese müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden.</abstract> <detailed>Wichtige organisatorische Regelungen dafür sind:</detailed> <itemize> <item egovernment="RECOMMENDED" industry="RECOMMENDED" orgsize="LARGE"> Technik folgt Herbert.Leitold@a-sit.at

  14. Bsp. Übersicht Demonstration folgt Herbert.Leitold@a-sit.at

  15. Bsp. Gesamtansicht Demonstration folgt Herbert.Leitold@a-sit.at

  16. Checklisten • Hier Ansicht “Anwender” Demonstration folgt Herbert.Leitold@a-sit.at

  17. Vorgeschlagene Prioritäten • VERBINDLICH • gesetzliche Vorgabe oder IKT-Board Beschluss • IKT Board Beschluss für Privatwirtschaft als Information • EMPFOHLEN • ist für „SIHA Konformität“ umzusetzen; begründetes Abgehen, wenn Gefährdung anders begegnet • SYS 8.13 Sicherer Betrieb WWW-Server (z.B. wenn ausgelagert) • SINNVOLL • Maßnahme/Kriterium, die vorgeschlagen wird, je nach Gegebenheit in OE soll diese über Notwendigkeit entscheiden • Auch „downgrade“ auf SINNVOLL bei Organisationsgröße KLEIN, wenn Maßnahme (Kriterium) für OE GROSS empfohlen • INFORMATION • Zusatzinformationen Herbert.Leitold@a-sit.at

  18. Zeitbezug Referenzen Das Vertrauen in Betriebssysteme: Dieses Vertrauen in Betriebssysteme (Windows) ist durch eine Policy, die die Vertrauenseinstellungen festlegt, zu ermöglichen und zu stärken. Für auszuliefernde Geräte im Bundesbereich sind Initialkonfigurationen entsprechend festzulegen und umzusetzen. Für die Wirtschaft und die Bürgerinnen und Bürger sind entsprechende Werkzeuge online zur Verfügung zu stellen Alle in der Bundesverwaltung auszuliefernden Arbeitsstationen sind initial so auszuliefern, dass keinem Zertifizierungsdienst automatisch vertraut wird. Herbert.Leitold@a-sit.at

  19. Zusammenfassung Neuerungen im Österreichischem IT-Sicherheitshandbuch v. 2.1 Inhaltliche Aktualisierungen Technische Neuausrichtung XML als Datenbasis Damit technische Basis für Zielgruppenorientierung Checklisten Unterstützung in der Umsetzung Herbert.Leitold@a-sit.at

  20. Wir danken für Ihre Aufmerksamkeit A-SIT, Zentrum für sichere Informationstechnologie – Austria Herbert.Leitold@a-sit. at http://www.a-sit.at  Unterstützung  IT-Sicherheitshandbuch Herbert.Leitold@a-sit.at

More Related