Sicherheit im Projekt...Sicherheit im Projekt 2 Das ISB erlässt gestützt auf Ziffer 3.2 der...
17
Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK Bundesamt für Strassen ASTRA Sicherheit im Projekt inkl. Informationen zur Erstellung einer Schutzbedarfsanalyse 28.03.2019 Autor: W. Hoffmann, ISBO ASTRA
Transcript of Sicherheit im Projekt...Sicherheit im Projekt 2 Das ISB erlässt gestützt auf Ziffer 3.2 der...
-
Eidgenössisches Departement für
Umwelt, Verkehr, Energie und Kommunikation UVEK
Bundesamt für Strassen ASTRA
Sicherheit im Projekt
inkl. Informationen zur Erstellung
einer Schutzbedarfsanalyse
28.03.2019
Autor: W. Hoffmann, ISBO ASTRA
-
Bundesamt für Strassen ASTRA
Rechtliche Grundlage
Sicherheit im Projekt 2
Das ISB erlässt gestützt auf Ziffer 3.2 der Weisungen des
Bundesrates über die IKT-Sicherheit in der Bundesverwaltung
(WIsB) vom 1. September 2015 oben gezeigten Vorgaben.
-
Bundesamt für Strassen ASTRA
Aktualisierungszyklus sicherheits-
relevanter Dokument
Sicherheit im Projekt 3
Workshop
ASTRA
Initialisierung Konzept Realisierung EinführungDaten-/
Informations
klassifikation
Grundlage:
ISB-
Dokument
Zugriffsmatrix
ISDS-Konzept
Aktualisiert:
Schuban/
Grundschutz
Schuban/
Grundschutz
erstellt
(unterschrieben)
Vorlagen
Schuban,
Grundschutz
anfordern
Aktualisiert:
Schuban/
Grundschutz
ISDS-Konzept
Dokumente immer auf Basis der tatsächlich designten / realisierten Lösung erstellen. Keine Varianten!
Überprüfung auf Aktualität der Schuban/Grundschutz-Dokumente sowie des ISDS-Konzeptes nach
jeder Phase. Bei Änderungen im Projektverlauf sind die Dokumente neu zu unterschreiben.
Aktualisiert:
Schuban/
Grundschutz
ISDS-Konzept
(unterschrieben)
Aktualisierungszyklen
Sicherheits-, Architektur-
konformitätsprüfung (BIT*)
* Begleitung durch IT-GOV sicherstellen
-
Bundesamt für Strassen ASTRA
Sicherheitsaspekte bei Hermes 5
Was wird wann ausgefüllt?
Sicherheit im Projekt 4
Achtung: Schuban immer in Verbindung mit dem Grundschutzdokument
zusammen erstellen! Beide Dokumente müssen unterschrieben sein!
RINA
-
Bundesamt für Strassen ASTRA
Vorgehensmodell «Informations- und
Datenschutz in Projekten»
5
Datenfluss-
analyse
Schutzbedarfs-
analyse
ggf.
Clientanalyse
Daten-
klassifikation
Verbindung-
aufbau/Benutzer
Schutzbedarfs-
ermittlung
Auswahl
Schutzmittel
Umsetzungs-
konzepte
Initia
lisie
rung
Konzept
RINA
Fach +
DS
BO
Projekt
-
Bundesamt für Strassen ASTRA
Voraussetzungen zur Durchführung
der Schuban - Datenklassifikation
• Grundlage für die ordnungsgemässe Durchführung der
Schuban ist eine dokumentierte Klassifikation der Daten /
Informationen nach DSG/ISchV, die in einem
System/Service/Schnittstelle vorliegen.
• Die Klassifikation berücksichtigt insbesondere den Aspekt
der Vertraulichkeit der Daten/Informationen.
• Grundlage bietet das ISB-Dokument «Zugriffsmatrix» in der
jeweils aktuellen Version.
• Die aktuellsten Vorlagen für Schuban, Grundschutz und
ISDS-Konzept sind beim ISBO Wolfgang Hoffmann
anzufordern.
Sicherheit im Projekt 6
Daten-
klassifikation
-
Bundesamt für Strassen ASTRA
Beispiel: Daten in IVZ
7
Führerdaten, Administrativmassnahmen, Medizinische Daten
Fahrzeugdaten-,
Versicherungsdaten
Schilddaten
Ordnungsbussen-
verfahren
Daten-
klassifikation
-
Bundesamt für Strassen ASTRA
Datenklassifikation
8
aus: ISB-Dokument Zugriffsmatrix
IVZ Datenmodell
Klassifikationsmatrix
Ergebnis:
Klassifizierte Daten.
Bei Unsicherheiten, den
DSBO konsultieren!
Daten-
klassifikation
Daten auf Typ- oder Cluster-
Ebene klassifizieren
-
Bundesamt für Strassen ASTRA
Erstellung der Einstufung in
Schuban
Sicherheit im Projekt 9
Grundlage für Vertraulichkeit: Klassifizierte Daten
Risikoanalyse,
ISDS-Konzept
erforderlich
SN2
Erweiterte Kapitel
im IKT-Grundschutz
SN1
Daten-
klassifikation
-
Bundesamt für Strassen ASTRA
Informations-/Datenflussanalyse
Beispiel IVZ
10
StVA
• Betrachtung aller Schnittstellen zu Partnersystemen
• Grundlage ist die Datenklassifikation
Ergebnis:
Vertraulichkeit der
übertragenen
Daten je Partner
und Technologie
Sicherheit im Projekt
Datenfluss
-analyse
-
Bundesamt für Strassen ASTRA
Analyse Verbindungsaufbau /
Benutzer
11
StVA: D11.1
VBS1
SVSAA: D36.1
Halter, Schild, Fahrzeug
Führerausweis, Personen,
Adressdaten, Massnahmen,
Bild, Unterschrift
Halter, Schild, Fahrzeug
Führerausweis(Militär-
kategorie)
3
3
3
Vertraulichkeitsstufe
2
1
Bundesnetz
DMZ Partner
CAZ
SSZVerbindungsaufbau
Informationsfluss
Connectivity (Prozess)
Client-
analyse
Ergebnis: Richtung Verbindungsaufbau,
Auslöser Person oder Prozess
Verbindung-
aufbau/Benutzer
Beispiel IVZ
-
Bundesamt für Strassen ASTRA
Datenklassifikation je Partnersystem
und Technologie - Schutzbedarfsanalyse
12Sicherheit im Projekt
Datenfluss
-analyse
Schutzbedarf der Schnittstellen
Ergebnis: vollständige Schuban und
Grundschutzdokument
-
Bundesamt für Strassen ASTRA
SN1
Umfang Schuban/IKT-Grundschutz
13
Einstufung ArchitekturskizzeRINA
IKT-Grundschutz Erhöhter Schutz
SN2
Schuban
-
Bundesamt für Strassen ASTRA
Schutzbedarf der Schnittstellen ermitteln
14
1 2 3
j in SSZ
aus: ISB-Dokument Zugriffsmatrix
Ergebnis:
Authentisierungsmittel
«generisch»
Schutzbedarfs-
ermittlung
BV
-Netz
SS
Z
-
Bundesamt für Strassen ASTRA
Auswahl des Schutzmittels
15
j
SwissGov PKI
Vasco Token
Ergebnis:
Konkretes Zertifikat
Auswahl
Schutzmittel
-
Bundesamt für Strassen ASTRA
Umsetzungskonzept Beispiel
16
Umsetzungs-
konzept
Technologie Partner Vertraulichkeit Stufe Person/Prozess Schutzmittel Zugang
TVDX-Konnektor StVA vertraulich 3 Prozess SwissGov PKI Klasse C KTV
SVSAA vertraulich 3 Prozess SwissGov PKI Klasse C BV
Web Service MKF FL vertraulich 3 Prozess SwissGov PKI Klasse C KTV
RIPOL vertraulich 3 Prozess SwissGov PKI Klasse C BV
CLS intern 2 Prozess Bedag ZertifikatI Klasse C KTV
OBV EUCARIS FR/DE intern 2 Prozess sTesta-Netzt mit Kryptobox sTesta (EU-Netz)
SARI intern 2 Prozess SwissGov PKI Klasse C Internet
ASTRA FKR intern 2 Prozess SwissGov PKI Klasse C BV
ASTRA ETC Mobile intern 2 Prozess SwissGov PKI Klasse C BV
ASTRA FAVU intern 2 Prozess SwissGov PKI Klasse C BV
Web GUI StVA vertraulich 3 Person SwissGov PKI Klasse B KTV
RIPOL vertraulich 3 Person SwissGov PKI Klasse B BV
SVSAA vertraulich 3 Person SwissGov PKI Klasse B BV
ASTRA FFR vertraulich 3 Person SwissGov PKI Klasse B BV
Gerichte vertraulich 3 Person SwissGov PKI Klasse B KTV
NVB intern 2 Person SuisseID Internet
LSVA/OZD nicht klassifiziert 1 Person SwissGov PKI Klasse B BV
Filetransfer via
WebDAV SSZStVA vertraulich 3 Prozess SwissGov PKI Klasse C KTV
SVSAA vertraulich 3 Prozess SwissGov PKI Klasse C BV
ASTRA FFR intern 2 Person SwissGov PKI Klasse B BV
BFS intern 2 Prozess SwissGov PKI Klasse B BV
SARI intern 2 Prozess SwissGov PKI Klasse C Internet
OBV-CH intern 2 PersonUsername/Passwort bei KTV
SwissGov Klasse C bei InternetKTV
NVB intern 2 Person SwissGov PKI Klasse C Internet
LSVA OZD intern 2 Prozess SwissGov PKI Klasse C BV
BFE intern 2 Person SwissGov PKI Klasse B BV
Filetransfer via
WebDAV ETZImporteure nicht klassifiziert 1 Prozess oder Person Username/Passwort Internet
Auswertungen/Datenlief
erungennicht klassifiziert 1 Prozess oder Person Username/Passwort Internet
Filetransfer via (s)ftp Targa nicht klassifiziert 1 Prozess Username/Passwort BV
DWH ASTRA vertraulich 3 Prozess Username/SSH-KeyBV mit
Ausnahmebewilligung
OBV SAP intern 2 Prozess SwissGov PKI Klasse C
BV mit
Ausnahmebewilligung
-
Bundesamt für Strassen ASTRA
Vorgehensweise bei der Umsetzung
der Schnittstellen
• Spezifikation für die Partner erstellen
• Meetings mit Partnern durchführen
• Zertifikate mit den vorhandenen Prozessen bestellen
• Zertifikate im Partnersystem implementieren, ggf.
Anpassungen des Systems (Zertifikattauglich machen)
• Begleitung der Implementierung
• eIAM mit den gelieferten Informationen/Schlüssel
konfigurieren
• Verbindungstests mit Partnern durchführen
• Ggf. Fehlerkorrekturen
• Abnahme
17
