dune73
commented
3 years ago 10.1c und 10.2 überschneiden respektive widersprechen sich. Es ist mir auch nicht klar, weshalb das ISMS durch den Kanton, der Rest des Betriebes aber durch den Bund zu prüfen ist.
Insgesamt ist die stärkere Prüfung durch Auftragsnehmer des Bundes natürlich sinnvoll; etwas ambivalent ist das insistieren auf "unabhängig", denn wir dürfen annehmen, dass die Prüfer das nicht gratis machen würden und sobald sie bezahlt werden ist es in der Regel vorbei mit der Unabhängigkeit.
10.4 Weshalb wird mit dem Begriff "Beleg" gearbeitet und dann im Bericht aufgeführt, dass Berichte auch als Belege gelten? Eventuell ist das juristischer Wortgebrauch, aber mir wäre wohler, wenn da "Bericht" stehen würde. Der Hinweis auf das Öffentlichkeits- und Datenschutzgesetz übergeht das Problem, dass der Systembetreiber anderer Gesetzgebung untersteht als die öffentliche Hand. Es müsste klar werden, dass hier das Öffentlichkeitsgesetz des Bundes gilt und der Systembetreiber sich nicht dahinter verstecken kann, dass er privatrechtlich operiert und dass die Berichte in jedem Fall sein Geschäftsgeheimnis tangieren.
melchl
Wortlaut der Vorlage
Art. 10 Anforderungen an die Überprüfung
1 Unabhängige Stellen prüfen im Auftrag der Bundeskanzlei: a. das kryptografische Protokoll (Anhang Ziff. 26.1); b. die Software des Systems (Anhang Ziff. 26.2); c. die Sicherheit von Infrastruktur und Betrieb (Anhang Ziff. 26.3); d. den Schutz gegen Versuche, in die Infrastruktur einzudringen (Anhang Ziff. 26.4);
2 Der Kanton stellt sicher, dass der Systembetreiber über ein Informationssicherheitsmanagement-System (ISMS) verfügt und dieses von unabhängigen Stellen geprüft wird (Anhang Ziff. 26.5). Das ISMS umfasst mindestens die Prozesse und die Infrastruktur des Systembetreibers, die für die Erreichung der Sicherheitsziele relevant sind.
3 Der Kanton stellt sicher, dass die Bundeskanzlei und die von ihr beauftragten unabhängigen Stellen für die Durchführung der Prüfungen nach Absatz 1 Zugang zum System und den notwendigen Unterlagen erhalten.
4 Die nach den Absätzen 1 und 2 für die Prüfungen zuständigen Behörden publizieren die Belege und die Zertifikate. Zusätzlich sind weitere Unterlagen zu publizieren, sofern sie für die Nachvollziehbarkeit relevant sind. Von einer Publikation kann abgesehen werden, sofern eine begründete Ausnahme insbesondere gestützt auf das Öffentlichkeits- oder das Datenschutzrecht vorliegt.
Referenzen
Art. 10 Anforderungen an die Überprüfung Um die Wirksamkeit der Überprüfungen und die Unabhängigkeit zwischen der Prüfstelle und der geprüf-ten Stelle zu stärken, wird die Aufgabenteilung zwischen Bund und Kantonen so angepasst, dass der Bund mehr Verantwortung und eine direktere Rolle bei der Überprüfung der Systeme übernimmt. So sollen die Überprüfungen künftig zum grössten Teil durch die BK in Auftrag gegeben werden (Abs. 1). In diesen Bereichen wird auf eine Zertifizierung durch Stellen, die von der Schweizerischen Akkreditierungsstelle (SAS) akkreditiert sind, verzichtet. Der Kanton sorgt weiterhin dafür, dass eine Prüfung in Bezug auf den Betrieb des Systems im Rechenzentrum des Systemanbieters stattfindet (Abs. 2). Die weiterführenden Anforderungen wie Gegenstand, Zuständigkeiten und Zeitpunkte der Prüfungen werden weiterhin im Anhang geregelt (Ziff. 26).
Abs. 1 Bst. b: Anpassung der Bezeichnung; neu: «Software des Systems». Diese Prüfung umfasst die bisherige Prüfung nach Anhang Ziffer 5.2 (Funktionalität) und Ziffer 5.4 (Kontrollkomponenten). Mit der neuen Formulierung wird die Software des gesamten Systems und der Kontrollkomponenten zusammengefasst geprüft.
Abs. 1 Bst. c: Die Anforderungen an die Druckereien werden neu unter der Bestimmung «Sicherheit von Infrastruktur und Betrieb» geprüft.
Abs. 2: Der Betrieb des Systems im Rechenzentrum des Systemanbieters ist nach ISO 27001 zu zertifizieren. Ein Kanton, der selbst kein System betreibt, kann sich für die kantonalen Prozesse nach ISO 27001 zertifizieren lassen, muss dies aber nicht.
Abs. 3: Die BK und die für die Prüfungen nach Absatz 1 mandatierten Stellen müssen Zugang zu den notwendigen Unterlagen beim Kanton und seinen Dienstleistern erhalten. Dazu gehören alle Unterlagen, die für die Prüfungen nach Absatz 1 notwendig sind und alle verfügbaren Berichte (inkl. Zertifizierungs-berichte), Belege und Zertifikate (ISO 27001-Zertifikat gemäss Abs. 2 und allfällige kantonale Zertifizie-rungen).
Abs. 4: Bewilligungsrelevante Prüfergebnisse werden publiziert. Für die Publikation ist diejenige Stelle zuständig, die eine Prüfung in Auftrag gegeben hat. Sie publiziert Belege und Zertifikate, die im Rahmen der Prüfungen nach den Absätzen 1 und 2 erstellt wurden. Unter den Begriff der Belege sind auch Prüf-berichte zu subsumieren. Die publizierten Prüfergebnisse müssen nachvollziehbar sein. Wird darin auf weitere Unterlagen verwiesen, sind diese in der Regel offenzulegen. Können zusätzliche Unterlagen nicht veröffentlicht werden, soll die Nachvollziehbarkeit der Prüfergebnisse mit einer zusammenfassenden Be-schreibung der relevanten Aspekte aus den nicht publizierten Unterlagen gewährleistet werden. Erstellt die geprüfte Stelle eine Replik auf einen Prüfbericht, soll diese auch publiziert werden. Von einer Publi-kation kann in begründeten Fällen abgesehen werden. Die Ausnahmen orientieren sich grundsätzlich an der Öffentlichkeits- und Datenschutzgesetzgebung. Dabei ist jeweils zwischen dem öffentlichen Interesse an der Publikation und dem Interesse an der Vertraulichkeit abzuwägen. Zu den Interessen an Vertrau-lichkeit können etwa interne Richtlinien, Schutz von Geschäftsinterna oder Schutz von Daten Dritter gelten.