Anhang VEleS Ziff. 26. Prüfkriterien für die Systeme und ihren Betrieb

[dune73]

Wortlaut der Vorlage

26. Prüfkriterien für die Systeme und ihren Betrieb

26.1 Prüfung des kryptografischen Protokolls (Art. 10 Abs. 1 Bst. a)

26.1.1 Gegenstand: Es wird geprüft:

• ob die Anforderungen in Artikel 5 in Verbindung mit den Artikeln 6–8 und Ziffer 2 des Anhangs erfüllt sind; diese Beurteilung erfolgt insbesondere anhand der kryptografischen und symbolischen Beweise;
• ob und inwiefern sich das kryptografische Protokoll auf existierende und bewährte Protokolle und Bausteine abstützt;
• welche Vertiefungen und Verbesserungen zu einer Stärkung der Sicherheit beitragen könnten.

26.1.2 Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie. Die Bundeskanzlei gibt die Prüfung in Auftrag und kontrolliert die auftragsgemässe Erfüllung.

26.1.3 Zeitpunkt der Prüfung:

• Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
• Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
• Die Prüfung findet bei jeder Änderung des Protokolls und bei relevanten neuen Erkenntnissen der Forschung bezüglich der Sicherheit von verwendeten kryptografischen Elementen sowie der Bedrohungslage neu statt.

26.2 Prüfung der Software des Systems (Art. 10 Abs. 1 Bst. b)

26.2.1 Gegenstand: Es wird geprüft:

• ob das nach Ziffer 26.1 geprüfte kryptografische Protokoll umgesetzt ist; die korrekte Umsetzung von Funktionen vertrauenswürdiger Komponenten muss besonders eingehend geprüft werden;
• ob die Software des Systems die Anforderungen dieser Verordnung erfüllt und die vorgegebenen Zielsetzungen adäquat unterstützt;
• ob die Software mit dem Standard eCH- 0059 konform ist; die Prüfung kann sich auf ein gültiges Zertifikat stützen, das von einer von der Bundeskanzlei anerkannten Institution ausgestellt wurde und die Konformität mit dem Standard belegt.

26.2.2 Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie und der Softwareentwicklung. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.

26.2.3 Zeitpunkt der Prüfung:

• Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
• Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
• Die Prüfung findet bei jeder wesentlichen Änderung neu statt, insbesondere:
  • nach einer Änderung am kryptografischen Protokoll;
  • bei jeder Änderung am Quellcode der Funktionen, deren Vertrauenswürdigkeit für die Stichhaltigkeit der im Rahmen der Verifizierbarkeit vorgesehenen Beweise massgeblich sind;
  • bei relevanten neuen Erkenntnissen der Forschung bezüglich der Sicherheit von verwendeten kryptografischen Elementen sowie der Bedrohungslage;
  • beim Verzicht oder bei wesentlichen Anpassungen an Mechanismen, die dem sicheren Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dienen.

26.3 Prüfung der Sicherheit von Infrastruktur und Betrieb (Art. 10 Abs. 1 Bst. c) 26.3.1 Gegenstand: Es wird geprüft, ob:

• das System und sein Betrieb beim Kanton, beim Systembetreiber und bei der Druckerei die Anforderungen dieser Verordnung erfüllen und die vorgegebenen Zielsetzungen adäquat unterstützen;
• die Basiskomponenten, wie beispielsweise Software, die dem sicheren und unabhängigen Einsatz von Kontrollkomponenten dient, die eingesetzten Betriebssysteme oder die eingesetzten Server erwiesenermassen besten Standards entsprechen.

26.3.2 Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie und dem Betrieb von hochsicheren Systemen. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.

26.3.3 Zeitpunkt der Prüfung:

• Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
• Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
• Die Prüfung findet bei jeder wesentlichen Änderung neu statt, insbesondere:
• nach einer Änderung am kryptografischen Protokoll;
• beim Verzicht oder bei wesentlichen Anpassungen an Mechanismen, die dem sicheren Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dienen;
• bei einer wesentlichen Änderung der Prozesse oder der Infrastruktur.
• Werden neue Versionen von Basiskomponenten eingesetzt (neue Server, Patches zu Betriebssystem oder Software, die dem sicheren und unabhängigen Einsatz von vertrauenswürdigen Komponenten nach Ziffer 2 dient), muss keine neue Kontrolle erfolgen, sofern die Basiskomponenten weiterhin erwiesenermassen besten Standards entsprechen.

26.4 Prüfung des Schutzes gegen Versuche, in die Infrastruktur einzudringen (Art. 10 Abs. 1 Bst. d)

26.4.1 Gegenstand: Es wird geprüft, ob es den Expertinnen und Experten im Auftrag der Bundeskanzlei gelingt, im Rahmen eines Tests die Infrastruktur des Online-Systems einzudringen und sich Zugang zu wichtigen Daten zu verschaffen oder die Kontrolle über wichtige Funktionen zu übernehmen. Die Tests werden auf der Grundlage von potenziellen Schwachstellen durchgeführt, die nach einer methodischen Analyse der öffentlich zugänglichen Unterlagen, insbesondere nach Artikel 11, entdeckt wurden. Die Expertinnen und Experten prüfen im Mindesten Schwachstellen, die im Open Web-Application Security-Project (OWASP) dokumentiert sind.

26.4.2 Zuständigkeiten: Die Prüfung erfolgt durch Sicherheitsexpertinnen und -experten. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.

26.4.3 Zeitpunkt der Prüfung:

• Eine komplette Überprüfung erfolgt vor der ersten Inbetriebnahme.
• Die Prüfung wird nach zwei bis drei Jahren erneut durchgeführt.
• Die Prüfung findet bei jeder wesentlichen Änderung der Infrastruktur neu statt.
• Die Prüfung findet bei relevanten neuen Erkenntnissen bezüglich der Sicherheit der eingesetzten Betriebsmittel sowie der Bedrohungslage statt.

26.5 Prüfung des Informationssicherheitsmanagement-Systems (Art. 10 Abs. 2) 26.5.1 Gegenstand: Es wird geprüft, ob das ISMS des Systembetreibers mit der Norm ISO/IEC 27001, 2013, Information technology – Security techniques - Information security management systems – Requirements konform ist. Der Geltungsbereich des ISMS umfasst alle Organisationseinheiten des Systembetreibers, die rechtlich, administrativ und betrieblich für das System verantwortlich sind.

26.5.2 Zuständigkeiten: Die Zertifizierungsstelle ist durch die Schweizerische Akkreditierungsstelle für die Durchführung von Audits nach der Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements akkreditiert. Die Prüfung wird vom Kanton oder vom Systembetreiber in Auftrag gegeben; der Kanton sorgt für die Durchführung der Prüfung.

26.5.3 Dauer der Gültigkeit eines Belegs: Wiederholungsaudits werden in den durch die Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements^ festgelegten Abständen durchgeführt. Ein gültiges Zertifikat und die entsprechende «Statement of Applicability» liegt bei jedem Einsatz des Systems vor. Wird eine neue Version des Standards ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements publiziert, so wird spätestens nach Ablauf der Übergangsfrist eine gültige Zertifizierung des ISMS nach der neuen Version nachgewiesen. Der Geltungsbereich des ISMS darf dabei nicht reduziert werden.

Referenzen

• Bericht der Bundeskanzlei, S. 31:

Ziff. 26 Prüfkriterien für die Systeme und ihren Betrieb

Um die Wirksamkeit und Glaubwürdigkeit der Prüfungen sicherzustellen, wurden die Zuständigkeiten angepasst. Die Aufgabenteilung zwischen Bund und Kantonen wird so angepasst, dass der Bund mehr Verantwortung und eine direktere Rolle bei der Prüfung der Systeme übernimmt.

Der Bund ist neu für die Prüfungen der Erfüllung der Anforderungen in Bezug auf das System und die zugrundeliegenden Prozesse zuständig. Dadurch soll nicht zuletzt begünstigt werden, dass Erkenntnisse aus der Überprüfung zielgerichtet in den weiteren Verlauf des Versuchsbetriebs einfliessen. Für die Über-prüfungen sind externe Expertinnen und Experten zu mandatieren.

Der Kanton bzw. der Systemanbieter ist weiterhin für Prüfungen in Bezug auf den Betrieb des Systems in seinen Rechenzentren zuständig (Zertifikation ISO 27001).

Auf eine weitergehende Zertifizierung durch Stellen, die von der Schweizerischen Akkreditierungsstelle (SAS) akkreditiert sind, wird verzichtet.

[melchl]

26.4.1: Eine Prüfung nach OWASP ist nicht geeignet für die Prüfung des Schutzes gegen Versuche, in die Infrastruktur einzudringen. Es braucht hier keinen Web-Pentest, sondern Red Teaming mit einem offenen Scope inklusive Phishing, AD-Akrobatik und physischen Zugangsversuchen.