plattform-eva / revision-politische-rechte-2021

Diskussion zu einer gemeinsamen Antwort zur eidgenössischen Vernehmlassung 2021/61: Änderung der Verordnung über die politischen Rechte (VPR) und der Verordnung der BK über die elektronische Stimmabgabe (VEleS)
Creative Commons Zero v1.0 Universal
13 stars 1 forks source link

Anhang VEleS Ziff. 26. Prüfkriterien für die Systeme und ihren Betrieb #61

Open dune73 opened 3 years ago

dune73 commented 3 years ago

Wortlaut der Vorlage

26. Prüfkriterien für die Systeme und ihren Betrieb

26.1 Prüfung des kryptografischen Protokolls (Art. 10 Abs. 1 Bst. a)

26.1.1 Gegenstand: Es wird geprüft:

26.1.2 Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie. Die Bundeskanzlei gibt die Prüfung in Auftrag und kontrolliert die auftragsgemässe Erfüllung.

26.1.3 Zeitpunkt der Prüfung:

26.2 Prüfung der Software des Systems (Art. 10 Abs. 1 Bst. b)

26.2.1 Gegenstand: Es wird geprüft:

26.2.2 Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie und der Softwareentwicklung. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.

26.2.3 Zeitpunkt der Prüfung:

26.3 Prüfung der Sicherheit von Infrastruktur und Betrieb (Art. 10 Abs. 1 Bst. c) 26.3.1 Gegenstand: Es wird geprüft, ob:

26.3.2 Zuständigkeiten: Die Prüfung erfolgt durch Expertinnen und Experten aus der Kryptografie und dem Betrieb von hochsicheren Systemen. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.

26.3.3 Zeitpunkt der Prüfung:

26.4 Prüfung des Schutzes gegen Versuche, in die Infrastruktur einzudringen (Art. 10 Abs. 1 Bst. d)

26.4.1 Gegenstand: Es wird geprüft, ob es den Expertinnen und Experten im Auftrag der Bundeskanzlei gelingt, im Rahmen eines Tests die Infrastruktur des Online-Systems einzudringen und sich Zugang zu wichtigen Daten zu verschaffen oder die Kontrolle über wichtige Funktionen zu übernehmen. Die Tests werden auf der Grundlage von potenziellen Schwachstellen durchgeführt, die nach einer methodischen Analyse der öffentlich zugänglichen Unterlagen, insbesondere nach Artikel 11, entdeckt wurden. Die Expertinnen und Experten prüfen im Mindesten Schwachstellen, die im Open Web-Application Security-Project (OWASP) dokumentiert sind.

26.4.2 Zuständigkeiten: Die Prüfung erfolgt durch Sicherheitsexpertinnen und -experten. Die Prüfung wird von der Bundeskanzlei in Auftrag gegeben.

26.4.3 Zeitpunkt der Prüfung:

26.5 Prüfung des Informationssicherheitsmanagement-Systems (Art. 10 Abs. 2) 26.5.1 Gegenstand: Es wird geprüft, ob das ISMS des Systembetreibers mit der Norm ISO/IEC 27001, 2013, Information technology – Security techniques - Information security management systems – Requirements konform ist. Der Geltungsbereich des ISMS umfasst alle Organisationseinheiten des Systembetreibers, die rechtlich, administrativ und betrieblich für das System verantwortlich sind.

26.5.2 Zuständigkeiten: Die Zertifizierungsstelle ist durch die Schweizerische Akkreditierungsstelle für die Durchführung von Audits nach der Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements akkreditiert. Die Prüfung wird vom Kanton oder vom Systembetreiber in Auftrag gegeben; der Kanton sorgt für die Durchführung der Prüfung.

26.5.3 Dauer der Gültigkeit eines Belegs: Wiederholungsaudits werden in den durch die Norm ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements^ festgelegten Abständen durchgeführt. Ein gültiges Zertifikat und die entsprechende «Statement of Applicability» liegt bei jedem Einsatz des Systems vor. Wird eine neue Version des Standards ISO/IEC 27001, 2013, Information technology – Security techniques – Information security management systems – Requirements publiziert, so wird spätestens nach Ablauf der Übergangsfrist eine gültige Zertifizierung des ISMS nach der neuen Version nachgewiesen. Der Geltungsbereich des ISMS darf dabei nicht reduziert werden.

Referenzen

Ziff. 26 Prüfkriterien für die Systeme und ihren Betrieb

Um die Wirksamkeit und Glaubwürdigkeit der Prüfungen sicherzustellen, wurden die Zuständigkeiten angepasst. Die Aufgabenteilung zwischen Bund und Kantonen wird so angepasst, dass der Bund mehr Verantwortung und eine direktere Rolle bei der Prüfung der Systeme übernimmt.

Der Bund ist neu für die Prüfungen der Erfüllung der Anforderungen in Bezug auf das System und die zugrundeliegenden Prozesse zuständig. Dadurch soll nicht zuletzt begünstigt werden, dass Erkenntnisse aus der Überprüfung zielgerichtet in den weiteren Verlauf des Versuchsbetriebs einfliessen. Für die Über-prüfungen sind externe Expertinnen und Experten zu mandatieren.

Der Kanton bzw. der Systemanbieter ist weiterhin für Prüfungen in Bezug auf den Betrieb des Systems in seinen Rechenzentren zuständig (Zertifikation ISO 27001).

Auf eine weitergehende Zertifizierung durch Stellen, die von der Schweizerischen Akkreditierungsstelle (SAS) akkreditiert sind, wird verzichtet.

melchl commented 3 years ago

26.4.1: Eine Prüfung nach OWASP ist nicht geeignet für die Prüfung des Schutzes gegen Versuche, in die Infrastruktur einzudringen. Es braucht hier keinen Web-Pentest, sondern Red Teaming mit einem offenen Scope inklusive Phishing, AD-Akrobatik und physischen Zugangsversuchen.