ITSK

ITSK

Die Deutschen IT-Sicherheitskriterien (ITS oder ITSK, auch bekannt als Grünbuch) sind eine 1989/1990 von der Zentralstelle für Sicherheit in der Informationstechnik (heute BSI) erarbeitete Richtlinie für die Bewertung und Zertifizierung von Computersystemen und Software. Sie ist das deutsche Gegenstück zum amerikanischen Orange Book und bildet die Grundlage für neuere Standards wie ITSEC und die Common Criteria.

Die Bewertung erfolgt ähnlich wie bei ITSEC, aber entlang nur zweier Achsen: der Funktionalität und der Verlässlichkeit. Die Verlässlichkeit wird in Bezug auf die Wirksamkeit der Methode und auf die Korrektheit der Implementierung untersucht, beide Werte werden dann zu einer Qualitätsklasse zusammengefasst.

Funktionalitätsklassen

Im Gegensatz zum amerikanischen Orange Book bewerten diese IT-Sicherheitskriterien die Funktionalität und die Vertrauenswürdigkeit (Qualität), bei der Vertrauenswürdigkeit wird weiter nach Korrektheit und Wirksamkeit unterschieden. So ergeben sich drei Dimensionen der Bewertung, wobei nur die ersten 5 der insgesamt 10 Funktionalitätsklassen eine hierarchische Ordnung bilden:

BSI ITS F ITSEC F Bedeutung TCSEC
F1 F-C1 Einfache Sicherheit, kooperative Nutzer C1
F2 F-C2 Login-Mechanismus, Daten einzelner Benutzer getrennt, (einfache) Protokollierung C2
F3 F-B1 Sicherheitsmodell, regelbasierte Schutzstufen B1
F4 F-B2 Formales Sicherheitsmodell, sicherer Datenfluss bei der Authentisierung B2
F5 F-B3 Referenzmonitor-Eigenschaften, formal verifizierbar. B3/A

Daneben existieren weitere Funktionalitätsklassen, die sich auf die Konsistenz von Daten und die Verfügbarkeit von Diensten beziehen:

BSI ITS F ITSEC F Bedeutung
F6 F-IN Regelwerk zur Wahrung der Integrität und Konsistenz der Daten, Typkonzept (insbesondere für Datenbanksysteme: Constraints und Transaktionen)
F7 F-AV Verfügbarkeit, Fehlerüberbrückung, Ausfallwahrscheinlichkeit (Vorkehrungen für Stromausfall, redundante Hardware, Backups)

Zusätzlich gibt es drei Funktionalitätsklassen, die sich auf die Übertragung von Daten (insb. in Netzwerken) beziehen:

BSI ITS F ITSEC F Bedeutung
F8 F-DI Sicherung der Integrität und Authentizität von Nachrichten (Elektronische Unterschrift)
F9 F-DC Sicherung der Vertraulichkeit von Nachrichten (Verschlüsselung)
F10 F-DX Anforderungen an sichere Netzwerke

Qualitätsklassen

Bei der Bewertung der Qualität (Vertrauenswürdigkeit) eines Computersystems wird zwischen der Wirksamkeit der Methode und der Korrektheit der Implementierung unterschieden. Diese beiden Werte werden dann zu einem Qualitätswert vereinigt.

Die Wirksamkeit bezeichnet die Widerstandsfähigkeit eines Schutzmechanismus gegen Umgehungsversuche. Die Wirksamkeit wird in der ITSEC in drei Stufen unterschieden, wohingegen in der ITSK eine feinere Bewertung (sechsstufig) definiert ist:

BSI ITS ITSEC Bedeutung TCSEC
ungeeignet - kein Schutz D
schwach niedrig Nur Schutz gegen zufällige, unbeabsichtigte Verstöße gegen die Sicherheitsregeln. Leicht zu umgehen.
mittelstark mittel Schutz gegen absichtliche Verstöße von Angreifern mit beschränkter Gelegenheit und Mitteln. C1-C2
stark stark Guter Schutz, nur mit hohem Aufwand zu umgehen. B1-B2
sehr stark Sehr guter Schutz, nur mit sehr hohem Aufwand zu umgehen. B3-A
z. Z. unüberwindlich Zur Zeit nicht zu überwinden, bisher keine Schwachstelle bekannt.

Die Beurteilung der Qualität erfolgt in acht Stufen. Dabei wird die Wirksamkeit der Methode mit der bestandenen Prüftiefe für die Implementierung kombiniert. Die Korrektheit der Implementierung wird wiederum in sechs Stufen beurteilt. Dabei wird insbesondere auf Programmfehler geprüft, sowie darauf, inwieweit die Implementierung tatsächlich die zuvor bewertete Methode realisiert. Im Gegensatz zur der BSI-Richtlinie ITSK fasst ITSEC die Wirksamkeit und Vertrauenswürdigkeit nicht zusammen, sondern behandelt die Werte getrennt.

BSI ITS Q Wirksamkeit Korrektheit ITSEC E TCSEC
Q0 ungeeignet unwirksam E0 D
Q1 mittelstark Informelle Spezifikation der Architektur, Funktionstest, gezielte Angriffe E1 C1
Q2 mittelstark Zusätzlich informelle Beschreibung des Feinentwurfs (Detailspezifikation) E2 C2
Q3 stark Analyse des Quellcodes bzw. des Hardwarelayouts E3 B1
Q4 stark Formales Sicherheitsmodell, semiformale Detailspezifikation E4 B2
Q5 sehr stark Detailspezifikation muss nachvollziehbar auf Quellcode abbildbar sein E5 B3
Q6 sehr stark Zusätzlich formale Spezifikation und Analyse der Architektur E6
Q7 z. Z. nicht überwindbar Zusätzlich formale Spezifikation und Verifikation der Architektur A

Weblinks

Informationen über die deutschen IT-Sicherheitskriterien beim BSI


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • IT-Sicherheitskriterien — Die Deutschen IT Sicherheitskriterien (ITS oder ITSK, auch bekannt als Grünbuch) sind eine 1989/1990 von der Zentralstelle für Sicherheit in der Informationstechnik (heute BSI) erarbeitete Richtlinie für die Bewertung und Zertifizierung von… …   Deutsch Wikipedia

  • ITSEC — Die Information Technology Security Evaluation Criteria (ITSEC; deutsch etwa: Kriterien für die Bewertung der Sicherheit von Informationstechnologie) ist ein europäischer Standard für die Bewertung und Zertifizierung von Software und… …   Deutsch Wikipedia

  • Information Technology Security Evaluation Criteria — Die Information Technology Security Evaluation Criteria (ITSEC; deutsch etwa: Kriterien für die Bewertung der Sicherheit von Informationstechnologie) ist ein europäischer Standard für die Bewertung und Zertifizierung von Software und… …   Deutsch Wikipedia

  • Deutsche IT-Sicherheitskriterien — Die Deutschen IT Sicherheitskriterien (ITS oder ITSK, auch bekannt als Grünbuch) sind eine 1989/1990 von der Zentralstelle für Sicherheit in der Informationstechnik (heute BSI) erarbeitete Richtlinie für die Bewertung und Zertifizierung von… …   Deutsch Wikipedia

  • TCSEC — (Trusted Computer System Evaluation Criteria; im Allgemeinen als Orange Book bezeichnet), ist ein von der US Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen. TCSEC wurde vor allem in den …   Deutsch Wikipedia

  • Trusted Computer System Evaluation Criteria — TCSEC (Trusted Computer System Evaluation Criteria; im Allgemeinen als Orange Book bezeichnet), ist ein von der US Regierung herausgegebener Standard für die Bewertung und Zertifizierung der Sicherheit von Computersystemen. TCSEC wurde vor allem… …   Deutsch Wikipedia

  • Marek Sawicki — Minister of Agriculture and Rural Development Incumbent Assumed office November 16, 2007 President …   Wikipedia

  • Maciej Nowicki — Maciej Władysław Nowicki ([ˈmatɕɛj vwaˈdɨswaf nɔˈvʲitskʲi], * 28. September 1941 in Warschau) ist ein polnischer Politiker und Ökologe. Vom 16. November 2007 bis zum 8. Dezember 2009 war der parteilose Nowicki polnischer Minister für Umweltschutz …   Deutsch Wikipedia

  • Maciej Wladyslaw Nowicki — Maciej Władysław Nowicki ([ˈmatɕɛj vwaˈdɨswaf nɔˈvʲitskʲi], * 28. September 1941 in Warschau) ist ein polnischer Politiker und Ökologe. Seit dem 16. November 2007 ist der parteilose Nowicki polnischer Minister für Umweltschutz im Kabinett von… …   Deutsch Wikipedia

  • Maciej Władysław Nowicki — ([ˈmatɕɛj vwaˈdɨswaf nɔˈvʲitskʲi], * 28. September 1941 in Warschau) ist ein polnischer Politiker und Ökologe. Seit dem 16. November 2007 ist der parteilose Nowicki polnischer Minister für Umweltschutz im Kabinett von Donald Tusk.… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”