diff --git a/.gitignore b/.gitignore index d2d3381..a272658 100644 --- a/.gitignore +++ b/.gitignore @@ -1,4 +1,3 @@ -r0126.txt __pycache__/ **/*.pyc lib/ diff --git a/Documentation/import formats/R0066-2.json b/Documentation/import formats/R0066-2.json new file mode 100644 index 0000000..2522fec --- /dev/null +++ b/Documentation/import formats/R0066-2.json @@ -0,0 +1,1997 @@ +{ + "Vorgabendokument": { + "Typ": "Standard IT-Sicherheit", + "Nummer": "R0066", + "Name": "Logging", + "Autoren": [ + "Adrian A. Baumann", + "Emily Hentgen" + ], + "Pruefende": [ + "Jan Hohenauer", + "Fritz Weyermann" + ], + "Geltungsbereich": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Der vorliegende Standard IT-Sicherheit beinhaltet Definitionen und Anforderungen, die für das Logging im BIT benötigt werden. Das Dokument beschreibt das Thema Logging aus Sicherheitssicht." + }, + { + "typ": "text", + "inhalt": "Es werden keine konkreten Umsetzungen vorgegeben, sondern lediglich die Anforderungen aufgezeigt. Alle Betreiber von Infrastrukturen beim BIT müssen das Vorgehen für die bei Ihnen anfallenden Log-Daten selbst konkretisieren und umsetzen. Das gewählte Vorgehen muss dokumentiert und begründet werden." + }, + { + "typ": "text", + "inhalt": "Nicht Bestandteil des vorliegenden Standards sind die Sammlung und Auswertung von Log-Daten zum Zweck der Überwachung von Services und Systemen um Betriebsaufgaben wahrzunehmen. Bei der Umsetzung macht es jedoch Sinn, die betrieblichen Aspekte mit einzubeziehen und zu spezifizieren; viele der Log-Daten sind sowohl für die Sicherheit wie auch für den Betrieb von Interesse." + }, + { + "typ": "text", + "inhalt": "Betriebswirtschaftliche Aspekte werden ebenfalls nicht berücksichtigt. Diese müssen in der Umsetzungsplanung berücksichtigt werden. Auch hier können Log-Daten potentiell z.B. für Key Performance Indicators (KPI) verwendet werden." + } + ] + }, + "Ziel": "", + "Grundlagen": "", + "Changelog": [], + "Anhänge": [], + "Verantwortlich": "Information Security Management BIT", + "Klassifizierung": null, + "Glossar": { + "ASCII": "American Standard Code for Information Interchange", + "CSV": "Comma-Separated Values", + "IP": "Internet Protocol", + "NTP": "Network Time Protocol", + "OSSEC": "Open Source HIDS SECurity", + "PIN": "Personal Identification Number", + "SCP": "Secure Copy", + "SLA": "Service Level Agreement", + "TCP": "Transmission Control Protocol", + "TLS": "Transport Layer Security" + }, + "Vorgaben": [ + { + "Nummer": "1", + "Titel": "Inventarisierung der Log-Daten Quellen", + "Thema": "Organisation", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Übersicht über die Log-Daten-Quellen muss gewährleistet sein. Dafür müssen Log-Daten-Quellen eindeutig identifiziert und systematisch inventarisiert werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Übersicht über die Log-Daten-Quellen muss gewährleistet sein. Dafür müssen Log-Daten-Quellen eindeutig identifiziert und systematisch inventarisiert werden. Der Verantwortliche der Log-Datensammlung muss sicherstellen, dass die Dokumentation gepflegt wird und aktuell ist." + }, + { + "typ": "text", + "inhalt": "Folgende Informationen müssen für jede Log-Daten Quelle schriftlich dokumentiert werden:" + }, + { + "typ": "liste", + "inhalt": [ + "Welche Logs aktiviert sind", + "Welche Logs nicht aktiviert sind, inkl. Begründung warum das Logging deaktiviert ist" + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz, O2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Übersicht über die Log-Daten-Quellen muss gewährleistet sein. Dafür Wird sichergestellt, dass Log-Daten-Quellen eindeutig identifiziert und systematisch inventarisiert werden. Der Verantwortliche der Log-Datensammlung muss sicherstellen, dass die Dokumentation gepflegt wird und aktuell ist?", + "Folgende Informationen Wird sichergestellt, dass für jede Log-Daten Quelle schriftlich dokumentiert werden:?", + "Ist sichergestellt, dass welche Logs aktiviert sind?", + "Ist sichergestellt, dass welche Logs nicht aktiviert sind, inkl. Begründung warum das Logging deaktiviert ist?" + ], + "Stichworte": [ + "Logdatenquelle", + "Logdatensammlung", + "Dokumentation" + ] + }, + { + "Nummer": "2", + "Thema": "Organisation", + "Titel": "Dokumentation der Log-Daten Quellen Attribute", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Logdaten müssen in einem maschinenlesbaren Format vorliegen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für jede Log-Daten-Quelle soll eine vollständige Dokumentation der Attribute zur Verfügung stehen. Zudem soll schriftlich dokumentiert werden, welche Attribute effektiv geloggt werden. Sollten Attribute nicht geloggt werden, soll dies nachvollziehbar dokumentiert und begründet werden." + } + ] + }, + "Referenz": [ + "IT-Grundschutz, O2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Für jede Log-Daten-Quelle Wird sichergestellt, dass eine vollständige Dokumentation der Attribute zur Verfügung stehen. Zudem Wird sichergestellt, dass schriftlich dokumentiert werden, welche Attribute effektiv geloggt werden. Sollten Attribute nicht geloggt werden, Wird sichergestellt, dass dies nachvollziehbar dokumentiert und begründet werden?" + ], + "Stichworte": [ + "Logdatenquelle", + "Dokumentation", + "Attribute" + ] + }, + { + "Nummer": "3", + "Thema": "Organisation", + "Titel": "Dateninhaber", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für jede Log-Daten Sammlung muss ein Dateninhaber definiert werden, der für die Qualität, Integrität und Sicherheit der Daten zuständig ist." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für jede Log-Daten Sammlung muss ein Dateninhaber definiert werden." + }, + { + "typ": "text", + "inhalt": "Beim Dateninhaber handelt es sich um eine Person oder ein Bundesorgan, die oder das allein oder zusammen entscheidet, wer auf die Log-Daten zugreifen darf, wer die Log-Daten bearbeiten darf, und wie die Log-Daten bearbeitet werden dürfen. Der Dateninhaber ist zuständig für die Qualität, Integrität und Sicherheit ihrer Daten." + } + ] + }, + "Referenz": [ + "ISO27001, A8.1.1", + "ISO27001, A8.1.2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Der Dateninhaber der Logdatensammlung ist definiert." + ], + "Stichworte": [ + "Logdatensammlung", + "Dateninhaber" + ] + }, + { + "Nummer": "4", + "Thema": "Organisation", + "Titel": "Log-Daten Sammlungen mit Personendaten", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für Log-Daten mit Personendaten gelten die Anforderungen des DSG. Rollen müssen definiert werden, um die Log-Daten konform und sicher zu bearbeiten." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für Log-Daten, die Personendaten beinhalten, oder die die Zusammenstellung von Persönlichkeitsprofilen ermöglichen, gelten die Anforderungen des DSG." + }, + { + "typ": "text", + "inhalt": "Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Als Persönlichkeitsprofil gelten Zusammenstellungen von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt (Art. 3, Bst. a, DSG)." + }, + { + "typ": "text", + "inhalt": "Log-Daten fallen in dieser Kategorie, insofern die geloggten Aktivitäten auf eine bestimmte natürliche Person zurückzuführen sind (z.B. mit einer Benutzer ID). Die Anforderungen zum Auskunftsrecht müssen sichergestellt werden können." + }, + { + "typ": "text", + "inhalt": "Rollen müssen definiert werden, damit die Log-Daten Sammlungen konform und sicher bearbeitet werden." + }, + { + "typ": "text", + "inhalt": "Im Kontext von Log-Daten Sammlungen, die Personendaten beinhalten, werden folgende Rollen definiert:" + }, + { + "typ": "liste", + "inhalt": [ + "*Verantwortlicher*: Beim Verantwortlichen handelt es sich grundsätzlich um den Dateninhaber der Log-Daten Sammlung. Er entscheidet allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung der Log-Daten. Siehe auch: Inhaber der Datensammlung nach DSG", + "*Auftragsbearbeiter*: Beim Auftragsbearbeiter handelt es um eine Person oder ein Bundesorgan, die oder das im Auftrag des Verantwortlichen die Log-Daten bearbeitet. Bemerkung: Der Auftragsbearbeiter ist kein Dritter. Als Dritte gilt einen eigenständigen Verantwortlichen. Er unterscheidet sich vom Auftragsbearbeiter oder von einem gemeinsamen Verantwortlichen im Rahmen der Datenbearbeitung.", + "*Datensubjekt*: Beim Datensubjekt handelt es sich um eine natürliche oder juristische Person, deren persönlichen Daten von einer Organisation gesammelt, gespeichert oder bearbeitet werden." + ] + }, + { + "typ": "text", + "inhalt": "Der Verantwortliche und der Auftragsbearbeiter müssen folgende Informationen schriftlich dokumentieren:" + }, + { + "typ": "tabelle", + "inhalt": "| Was | Verantwortliche | Auftragsbearbeiter |\n|----------------|----------------|------------------|\n| Identität des Verantwortlichen | x | x |\n| Identität des Auftragsbearbeiters | | x |\n| Bearbeitungszweck | x | |\n| Beschreibung der Kategorien betroffener Personen | x | |\n| Beschreibung der Kategorien bearbeiteter Personendaten | x | |\n| Kategorie der Empfängerinnen und Empfänger (Personen, denen Daten bekanntgegeben werden) | x | |\n| Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden | | x |\n| Aufbewahrungsdauer der Log-Daten | x | |\n| Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit | x | x |\n| Falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staats sowie die Garantien eines geeigneten Datenschutzes | x | x |" + }, + { + "typ": "text", + "inhalt": "Mit dem Begriff \"Bearbeitung\" wird jeder Umgang mit Daten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten verstanden (Art. 3 Abs. e, DSG). Unter der Bearbeitung von Log-Daten wird somit verstanden, dass die Log-Daten gelesen (d.h. analysiert), verschoben (rotiert, gelöscht) und die Logging-Mechanismen verändert (Konfiguration des Logging-Dienstes, Ein- resp. Ausschalten des Loggings, etc.) werden können." + } + ] + }, + "Referenz": [ + "IT-Grundschutz O1", + "DSG" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten fallen in dieser Kategorie, insofern die geloggten Aktivitäten auf eine bestimmte natürliche Person zurückzuführen sind (z.B. mit einer Benutzer ID). Die Anforderungen zum Auskunftsrecht Wird sichergestellt, dass sichergestellt werden können?", + "Rollen Wird sichergestellt, dass definiert werden, damit die Log-Daten Sammlungen konform und sicher bearbeitet werden?", + "Ist sichergestellt, dass *Verantwortlicher*: Beim Verantwortlichen handelt es sich grundsätzlich um den Dateninhaber der Log-Daten Sammlung. Er entscheidet allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung der Log-Daten. Siehe auch: Inhaber der Datensammlung nach DSG?", + "Ist sichergestellt, dass *Auftragsbearbeiter*: Beim Auftragsbearbeiter handelt es um eine Person oder ein Bundesorgan, die oder das im Auftrag des Verantwortlichen die Log-Daten bearbeitet. Bemerkung: Der Auftragsbearbeiter ist kein Dritter. Als Dritte gilt einen eigenständigen Verantwortlichen. Er unterscheidet sich vom Auftragsbearbeiter oder von einem gemeinsamen Verantwortlichen im Rahmen der Datenbearbeitung?", + "Ist sichergestellt, dass *Datensubjekt*: Beim Datensubjekt handelt es sich um eine natürliche oder juristische Person, deren persönlichen Daten von einer Organisation gesammelt, gespeichert oder bearbeitet werden?", + "Der Verantwortliche und der Auftragsbearbeiter Wird sichergestellt, dass folgende Informationen schriftlich dokumentieren:?" + ], + "Stichworte": [ + "Verantwortung", + "Dokumentation", + "Datensammlung" + ] + }, + { + "Nummer": "5", + "Thema": "Organisation", + "Titel": "Dokumentation der Log-Daten Sammlungen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Dokumentation zu den Log-Daten Sammlungen muss gepflegt und aktuell sein, einschließlich Informationen über Systeme, Aufbewahrungsdauer und Zugriffsrechte." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Dokumentation zu den jeweiligen Log-Daten Sammlungen muss gepflegt und aktuell sein." + }, + { + "typ": "text", + "inhalt": "Folgende Informationen müssen für jede Log-Daten Sammlung schriftlich dokumentiert werden:" + }, + { + "typ": "liste", + "inhalt": [ + "Auf welchen Systemen die Logs gesammelt werden", + "Wie lange die Logs pro System aufbewahrt werden", + "Wer Zugriff pro System auf die Logs hat, inkl. mit welchen Privilegien", + "Wer Zugriff auf den Logging-Mechanismus hat, inkl. mit welchen Privilegien" + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz, O2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Folgende Informationen Wird sichergestellt, dass für jede Log-Daten Sammlung schriftlich dokumentiert werden:?", + "Ist sichergestellt, dass auf welchen Systemen die Logs gesammelt werden?", + "Ist sichergestellt, dass wie lange die Logs pro System aufbewahrt werden?", + "Ist sichergestellt, dass wer Zugriff pro System auf die Logs hat, inkl. mit welchen Privilegien?", + "Ist sichergestellt, dass wer Zugriff auf den Logging-Mechanismus hat, inkl. mit welchen Privilegien?" + ], + "Stichworte": [] + }, + { + "Nummer": "6", + "Thema": "Organisation", + "Titel": "Dokumentation der Log-Management Prozesse", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Management Prozesse müssen definiert und schriftlich dokumentiert werden, einschließlich aller Phasen von der Policy Definition bis zur Vernichtung." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Management Prozesse müssen definiert und schriftlich dokumentiert werden. Es muss ein gemeinsames Verständnis des Lebenszyklus der Log-Daten bestehen, von ihrer Erzeugung bis zu ihrer Vernichtung." + }, + { + "typ": "text", + "inhalt": "Folgende Phasen des Log-Management Prozesses müssen beschrieben werden:" + }, + { + "typ": "liste", + "inhalt": [ + "Policy Definition", + "Konfiguration", + "Sammlung", + "Normalisierung", + "Indexierung", + "Auswertung", + "Korrelierung", + "Baselining", + "Alerting", + "Reporting", + "Aufbewahrung", + "Vernichtung" + ] + }, + { + "typ": "text", + "inhalt": "Alle Phasen sind mit entsprechenden Sicherheitsmechanismen zu unterstützen. Es müssen Kontrollen implementiert werden, die während jeder Phase und bei jedem Übergang zur nächsten Phase sicherstellen, dass die Bearbeitung der Log-Daten sicher und konform ist." + } + ] + }, + "Referenz": [ + "IT-Grundschutz, O2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Management Prozesse Wird sichergestellt, dass definiert und schriftlich dokumentiert werden. Es muss ein gemeinsames Verständnis des Lebenszyklus der Log-Daten bestehen, von ihrer Erzeugung bis zu ihrer Vernichtung?", + "Folgende Phasen des Log-Management Prozesses Wird sichergestellt, dass beschrieben werden:?", + "Ist sichergestellt, dass policy Definition?", + "Ist sichergestellt, dass konfiguration?", + "Ist sichergestellt, dass sammlung?", + "Ist sichergestellt, dass normalisierung?", + "Ist sichergestellt, dass indexierung?", + "Ist sichergestellt, dass auswertung?", + "Ist sichergestellt, dass korrelierung?", + "Ist sichergestellt, dass baselining?", + "Ist sichergestellt, dass alerting?", + "Ist sichergestellt, dass reporting?", + "Ist sichergestellt, dass aufbewahrung?", + "Ist sichergestellt, dass vernichtung?", + "Alle Phasen sind mit entsprechenden Sicherheitsmechanismen zu unterstützen. Es Wird sichergestellt, dass Kontrollen implementiert werden, die während jeder Phase und bei jedem Übergang zur nächsten Phase sicherstellen, dass die Bearbeitung der Log-Daten sicher und konform ist?" + ], + "Stichworte": [] + }, + { + "Nummer": 7, + "Thema": "Technik", + "Titel": "Vollständigkeit der Log-Daten Sammlungen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten-Sammlungen müssen vollständig sein, um unberechtigte Aktivitäten zu erkennen und Ereignisse zu rekonstruieren." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten-Sammlungen müssen vollständig sein. Dadurch sollen sich unberechtigte Aktivitäten erkennen lassen, Ereignisse rekonstruiert werden können und Personen rechenschaftspflichtig gemacht werden können. Zur Sicherstellung der IT-Sicherheit braucht es eine Nachvollziehbarkeit von Handlungen, welche zur Sammlung relativ vieler Daten führen kann. Dazu soll das periodische Abholen oder Abliefern der gesammelten Logs von den Logsammel-Geräten sichergestellt werden. Die Infrastruktur muss zudem fähig sein, Log-Daten bei Wartungsarbeiten oder Ausfällen (bspw. einer Netzwerkkomponente) ohne Datenverluste weiter zu sammeln. Eine Log-Daten-Quelle darf nicht ausfallen, ohne dass dies sofort auffällt." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "RVOG Art. 57l" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten-Sammlungen Wird sichergestellt, dass vollständig sein. Dadurch sollen sich unberechtigte Aktivitäten erkennen lassen, Ereignisse rekonstruiert werden können und Personen rechenschaftspflichtig gemacht werden können. Zur Sicherstellung der IT-Sicherheit braucht es eine Nachvollziehbarkeit von Handlungen, welche zur Sammlung relativ vieler Daten führen kann. Dazu soll das periodische Abholen oder Abliefern der gesammelten Logs von den Logsammel-Geräten sichergestellt werden. Die Infrastruktur muss zudem fähig sein, Log-Daten bei Wartungsarbeiten oder Ausfällen (bspw. einer Netzwerkkomponente) ohne Datenverluste weiter zu sammeln. Eine Log-Daten-Quelle darf nicht ausfallen, ohne dass dies sofort auffällt?" + ], + "Stichworte": [] + }, + { + "Nummer": 8, + "Thema": "Technik", + "Titel": "Datensparsamkeit", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung dürfen nur so viele Daten bearbeitet werden, wie zur Erfüllung des Zwecks notwendig sind." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung dürfen nur so viele Daten bearbeitet werden, wie zur Erfüllung des Zwecks oder des Auftrags notwendig sind. Dabei müssen die jeweils geltenden gesetzlichen und betrieblichen Bestimmungen beachtet werden. Diese besagen unter anderem, dass die Protokollierung von Ereignissen nur zweckgebunden erfolgen darf. Die Protokollierung von Ereignissen zum Zweck der Arbeitskontrolle/Überwachung von Mitarbeitern ist nicht zulässig. Es dürfen nur dort Log-Daten gesammelt und ausgewertet, wo ein Zweck belegbar ist und eine gesetzliche Grundlage vorliegt." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "RVOG Art. 57l" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Bei der Protokollierung dürfen nur so viele Daten bearbeitet werden, wie zur Erfüllung des Zwecks oder des Auftrags notwendig sind. Dabei Wird sichergestellt, dass die jeweils geltenden gesetzlichen und betrieblichen Bestimmungen beachtet werden. Diese besagen unter anderem, dass die Protokollierung von Ereignissen nur zweckgebunden erfolgen darf. Die Protokollierung von Ereignissen zum Zweck der Arbeitskontrolle/Überwachung von Mitarbeitern ist nicht zulässig. Es dürfen nur dort Log-Daten gesammelt und ausgewertet, wo ein Zweck belegbar ist und eine gesetzliche Grundlage vorliegt?" + ], + "Stichworte": [] + }, + { + "Nummer": 9, + "Thema": "Technik", + "Titel": "Relevante Informationen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die protokollierten Informationen müssen die Sicherstellung der IT-Sicherheit ermöglichen und aussagekräftige sowie zuverlässige Informationen enthalten." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die protokollierten Informationen müssen die Sicherstellung der IT-Sicherheit ermöglichen. Log-Daten müssen aussagekräftige und zuverlässige Informationen enthalten. Der Grad und der Umfang der geloggten Informationen soll sich an dem Schutzbedarf des Schutzobjekts und der Anforderung an die Nachvollziehbarkeit orientieren. Insbesondere bei Systemen und Schutzobjekten mit erhöhtem Schutzbedarf ist sicherzustellen, dass genügend Informationen geloggt werden, um die IT-Sicherheit aufrechtzuerhalten." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "RVOG Art. 57l" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die protokollierten Informationen Wird sichergestellt, dass die Sicherstellung der IT-Sicherheit ermöglichen. Log-Daten Wird sichergestellt, dass aussagekräftige und zuverlässige Informationen enthalten. Der Grad und der Umfang der geloggten Informationen soll sich an dem Schutzbedarf des Schutzobjekts und der Anforderung an die Nachvollziehbarkeit orientieren. Insbesondere bei Systemen und Schutzobjekten mit erhöhtem Schutzbedarf ist sicherzustellen, dass genügend Informationen geloggt werden, um die IT-Sicherheit aufrechtzuerhalten?" + ], + "Stichworte": [] + }, + { + "Nummer": 10, + "Thema": "Technik", + "Titel": "Sicherheitsrelevante Ereignisse und Aktivitäten", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Sicherheitsrelevante Aktivitäten und Ereignisse müssen protokolliert, laufend überwacht und nachvollziehbar sein." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Sicherheitsrelevante Aktivitäten und Ereignisse müssen protokolliert werden, laufend überwacht werden und nachvollziehbar sein." + }, + { + "typ": "text", + "inhalt": "Der Begriff «sicherheitsrelevant» wird verwendet, um die Funktionen oder Mechanismen zu beschreiben, auf die man sich stützt, um die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit zu erreichen. Als «sicherheitsrelevant» gelten somit alle Aktivitäten und Ereignisse, die den Betrieb von Sicherheitsfunktionen oder die Bereitstellung von Sicherheitsmechanismen in einer Weise beeinträchtigen können, oder dazu führen könnten, dass Sicherheitsrichtlinien nicht durchgesetzt oder aufrechterhalten werden können." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Sicherheitsrelevante Aktivitäten und Ereignisse Wird sichergestellt, dass protokolliert werden, laufend überwacht werden und nachvollziehbar sein?" + ], + "Stichworte": [] + }, + { + "Nummer": "11", + "Thema": "Technik", + "Titel": "Aktivitäten, die mit erhöhten Privilegien durchgeführt werden", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Alle Aktivitäten, die mit erhöhten Privilegien durchgeführt werden, müssen protokolliert werden, laufend überwacht werden, und nachvollziehbar sein." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Als «erhöhte Privilegien» gelten alle Rechte zur Durchführung von Tätigkeiten, welche ein «normaler» Benutzer nicht durchführen darf. Auf einem Server kann dies Aktionen umfassen, welche Administratoren-Privilegien oder Root-Rechte benötigen. Darunter fallen auch Aktivitäten mithilfe von Administrations-Tools. In Applikationen sind dies typischerweise Privilegien, welche die Administration der Applikation selbst ermöglichen. Der Begriff ist auch für technische Benutzer zutreffend." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Vorgabe 'Aktivitäten, die mit erhöhten Privilegien durchgeführt werden' ist dokumentiert und implementiert." + ], + "Stichworte": [] + }, + { + "Nummer": "12", + "Thema": "Technik", + "Titel": "Log-Daten-Format", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen in einem geeigneten und konsistenten Format für die Bearbeitung bereitgestellt werden, wobei proprietäre Formate vermieden werden sollen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen in einem geeigneten und konsistenten Format für die Bearbeitung bereitgestellt werden. Soweit möglich muss sichergestellt werden, dass Log-Daten in den bestehenden Lösungen zur Sicherstellung der IT-Sicherheit integriert werden können." + }, + { + "typ": "text", + "inhalt": "Log-Daten aus heterogenen Quellen sollen, wo technisch möglich und sinnvoll, vereinheitlicht werden, um die Komplexität der Log-Infrastruktur in Grenze zu halten. Dabei soll sichergestellt werden, dass die Log-Daten portierbar bleiben." + }, + { + "typ": "text", + "inhalt": "Soweit möglich sollen proprietäre Formate vermieden werden. Log-Daten in einem proprietären Format müssen zumindest lokal auf den Systemen gespeichert werden." + }, + { + "typ": "text", + "inhalt": "Wenn als Logformat ein freies ASCII-Textformat (z.B. CSV-Format) mit vordefiniertem Header verlangt ist, muss:" + }, + { + "typ": "liste", + "inhalt": [ + "Das Headerfile dokumentiert und dem Logauswerter bekannt gegeben werden.", + "Die vordefinierten Header dürfen nur in Absprache mit dem Logempfänger abgeändert werden." + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten Wird sichergestellt, dass in einem geeigneten und konsistenten Format für die Bearbeitung bereitgestellt werden. Soweit möglich muss sichergestellt werden, dass Log-Daten in den bestehenden Lösungen zur Sicherstellung der IT-Sicherheit integriert werden können?", + "Log-Daten aus heterogenen Quellen Wird darauf geachtet, dass, wo technisch möglich und sinnvoll, vereinheitlicht werden, um die Komplexität der Log-Infrastruktur in Grenze zu halten. Dabei soll sichergestellt werden, dass die Log-Daten portierbar bleiben?", + "Soweit möglich sollen proprietäre Formate vermieden werden. Log-Daten in einem proprietären Format Wird sichergestellt, dass zumindest lokal auf den Systemen gespeichert werden?", + "Ist sichergestellt, dass das Headerfile dokumentiert und dem Logauswerter bekannt gegeben werden?", + "Ist sichergestellt, dass die vordefinierten Header dürfen nur in Absprache mit dem Logempfänger abgeändert werden?" + ], + "Stichworte": [] + }, + { + "Nummer": "12", + "Thema": "Technik", + "Titel": "Zeitliche Identifikation", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung muss immer eine eindeutige zeitliche Identifikation geloggt werden, um die Rekonstruktion von Sicherheitsvorfällen zu ermöglichen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung muss immer eine eindeutige zeitliche Identifikation geloggt werden, um die Rekonstruktion von Sicherheitsvorfällen zu ermöglichen. Als Identifikation müssen Datum und Zeit gewählt werden, sodass eine eindeutige zeitliche Korrelation der Log-Daten möglich wird. Da das Format HH:MM:SS für die notwendige Eindeutigkeit nicht ausreicht, muss zusätzlich die Millisekunde geloggt werden. In diesem Sinne muss auch sichergestellt werden, dass das Datums- und Zeitformat der verschiedenen Log-Daten einheitlich ist." + }, + { + "typ": "text", + "inhalt": "Sollten Zeit-Synchronisationsprobleme zwischen Diensten auftauchen, erschwert dies die zeitliche Rekonstruktion von Sicherheitsvorfällen. Hierzu muss die korrekte Synchronisation der Systemzeit mit der NTP-Infrastruktur des Bundes oder einem AD-Service sichergestellt werden." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Bei der Protokollierung muss immer eine eindeutige zeitliche Identifikation geloggt werden, um die Rekonstruktion von Sicherheitsvorfällen zu ermöglichen. Als Identifikation Wird sichergestellt, dass Datum und Zeit gewählt werden, sodass eine eindeutige zeitliche Korrelation der Log-Daten möglich wird. Da das Format HH:MM:SS für die notwendige Eindeutigkeit nicht ausreicht, muss zusätzlich die Millisekunde geloggt werden. In diesem Sinne muss auch sichergestellt werden, dass das Datums- und Zeitformat der verschiedenen Log-Daten einheitlich ist?" + ], + "Stichworte": [] + }, + { + "Nummer": "13", + "Thema": "Technik", + "Titel": "Benutzer-Identifikation", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung muss eine eindeutige Benutzer-Identifikation geloggt werden, um Aktivitäten einem eindeutigen Benutzer zuordnen zu können." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung muss eine eindeutige Benutzer-Identifikation geloggt werden, die auf eine natürliche Person zurückführt, damit Aktivitäten einem eindeutigen Benutzer zugeordnet werden können. Der Benutzer, dessen Aktivitäten die Erzeugung der Log-Daten ausgelöst hat, muss eindeutig identifiziert werden können. Rollenwechsel zwischen Accounts, welche natürlichen Personen zugeordnet sind, und generischen Accounts, müssen so geloggt werden, dass eine weitere Zuordnung zum Ursprungs-Account (der Person) bestehen bleibt." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Bei der Protokollierung muss eine eindeutige Benutzer-Identifikation geloggt werden, die auf eine natürliche Person zurückführt, damit Aktivitäten einem eindeutigen Benutzer zugeordnet werden können. Der Benutzer, dessen Aktivitäten die Erzeugung der Log-Daten ausgelöst hat, muss eindeutig identifiziert werden können. Rollenwechsel zwischen Accounts, welche natürlichen Personen zugeordnet sind, und generischen Accounts, Wird sichergestellt, dass so geloggt werden, dass eine weitere Zuordnung zum Ursprungs-Account (der Person) bestehen bleibt?" + ], + "Stichworte": [] + }, + { + "Nummer": "14", + "Thema": "Technik", + "Titel": "System-Identifikation", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung muss eine eindeutige System-Identifikation geloggt werden, um Aktivitäten einem eindeutigen System zuordnen zu können." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Bei der Protokollierung muss eine eindeutige System-Identifikation geloggt werden, die auf ein eindeutiges System zurückführt, wovon die Aktivitäten durchgeführt wurden (Hostname, IP-Adresse, etc.), damit Aktivitäten einem eindeutigen System zugeordnet werden können." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Vorgabe 'System-Identifikation' ist dokumentiert und implementiert." + ], + "Stichworte": [] + }, + { + "Nummer": "15", + "Thema": "Technik", + "Titel": "Realtime-Analyse", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Eine Realtime-Analyse muss für sicherheitsrelevante Log-Daten möglich sein, um Sicherheitsvorfälle schnellstmöglich zu erkennen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Eine Realtime-Analyse muss für Log-Daten möglich sein, welche eine direkte Sicherheitsrelevanz haben, d.h. Komponenten, welche aus Sicherheitsgründen etabliert worden sind (Firewall, Gateway, Virenscanner, etc.). Sicherheitsrelevante Log-Daten sind laufend auszuwerten. Bei vermuteten oder bestätigten Sicherheitsvorfällen sind angemessenen Prozesse zeitnah auszulösen. Durch die laufende Auswertung von Log-Daten (Real-time-Analyse) sollen somit Sicherheitsvorfälle schnellstmöglich erkannt werden." + }, + { + "typ": "text", + "inhalt": "Beim Bezug von internen oder externen Dienstleistungen ist sicherzustellen, dass die Auswertung der Log-Daten in die ordentlichen Betriebsprozesse integriert wird." + }, + { + "typ": "text", + "inhalt": "Die Möglichkeit einer Offline-Analyse der Daten muss auch dort vorgesehen werden, wo eine erhöhte Nachvollziehbarkeit gefordert ist (z.B. um ein bestimmtes Ereignis im Nachhinein genauer oder überhaupt nachvollziehen zu können). Grundsätzlich werden die Daten nicht in Realtime übertragen, d.h. die Daten werden lokal gesammelt und zu einem bestimmten Zeitpunkt übertragen und für die Offline-Analyse bereitgestellt. Offline bedeutet in diesem Zusammenhang, dass ein begrenztes und abgeschlossenes Paket mit Log-Daten auf einem zweiten System analysiert wird, z.B. nach einem Logrotate. Die Offline-Analyse kann auch Daten umfassen, welche zuvor bereits der Realtime-Analyse dienten. Offline-Analysen sollten jedoch nur im Ausnahmefall erfolgen. In der Regel ist eine Realtime-Analyse der Log-Daten zu bevorzugen." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Eine Realtime-Analyse muss für Log-Daten möglich sein, welche eine direkte Sicherheitsrelevanz haben, d.h. Komponenten, welche aus Sicherheitsgründen etabliert worden sind (Firewall, Gateway, Virenscanner, etc.). Sicherheitsrelevante Log-Daten sind laufend auszuwerten. Bei vermuteten oder bestätigten Sicherheitsvorfällen sind angemessenen Prozesse zeitnah auszulösen. Durch die laufende Auswertung von Log-Daten (Real-time-Analyse) Wird darauf geachtet, dass somit Sicherheitsvorfälle schnellstmöglich erkannt werden?", + "Die Möglichkeit einer Offline-Analyse der Daten muss auch dort vorgesehen werden, wo eine erhöhte Nachvollziehbarkeit gefordert ist (z.B. um ein bestimmtes Ereignis im Nachhinein genauer oder überhaupt nachvollziehen zu können). Grundsätzlich werden die Daten nicht in Realtime übertragen, d.h. die Daten werden lokal gesammelt und zu einem bestimmten Zeitpunkt übertragen und für die Offline-Analyse bereitgestellt. Offline bedeutet in diesem Zusammenhang, dass ein begrenztes und abgeschlossenes Paket mit Log-Daten auf einem zweiten System analysiert wird, z.B. nach einem Logrotate. Die Offline-Analyse kann auch Daten umfassen, welche zuvor bereits der Realtime-Analyse dienten. Offline-Analysen Wird sichergestellt, dassten jedoch nur im Ausnahmefall erfolgen. In der Regel ist eine Realtime-Analyse der Log-Daten zu bevorzugen?" + ], + "Stichworte": [] + }, + { + "Nummer": "16", + "Thema": "Technik", + "Titel": "Priorisierung der Auswertungen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Auswertung der Log-Daten muss priorisiert und systematisch erfolgen, um eine zeitnahe Reaktion auf Sicherheitsvorfälle sicherzustellen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Auswertung der Log-Daten muss bezüglich der IT-Sicherheit priorisiert werden und systematisch erfolgen, um eine möglichst zeitnahe Reaktion auf Sicherheitsvorfälle sicherzustellen. Es müssen zuerst diejenigen Log-Daten von Systemen analysiert werden, welche entweder an einer neuralgischen Stelle (z.B. Netzwerkübergang) stehen oder welche Daten mit hohen Sicherheitsanforderungen enthalten." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Auswertung der Log-Daten muss bezüglich der IT-Sicherheit priorisiert werden und systematisch erfolgen, um eine möglichst zeitnahe Reaktion auf Sicherheitsvorfälle sicherzustellen. Es Wird sichergestellt, dass zuerst diejenigen Log-Daten von Systemen analysiert werden, welche entweder an einer neuralgischen Stelle (z.B. Netzwerkübergang) stehen oder welche Daten mit hohen Sicherheitsanforderungen enthalten?" + ], + "Stichworte": [] + }, + { + "Nummer": "17", + "Thema": "Technik", + "Titel": "Auswertung von korrelierten Log-Daten", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Korrelierte Log-Daten müssen sicher und konform bearbeitet werden, wobei der Zugriff beschränkt und der Datenschutz berücksichtigt werden muss." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Korrelierte Log-Daten müssen sicher und konform bearbeitet werden. Es wird zwischen normalen und korrelierten Log-Daten unterschieden. Die normalen Log-Daten sind Daten, welche im Betrieb anfallen. Korrelierte Log-Daten sind Daten, welche zur Analyse mit weiteren Datensätzen aufbereitet wurden und es unter Umständen ermöglichen, ein Profil (z.B. eines Benutzers) zu erstellen. Der Zugriff auf korrelierten Log-Daten muss beschränkt werden, da die Auswertung von korrelierten Log-Daten heikel werden kann. Persönlichkeitsprofile nach DSG sind besonders schützenswerten Personendaten gleichgestellt." + }, + { + "typ": "text", + "inhalt": "Die Auswertung und Korrelation der Daten dürfen nur unter Berücksichtigung des Datenschutzes und der gesetzlichen Grundlagen erfolgen. Durch die Korrelation können unter Umständen von der Schutzwürdigkeit her unbedenkliche Daten zu besonders schützenswerten Daten oder Persönlichkeitsprofilen gewandelt werden. Dieser Eventualität muss bereits bei der Planung der Auswertung von Log-Daten Rechnung getragen werden. Im Zweifelsfall muss der Rechtsdienst des BIT kontaktiert werden." + }, + { + "typ": "text", + "inhalt": "Falls die korrelierten Daten besonders schützenswerte Personendaten beinhalten oder die Zusammenstellung von besonders schützenswerte Persönlichkeitsprofilen ermöglichen, muss für die Auswertung der korrelierten Daten ein bewilligtes Datenschutzbearbeitungsreglement vorliegen." + }, + { + "typ": "text", + "inhalt": "Für die Vergabe der entsprechenden Rechte bei besonders schützenswerten Personendaten oder Persönlichkeitsprofilen ist der Rechtsdienst BIT zuständig. Für die in einem entsprechenden Datenbearbeitungsreglement vorgesehenen Rollen wird die Zustimmung implizit angenommen." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "Least-Privilege-Prinzip", + "Need-to-Know Prinzip" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Korrelierte Log-Daten Wird sichergestellt, dass sicher und konform bearbeitet werden. Es wird zwischen normalen und korrelierten Log-Daten unterschieden. Die normalen Log-Daten sind Daten, welche im Betrieb anfallen. Korrelierte Log-Daten sind Daten, welche zur Analyse mit weiteren Datensätzen aufbereitet wurden und es unter Umständen ermöglichen, ein Profil (z.B. eines Benutzers) zu erstellen. Der Zugriff auf korrelierten Log-Daten muss beschränkt werden, da die Auswertung von korrelierten Log-Daten heikel werden kann. Persönlichkeitsprofile nach DSG sind besonders schützenswerten Personendaten gleichgestellt?" + ], + "Stichworte": [] + }, + { + "Nummer": "18", + "Thema": "Technik", + "Titel": "Zugriffsberechtigungen auf Log-Daten", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Zugriffsberechtigungen auf Log-Daten müssen nach dem Least-Privilege-Prinzip und dem Need-to-Know-Prinzip vergeben werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Zugriffsberechtigungen auf Log-Daten müssen nach dem Least-Privilege-Prinzip und dem Need-to-Know-Prinzip vergeben werden." + }, + { + "typ": "text", + "inhalt": "Zum Schutz der Log-Daten muss jeder Zugriff auf den Log-Daten und jede Auswertung dieser mit persönlichen Accounts erfolgen und nachvollziehbar sein. Der Zugriff auf Log-Daten ist einer eindeutigen natürlichen Person zurückzuführen. Ausnahmen dazu sind rein maschinelle Auswertungen, die keine natürliche Person zugeordnet werden können." + }, + { + "typ": "text", + "inhalt": "Der Zugriff auf Log- und korrelierten Betriebsdaten ist auf die folgenden Rollen beschränkt:" + }, + { + "typ": "liste", + "inhalt": [ + "CSIRT Mitarbeitende", + "Betreiber", + "Dateninhaber", + "Datenschutzverantwortlicher (nach DSG), nach Prüfung durch den Rechtsdienst des Dateninhabers", + "Supportfunktionen, nach Prüfung durch den Rechtsdienst des Dateninhabers", + "Alle vom Dateninhaber sonstigen berechtigten Rollen (z.B. Entwickler, Anwendungsbetreuer, Auditor, etc.)" + ] + }, + { + "typ": "text", + "inhalt": "Für die Vergabe der entsprechenden Rechte ist immer der Dateninhaber zuständig. Bei den Betreibern wird die Zustimmung implizit angenommen. Betreiber von Systemen dürfen nur die Log-Daten von den Systemen sehen, korrelieren, oder auswerten, die sie auch betreiben." + }, + { + "typ": "text", + "inhalt": "Folgende Rollen dürfen Leserecht auf ihren Log-Daten und den zugehörigen Logging-Mechanismen haben. Dabei beinhaltet das Leserecht kein Recht zum vollständigen Kopieren der Log-Daten. Die Log-Daten dürfen die Plattform nur auszugsweise verlassen:" + }, + { + "typ": "tabelle", + "inhalt": "| Rolle | Gründe | Art der Daten |\n|--------------------------------------------|-------------------|---------------------------------------------|\n|Betreiber des Services (z.B. DB-Admin) |Serviceerbringung |Log-Daten (auch korreliert) des Service |\n|Betreiber der Anwendung |Serviceerbringung |Log-Daten (auch korreliert) der Anwendung |\n|Betreiber des Systems (z.B. System-Admin) |Serviceerbringung |Log-Daten (auch korreliert) der Systeme |\n|Betreiber der Plattform |Serviceerbringung |Log-Daten (auch korreliert) der Plattform |" + }, + { + "typ": "text", + "inhalt": "Folgende Rollen dürfen Leserecht auf die Log-Daten haben:" + }, + { + "typ": "tabelle", + "inhalt": "|Rolle | Gründe | Art der Daten |\n|-------------------------------------------------------------------------------------------|---------------------------------------------------|---------------------------------------------------------------------------------|\n|CSIRT-Mitarbeitende | Security-Incidentmanagement | Alle Log-Daten inkl. korrelierter Daten |\n|SI-SUR Mitarbeitende | Security-Incidentmanagement, Kontrolle, Prüfungen | Alle Log-Daten inkl. korrelierter Daten |\n|Externer (nicht-BIT) Leistungserbringer (z.B. externer Entwickler, externer Support, etc.) | Serviceerbringung | Log-Daten nach Absprache mit dem ISBO des für die Daten verantwortlichen Amtes |\n|Interner (BIT) Leistungserbringer (z.B. Entwickler, Support, etc.) | Serviceerbringung | Log-Daten welche für die Leistungserbringung notwendig sind |\n|Leistungsbezüger | Kontrolle | Log-Daten wie nach SLA vereinbart |\n|Informationsschutzverantwortlicher | Kontrolle | Alle Log-Daten inkl. korrelierter Daten |\n|Datenschutzverantwortlicher | Kontrolle | Alle Log-Daten inkl. korrelierter Daten |" + }, + { + "typ": "text", + "inhalt": "Rollen, die in keine der oben aufgeführten Kategorien gehören, dürfen ohne Einwilligung des Dateninhabers keinen Zugriff auf die Log-Daten haben." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "Least-Privilege-Prinzip", + "Need-to-Know Prinzip" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Zugriffsberechtigungen auf Log-Daten Wird sichergestellt, dass nach dem Least-Privilege-Prinzip und dem Need-to-Know-Prinzip vergeben werden?", + "Ist sichergestellt, dass cSIRT Mitarbeitende?", + "Ist sichergestellt, dass betreiber?", + "Ist sichergestellt, dass dateninhaber?", + "Ist sichergestellt, dass datenschutzverantwortlicher (nach DSG), nach Prüfung durch den Rechtsdienst des Dateninhabers?", + "Ist sichergestellt, dass supportfunktionen, nach Prüfung durch den Rechtsdienst des Dateninhabers?", + "Ist sichergestellt, dass alle vom Dateninhaber sonstigen berechtigten Rollen (z.B. Entwickler, Anwendungsbetreuer, Auditor, etc.)?" + ], + "Stichworte": [] + }, + { + "Nummer": "19", + "Thema": "Technik", + "Titel": "Aufbewahrung", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen revisionssicher und konform aufbewahrt werden, wobei Vertraulichkeit und Integrität gewährleistet sein müssen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Log-Daten müssen revisionssicher und konform aufbewahrt werden. Die Vertraulichkeit und Integrität der Log-Daten müssen bei deren Aufbewahrung jederzeit gewährleistet werden." + }, + { + "typ": "text", + "inhalt": "Bei der Aufbewahrung der Log-Daten muss sichergestellt werden, dass" + }, + { + "typ": "liste", + "inhalt": [ + "alle benötigten Log-Daten aufbewahrt werden", + "die Log-Daten vor unberechtigter Einsichtnahme geschützt werden", + "die Log-Daten vor unautorisierten Manipulationen geschützt werden", + "die Log-Daten vor Verlust geschützt werden", + "die Log-Daten nicht länger aufbewahrt werden, als deren Bearbeitungszweck es vorsieht", + "archivierte Log-Daten bei Bedarf mit vertretbarem Aufwand abgerufen werden können", + "die Service Level Agreements (SLA) der Kundinnen und Kunden in Hinsicht auf Aufbewahrung eingehalten werden" + ] + }, + { + "typ": "text", + "inhalt": "Dafür müssen Kontrollen implementiert werden, welche die revisionssichere und konforme Aufbewahrung von Log-Daten sicherstellen." + }, + { + "typ": "text", + "inhalt": "Logs sind verschlüsselt zu speichern (Harddisk: verschlüsselte Partition; Backup: verschlüsseltes File)." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "IT-Grundschutz I2", + "IT-Grundschutz I3" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Log-Daten Wird sichergestellt, dass revisionssicher und konform aufbewahrt werden. Die Vertraulichkeit und Integrität der Log-Daten Wird sichergestellt, dass bei deren Aufbewahrung jederzeit gewährleistet werden?", + "Ist sichergestellt, dass alle benötigten Log-Daten aufbewahrt werden?", + "Ist sichergestellt, dass die Log-Daten vor unberechtigter Einsichtnahme geschützt werden?", + "Ist sichergestellt, dass die Log-Daten vor unautorisierten Manipulationen geschützt werden?", + "Ist sichergestellt, dass die Log-Daten vor Verlust geschützt werden?", + "Ist sichergestellt, dass die Log-Daten nicht länger aufbewahrt werden, als deren Bearbeitungszweck es vorsieht?", + "Ist sichergestellt, dass archivierte Log-Daten bei Bedarf mit vertretbarem Aufwand abgerufen werden können?", + "Ist sichergestellt, dass die Service Level Agreements (SLA) der Kundinnen und Kunden in Hinsicht auf Aufbewahrung eingehalten werden?", + "Dafür Wird sichergestellt, dass Kontrollen implementiert werden, welche die revisionssichere und konforme Aufbewahrung von Log-Daten sicherstellen?" + ], + "Stichworte": [] + }, + { + "Nummer": "20", + "Thema": "Technik", + "Titel": "Aufbewahrungsfristen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Aufbewahrungsfristen der Log-Daten müssen die IT-Sicherheit ermöglichen und mit bundesweiten Vorgaben und Gesetzen konform sein." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Aufbewahrungsfristen der Log-Daten müssen die Sicherstellung der IT-Sicherheit ermöglichen und müssen mit den bundesweiten Vorgaben und Gesetzen konform sein." + }, + { + "typ": "text", + "inhalt": "Bei der Aufbewahrung von Log-Daten wird zwischen Schnellzugriffs-Speicher und Langzeitaufbewahrung differenziert. Bei Schnellzugriffs-Speicher können Log-Daten mit geringem Aufwand und innerhalb kurzer Zeit abgerufen werden. Bei der Langzeitaufbewahrung werden die Log-Daten langfristig archiviert. Obwohl archivierte Log-Daten weiterhin verfügbar sind, ist deren Abruf jedoch wesentlich aufwändiger im Vergleich zu einer Aufbewahrung in einem Schnellzugriffs-Speicher." + }, + { + "typ": "text", + "inhalt": "Log-Daten müssen mindestens 3 Monate (90 Tage) im Schnellzugriffs-Speicher aufbewahrt werden und durchsuchbar sein." + }, + { + "typ": "text", + "inhalt": "Log-Daten, die Personendaten enthalten oder aus denen Rückschlüsse auf Personen möglich sind," + }, + { + "typ": "liste", + "inhalt": [ + "müssen mindestens 1 Jahr langfristig getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden (Art. 4, Abs. 5, DSV)", + "dürfen maximal 2 Jahre aufbewahrt werden (Art. 4, VPNIB). Für eine längere Aufbewahrungsfrist ist eine separate rechtliche Grundlage notwendig." + ] + }, + { + "typ": "text", + "inhalt": "Log-Daten, die keine Personendaten enthalten und aus denen keine Rückschlüsse auf Personen möglich sind," + }, + { + "typ": "liste", + "inhalt": [ + "dürfen langfristig aufbewahrt werden, insofern diese archivwürdig sind (Art. 7, BGA)", + "archivwürdig sind Unterlagen, die von juristischer oder administrativer Bedeutung sind oder einen grossen Informationswert haben (Art. 3, Abs. 3, BGA)", + "die Archivwürdigkeit der Log-Daten muss zwischen dem Dateninhaber und dem Schweizerischen Bundesarchiv (BAR) bewertet werden (Art. 7, BGA, Art.6, VBGA)", + "archivwürdige Log-Daten müssen archiviert werden, wenn die Log-Daten nicht mehr häufig oder regelmässig gebraucht werden, jedoch spätestens 5 Jahre nach dem letzten Aktenzuwachs (Art. 4, Abs. 1, VBGA)" + ] + }, + { + "typ": "text", + "inhalt": "Log-Daten von Netzwerkgeräten müssen mindestens 2 Jahre lang aufbewahrt werden (BRB 1c)). Die langfristige Aufbewahrung darf offline erfolgen (Archivierung)." + }, + { + "typ": "text", + "inhalt": "Bei staatsrechnungsrelevanten Applikationen müssen die relevanten Log-Daten mindestens 6 Monate lang in Speichern mit schneller Zugriffsmöglichkeit aufbewahrt werden. Die 6 Monate entsprechen einem halben Prüfungsjahr. Zusätzlich zu den 6 Monaten sollte eine zeitliche Abgrenzungsreserve von 1 Monat vorgesehen werden. Nach Abschluss der Frist müssen die Log-Daten von staatsrechnungsrelevanten Applikationen nachträglich langfristig aufbewahrt werden (Archivierung) und unter Berücksichtigung der VPNIB und DSG Vorschriften. Für kürzere Zeiträume der maximalen Aufbewahrungsdauer im Schnellzugriffs-Speicher ist die Eidgenössische Finanzkontrolle (EFK) beizuziehen." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "IT-Grundschutz I2", + "IT-Grundschutz I3" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Aufbewahrungsfristen der Log-Daten Wird sichergestellt, dass die Sicherstellung der IT-Sicherheit ermöglichen und Wird sichergestellt, dass mit den bundesweiten Vorgaben und Gesetzen konform sein?", + "Log-Daten Wird sichergestellt, dass mindestens 3 Monate (90 Tage) im Schnellzugriffs-Speicher aufbewahrt werden und durchsuchbar sein?", + "Ist sichergestellt, dass müssen mindestens 1 Jahr langfristig getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden (Art. 4, Abs. 5, DSV)?", + "Ist sichergestellt, dass dürfen maximal 2 Jahre aufbewahrt werden (Art. 4, VPNIB). Für eine längere Aufbewahrungsfrist ist eine separate rechtliche Grundlage notwendig?", + "Ist sichergestellt, dass dürfen langfristig aufbewahrt werden, insofern diese archivwürdig sind (Art. 7, BGA)?", + "Ist sichergestellt, dass archivwürdig sind Unterlagen, die von juristischer oder administrativer Bedeutung sind oder einen grossen Informationswert haben (Art. 3, Abs. 3, BGA)?", + "Ist sichergestellt, dass die Archivwürdigkeit der Log-Daten muss zwischen dem Dateninhaber und dem Schweizerischen Bundesarchiv (BAR) bewertet werden (Art. 7, BGA, Art.6, VBGA)?", + "Ist sichergestellt, dass archivwürdige Log-Daten müssen archiviert werden, wenn die Log-Daten nicht mehr häufig oder regelmässig gebraucht werden, jedoch spätestens 5 Jahre nach dem letzten Aktenzuwachs (Art. 4, Abs. 1, VBGA)?", + "Log-Daten von Netzwerkgeräten Wird sichergestellt, dass mindestens 2 Jahre lang aufbewahrt werden (BRB 1c)). Die langfristige Aufbewahrung darf offline erfolgen (Archivierung)?", + "Bei staatsrechnungsrelevanten Applikationen Wird sichergestellt, dass die relevanten Log-Daten mindestens 6 Monate lang in Speichern mit schneller Zugriffsmöglichkeit aufbewahrt werden. Die 6 Monate entsprechen einem halben Prüfungsjahr. Zusätzlich zu den 6 Monaten sollte eine zeitliche Abgrenzungsreserve von 1 Monat vorgesehen werden. Nach Abschluss der Frist Wird sichergestellt, dass die Log-Daten von staatsrechnungsrelevanten Applikationen nachträglich langfristig aufbewahrt werden (Archivierung) und unter Berücksichtigung der VPNIB und DSG Vorschriften. Für kürzere Zeiträume der maximalen Aufbewahrungsdauer im Schnellzugriffs-Speicher ist die Eidgenössische Finanzkontrolle (EFK) beizuziehen?" + ], + "Stichworte": [] + }, + { + "Nummer": "21", + "Thema": "Technik", + "Titel": "Löschung und Vernichtung", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen revisionssicher und konform gelöscht und vernichtet werden, wobei die Rekonstruktion der Daten praktisch undurchführbar sein soll." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen revisionssicher und konform gelöscht und vernichtet werden." + }, + { + "typ": "text", + "inhalt": "Die Löschung von Daten bezeichnet generell die Unkenntlichmachung von Daten. Die Vernichtung von Daten bezieht sich meist auf die physische Zerstörung des Speichermediums. In beiden Fällen soll die Rekonstruktion der ursprünglichen Daten praktisch undurchführbar sein." + }, + { + "typ": "text", + "inhalt": "Bei der Löschung bzw. Vernichtung von Log-Daten sind folgende Anforderungen zu beachten:" + }, + { + "typ": "liste", + "inhalt": [ + "Log-Daten dürfen nur nach Ablauf ihrer Aufbewahrungsfrist gelöscht oder vernichtet werden.", + "Log-Daten müssen nach Ablauf ihrer Aufbewahrungsfrist, entsprechend den betrieblichen Umständen, möglichst zeitnah gelöscht bzw. vernichtet werden. Spätestens 3 Monate nach Ablauf der Aufbewahrungsfrist sind die Log-Daten zu löschen oder zu vernichten (Art. 4, Abs. 2, VPNIB).", + "Nur die vom Verantwortlichen bestimmten Personen dürfen, in ihrer Rolle als Auftragsbearbeiter, Log-Daten löschen oder vernichten, bzw. die entsprechenden Prozesse zum Löschen oder Vernichten der Log-Daten einleiten.", + "Zu Verifizierungszwecken ist die Löschung und Vernichtung von Log-Daten zu protokollieren.", + "Die Log-Daten sind nach einem festgelegten Verfahren und auf konsistente Weise zu löschen bzw. zu vernichten." + ] + }, + { + "typ": "text", + "inhalt": "Datenträger, auf welchen die Log-Daten gespeichert sind, sind durch das Bundesamt für Bauten und Logistik (BBL) zu entsorgen. Für die Entsorgung sind die Vorgaben zur Entsorgung elektronischer Datenträger zu beachten. Je nach Schutzobjekt sind auch die Anforderungen des entsprechenden ISDS-Konzeptes zu beachten." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "IT-Grundschutz I2", + "IT-Grundschutz I3", + "VPNIB" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten Wird sichergestellt, dass revisionssicher und konform gelöscht und vernichtet werden?", + "Die Löschung von Daten bezeichnet generell die Unkenntlichmachung von Daten. Die Vernichtung von Daten bezieht sich meist auf die physische Zerstörung des Speichermediums. In beiden Fällen Wird sichergestellt, dass die Rekonstruktion der ursprünglichen Daten praktisch undurchführbar sein?", + "Ist sichergestellt, dass log-Daten dürfen nur nach Ablauf ihrer Aufbewahrungsfrist gelöscht oder vernichtet werden?", + "Ist sichergestellt, dass log-Daten müssen nach Ablauf ihrer Aufbewahrungsfrist, entsprechend den betrieblichen Umständen, möglichst zeitnah gelöscht bzw. vernichtet werden. Spätestens 3 Monate nach Ablauf der Aufbewahrungsfrist sind die Log-Daten zu löschen oder zu vernichten (Art. 4, Abs. 2, VPNIB)?", + "Ist sichergestellt, dass nur die vom Verantwortlichen bestimmten Personen dürfen, in ihrer Rolle als Auftragsbearbeiter, Log-Daten löschen oder vernichten, bzw. die entsprechenden Prozesse zum Löschen oder Vernichten der Log-Daten einleiten?", + "Ist sichergestellt, dass zu Verifizierungszwecken ist die Löschung und Vernichtung von Log-Daten zu protokollieren?", + "Ist sichergestellt, dass die Log-Daten sind nach einem festgelegten Verfahren und auf konsistente Weise zu löschen bzw. zu vernichten?" + ], + "Stichworte": [] + }, + { + "Nummer": "22", + "Thema": "Technik", + "Titel": "Änderungen an Logging-Mechanismen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Änderungen an Logging-Mechanismen müssen kontinuierlich überwacht werden, wobei das Starten, Stoppen und Pausieren der Protokollierung überwacht werden muss." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Änderungen an Logging-Mechanismen und Protokollierungseinstellungen sind kontinuierlich zu überwachen. Das Starten, Stoppen und Pausieren der Protokollierung müssen überwacht werden. Die Protokollierung darf nicht pausiert oder gestoppt werden, ohne dass dies sofort auffällt. Sämtliche Zugriffe auf Protokollierungseinstellungen müssen überwacht werden. Zugriffe auf Protokollierungseinstellungen müssen mit persönlichen Accounts erfolgen, schriftlich begründet sein und nachvollziehbar sein." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Änderungen an Logging-Mechanismen und Protokollierungseinstellungen sind kontinuierlich zu überwachen. Das Starten, Stoppen und Pausieren der Protokollierung Wird sichergestellt, dass überwacht werden. Die Protokollierung darf nicht pausiert oder gestoppt werden, ohne dass dies sofort auffällt. Sämtliche Zugriffe auf Protokollierungseinstellungen Wird sichergestellt, dass überwacht werden. Zugriffe auf Protokollierungseinstellungen Wird sichergestellt, dass mit persönlichen Accounts erfolgen, schriftlich begründet sein und nachvollziehbar sein?" + ], + "Stichworte": [] + }, + { + "Nummer": "23", + "Thema": "Technik", + "Titel": "Überwachung des Logging-Prozesses", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Fehlkonfigurationen und Fehlverhalten im Logging-Prozess sind rechtzeitig zu erkennen, wobei Alerts eingerichtet werden müssen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Fehlkonfigurationen und Fehlverhalten im Logging-Prozess sind rechtzeitig zu erkennen. Alerts müssen eingerichtet werden, um Fehlkonfigurationen und Fehlverhalten im Logging-Prozess schnellstmöglich zu erkennen und zu beheben." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Fehlkonfigurationen und Fehlverhalten im Logging-Prozess sind rechtzeitig zu erkennen. Alerts Wird sichergestellt, dass eingerichtet werden, um Fehlkonfigurationen und Fehlverhalten im Logging-Prozess schnellstmöglich zu erkennen und zu beheben?" + ], + "Stichworte": [] + }, + { + "Nummer": "24", + "Thema": "Technik", + "Titel": "Testen der Logging-Mechanismen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Logging-Mechanismen müssen ordnungsgemäß getestet werden, bevor sie produktiv eingerichtet und verwendet werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Logging-Mechanismen müssen ordnungsgemäss getestet werden, bevor sie produktiv eingerichtet und verwendet werden. Somit soll sichergestellt werden, dass Log-Daten korrekt bearbeitet werden. Gleichzeitig soll vermieden werden, dass Log-Daten aufgrund fehlerhaft eingerichteter Logging-Mechanismen verloren gehen." + }, + { + "typ": "text", + "inhalt": "Bei der Einrichtung der Logging-Mechanismen muss auch sichergestellt werden, dass keine sensiblen Daten geloggt werden. Werden sensible Daten geloggt, müssen sie vorab angemessen obfuskiert werden, z.B. durch Hashing. Zudem muss sichergestellt werden, dass die Protokollierung von personenbezogenen Daten innerhalb des rechtlichen Rahmens bleibt. Die Logging-Mechanismen müssen zusammen mit dem Gesamtsystem vor ihrem produktiven Einsatz formell abgenommen werden." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Logging-Mechanismen Wird sichergestellt, dass ordnungsgemäss getestet werden, bevor sie produktiv eingerichtet und verwendet werden. Somit soll sichergestellt werden, dass Log-Daten korrekt bearbeitet werden. Gleichzeitig soll vermieden werden, dass Log-Daten aufgrund fehlerhaft eingerichteter Logging-Mechanismen verloren gehen?", + "Bei der Einrichtung der Logging-Mechanismen muss auch sichergestellt werden, dass keine sensiblen Daten geloggt werden. Werden sensible Daten geloggt, Wird sichergestellt, dass sie vorab angemessen obfuskiert werden, z.B. durch Hashing. Zudem muss sichergestellt werden, dass die Protokollierung von personenbezogenen Daten innerhalb des rechtlichen Rahmens bleibt. Die Logging-Mechanismen Wird sichergestellt, dass zusammen mit dem Gesamtsystem vor ihrem produktiven Einsatz formell abgenommen werden?" + ], + "Stichworte": [] + }, + { + "Nummer": "25", + "Thema": "Technik", + "Titel": "Trennung der logdatensammelnden und der logdatenproduzierenden Systeme", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen vor Manipulation geschützt werden, indem die logdatensammelnden und logdatenproduzierenden Systeme getrennt werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen vor einer gewollten (z.B. durch einen Angreifenden) oder versehentlichen Manipulation (z.B. durch einen Benutzenden oder eine Applikation) von Nicht-Administratoren geschützt werden. Dies soll durch die Trennung der logdatenproduzierenden und der logdatensammelnden Systeme erreicht werden." + }, + { + "typ": "text", + "inhalt": "Log-Daten müssen mittels geeigneter Technologie an einen Speicherort verschoben werden, welcher physisch vom logdatenproduzierenden System getrennt ist. Die Weiterleitung muss ohne Verzögerung erfolgen." + }, + { + "typ": "text", + "inhalt": "Der Zugriff auf das logdatensammelnde System und insbesondere auf die Log-Daten selbst muss stark eingeschränkt und lediglich einem kleinen und wohldefinierten Personenkreis vorbehalten werden (Need-to-Know Prinzip). Die Liste der erlaubten Personen muss schriftlich dokumentiert werden und jederzeit aktuell gehalten werden." + }, + { + "typ": "text", + "inhalt": "Die Trennung zwischen dem logdatensammelnden System und dem logdatenproduzierenden System folgt dem Sicherheitsprinzip gemäss Funktionstrennung (Separation-of-Duty)." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "IT-Grundschutz I2.2", + "Need-to-Know Prinzip" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten Wird sichergestellt, dass vor einer gewollten (z.B. durch einen Angreifenden) oder versehentlichen Manipulation (z.B. durch einen Benutzenden oder eine Applikation) von Nicht-Administratoren geschützt werden. Dies soll durch die Trennung der logdatenproduzierenden und der logdatensammelnden Systeme erreicht werden?", + "Log-Daten Wird sichergestellt, dass mittels geeigneter Technologie an einen Speicherort verschoben werden, welcher physisch vom logdatenproduzierenden System getrennt ist. Die Weiterleitung muss ohne Verzögerung erfolgen?" + ], + "Stichworte": [] + }, + { + "Nummer": "26", + "Thema": "Technik", + "Titel": "Logdatensammler-Infrastruktur", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen an einer dedizierten zentralen Logdatensammelstelle gesammelt werden, die skalierbar und hochverfügbar sein muss." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen an einer dedizierten zentralen Logdatensammelstelle gesammelt werden. Werden Log-Daten nicht systematisch an einer dedizierten zentralen Logdatensammelstelle gesammelt und nur lokal gespeichert, besteht das Risiko, dass Log-Daten verloren gehen (z.B bei Wartungsarbeiten oder Ausfällen) oder nicht brauchbar sind." + }, + { + "typ": "text", + "inhalt": "Die Logdatensammler-Infrastruktur muss dazu fähig sein, die erzeugte Menge an Log-Daten zu verarbeiten und somit entsprechend skalierbar sein. Gegebenenfalls sollte die Logdatensammler-Infrastruktur hochverfügbar sein." + }, + { + "typ": "text", + "inhalt": "Die Infrastruktur zum zentralen Sammeln der Log-Daten muss zudem folgende Bedingungen erfüllen:" + }, + { + "typ": "liste", + "inhalt": [ + "Die Anforderungen aus der Sicherheit an die Logdatensammler-Infrastruktur ergeben sich aus dem höchsten geforderten Schutzziel aller auf der Infrastruktur bearbeiteten Daten (Maximumprinzip).", + "Für die jeweiligen Infrastrukturen müssen ISDS-Konzepte erstellt werden.", + "Um die Netzwerkverkehr zu minimieren, sollen die Logsammel-Geräte möglichst nahe (Netzwerktechnisch) an den logproduzierenden Geräten stehen." + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "IT-Grundschutz I2.2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten Wird sichergestellt, dass an einer dedizierten zentralen Logdatensammelstelle gesammelt werden. Werden Log-Daten nicht systematisch an einer dedizierten zentralen Logdatensammelstelle gesammelt und nur lokal gespeichert, besteht das Risiko, dass Log-Daten verloren gehen (z.B bei Wartungsarbeiten oder Ausfällen) oder nicht brauchbar sind?", + "Die Logdatensammler-Infrastruktur muss dazu fähig sein, die erzeugte Menge an Log-Daten zu verarbeiten und somit entsprechend skalierbar sein. Gegebenenfalls Wird sichergestellt, dasste die Logdatensammler-Infrastruktur hochverfügbar sein?", + "Ist sichergestellt, dass die Anforderungen aus der Sicherheit an die Logdatensammler-Infrastruktur ergeben sich aus dem höchsten geforderten Schutzziel aller auf der Infrastruktur bearbeiteten Daten (Maximumprinzip)?", + "Ist sichergestellt, dass für die jeweiligen Infrastrukturen müssen ISDS-Konzepte erstellt werden?", + "Ist sichergestellt, dass um die Netzwerkverkehr zu minimieren, sollen die Logsammel-Geräte möglichst nahe (Netzwerktechnisch) an den logproduzierenden Geräten stehen?" + ], + "Stichworte": [] + }, + { + "Nummer": "27", + "Thema": "Technik", + "Titel": "Gemanagte Konfiguration der Protokollierung", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Konfiguration der Protokollierung soll systemübergreifend konsistent sein und zentral verwaltet werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Konfiguration der Protokollierung soll systemübergreifend konsistent sein. Dabei soll die Konfiguration der Protokollierung pro Teilgebiet (Netzwerk, Datenbanken, Applikationen, etc.) an einer zentralen Stelle hinterlegt und verwaltet werden. Dadurch werden inkonsistente lokale Konfigurationen vermieden. Zudem reduzieren sich Arbeitsaufwände, wenn Konfigurationen weitmöglichst zentral verwaltet werden, anstatt lokal auf jedem einzelnen System." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Konfiguration der Protokollierung Wird sichergestellt, dass systemübergreifend konsistent sein. Dabei Wird sichergestellt, dass die Konfiguration der Protokollierung pro Teilgebiet (Netzwerk, Datenbanken, Applikationen, etc.) an einer zentralen Stelle hinterlegt und verwaltet werden. Dadurch werden inkonsistente lokale Konfigurationen vermieden. Zudem reduzieren sich Arbeitsaufwände, wenn Konfigurationen weitmöglichst zentral verwaltet werden, anstatt lokal auf jedem einzelnen System?" + ], + "Stichworte": [] + }, + { + "Nummer": "28", + "Thema": "Technik", + "Titel": "Härtung der Logsammler-Geräte", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Geräte zum Sammeln der Log-Daten müssen gehärtet sein und bestimmte Sicherheitsbedingungen erfüllen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Geräte zum Sammeln der Log-Daten müssen gehärtet sein." + }, + { + "typ": "text", + "inhalt": "Folgende Bedingungen müssen erfüllt werden:" + }, + { + "typ": "liste", + "inhalt": [ + "Die Geräte müssen nach den Vorgaben der IT-Sicherheit konfiguriert sein (Einhaltung der Standards und Richtlinien).", + "Die Geräte müssen zusätzlich gehärtet werden (z.B. mit lokal installierter Firewall). Sind spezifische Vorgaben zur Härtung vorhanden, müssen diese eingehalten werden.", + "Die Geräte müssen über einen Integritätscheck verfügen (z.B. OSSEC).", + "Die Geräte müssen das Abholen der offline Log-Daten mittels SCP ermöglichen.", + "Die Geräte müssen das Abholen der online Log-Daten mittels TLS over TCP ermöglichen.", + "Die Geräte müssen so konfiguriert werden, dass die Speicher für die Log-Daten ausreichend gross bemessen sind. D.h. der Speicher darf zwischen zwei Backup-Zyklen weder überlaufen, noch soll ein Überschreiben der Log-Daten notwendig werden.", + "Die Geräte sollen über Mandantenfähigkeit verfügen.", + "Die Geräte stehen in einem Administrations-Netzwerk oder in einer dedizierten Logging-Zone.", + "Die Geräte sollen hierarchisch gegliedert werden." + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1", + "IT-Grundschutz I1", + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Geräte zum Sammeln der Log-Daten Wird sichergestellt, dass gehärtet sein?", + "Folgende Bedingungen Wird sichergestellt, dass erfüllt werden:?", + "Ist sichergestellt, dass die Geräte müssen nach den Vorgaben der IT-Sicherheit konfiguriert sein (Einhaltung der Standards und Richtlinien)?", + "Ist sichergestellt, dass die Geräte müssen zusätzlich gehärtet werden (z.B. mit lokal installierter Firewall). Sind spezifische Vorgaben zur Härtung vorhanden, müssen diese eingehalten werden?", + "Ist sichergestellt, dass die Geräte müssen über einen Integritätscheck verfügen (z.B. OSSEC)?", + "Ist sichergestellt, dass die Geräte müssen das Abholen der offline Log-Daten mittels SCP ermöglichen?", + "Ist sichergestellt, dass die Geräte müssen das Abholen der online Log-Daten mittels TLS over TCP ermöglichen?", + "Ist sichergestellt, dass die Geräte müssen so konfiguriert werden, dass die Speicher für die Log-Daten ausreichend gross bemessen sind. D.h. der Speicher darf zwischen zwei Backup-Zyklen weder überlaufen, noch soll ein Überschreiben der Log-Daten notwendig werden?", + "Ist sichergestellt, dass die Geräte sollen über Mandantenfähigkeit verfügen?", + "Ist sichergestellt, dass die Geräte stehen in einem Administrations-Netzwerk oder in einer dedizierten Logging-Zone?", + "Ist sichergestellt, dass die Geräte sollen hierarchisch gegliedert werden?" + ], + "Stichworte": [] + }, + { + "Nummer": "29", + "Thema": "Technik", + "Titel": "Log-Daten-Beatbeitung in einer Cloud-Lösung", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Bearbeitung von Log-Daten in einer Cloud-Lösung muss konform mit den IT-Sicherheitsvorgaben und bundesweiten Gesetzen sein." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Bearbeitung von Log-Daten in einer Cloud-Lösung muss konform mit den IT-Sicherheitsvorgaben des BIT und den bundesweiten Vorgaben und Gesetze sein." + }, + { + "typ": "text", + "inhalt": "Die Bearbeitung der Log-Daten in einer Cloud-Lösung durch den Auftragsbearbeiter ist zwischen dem Verantwortlichen und dem Auftragsbearbeiter vertraglich zu regeln. Der Verantwortliche muss sich vor dem Vertragsabschluss vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Sicherheit der Log-Daten zu gewährleisten. Der Schutz der Log-Daten muss nachweislich gleich so hoch sein wie bei einer On-Premises Lösung. Bei der Beurteilung der Sicherheit sind die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit zu berücksichtigen." + }, + { + "typ": "text", + "inhalt": "Zudem muss nachgewiesen werden, dass allfällige zusätzliche Risiken, die durch eine Bearbeitung der Log-Daten in einer Cloud-Lösung entstehen, tragbar sind. Das Nutzen einer Bearbeitung von Log-Daten in einer Cloud-Lösung sollte die daraus entstehenden Risiken überwiegen. Sollte das nicht möglich sind, sind kompensierende Massnahmen zur Risikominimierung zu definieren und umzusetzen." + }, + { + "typ": "text", + "inhalt": "Der Verantwortliche muss sich auch vergewissern, dass die Log-Daten vom Auftragsbearbeiter gleich bearbeitet werden, wie der Verantwortliche es selbst tun dürfte." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Zudem muss nachgewiesen werden, dass allfällige zusätzliche Risiken, die durch eine Bearbeitung der Log-Daten in einer Cloud-Lösung entstehen, tragbar sind. Das Nutzen einer Bearbeitung von Log-Daten in einer Cloud-Lösung Wird sichergestellt, dasste die daraus entstehenden Risiken überwiegen. Sollte das nicht möglich sind, sind kompensierende Massnahmen zur Risikominimierung zu definieren und umzusetzen?" + ], + "Stichworte": [] + }, + { + "Nummer": "30", + "Thema": "Technik", + "Titel": "Cloud-Dienste", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Visibilität über sicherheitsrelevante Ereignisse und Aktivitäten betreffend Schutzobjekte, die Cloud-Dienste beziehen, muss gewährleistet werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Visibilität über sicherheitsrelevante Ereignisse und Aktivitäten betreffend Schutzobjekte, die Cloud-Dienste beziehen, muss gewährleistet werden." + }, + { + "typ": "text", + "inhalt": "Beim Bezug von Cloud-Diensten sind folgende Punkte abzuklären und schriftlich zu dokumentieren:" + }, + { + "typ": "liste", + "inhalt": [ + "Welche Log-Daten werden generiert", + "Wo werden die Log-Daten aufbewahrt", + "Wie werden die Log-Daten gesichert", + "Werden die Log-Daten verschlüsselt und falls ja, wie die Verschlüsselung gehandhabt wird (Verschlüsselungsalgorithmus, Schlüssel-Management, etc.)" + ] + }, + { + "typ": "text", + "inhalt": "Der Serviceverantwortliche oder der Applikationsverantwortliche muss sich vergewissern, dass er genügend Einsicht in die Log-Daten hat, um die IT-Sicherheit zu gewährleisten. In diesem Sinne muss er sich auch vergewissern, dass angemessenen Schnittstellen zur Verfügung stehen, damit Log-Daten abgerufen und ausgewertet werden können." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Ist sichergestellt, dass welche Log-Daten werden generiert?", + "Ist sichergestellt, dass wo werden die Log-Daten aufbewahrt?", + "Ist sichergestellt, dass wie werden die Log-Daten gesichert?", + "Ist sichergestellt, dass werden die Log-Daten verschlüsselt und falls ja, wie die Verschlüsselung gehandhabt wird (Verschlüsselungsalgorithmus, Schlüssel-Management, etc.)?" + ], + "Stichworte": [] + }, + { + "Nummer": "31", + "Thema": "Technik", + "Titel": "Integration in bestehende Lösungen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Cloud-Logs müssen in die bestehenden Lösungen zur Log-Daten Bearbeitung integriert werden und mit On-Premise Log-Daten korreliert werden können." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Cloud-Logs müssen in die bestehenden Lösungen zur Log-Daten Bearbeitung integriert werden. Das Prinzip der zentralen Sammlung der Log-Daten darf durch einen Cloud-Service nicht gebrochen werden. Die Cloud-Logs müssen mit den On-Premise Log-Daten korreliert werden können." + }, + { + "typ": "text", + "inhalt": "Cloud-Logs müssen zudem in einem geeigneten und konsistenten Format für die Bearbeitung bereitgestellt werden. In diesem Sinne muss sichergestellt werden, dass Cloud-Logs in den bestehenden Lösungen zur Sicherstellung der IT-Sicherheit integriert werden können und die Auswertung der Cloud-Logs in die ordentlichen Betriebsprozesse integriert wird." + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Cloud-Logs Wird sichergestellt, dass in die bestehenden Lösungen zur Log-Daten Bearbeitung integriert werden. Das Prinzip der zentralen Sammlung der Log-Daten darf durch einen Cloud-Service nicht gebrochen werden. Die Cloud-Logs Wird sichergestellt, dass mit den On-Premise Log-Daten korreliert werden können?", + "Cloud-Logs Wird sichergestellt, dass zudem in einem geeigneten und konsistenten Format für die Bearbeitung bereitgestellt werden. In diesem Sinne muss sichergestellt werden, dass Cloud-Logs in den bestehenden Lösungen zur Sicherstellung der IT-Sicherheit integriert werden können und die Auswertung der Cloud-Logs in die ordentlichen Betriebsprozesse integriert wird?" + ], + "Stichworte": [] + }, + { + "Nummer": "32", + "Thema": "Informationen", + "Titel": "Protokollierung von Zugriffen auf sensible Daten", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Zugriffe auf sensible Daten müssen protokolliert, laufend überwacht und nachvollziehbar sein." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Zugriffe auf sensible Daten müssen protokolliert werden, laufend überwacht werden und nachvollziehbar sein." + }, + { + "typ": "text", + "inhalt": "Als sensible Daten gelten u.a.:" + }, + { + "typ": "liste", + "inhalt": [ + "Authentifikationsdaten (Passwörter, Schlüssel, Zertifikate, etc.)", + "Konfigurationsdateien", + "Audit-Logs", + "Besonders schützenswerte Personendaten oder Persönlichkeitsprofilen (nach DSG)", + "GEHEIM-klassifizierte Informationen (nach ISchV)", + "Finanziell relevante Daten (Buchhaltungsdaten, Inventardaten, etc.)", + "Geschäftskritische Daten", + "Alle sonstigen Daten, welche in einer Schutzbedarfsanalyse als schützenswert bezüglich der Vertraulichkeit definiert wurden" + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz T2.1" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Zugriffe auf sensible Daten Wird sichergestellt, dass protokolliert werden, laufend überwacht werden und nachvollziehbar sein?", + "Ist sichergestellt, dass authentifikationsdaten (Passwörter, Schlüssel, Zertifikate, etc.)?", + "Ist sichergestellt, dass konfigurationsdateien?", + "Ist sichergestellt, dass audit-Logs?", + "Ist sichergestellt, dass besonders schützenswerte Personendaten oder Persönlichkeitsprofilen (nach DSG)?", + "Ist sichergestellt, dass gEHEIM-klassifizierte Informationen (nach ISchV)?", + "Ist sichergestellt, dass finanziell relevante Daten (Buchhaltungsdaten, Inventardaten, etc.)?", + "Ist sichergestellt, dass geschäftskritische Daten?", + "Ist sichergestellt, dass alle sonstigen Daten, welche in einer Schutzbedarfsanalyse als schützenswert bezüglich der Vertraulichkeit definiert wurden?" + ], + "Stichworte": [] + }, + { + "Nummer": "33", + "Thema": "Informationen", + "Titel": "Schutz von Geheimnissen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Geheimnisse müssen bei der Bearbeitung von Log-Daten angemessen geschützt werden, um zu verhindern, dass sie geloggt werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Geheimnisse sind bei der Bearbeitung von Log-Daten angemessen zu schützen. Es muss sichergestellt werden, dass keine Geheimnisse (z.B. Passwörter, private Schlüssel, PIN Codes, etc.) geloggt werden. Werden Geheimnisse geloggt, müssen sie vorab angemessen obfuskiert oder maskiert werden, z.B. durch Hashing oder *********." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Geheimnisse sind bei der Bearbeitung von Log-Daten angemessen zu schützen. Es muss sichergestellt werden, dass keine Geheimnisse (z.B. Passwörter, private Schlüssel, PIN Codes, etc.) geloggt werden. Werden Geheimnisse geloggt, Wird sichergestellt, dass sie vorab angemessen obfuskiert oder maskiert werden, z.B. durch Hashing oder *********?" + ], + "Stichworte": [] + }, + { + "Nummer": "34", + "Thema": "Informationen", + "Titel": "Bearbeitung von besonders schützenswerten Personendaten", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Bearbeitung von besonders schützenswerten Personendaten muss konform mit bundesweiten Vorgaben und Gesetzen sein." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Bearbeitung von besonders schützenswerten Personendaten muss konform mit den bundesweiten Vorgaben und Gesetze sein. Für jede Log-Datensammlung mit besonders schützenswerten Personendaten muss ein bewilligtes Datenschutzbearbeitungsreglement und ein bewilligtes Berechtigungskonzept existieren." + }, + { + "typ": "text", + "inhalt": "Des Weiteren muss eine Datenschutzvereinbarung zwischen dem Verantwortlichen und dem Auftragsbearbeiter abgeschlossen werden. Die Datenschutzvereinbarung muss folgende Punkte adressieren:" + }, + { + "typ": "liste", + "inhalt": [ + "Zweck der Bearbeitung", + "Priorisierung der Datensicherheit", + "Meldungspflicht bei Feststellungen von allfälligen Gefährdungen der Datensammlung", + "Geheimhaltungsverpflichtung, inkl. nach Beendigung des Auftrags", + "Datenbekanntgabe an Dritte" + ] + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Ist sichergestellt, dass zweck der Bearbeitung?", + "Ist sichergestellt, dass priorisierung der Datensicherheit?", + "Ist sichergestellt, dass meldungspflicht bei Feststellungen von allfälligen Gefährdungen der Datensammlung?", + "Ist sichergestellt, dass geheimhaltungsverpflichtung, inkl. nach Beendigung des Auftrags?", + "Ist sichergestellt, dass datenbekanntgabe an Dritte?" + ], + "Stichworte": [] + }, + { + "Nummer": "35", + "Thema": "Informationen", + "Titel": "Schutzbedarf", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Der Schutzbedarf der Log-Daten muss bekannt sein, um angemessene Maßnahmen zum Schutz der Log-Daten zu treffen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Der Schutzbedarf der Log-Daten, muss bekannt sein, damit angemessenen Massnahmen zum Schutz der Log-Daten getroffen werden Der Schutzbedarf der Log-Daten ist vom Dateninhaber zu beurteilen und festzulegen." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Vorgabe 'Schutzbedarf' ist dokumentiert und implementiert." + ], + "Stichworte": [] + }, + { + "Nummer": "36", + "Thema": "Informationen", + "Titel": "Transport", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Der Transport von Log-Daten muss möglichst zeitnah zur Erzeugung der Logs erfolgen, um eine Out-of-Band-Analyse zu ermöglichen." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Der Transport von Log-Daten muss möglichst zeitnah zur Erzeugung der Logs erfolgen, um eine Out-of-Band-Analyse zu ermöglichen. Der Zeitraum richtet sich nach den Sicherheits-Anforderungen und muss jeweils einzeln abgesprochen, bzw. geregelt werden. Log-Daten sind standardmässig in Echtzeit zu übermitteln. Für Transfers von grossen Log-Datenmengen sollen Randstunden gewählt werden." + }, + { + "typ": "text", + "inhalt": "Für die periodische offline-Datenübertragung kann ein Standard ZIP-File (Bzip, ZIP) verwendet werden." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Der Transport von Log-Daten muss möglichst zeitnah zur Erzeugung der Logs erfolgen, um eine Out-of-Band-Analyse zu ermöglichen. Der Zeitraum richtet sich nach den Sicherheits-Anforderungen und muss jeweils einzeln abgesprochen, bzw. geregelt werden. Log-Daten sind standardmässig in Echtzeit zu übermitteln. Für Transfers von grossen Log-Datenmengen Wird darauf geachtet, dass Randstunden gewählt werden?" + ], + "Stichworte": [] + }, + { + "Nummer": "37", + "Thema": "Informationen", + "Titel": "Protokolle", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für die Übertragung der Daten soll das Syslog-Protokoll eingesetzt werden, wobei TCP-Protokolle den UDP-Protokollen vorzuziehen sind." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Für die Übertragung der Daten soll das Syslog-Protokoll (RFC5424) eingesetzt werden, welches heute de facto einem Industriestandard entspricht, soweit keine herstellerspezifischen Vorgaben oder Empfehlungen (z.B. Eventforwarding unter Windows) existieren. Beispiel für eine entsprechende Software ist die freie Implementierung Syslog-NG. Für die Übertragung sind auf jeden Fall TCP-Protokolle den UDP-Protokollen vorzuziehen." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Für die Übertragung der Daten Wird sichergestellt, dass das Syslog-Protokoll (RFC5424) eingesetzt werden, welches heute de facto einem Industriestandard entspricht, soweit keine herstellerspezifischen Vorgaben oder Empfehlungen (z.B. Eventforwarding unter Windows) existieren. Beispiel für eine entsprechende Software ist die freie Implementierung Syslog-NG. Für die Übertragung sind auf jeden Fall TCP-Protokolle den UDP-Protokollen vorzuziehen?" + ], + "Stichworte": [] + }, + { + "Nummer": "38", + "Thema": "Informationen", + "Titel": "Schutz der Log-Daten während des Transports", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Vertraulichkeit und Integrität der Log-Daten müssen auf dem Transportweg mittels geeigneter Technik gewährleistet werden." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Die Vertraulichkeit und die Integrität der Log-Daten müssen auf dem Transportweg mittels geeigneter Technik jederzeit gewährleistet werden. Die Transportwege müssen sicher sein und mit einem aktuellen TLS Protokoll geschützt werden. Ist dies nicht möglich, müssen die Daten auf andere Art kryptographisch geschützt werden (z.B. mittels verschlüsseltem ZIP-File). Solche Abweichungen müssen schriftlich dokumentiert werden." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Vertraulichkeit und die Integrität der Log-Daten Wird sichergestellt, dass auf dem Transportweg mittels geeigneter Technik jederzeit gewährleistet werden. Die Transportwege Wird sichergestellt, dass sicher sein und mit einem aktuellen TLS Protokoll geschützt werden. Ist dies nicht möglich, Wird sichergestellt, dass die Daten auf andere Art kryptographisch geschützt werden (z.B. mittels verschlüsseltem ZIP-File). Solche Abweichungen Wird sichergestellt, dass schriftlich dokumentiert werden?" + ], + "Stichworte": [] + }, + { + "Nummer": "39", + "Thema": "Informationen", + "Titel": "Zonen mit tieferem Sicherheitsniveau", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen in einer Zone aufbewahrt werden, deren Schutzniveau dem Schutzbedarf der Log-Daten entspricht." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten müssen in einer Zone aufbewahrt werden, deren Schutzniveau der Schutzbedarf der Log-Daten entspricht. Falls Log-Daten von einer Zone mit höherem Sicherheitsniveau nach einer Zone mit tieferem Sicherheitsniveau übermittelt werden müssen, muss sichergestellt werden, dass die Sicherheit der Log-Daten bei der Übertragung und bei der Aufbewahrung nicht wesentlich beeinträchtigt wird." + }, + { + "typ": "text", + "inhalt": "Log-Daten dürfen in einer Zone mit tieferem Sicherheitsniveau übermittelt werden, sofern eine Risikoanalyse gezeigt hat, dass" + }, + { + "typ": "liste", + "inhalt": [ + "der Nutzen die daraus entstehenden Risiken überwiegt", + "die Risiken tragbar sind" + ] + }, + { + "typ": "text", + "inhalt": "Sollte die Risikoanalyse wiederum zeigen, dass die Weiterleitung der Log-Daten nach einer Zone mit tieferem Sicherheitsniveau die Sicherheit der Log-Daten wesentlich beeinträchtigt, dürfen die Log-Daten nicht nach dieser Zone weitergeleitet werden." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten Wird sichergestellt, dass in einer Zone aufbewahrt werden, deren Schutzniveau der Schutzbedarf der Log-Daten entspricht. Falls Log-Daten von einer Zone mit höherem Sicherheitsniveau nach einer Zone mit tieferem Sicherheitsniveau übermittelt werden Wird sichergestellt, dass, muss sichergestellt werden, dass die Sicherheit der Log-Daten bei der Übertragung und bei der Aufbewahrung nicht wesentlich beeinträchtigt wird?", + "Ist sichergestellt, dass der Nutzen die daraus entstehenden Risiken überwiegt?", + "Ist sichergestellt, dass die Risiken tragbar sind?" + ], + "Stichworte": [] + }, + { + "Nummer": "40", + "Thema": "Informationen", + "Titel": "Datenbekanntgabe an Dritte", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Im Rahmen der Bearbeitung der Log-Daten durch einen Auftragsbearbeiter dürfen keine Daten an Dritte bekanntgegeben werden, sofern dies nicht zwingend erforderlich ist." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Im Rahmen der Bearbeitung der Log-Daten durch einen Auftragsbearbeiter dürfen keine Daten an Dritte bekanntgegeben werden, sofern dies nicht zwingend erforderlich ist." + }, + { + "typ": "text", + "inhalt": "Die Bekanntgabe von Daten an Dritte (z.B. Unterauftragnehmer) darf nur unter der vorgängigen Genehmigung des Dateninhabers erfolgen. Dies betrifft sowohl die Log-Datensammlung selbst als auch allfällige Metadaten, die mit der Log-Datensammlung verknüpft sind oder davon abgeleitet werden können." + }, + { + "typ": "text", + "inhalt": "Die Bekanntgabe von Log-Daten an Dritte darf nur erfolgen, falls die Bekanntgabe für die Zweckerfüllung der Bearbeitung zwingend erforderlich ist." + }, + { + "typ": "text", + "inhalt": "Die Bekanntgabe von Log-Daten an Dritte darf keine negativen Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit haben." + }, + { + "typ": "text", + "inhalt": "Werden Log-Daten an Dritte bekanntgegeben, bzw. durch Dritte bearbeitet, muss diese Bearbeitung vertraglich mit dem Verantwortlichen und Auftragsbearbeiter geregelt werden. Der Dateninhaber muss sich dabei vergewissern, dass die Sicherheit der Log-Daten bei ihrer Bearbeitung weiterhin gewährleistet wird." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Die Vorgabe 'Datenbekanntgabe an Dritte' ist dokumentiert und implementiert." + ], + "Stichworte": [] + }, + { + "Nummer": "41", + "Thema": "Informationen", + "Titel": "Physische Trennung", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten dürfen nicht von der Person manipuliert oder gelöscht werden können, deren Aktivitäten die Erzeugung dieser Log-Daten hatte." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Log-Daten dürfen nicht von derjenigen Person manipuliert oder gelöscht werden können, deren Aktivitäten als direkte Konsequenz die Erzeugung dieser Log-Daten hatte. Hierzu müssen angemessene technische und organisatorische Massnahmen umgesetzt werden. Die umgesetzten Massnahmen sind schriftlich zu dokumentieren." + }, + { + "typ": "text", + "inhalt": "Sollte das nicht möglich sein, sind die Anforderungen *R066.5.12 Physische Trennung* und *R066.5.13 Erkennung von Manipulationen* zwingend einzuhalten." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Log-Daten dürfen nicht von derjenigen Person manipuliert oder gelöscht werden können, deren Aktivitäten als direkte Konsequenz die Erzeugung dieser Log-Daten hatte. Hierzu Wird sichergestellt, dass angemessene technische und organisatorische Massnahmen umgesetzt werden. Die umgesetzten Massnahmen sind schriftlich zu dokumentieren?" + ], + "Stichworte": [] + }, + { + "Nummer": "42", + "Thema": "Informationen", + "Titel": "Erkennung von Manipulationen", + "Kurztext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Allfällige Manipulationen von Log-Daten müssen erkennbar und nachvollziehbar sein, wobei das Schutzziel der Nachvollziehbarkeit erreicht werden muss." + } + ] + }, + "Langtext": { + "Abschnitt": [ + { + "typ": "text", + "inhalt": "Allfällige Manipulationen von Log-Daten müssen erkennbar und nachvollziehbar sein. Falls ein System weder schreibgeschützte Log-Daten (R066.5.10), Separation of Duties (R066.5.11) oder physische Trennung (R066.5.12) ermöglicht, ist diese Anforderung zwingend einzuhalten." + }, + { + "typ": "text", + "inhalt": "Für Log-Daten, die nicht gegen unberechtigte Manipulationen oder Löschungen geschützt werden können, muss auf jeden Fall das Schutzziel der Nachvollziehbarkeit erreicht werden. D.h., dass es festgestellt werden muss, ob die Daten manipuliert oder gelöscht wurden, und falls ja, von wem." + }, + { + "typ": "text", + "inhalt": "Die anfallenden Daten müssen mittels einer kryptografischen Hashfunktion geschützt werden. Der Hashwert (Fingerprint) soll auf einem anderen System als demjenigen, auf welchem die Logs erzeugt wurden zeitnah erstellt werden." + }, + { + "typ": "text", + "inhalt": "Die Hashwerte sollen nicht mit dem gleichen technischen User erstellt werden, welche die Log-Daten entgegen nimmt/transferiert." + } + ] + }, + "Referenz": [ + "IT-Grundschutz I2" + ], + "Gueltigkeit": { + "Von": "2024-01-01", + "Bis": "2026-12-31" + }, + "Checklistenfragen": [ + "Allfällige Manipulationen von Log-Daten Wird sichergestellt, dass erkennbar und nachvollziehbar sein. Falls ein System weder schreibgeschützte Log-Daten (R066.5.10), Separation of Duties (R066.5.11) oder physische Trennung (R066.5.12) ermöglicht, ist diese Anforderung zwingend einzuhalten?", + "Die anfallenden Daten Wird sichergestellt, dass mittels einer kryptografischen Hashfunktion geschützt werden. Der Hashwert (Fingerprint) soll auf einem anderen System als demjenigen, auf welchem die Logs erzeugt wurden zeitnah erstellt werden?", + "Die Hashwerte Wird darauf geachtet, dass nicht mit dem gleichen technischen User erstellt werden, welche die Log-Daten entgegen nimmt/transferiert?" + ], + "Stichworte": [] + } + ], + "Gueltigkeit": { + "Von": "2023-01-01", + "Bis": "2024-12-31" + } + } +} \ No newline at end of file diff --git a/Documentation/import formats/r009.txt b/Documentation/import formats/r009.txt new file mode 100644 index 0000000..9c762b9 --- /dev/null +++ b/Documentation/import formats/r009.txt @@ -0,0 +1,337 @@ +>>>Einleitung +>>>text +Dieser Standard unterliegt den Definitionen vom Zentraldokument für Standard IT-Sicherheit. Ziel & Zweck, Änderungswesen etc. sind da definiert und werden hier nicht ein zweites Mal aufgeführt. + + +>>>geltungsbereich +>>>text +Dieser Standard dient als Umsetzungsanforderung für Richtlinien IT-Sicherheit zu Serversystemen im BIT. Betroffen sind von diesem Standard grundsätzlich alle Serversysteme . Einzelne, explizite Ausschlüsse werden in den Anforderungen spezifiziert + +>>>Vorgabe Organisation +>>>Nummer 1 +>>>Titel +R0009.2.1 CMDB-Erfassung +>>>Kurztext +>>>Text +Die Konfigurationsmanagement-Datenbank stellt die integrierte Informationsgrundlage für das Service-Management BIT sicher und ist das IT-Repository fürs IT-Sicherheitsmanagement. +>>>Langtext +>>>Text +Jedes Asset (Server, Gateway, Router, Switch usw.), dass sich im BIT-Netz befindet, muss in einer möglichst standardisierten Form dokumentiert sein. Ist die Betriebsverantwortung bei einem anderen Leistungserbringer, ist dies entsprechend zu dokumentieren und einzufordern. + + +>>>Vorgabe Technik +>>>Nummer 1 +>>>Titel +Dienste und Protokolle +>>>Kurztext +>>>Text +Nicht benötigte Dienste und Protokolle deaktivieren +>>>Langtext +>>>Text +Nach einer Standardinstallation von Systemen und Softwareprodukten sind typischerweise lokale oder aus dem Netz erreichbare Dienste und Protokolle aktiv, die für den Betreib und die Funktionalität des Systems nicht notwendig sind. Hierzu gehören auch Dienste und Protokolle, die aufgrund ihrer bekannten Sicherheits-Schwachstellen, die gegebenen falls für die Verletzung von Schutzzielen wie Vertraulichkeit, Integrität und Verfügbarkeit genutzt werden können. Solche Dienste (wie z.B. SSL anstatt TLS) und Protokolle müssen auf einem System vollständig deaktiviert sein (System-Härtung). Dabei ist es wichtig zu beachten, dass die Deaktivierung auch nach einem Neustart des Systems bestehen bleibt. + +Als Referenz für System-Härtung sollen die spezifischen Hersteller Sicherheits-Konfigurationen und weitere Referenzen wie CIS-Workbench angewendet werden. + +>>>Vorgabe Technik +>>>Nummer 2 +>>>Titel +Einschränkungen Tools auf Serversystemen +>>>Kurztext +>>>Text +Es dürfen keine Entwicklungstools, wie Compiler und Debugger, sowie Source Code Repositories auf einem produktiven Server vorhanden sein. +>>>Langtext +>>>Text +Es dürfen keine Entwicklungstools, wie Compiler und Debugger, sowie Source Code Repositories auf einem produktiven Server vorhanden sein. Falls diese temporär benötigt werden (z.B. in einer krisenbedingten Restore-Situation) dürfen sie nur punktuell und so lange wie nötig auf den Systemen installiert werden. + +>>>Vorgabe Technik +>>>Nummer 3 +>>>Titel +Erreichbarkeit von Diensten +>>>Kurztext +>>>Text +Dienste können nur eingeschränkt erreichbar sein und die Konfiguration darf nur autorisiert erfolgen. +>>>Langtext +>>>Text +In der Regel sind aktivierte Dienste in der Grundkonfiguration über alle verfügbaren Schnittstellen eines Systems erreichbar und können von anderen Systemen in den angeschlossenen Netzen erreicht werden. Diese Erreichbarkeit ist funktional weder notwendig noch sinnvoll. Daher dürfen auf einem System die Dienste nur auf Schnittstellen aktiviert werden, auf denen deren Nutzung erforderlich ist. Auf den Schnittstellen, auf denen einen Dienst aktiv ist, muss dessen Erreichbarkeit auf legitime Kommunikationspartner eingeschränkt werden. Diese Einschränkung muss lokal, also ohne zusätzliche netzseitige Massnahmen, wie z. B. eine Firewall, erfolgen + +Dies kann zum Beispiel durch gegenseitige Authentisierung der Serversysteme mittels Zertifikats oder Key-Austausch erreicht werden. + + +>>>Vorgabe Technik +>>>Nummer 4 +>>>Titel +Lokale Firewalls anwenden +>>>Kurztext +>>>Text +Vorgeschaltete Firewwalls bieten keinen umfassenden Schutz. +>>>Langtext +>>>Text +Zonen Übergreifende Firewall oder Netz-Segmentierung sind keine Garantie für eine effiziente Einschränkung an nur berechtigte Zugriffe. +Ein lokaler Paketfilter (Firewall) stellt sicher, dass Dienste, insbesondere Management-Dienste, nur an den erforderlichen Schnittstellen erreichbar sind. + +Ist auch Teil der Grund-Konfiguration durch System-Härtung (R0009.T.1). + + +>>>Vorgabe Informationen +>>>Nummer 1 +>>>Titel +BIT-Externer Betrieb +>>>Kurztext +>>>Text +Die Verschlüsselung der Datenträger soll wo immer möglich verwendet werden. Es ist ein MUSS wo keine angepasste physische Zugriff Sicherheit gesichert werden kann. +>>>Langtext +>>>Text +Falls sich das System nicht in einem BIT betriebenen RZ oder in einem abgesicherten Raum mit mindestens «Sehr hohem Schutzbedarf» befindet, müssen verwendete Datenträger vollständig verschlüsselt sein. + +Der Schutzbedarf oder auch die Schutzklassen (SK) sind in der (Richtlinie Informationssicherheit)[https://community.bit.admin.ch/team/eabit/Private/iktvorgaben/IKTVorgaben%20genehmigt/R0135_V5.2.pdf] BIT definiert. + +>>>Vorgabe Informationen +>>>Nummer 2 +>>>Titel +Vermeiden von Überlastsituationen +>>>Kurztext +>>>Text +Das System muss sich gegen Überlastsituationen schützen +>>>Langtext +>>>Text +Ein System muss über Schutzmechanismen verfügen, die Überlastsituationen soweit wie möglich verhindern. Insbesondere ist eine partielle oder komplette Beeinträchtigung der Verfügbarkeit des Systems zu vermeiden. Beispiele für mögliche Schutzmassnahmen sind: +>>>Liste-ungeordnet +Begrenzung auf Netzwerkzonen +Begrenzung des pro Anwendung verfügbaren Arbeitsspeichers +Begrenzung der maximalen Sessions einer Web-Anwendung +Festlegen der maximalen Grösse eines Datensatzes +Begrenzung von CPU-Ressourcen pro Prozess +Priorisieren von Prozessen +>>>Text +Begrenzung der Anzahl oder der Grösse von Transaktionen eines Benutzers oder von einer IP-Adresse in einem bestimmten Zeitraum. + + +>>>Vorgabe Informationen +>>>Nummer 3 +>>>Titel +Reaktion auf Überlastsituationen +>>>Kurztext +>>>Text +Falls eine Überlastsituation nicht verhindert werden kann muss sich das System berechenbar verhalten. +>>>Langtext +>>>Text +Ein System muss so konzipiert sein, dass es mit Überlastsituationen in kontrollierter Weise umgeht. Trotzdem kann es zu Situationen kommen, bei denen die Schutzmassnahmen gegen Überlastungen nicht mehr +ausreichend sind. + +In einem solchen Fall muss sichergestellt sein, dass das System nicht in einen undefinierten und möglicherweise unsicheren Zustand gerät. Dies kann im Extremfall bedeuten, dass ein kontrolliertes Herunterfahren des Systems eher hinnehmbar ist als ein unkontrolliertes Versagen der Sicherheitsfunktionen und somit ein Verlust des +Systemschutzes. + + +>>>Vorgabe Informationen +>>>Nummer 4 +>>>Titel +Dynamische Inhalte +>>>Kurztext +>>>Text +Zunehmende (dynamische) Inhalte dürfen Systemfunktionen nicht beeinträchtigen. +>>>Langtext +>>>Text +Zunehmende Logdaten oder Uploads dürfen die Funktionalität des Systems nicht beeinträchtigen. + +>>>Vorgabe Informationen +>>>Nummer 5 +>>>Titel +IP-Schnittstellen +>>>Kurztext +>>>Text +Das System darf keine IP-Pakete verarbeiten, deren Absenderadresse nicht über die Schnittstelle erreicht wird, an der das Paket eingegangen ist. +>>>Langtext +>>>Text +Es muss darauf geachtet werden, dass Systeme nicht über unnötige Default-Routen verfügen, was z. B. der Fall ist, wenn Systeme nur intern verwendet werden. +>>>Text +In einer solchen Konstellation handelt es sich i. d. R. um Pakete mit gefälschten Absenderadressen oder einen Fehler im Routing. Das eintreffende Paket muss als nicht vertrauenswürdig verworfen werden, Ein Umsetzungsbeispiel: Die Verwendung der Funktion «Reverse Path Filter» (RPF), die dafür sorgt, dass genau solche Pakete verworfen werden. + +>>>Vorgabe Informationen +>>>Nummer 6 +>>>Titel +Disaster Recovery Plan +>>>Kurztext +>>>Text +Ein Wiederanlaufplan / Disaster Revovery Plan muss beschrieben und sichergestellt sein. +>>>Langtext +>>>Text +Wiederaufsetz- und Neustart Prozeduren im Fehlerfall, sowie Notfallpläne müssen dokumentiert sein. Die Vorbereitung und das Testen von Routine-Betriebsabläufen müssen nach festgelegten Standards erfolgen. Definierte Sicherheitsmassnahmen müssen nachweislich wirksam implementiert sein. Verfahren zur Sicherstellung des Geschäftsbetriebs müssen definiert und geregelt sein. + +>>>Vorgabe Informationen +>>>Nummer 7 +>>>Titel +Partitionierung +>>>Kurztext +>>>Text +Partitionen müssen, wenn möglich, getrennt werden. +>>>Langtext +>>>Text +Daten-, Applikations- und Systempartitionen müssen, wenn möglich, getrennt werden. Eine Trennung der Daten liefert einen zusätzlichen Sicherheitslayer, sollte es zu Systemausfällen oder Malware-Befall kommen. +Abhängig vom Schutzbedarf sollte auch entsprechend sichergestellt werden, dass die einzelnen Partitionen mit einer RAID-Funktionalität geschützt werden. + + +>>>Vorgabe Systeme +>>>Nummer 1 +>>>Titel +Softwareinstallation +>>>Kurztext +>>>Text +Nicht benötigte (autorisierte) Software darf nicht installiert oder muss deinstalliert werden +>>>Langtext +>>>Text +Bei der Installation eines Systems werden oftmals Software-Komponenten installiert oder auch einzelne Teile einer Software aktiviert, die für den Betrieb und die Funktion des Systems nicht notwendig sind. Hierzu zählen auch Teile einer Software, die als Anwendungsbeispiele (z. B. Default-Web-Seiten, Beispieldatenbanken, Testdaten) installiert werden, aber typischerweise nicht verwendet werden. Solche Komponenten dürfen entweder bei der Installation nicht mit installiert werden oder müssen im Anschluss an die Installation gelöscht werden. Des Weiteren ist es nicht erlaubt Software auf einem System zu installieren, die nicht für den Betrieb, die Wartung oder Funktion des Systems notwendig ist + + +>>>Vorgabe Systeme +>>>Nummer 2 +>>>Titel +Softwarefunktionen +>>>Kurztext +>>>Text +Nicht benötigte Funktionen der eingesetzten Software und Hardware müssen deaktiviert werden +>>>Langtext +>>>Text +Bei der Installation von Software und Hardware werden oftmals Funktionen aktiviert, die nicht für den Betrieb und die Funktionalität des Systems notwendig sind. Funktionen der Software sind meistens ein fester Bestandteil, der nicht einzeln gelöscht oder deinstalliert werden kann. Solche Funktionen müssen über die Konfiguration oder Einstellungen dauerhaft deaktiviert werden + +Neben Funktionen der Software sind nach der Systeminstallation oftmals Hardware-Funktionen aktiviert, die nicht für den Einsatz des Systems benötigt werden. Solche Funktionen, wie beispielsweise nicht benötigte Schnittstellen, müssen dauerhaft deaktiviert werden, so dass sie auch nach einem Neustart deaktiviert bleiben. + + +>>>Vorgabe Systeme +>>>Nummer 3 +>>>Titel +Netzwerkprotokolle +>>>Kurztext +>>>Text +Die IPv4-/IPv6-Adressen aller Schnittstellen eines Servers müssen fest konfiguriert werden +>>>Langtext +>>>Text +IP-Adressen, auf denen Dienste angeboten werden, dürfen nicht durch äussere Einflüsse verändert werden können, auch nicht bei einem erzwungenen Reboot. Eine automatische Zuweisung von IP-Adressen, z. B. mittels DHCPv4/v6 oder IPv6-Autokonfiguration, ist nur dann zulässig, wenn sie nach initialer Vergabe der Adresse(n) abgeschaltet oder anderweitig abgesichert wird. IPv6 Router Advertisements müssen ignoriert werden. +Es wird empfohlen den Host-Anteil der IPv6-Adressen zufällig zu bilden, da auf Grund des sehr grossen Adressbereiches von IPv6 ein Auffinden von Systemen für einen Angreifer durch Scans sehr aufwändig ist. + +Nicht benutzte Protokolle (z.B. IPv6) können komplett abgeschaltet werden. + + +>>>Vorgabe Systeme +>>>Nummer 4 +>>>Titel +Netzwerkfunktionen +>>>Kurztext +>>>Text +Netzfunktionen im Betriebssystemkern, die für den Betrieb als Server nicht benötigt werden, müssen abgeschaltet werden (Kernel Parameter). +>>>Langtext +>>>Text +Ein Server braucht nicht zu routen, daher muss die Routing-Funktion abgeschaltet sein. Ebenso muss das +Antworten auf Broadcast-ICMP-Pakete abgeschaltet sein. Diese und weitere Netzfunktionen sind normalerweise bereits im Auslieferungszustand korrekt gesetzt. + + +>>>Vorgabe Systeme +>>>Nummer 5 +>>>Titel +Autorun-Funktionen +>>>Kurztext +>>>Text +Das automatische Starten von Anwendungen auf Wechseldatenträgern muss abgeschaltet werden. +>>>Langtext +>>>Text +Wechseldatenträger – etwa CD-, DVD-, USB-Sticks oder USB-Laufwerke – dürfen darauf enthaltene Anwendungen nicht automatisch starten. + +>>>Vorgabe Systeme +>>>Nummer 6 +>>>Titel +Verarbeitung von transferierten Daten +>>>Kurztext +>>>Text +Die Verarbeitung von ICMPv4-/ICMPv6-Paketen, die für den Betrieb nicht benötigt werden, muss deaktiviert werden. +>>>Langtext +>>>Text +Es gibt verschiedene Typen von ICMPv4 und ICMPv6, die in den meisten Netzen nicht verwendet werden, aber ein potentielles Risiko darstellen. Diese Typen müssen deaktiviert oder gefiltert werden. +>>>text +Folgende ICMP-Typen sind erlaubt und dürfen genutzt werden: +>>>Liste ungeordnet +Echo Request [Type 8 (v4), Type 128 (v6)] +Echo Reply [Type 0 (v4), Type 129 (v6) ] +Destination Unreachable [Type 3 (v4), Type 1 (v6)] +Time Exceeded [Type 11 (v4), Type 3 (v6)] +Parameter Problem [Type 12 (v4), Type 4 (v6)] +Packet Too Big [Type 2 (nur v6)] +Neighbor Solicitation [Type 135 (nur v6)] +Neighbor Advertisement [Type 136 (nur v6)] +>>>text +Es besteht die Möglichkeit, dass weitere Typen notwendig sind. Dies ist im Einzelfall zu prüfen. + +In *keinem Fall* dürfen beantwortet oder verarbeitet werden: +>>>Liste ungeordnet +Timestamp Reply [Type 14 (v4)] +Netmask Reply [Type 18 (v4)] +Information Reply [Type 16 (v4)] +Redirect [Type 5 (v4), Type 137 (v6)] +Router Solicitation [Type 133 (v6)] +Router Advertisement [Type 134 (v6)] + + +>>>Vorgabe Systeme +>>>Nummer 7 +>>>Titel +IP-Headers +>>>Kurztext +>>>Text +IP-Pakete mit nicht benötigten Optionen oder Erweiterungs-Headern dürfen nicht bearbeitet werden. +>>>Langtext +>>>Text +IP Optionen und Erweiterungs-Header (z. B. Source Routing) werden nur in seltenen Ausnahmefällen benötigt. Somit sind alle Pakete mit gesetzten IP-Optionen und Erweiterungs-Headern auf Standard-Servern zu filtern. + +>>>Vorgabe Systeme +>>>Nummer 8 +>>>Titel +Default-Konten +>>>Kurztext +>>>Text +Vordefinierte Konten müssen gelöscht oder deaktiviert werden. +>>>Langtext +>>>Text +Auf vielen Systemen existieren vordefinierte Konten (z. B. Gast, Admin) die teilweise ohne oder mit bekannten Passwörtern vorkonfiguriert sind. Diese Standardbenutzer müssen gelöscht oder deaktiviert werden. Sollten diese Massnahmen nicht umsetzbar sein, so sind solche Konten für einen Fernzugriff zu sperren. In jedem Fall müssen gesperrte und deaktivierte Konten mit einem möglichst komplexen Passwort (12 Zeichen und mehr, Nutzung von Gross-/ Kleinbuchstaben, Zahlen und Sonderzeichen) versehen werden, so dass auch im Falle eine Fehlkonfiguration die unberechtigte Nutzung eines solchen Kontos verhindert wird. + +Ausgenommen von der Anforderung, Konten zu löschen oder zu deaktivieren, sind Konten, die ausschliesslich der internen Nutzung auf dem entsprechenden System dienen und die für die Funktionalität einer oder mehrerer Anwendungen des Systems notwendig sind. Auch für ein solches Konto muss sichergestellt werden, dass ein Fernzugriff oder eine lokale Anmeldung nicht möglich ist und dass ein Benutzer des Systems ein solches Konto nicht missbräuchlich nutzen kann. + + +>>>Vorgabe Anwendungen +>>>Nummer 1 +>>>Titel +Wartung und Pflege +>>>Kurztext +>>>Text +Software- und Hardware-Komponenten, für die es keine Wartung oder Pflege durch den Lieferanten, Hersteller oder Entwickler gibt, dürfen nicht verwendet werden +>>>Langtext +>>>Text +Es dürfen auf einem System nur Betriebssystem-, Middleware- und Anwendungs-Software sowie Hardware- Komponenten eingesetzt werden, für die ein Support durch Lieferanten, Hersteller, Entwickler oder anderen Vertragspartner besteht. Komponenten die End-of-Life oder End-of-Support sind dürfen nicht eingesetzt werden. Ausgenommen hiervon sind Komponenten für die ein spezieller Support-Vertrag abgeschlossen wurde, durch den auch über den Lebendzyklus des Produkts hinaus die Behebung von Sicherheitsschwachstellen gewährleistet ist und von SI-SUR so genehmigt wurdeWeiterführende Informationen + + +>>>Vorgabe Anwendungen +>>>Nummer 2 +>>>Titel +Schwachstellen +>>>Kurztext +>>>Text +Bekannt gewordene Schwachstellen in der Software oder Hardware des Systems müssen behoben oder abgesichert werden +>>>Langtext +>>>Text +Vor der Installation einer Software- oder auch Hardware-Komponente muss überprüft werden, ob bereits Schwachstellen in der einzusetzenden Version gefunden und veröffentlicht wurden. Sollte die entsprechende Komponente von einer Schwachstelle betroffen sein, darf sie nicht installiert oder verwendet werden. Eine Ausnahme hiervon sind Komponenten, für die bereits eine Massnahme zum Beheben der Schwachstelle wie z. B. ein Patch, ein Update oder ein Workaround vom Hersteller zur Verfügung gestellt wurde. In diesem Fall muss die zusätzliche Massnahme auf dem System umgesetzt werden. Zudem ist dies ein fortlaufender Prozess während des kompletten Life-Cycles des Systems, um auftretende Schwachstellen zeitnah zu beheben. + +Zeitvorgaben für das beheben von entsprechenden Schwachstellen werden vom SI-SUR-CSIRT vorgegeben + + +>>>Vorgabe Zonen +>>>Nummer 1 +>>>Titel +Abgesicherte Räume +>>>Kurztext +>>>Text +Falls sich das System nicht in einem BIT-betriebenen abgesicherten Raum (RZ) befindet, muss der Schutzbedarf «sehr hoher Schutzbedarf (SN3)» gewährleistet werden. Das BIOS muss vor nicht autorisierten Veränderungen geschützt werden. +>>>Langtext +>>>Text +Server, die öffentlich oder in Räumlichkeiten von Kunden installiert sind, müssen besonders vor unautorisiertem Zugriff und Veränderungen geschützt werden: Es müssen die Einstellungen des BIOS gegen Auslesen und +Manipulation geschützt werden. Bei Verwendung eines Passworts muss dieses exklusiv für den einzelnen Server sein und darf keine Rückschlüsse auf ein Unterscheidungsmerkmal des Servers ermöglichen. +Das BIOS muss so konfiguriert sein, dass sich darüber ausschliesslich das vorgesehene Betriebssystem von der dafür vorgesehenen Partition starten lässt + + + diff --git a/Documentation/import formats/r0126.txt b/Documentation/import formats/r0126.txt new file mode 100644 index 0000000..84ded11 --- /dev/null +++ b/Documentation/import formats/r0126.txt @@ -0,0 +1,629 @@ +>>>Einleitung +>>>text +Hier ist die Einleitung +>>>geltungsbereich +>>>text +Container-Sicherheit startet bei fundamentalen Themen wie dem Härten der Systeme, wobei der gesamte Container-Stack hierzu sinnvollerweise in Schichten +zu betrachten ist. Ausgehend von einer Planungsphase müssen alle vorhandenen Schichten des Container-Stacks betrachtet und gehärtet werden. +>>>text +Wir unterscheiden die untenstehenden Schichten: +>>>liste geordnet +Container Host +Container Runtime +Container Registry +Container Images +Container Orchestrator +Persistent Storage +>>>text +In diesem Standard geht es ausschliesslich um die Sicherheitsanforderung zur Einrichtung und Betrieb von Containern (Schicht 2-5). Er konkretisiert den IT-Grundschutz und ergänzt den Standard IT-Sicherheit Serversysteme und die jeweiligen Richtlinien der IT-Sicherheit um Spezifika von Containern. Die Anforderungen der erwähnten Richtlinien sollten von den Container-Hosts (Schicht 1) erfüllt werden, unabhängig davon, ob diese selbst auf physischen Servern ausgeführt werden oder virtualisiert sind. Sicherheitsanforderungen möglicher Server-Funktionen wie Webserver oder Groupware usw. sind Gegenstand eigener Sicherheitsrichtlinien. Der Schwerpunkt des Standards IT-Sicherheit Container liegt auf dem Betrieb von Container-Virtualisierung. Die Installation von Anwendungen innerhalb von Containern wird darin nicht vollständig abgedeckt. + + +>>>Vorgabe Organisation +>>>Titel +Resilienz +>>>Nummer 1 +>>>Kurztext +>>>Text +Es muss davon ausgegangen werden, dass nicht immer alle Kommunikationspartner zur Verfügung stehen. Dies muss bereits im Design eines Microservices berücksichtigt werden. +>>>Langtext +>>>Text +In einem verteilten System können Netzwerkprobleme auftreten, z. B. Verzögerungen, Paketverluste oder temporäre Verbindungsabbrüche. Ein Microservice sollte daher darauf vorbereitet sein, dass andere Services zeitweise nicht erreichbar sind oder langsamer reagieren. Wenn jeder Service darauf angewiesen ist, dass alle anderen ständig verfügbar sind, entsteht eine starke Kopplung, die den Vorteil der Microservices-Architektur untergräbt. Services sollten unabhängig voneinander laufen und auch dann ihre Kernfunktionen erfüllen können, wenn andere Teile des Systems ausfallen. + +Indem man von vornherein davon ausgeht, dass nicht alle Services jederzeit verfügbar sind, wird die Gesamtarchitektur stabiler, flexibler und besser auf reale Betriebsbedingungen vorbereitet. Für jeden Microservice mit Abhängigkeiten muss daher festgelegt werden, wie er auf Nichterreichbarkeit der Abhängigkeiten reagiert (z.B. "Läuft weiter", "arbeitet die Queue ab und nimmt keine neuen Aufträge entgegen", "stoppt sofort alle Prozesse" oder ähnlich). + + +>>>Vorgabe Organisation +>>>Nummer 2 +>>>Titel +Service Discovery +>>>Kurztext +>>>Text +Der Netzwerkstandort einer Microservice-Instanz ist verfügbar und aktuell. + +Ein Schlüsselelement bei Service Discovery ist die Service Registry. Weiterhin kennt das Service Discovery alle laufenden Microservices und führt nach, auf welcher IP/Port Kombination diese gerade laufen. +>>>Langtext +>>>Text +Die Verfügbarkeit und Aktualität des Netzwerkstandorts eines Microservices ist ein zentrales Element in Microservices-Architekturen. Mithilfe einer Service Registry und einem effizienten Service Discovery-Mechanismus wird sichergestellt, dass alle Microservices zuverlässig miteinander kommunizieren können, auch in dynamischen und skalierbaren Umgebungen. Dies fördert Resilienz, Flexibilität und Skalierbarkeit des gesamten Systems. + +Die Microservices stellen sicher, dass die Service Discovery die entsprechenden Informationen aus den Microservices herauslesen kann. + +>>>Vorgabe Organisation +>>>Nummer 3 +>>>Titel +Deployment in Container +>>>Kurztext +>>>Text +Als Best Practice gilt ein Microservice pro Container. +>>>Langtext +>>>Text +Das Deployment der Microservices erfolgt in Containern, welche dynamisch bereitgestellt und abgebaut werden, je nach Skalierungsanforderung. Daher gilt als Grundsatz, dass pro Microservice ein eigener Container aufgebaut wird und vice versa in jedem Container ein Microservice läuft. So wird das Deployment neuer Microservices und Microservice Updates vereinfacht. + +Zusätzlich reduziert diese Isolation Konflikte zwischen Abhängigkeiten verschiedener Microservices und vereinfacht die Verwaltung. +>>>Stichworte +Deployment, Microservice, Isolation + +>>>Vorgabe Technik +>>>Nummer 1 +>>>Titel +Implementation +>>>Kurztext +>>>Text +Technologien, die bedingen, dass interne Details exponiert werden, müssen vermieden werden. +>>>Langtext +>>>Text +Wie ein Microservice implementiert ist, darf gegen aussen keine Rolle spielen und sollte als Grundsatz nicht offengelegt werden. Die API muss dokumentiert sein, sollte aber nach Möglichkeit keine Rückschlüsse auf die Implementation zulassen. + +>>>Vorgabe Technik +>>>Nummer 2 +>>>Titel +Microservice-Aufrufe +>>>Kurztext +>>>Text +Microservices kommunizieren über APIs und benutzen, je nach Anwendungs-Scope, den API-Gateway für die Kommunikation. +>>>Langtext +>>>Text +Microservice-zu-Microservice Aufrufe im Kontext derselben Fachanwendung erfolgen direkt von Microservice zu Microservice und gehen nicht über den API Gateway. Microservice Aufrufe, die den Kontext einer Fachanwendung verlassen, gehen über den API Gateway. Dazu bietet jeder Microservice eine Schnittstelle, die nach Bedarf über einen API Microgateway angeboten werden kann. Die Schnittstellen müssen so realisiert sein, dass ein Microservice nicht direkt von den Implementierungsdetails eines anderen Microservice abhängt, wie z. B. dem Datenmodell in der Datenbank (lose Kopplung). Die Kommunikation zwischen Microservices (auch über API Gateway) muss auf einige Protokolle wie REST oder Messaging begrenzt sein. + +>>>Vorgabe Technik +>>>Nummer 3 +>>>Titel +Identity Provider +>>>Kurztext +>>>Text +Die Authentisierung erfolgt über den Identity Provider. +>>>Langtext +>>>Text +Benutzer-Anfragen werden via IAM Infrastruktur authentifiziert. Benutzer-Identitäten und -Rollen werden zentral in der IAM-Infrastruktur verwaltet. + +>>>Vorgabe Technik +>>>Nummer 4 +>>>Titel +Authentisierungs-Token +>>>Kurztext +>>>Text +Bei erfolgreicher Authentisierung wird ein Authentisierungs-Token erstellt und signiert, das den Anfrager bei allen folgenden Serviceaufrufen authentisiert. +>>>Langtext +>>>Text +Bei erfolgreicher Authentisierung wird ein Authentisierungs-Token erstellt und signiert, welches den Anfrager bei allen folgenden Serviceaufrufen authentisiert. +>>>Text +Die Authentisierungs-Tokens haben mindestens folgende Merkmale: +>>>Liste-ungeordnet +Sie müssen eine lokale Validierung durch den Empfänger unterstützen +Sie müssen leichtgewichtig sein (einfach zu parsen, …) +Sie müssen klein sein (und können Teil jeder Anfrage sein) +>>>Text +Die Authentisierungs-Tokens sollten über eine möglichst kurze Lebensdauer verfügen, damit eine regelmässige Re-Authentisierung forciert wird. + +>>>Vorgabe Technik +>>>Nummer 5 +>>>Titel +Service-zu-Service-Kommunikation +>>>Kurztext +>>>Text +Service-zu-Service-Kommunikation wird mittels technischem User und Client-Zertifikaten authentisiert. +>>>Langtext +>>>Text +Service-zu-Service-Kommunikation wird mittels technischem User und Client-Zertifikaten authentisiert. + +Bei Service zu Service Kommunikation kann die Authentisierung und Autorisierung delegiert werden. Welche Service zu Service Kommunikation mittels Delegation erfolgt, muss fallweise bestimmt werden. + + +>>>Vorgabe Technik +>>>Nummer 26 +>>>Titel +Autorisierung durch Microservice und Autorisierungsmechanismen +>>>Kurztext +>>>Text +>>>Langtext +>>>Text +Jeder Microservice muss jeden Request autorisieren (anhand AuthToken), da nur der Microservice selbst die Autorisierung auf die Daten vornehmen kann. Diese Aufgabe kann weder an einen API-Gateway noch an ein Service Mesh delegiert werden. +>>>Liste-ungeordnet +Die Autorisierungsmechanismen haben folgende Merkmale: +Sie müssen Rollenbasiert sein +Sie müssen Genehmigungen / Claims unterstützen +Sie müssen die unabhängige Entwicklung der Microservices unterstützen +Es gibt eine zentrale Übersicht und Verwaltung der Rollen und Genehmigungen / Claims +Sie müssen eine Delegation der Autorisierung unterstützen + + +>>>Vorgabe Technik +>>>Nummer 7 +>>>Titel +Persistenz +>>>Kurztext +>>>Text +Microservices sollen ihre Daten selbst führen. +>>>Langtext +>>>Text +In der Regel wird ein Data Store pro Microservice geführt. Mit welcher Art von Datenspeicherung (Relationale Datenbank, Distributed Datenbank, In-Memory Data Store) die Persistenz realisiert wird, ist abhängig von den Anforderungen der Microservices sowie den Technologievorgaben des BIT. Die Abläufe, die diese Data Stores verwalten, sind separate Services. + +>>>Vorgabe Technik +>>>Nummer 8 +>>>Titel +Message Oriented Middleware / Event Broker Services +>>>Kurztext +>>>Text +Die Kommunikation zwischen Microservices erfolgt über die MOM. Events werden mit dedizierten Event Broker Services abgefangen und propagiert. +>>>Langtext +>>>Text +Die Message Oriented Middleware (MOM) muss hochverfügbar sein und einen hohen Durchsatz bieten. Einen Datenabgleich zwischen den verschiedenen Microservices und ihren Data Stores erfolgt Event basiert über die MOM. + +Eine Event-basierende Kollaboration führt dazu, dass Geschäftslogik nicht zentralisiert, sondern verteilt ist. In einer Event-basierenden Kollaboration sind die Microservices in hohem Masse voneinander entkoppelt. Der Event Broker übernimmt somit die Rolle eines Vermittlers. + + +>>>Vorgabe Technik +>>>Nummer 9 +>>>Titel +Correlation IDs +>>>Kurztext +>>>Text +Standardisierte Correlation IDs werden verwendet, damit Microservices-Aufruf-Ketten ausgewertet werden können. +>>>Langtext +>>>Text +In einer Microservice Architektur interagieren in der Regel immer mehrere Microservices, um eine Geschäftsfunktion zu erfüllen. Correlation-IDs werden beim ersten Anruf generiert, in der Kette entlang weitergegeben und jeweils geloggt. + +>>>Vorgabe Technik +>>>Nummer 10 +>>>Titel +Monitoring und Logging +>>>Kurztext +>>>Text +Alle Services müssen Monitoring-Metriken und Logs in einer einheitlichen Art und Weise (wenn möglich in Standardformaten) abgeben oder zugänglich machen. +>>>Langtext +>>>Text +Alle Services müssen Monitoring-Metriken und Logs in einer einheitlichen Art und Weise (wenn möglich in Standardformaten) abgeben oder zugänglich machen. Das Monitoring greift dabei auf standardisierte Messpunkte in den Elementen der inneren Architektur (Microservices, APIs) zu. Logs müssen standardisiert erfasst werden. Zusammen mit dem Service Mesh (mit Service Discovery / Registry) wird eine dynamische Übersicht der aktuell instanziierten Microservices geliefert. Auch Metadaten, z. B. zur Authentifizierung müssen standardisiert sein. + +Das Monitoring muss ein Synthetic (Semantic) Monitoring unterstützen. Das bedeutet, es muss regelmässig eine Submenge der automatisierten Fachanwendungstests in der Produktionsumgebung durchgeführt werden können. Die Resultate daraus werden in das Monitoring und Event Management eingespielt, welches bei Fehlerfall Alerts ausführt. +>>>Text +Folgende weitere Punkte müssen minimal berücksichtigt werden: +>>>Liste-ungeordnet +Antwortzeiten und Fehlerraten von Service-Aufrufen werden aufgezeichnet. +Antworten von Downstream-Aufrufen (weiterführende Service-Aufrufe) werden aufgezeichnet. Im Minimum die Antwortzeiten der weiterführenden Service-Aufrufe. +Das darunterliegende OS und dessen Prozesse müssen überwacht werden (Host), damit eine Kapazitätsplanung möglich wird. +Host-Level, Microservices-Level und System-Level-Metriken können aggregiert werden. +Die Metriken müssen lange genug verfügbar bleiben, damit Trends erkannt werden können. +>>>Text +Logs müssen gespeichert und ausgewertet resp. aggregiert werden können. Dabei sind die entsprechenden Vorgaben betreffend die zentrale Logging-Infrastruktur und die übrigen zu protokollierenden Daten zu berücksichtigen. + + +>>>Vorgabe Technik +>>>Nummer 11 +>>>Titel +Sicherheit des Basis-Images +>>>Kurztext +>>>Text +Alle nicht benötigten Bestandteile der Software, die im Container ausgeführt wird, müssen deinstalliert werden. Die Konfiguration der Software muss gehärtet werden. Images externer Lieferanten müssen einen staging-Prozess durchlaufen. +>>>Langtext +>>>Text +Die für den Container verwendeten Basis-Images müssen bekannt sein und dessen Sicherheits- und Schwachstellenstatus bewertet werden. + +Basis-Images müssen aus für das BIT vertrauenswürdigen Quellen stammen und regelmässig aktualisiert und mit den aktuellsten Sicherheits-Patches versehen werden. + +Das Image darf nur die für die Lösung/Anforderungen erforderlichen Package-Komponenten/Bibliotheken/Hilfsprogramme enthalten. + +_Hinweis:_ Aus Gründen der Unterstützung (Support-Verträge) durch Red Hat empfehlen wir, nur Red Hat UBI-Images als Basis-Images für selbst entwickelte Anwendungen zu verwenden. Es gibt kleinere Versionen von UBI, und es gibt UBI-Images, die Middleware-Pakete und von Red Hat unterstützte Sprachframeworks enthalten. Es gibt keine allgemeine Sicherheitsempfehlung für oder gegen UBI; entscheidend ist die Reduzierung der Angriffsfläche. Ein weiterer Vorteil eines Einsatzes von RedHat Images ist, dass sie VEX Files und die entsprechende Analyse mitliefern, was die Beurteilung von Vulnerabilities stark beschleunigt und unterstützt: https://www.cisa.gov/sites/default/files/2023-01/VEX_Use_Cases_Aprill2022.pdf + +Für die Anlieferung von Container Images externer Lieferanten muss ein dedizierter Staging Prozess verwendet werden, damit potentielle Schwachstellen frühzeitig erkannt und behoben werden können. Erst nach erfolgreichem Durchlaufen dieses Prozesses dürfen solche externe Container Images in den BIT internen Entwicklungsprozess und in produktive Umgebungen eingefügt werden. + + +>>>Vorgabe Technik +>>>Nummer 12 +>>>Titel +Orchestrator-Installation nur aus offiziellen und vertrauten Quellen +>>>Kurztext +>>>Text +Die Software des Orchestrators muss von einer offiziellen und vertrauten Quelle stammen. +>>>Langtext +>>>Text +Die Software des Orchestrators muss von einer offiziellen und vertrauten Quelle stammen. Dies muss mit einer geeigneten Checksumme oder einem geeigneten Hash mit dem Softwarelieferanten gegengeprüft werden. + +>>>Vorgabe Technik +>>>Nummer 13 +>>>Titel +Hochverfügbarkeit (HA) +>>>Kurztext +>>>Text +Der Container Orchestrator soll die Verfügbarkeit der Container ihrem Schutzbedarf entsprechend sicherstellen. +>>>Langtext +>>>Text +Der Container Orchestrator sollte alle Container mit hohen oder sehr hohen Anforderungen an die Verfügbarkeit bei Ausfall von einem oder mehrere Knoten automatisch auf noch verfügbaren Knoten neu starten + +Der Orchestrator muss für HA, bzw. automatisches Failover konzipiert, bzw. konfiguriert sein. + + +>>>Vorgabe Technik +>>>Nummer 14 +>>>Titel +Integritätsschutz für Container Images +>>>Kurztext +>>>Text +Die Integrität der Container-Images muss gewährleistet und überprüfbar sein. +>>>Langtext +>>>Text +Alle angelieferten Container Images müssen entweder signiert (nicht self-signed) sein oder der Hashwert des Container Images muss separat mitgeliefert oder auf der Webseite des Herstellers abrufbar sein. + +Wenn eine digitale Signatur vorhanden ist, muss diese geprüft werden, um seine Integrität und Authentizität sicherzustellen. Wenn der Container statt nach Tag nach Hash gezogen wird, ist eine Prüfung nicht erforderlich. + + +>>>Vorgabe Technik +>>>Nummer 15 +>>>Titel +Durchführung von Image Rebuilds +>>>Kurztext +>>>Text +Updates von Packages innerhalb eines Containers sind nicht erlaubt. +>>>Langtext +>>>Text +Es ist nicht erlaubt, Updates von Packages durchzuführen, wenn diese Packages Bestandteil des Container Images sind. Der Grund liegt darin, dass falls eine Update Instruktion in einem Dockerfile vorhanden ist, derselbe Update Layer verwendet wird, der sich im Cache befindet. Dies verhindert, dass ein neueres Update nicht Bestandteil von nachfolgenden Builds wird. Dies gilt ebenso für applikatorische Build Images, diese müssen neu gebildet werden und dürfen nicht in einem laufenden Container gepatched werden. + +>>>Vorgabe Technik +>>>Nummer 16 +>>>Titel +Verwendung von expliziten Versionen bei Basis-Images +>>>Kurztext +>>>Text +Images sollen mit expliziten Versionen geführt werden. +>>>Langtext +>>>Text +Es muss jederzeit verifizierbar sein, welche Versionen der Images im Einsatz sind, dies um die Nachvollziehbarkeit und Reproduzierbarkeit der Images sicher zu stellen. Es muss eine explizite Version angegeben werden. Z. B. ist die Verwendung von Tags wie "latest" nicht zulässig. + +Von einer Verwendung des "Stable"-Tags wird ebenfalls abgeraten, da die Absenz einer expliziten Versionsnummern potenzielle Inkompatibilitäten zur Folge hat, und da eine Inventarisierung nach Versionsnummern so erschwert wird. + + +>>>Vorgabe Technik +>>>Nummer 17 +>>>Titel +Container-Konfiguration +>>>Kurztext +>>>Text +Die Konfiguration des Containers mit den Sicherheitsanforderungen der Applikation übereinstimmen. +>>>Langtext +>>>Text +Die Konfiguration des Containers muss auf offene Ports, Volume-Mounts, Umgebungsvariablen, Einstiegspunkt, etc. geprüft werden und ob diese mit der beabsichtigten Funktionalität und den Sicherheitsanforderungen übereinstimmen. +>>>text +Folgende Vorgaben müssen immer umgesetzt sein: +>>>Liste-geordnet +Um potentielle Attacken zu minimieren dürfen nicht verwendete Ports nicht exponiert werden. Es dürfen nur Ports exponiert werden, die auch von der Anwendung gebraucht werden. +Der Port 22 darf nicht verwendet werden. Auch ist die interaktive Verwendung von SSH in der Produktion nur mit einer Ausnahmebewilligung erlaubt. +Unter 1024 dürfen nur die Standard-Ports verwendet werden. Über 1024 sollten Standard-Ports verwendet werden (siehe Service Name and Transport Protocol Port Number Registry (iana.org)). +Die Default Security Context Constraints (SCC) unter RedHat dürfen nicht verändert werden (Creating security context constraints). + + +>>>Vorgabe Technik +>>>Nummer 18 +>>>Titel +Health-Check +>>>Kurztext +>>>Text +Die Anweisung "HEALTHCHECK" oder ähnliche Funktionalität muss jedem Container-Image hinzugefügt sein. +>>>Langtext +>>>Text +Jeder Container muss über eine Funktionalität verfügen, über welche die aktuelle "Gesundheit" des Containers abgefragt werden kann. Diese Funktionalität muss von der Orchestrierungsinfrastruktur gelesen und ausgewertet werden können. Idealerweise ist die Funktionalität über die Infrastruktur so standardisiert wie möglich. + +>>>Vorgabe Technik +>>>Nummer 19 +>>>Titel +Konfiguration der Netzwerke +>>>Kurztext +>>>Text +Container-Netzwerkverkehr muss segmentiert werden. +>>>Langtext +>>>Text +Container-Netzwerkverkehr muss mittels Netzwerk Policies beschränkt werden (ein- und ausgehend). Der Ost-West und Nord-Süd-Verkehr muss segmentiert werden, um die Angriffsfläche zu minimieren und den Informationsfluss zu kontrollieren. + +Der Datenverkehr innerhalb der Namespaces muss mittels Netzwerk Policies gesteuert werden, um die Kommunikation zwischen Pods auf ein notwendiges Minimum zu beschränken. + + +>>>Vorgabe Anwendungen +>>>Nummer 1 +>>>Titel +Persistenz von Zwischenergebnissen +>>>Kurztext +>>>Text +Zwischenergebnisse, auf die die Anwendungen im Container zugreifen, müssen persistent ausserhalb des Containers gespeichert werden. +>>>Langtext +>>>Text +Zwischenergebnisse, auf die die Anwendungen im Container zugreifen, müssen persistent ausserhalb des Containers gespeichert werden. + +Nutzdaten der Anwendung werden in der Regel auf einem Persistenten Volume ausserhalb des Containers abgelegt und angehängt und entsprechend gesichert. Zwischenergebnisse oder dateibasierten Protokolldaten, der Verarbeitung fällt eine fehlende Datensicherung oft nur dann auf, wenn ein Container beendet und entfernt ist und die enthaltenen Daten unwiderruflich verloren sind. Sind die Protokolldaten oder Zwischenergebnisse verloren, kann die Verarbeitung nicht lückenlos dokumentiert und somit deren Ergebnisse nicht mehr nachvollzogen werden. + + +>>>Vorgabe Anwendungen +>>>Nummer 2 +>>>Titel +Kontinuierliche Container-Laufzeit-Überwachung +>>>Kurztext +>>>Text +Das Laufzeitverhalten der Container muss auf Anomalien hin überwacht werden. +>>>Langtext +>>>Text +Das Laufzeitverhalten der Container muss auf Anomalien hin überwacht werden. Dies umfasst beispielsweise Punkte wie: +>>>Liste-ungeordnet +Container kann nicht gestartet werden +Container starten nicht wie erwartet +Fehler bei liveness probes +Überschreitung von Limiten (z.B. Ressourcen) + + +>>>Vorgabe Anwendungen +>>>Nummer 3 +>>>Titel +Lizenzen +>>>Kurztext +>>>Text +Die auf den Containern laufende Software muss lizenziert sein. +>>>Langtext +>>>Text +Eine Übersicht der Lizenzbedingungen der eingesetzten Softwarekomponenten muss vorhanden sein und die Bestätigung, dass die Komponenten in der Bundesverwaltung eingesetzt werden dürfen (kommerzielles Einsatzgebiet). + +Eine nach Möglichkeit automatisierte Lizenzverwaltung für sämtliche im Container Image enthaltenen Software- Komponenten muss geführt werden. + + +>>>Vorgabe Informationen +>>>Nummer 1 +>>>Titel +Container-Image-Metadaten +>>>Kurztext +>>>Text +Die Metadaten der Container Images müssen in aktueller Version vorliegen und gepflegt werden. +>>>Langtext +>>>Text +Die Metadaten des Container Images müssen geprüft werden (z. B. den Namen, die Version und die Beschreibung), um sicher zu stellen, dass die Metadaten den Zweck und den Inhalt des Containers genau wiedergeben. + +Für die Nachverfolgung (Nachvollziehbarkeit) und für die Behebung von Schwachstellen ist es notwendig die Images mit folgenden Informationen (Labels) zu ergänzen: Besitzer, Entwicklerteam, Lizenzinformation, Herleitung, Abhängigkeiten. + + +>>>Vorgabe Informationen +>>>Nummer 2 +>>>Titel +Umgang mit Secrets +>>>Kurztext +>>>Text +Container müssen auf Secrets gescannt werden. +>>>Langtext +>>>Text +Container Images müssen regelmässig auf offengelegte Geheimnisse (Secrets, Passwörter, Schlüssel, etc.) gescannt werden. Secrets, Passwörter und Schlüssel dürfen nicht in Dockerfiles geschrieben werden. + + +>>>Vorgabe Systeme +>>>Nummer 1 +>>>Titel +Identitätsmanagement der Administratoren +>>>Kurztext +>>>Text +Alle administrativen Zugänge zum Container-Diensten muss durch personenbezogene Accounts und starke Authentisierung geschützt sein. +>>>Langtext +>>>Text +Alle administrativen Zugänge zum Container-Diensten muss durch personenbezogene Accounts und starke Authentisierung geschützt sein. Zugänge, die von der Verwaltungssoftware genutzt werden, sollten ebenfalls durch separate Accounts und starke Authentisierung geschützt sein. + +Benutzerkonten und die zugehörigen Berechtigungen werden im BIT auf zentralen Systemen für das Identity-Management verwaltet. Damit diese Berechtigungsinformationen provisioniert werden können, muss das System entweder zentrale Schnittstellen (z. B. EIAM zur Autorisierung, Kerberos zur Authentisierung, Sperrlisteninformation bei Zertifikaten) oder dezentrale Mechanismen (z. B. Public-Key-Authentifizierung) unterstützen. Eine zentrale Lösung für das Identity-Management ist vorrangig zu nutzen. + + +>>>Vorgabe Systeme +>>>Nummer 2 +>>>Titel +Accounts der Anwendungsdienste +>>>Kurztext +>>>Text +Die Accounts innerhalb der Container dürfen keine Berechtigungen auf den Container-Host haben. +>>>Langtext +>>>Text +Die Accounts innerhalb der Container dürfen keine Berechtigungen auf den Container-Host haben. Idealerweise sind die Accounts auf den Containern komplett auf die Container isoliert. Wenn es technisch notwendig ist, können Accounts über Container im gleichen Namespace geteilt werden. + +>>>Vorgabe Systeme +>>>Nummer 3 +>>>Titel +Verwendung einer Trusted Registry +>>>Kurztext +>>>Text +Es muss sichergestellt sein, dass Images nur aus vertrauenswürdigen Quellen stammen. +>>>Langtext +>>>Text +Die Container Images müssen in die Private Registry des BIT eingebunden werden können. Der Lieferant/Entwickler/Hersteller muss bestätigen, dass für alle im Container Image enthaltenen Software-Komponenten dies rechtlich in Ordnung ist. Alle Images werden vor der Aufnahme in die Private Registry auf Schwachstellen gescannt, bei schwerwiegenden Schwachstellen müssen die Container-Images vor der Aufnahme überarbeitet werden. + +Es dürfen keine Images von unbekannten Registries verwendet werden. + + +>>>Vorgabe Systeme +>>>Nummer 4 +>>>Titel +Speicherung von Zugangsdaten für die Repositories +>>>Kurztext +>>>Text +Zugangsdaten müssen so gespeichert und verwaltet werden, dass nur berechtigte Personen hierauf zugreifen können. +>>>Langtext +>>>Text +Zugangsdaten müssen so gespeichert und verwaltet werden, dass nur berechtigte Personen hierauf zugreifen können. Insbesondere muss bei der Verwaltung der Images und der in den Images betriebenen Anwendungen darauf geachtet werden, dass die Zugangsdaten nur an zugangsgeschützten Orten gespeichert werden. Die von der Container-Software bereitgestellten Verwaltungsmechanismen für Zugangsdaten sollten eingesetzt werden. +>>>Text +Folgende Zugangsdaten müssen mindestens berücksichtigt werden: +>>>Liste-ungeordnet +Passwörter jeglicher Accounts, +API-Keys für von der Anwendung genutzte Dienste sowie Private Schlüssel bei Public-Key Authentisierung + + +>>>Vorgabe Systeme +>>>Nummer 5 +>>>Titel +Freigabe von Images (Containerfile) +>>>Kurztext +>>>Text +Alle Containerfiles für den produktiven Betrieb müssen einen geeigneten Freigabeprozess durchlaufen. +>>>Langtext +>>>Text +Alle Containerfiles für den produktiven Betrieb müssen einen geeigneten Freigabeprozess durchlaufen. + +Containerfiles enthalten die Bauanleitung für ein Image. D.h. enthält die notwendigen Anweisungen zum Erstellen eines Images und stellt so die Reproduzierbarkeit eines Images bei jeder neuen Erstellung sicher. Images sollten stets nur ein absolutes Minimum an Code beinhalten, gerade so viel, wie zwingend erforderlich ist, um den Service oder die Applikation auszuführen, für den das Image gedacht ist. + + +>>>Vorgabe Systeme +>>>Nummer 6 +>>>Titel +Updates von Containern +>>>Kurztext +>>>Text +Wenn sicherheitsrelevante Updates der zugrundeliegenden Images oder der betriebenen Software des Anwendungsdienstes erscheinen, müssen die Images für die Container neu erstellt und daraus neue Container instanziiert werden. +>>>Langtext +>>>Text +Wenn sicherheitsrelevante Updates der zugrundeliegenden Images oder der betriebenen Software des Anwendungsdienstes erscheinen, müssen die Images für die Container neu erstellt und daraus neue Container instanziiert werden. + +Von extern bezogene Images sollten nur dann eingesetzt werden, wenn der Anbieter für diese Images auch regelmässig und bei sicherheitsrelevanten Änderungen schnell neue Versionen bereitstellt. Besser ist, wenn eine eigene Trusted Registry (z.B. Docker Trusted Registry DTR) bereitgestellt wird. Diese erweitert die klassische Registry um ein rollenbasiertes Zugangsmodell (RBAC), die Möglichkeit, Images digital zu signieren, und einen eingebauten Image-Scanner. Dabei sollte nebst den technische Massnahmen sichergestellt sein, dass nur Images aus dieser Registry eingesetzt werden. + +Hierbei hilft der Image-Scanner, die bekannten Verwundbarkeiten in Container-Images zu finden. + + +>>>Vorgabe Systeme +>>>Nummer 7 +>>>Titel +Einbinden von Volumes +>>>Kurztext +>>>Text +Die Container dürfen nur auf die für den Betrieb notwendigen Volumes und Verzeichnisse zugreifen können. +>>>Langtext +>>>Text +Die Container dürfen nur auf die für den Betrieb notwendigen Volumes und Verzeichnisse zugreifen können. Wenn Schreibrechte nicht benötigt werden, müssen diese eingeschränkt werden. Der private Modus von Volumes muss genutzt werden, sofern es keine Notwendigkeit für den Shared-Modus gibt. Meist benötigen Container gar keinen Schreib-Zugriff auf ein Container-Directory im Shared-Storage-Modus. Gut ist es auch, wenn das verwendete Dateisystem Roll-Backs unterstützt. + +>>>Vorgabe Systeme +>>>Nummer 8 +>>>Titel +Sicherer Zugang zur Registry +>>>Kurztext +>>>Text +Der Zugriff auf die Registry muss abgesichert werden. +>>>Langtext +>>>Text +Der Zugriff auf die Registry muss zusätzlich zu den weiteren relevanten Vorgaben (z. B. IT-Grundschutz) wie folgt abgesichert werden: +>>>Liste-ungeordnet +Admin Zugriffe müssen via Privileged Access Management (PAM) erfolgen. +RBAC (Role Based Access Management) + + +>>>Vorgabe Systeme +>>>Nummer 9 +>>>Titel +Mengengerüst +>>>Kurztext +>>>Text +Requests und Limits müssen entsprechend den Anforderungen der Anwendungen definiert sein. +>>>Langtext +>>>Text +Requests und Limits müssen entsprechend den Anforderungen der Anwendungen definiert sein. +>>>text +Bedeutung: +>>>Liste-ungeordnet +Angemessene CPU- und Speicheranforderungen und Grenzwerte für Pods auf der Grundlage der erwarteten Last müssen definiert sein. +Es muss ein Kapazitätsmanagement-/Rechte-Sizing-Prozess definiert und angewandt werden. Der Ressourcenverbrauch der Pods muss regelmässig überprüft und an die Anforderungen/Limits angepasst werden. +Ein Leistungstest kann definiert und durchgeführt werden, um zu verstehen, wo die Grenzen der Anwendung liegen und wie hoch die durchschnittliche Arbeitslast ist. +Deployments müssen über mindestens zwei RZ bereitgestellt sein. +>>>text +Mehr Information: [RedHat OpenShift](https://docs.openshift.com/container-platform/4.12/applications/quotas/quotas-setting-per-project.html) + + +>>>Vorgabe Systeme +>>>Nummer 10 +>>>Titel +Externe Libraries +>>>Kurztext +>>>Text +Externe Libraries müssen sicherheitsüberprüft sein +>>>Langtext +>>>Text +Externe Libraries müssen sicherheitsüberprüft sein +>>>Liste-ungeordnet +Ein automatisiertes Dependency Scanning der im Container Image enthaltenen Third Party Libraries muss durchgeführt werden. +Es muss geprüft werden, ob es veraltete oder anfällige Komponenten gibt. Für diese Pakete müssen die neuesten Sicherheitspatches eingepflegt werden, bevor sie in Produktion gehen. + + +>>>Vorgabe Systeme +>>>Nummer 11 +>>>Titel +Schwachstellenanalyse für Container Images +>>>Kurztext +>>>Text +Container-Images müssen auf Schwachstellen gescannt werden. +>>>Langtext +>>>Text +Container Images sollten zum Zeitpunkt der Erstellung, in der Registrierung, bei der Bereitstellung und während der Laufzeit regelmässig gescannt werden, um neue Schwachstellen im Laufe der Zeit (Drift) erkennen zu können. + +>>>Vorgabe Systeme +>>>Nummer 12 +>>>Titel +Bekannte Schwachstellen +>>>Kurztext +>>>Text +Deployment aktualisierter Container Images mit bekannten Schwachstellen wird eingeschränkt +>>>Langtext +>>>Text +Eine aktualisierte Version eines Container Images mit bekannten Schwachstellen, welches heute bereits in Produktion ist, darf nur eingespielt werden, wenn die aktualisierte Version nur die gleichen Schwachstellen oder (besser) weniger Schwachstellen aufweist. Dies muss durch den ISBO des Data Owners abgenommen sein. + +>>>Vorgabe Systeme +>>>Nummer 13 +>>>Titel +Registries / Partitionen für die Bereitstellung +>>>Kurztext +>>>Text +Produktive und nicht-produktive Umgebungen müssen getrennt werden. +>>>Langtext +>>>Text +Produktionsumgebungen müssen von Entwicklungs- und/oder nicht-Produktiven Umgebungen getrennt werden, das heisst es müssen separate Registries oder Partitionen verwendet werden. + +>>>Vorgabe Systeme +>>>Nummer 14 +>>>Titel +Privilegien / Zugriffsrechte +>>>Kurztext +>>>Text +Das "Least Privilege"-Prinzip muss auf Containern umgesetzt werden. +>>>Langtext +>>>Text +Container müssen als Nicht-Root-Benutzer ausgeführt werden (z.B. USER ${UID} for OpenShift "mustRunAsNonRoot"). Container werden standardmäßig als "root" ausgeführt, dies ist ein Risiko, insbesondere wenn der Container mit erhöhten Privilegien ausgeführt wird. + +Container müssen immer mit so wenig Privilegien wie möglich ausgestattet sein. Es dürfen nur ein minimales Set an privilegierten Zugriffen vorhanden sein und diese sind nur für die Behandlung von Notfällen vorgesehen. Namespaces müssen als "read-only" laufen. + +Für die Definition von Rollen darf nur das notwendige Set an Ressourcen und Manipulationen verwendet werden. + + + +>>>Vorgabe Zonen +>>>Nummer 1 +>>>Titel +Separierung der Netze +>>>Kurztext +>>>Text +Die Netze müssen der jeweiligen Zonen-Policy der Bundesverwaltung entsprechen. +>>>Langtext +>>>Text +Die Netze für die Administration des Hosts, die Administration der Container- und die einzelnen Netze der Anwendungsdienste müssen den jeweiligen Zonenpolicies entsprechen. Wenn Unbefugte auf das Datennetz oder auf den Containern-Hosts zugreifen, können sie nicht über ungeschützte administrative Zugänge Befehle ausführen, die der Verfügbarkeit, Vertraulichkeit und Integrität der verarbeitenden Daten schaden. + +>>>Vorgabe Zonen +>>>Nummer 2 +>>>Titel +Verschlüsselung der Netzkommunikation +>>>Kurztext +>>>Text +Daten, die über virtuelle oder physische Netze zwischen den Containern übertragen werden, müssen verschlüsselt sein. +>>>Langtext +>>>Text +Mechanismen zur Authentisierung und Verschlüsselung der Zugänge sind häufig vorhanden, aber nicht standardmässig aktiviert. Entwickler müssen sich auf das „Absichern” der Applikation konzentrieren, als sich auf physische Netzwerk-Security-Tools zu verlassen. Physische Firewalls und andere Arten von Perimeter-Netzwerken/DMZs funktionieren nämlich in einer Container-basierten Umgebung meist nicht. +>>>Stichworte Netzwerkkommunikation, Verschlüsselung +>>>Checkliste +Die Netzkommunikation ist verschlüsselt.