Mindestanforderungen der CSP Austria

Die nachfolgende Anforderungsliste wurde im Rahmen der Arbeitsgruppe „Standardisierung und Zertifizierung“ der Cybersecurity Plattform Austria unter Mitwirkung zahlreicher Vertreter verschiedener Branchen und Sektoren erstellt. Es handelt sich dabei nach übereinstimmender Auffassung aller Sektorvertreter um Mindesterfordernisse für das Inverkehrsetzen sicherer IKT-Komponenten (Hardware, Software, Infrastruktur, Services), d.h. die Erfüllung dieser Anforderungen wird jedenfalls als notwendig erachtet, wenn auch nicht unbedingt als hinreichend. Produkte, die diese Anforderungen nicht erfüllen, sollten nicht eingesetzt werden. Höhere Anforderungen können Branchen/risikospezifisch hinzukommen.

Hinweis: Klicken Sie auf einzelne Anforderungstexte oder ganze Kategorien um diese an- oder abzuwählen. Am Ende dieser Seite können Sie die gefilterten Texte als PDF oder RTF exportieren lassen.



Umsetzbarkeit/Überprüfbarkeit:

Siehe Detailkriterien 1.1 bis 1.11


Umsetzbarkeit/Überprüfbarkeit:

Checkliste, Vorliegen einer entsprechenden Dokumentation, stichprobenartige Audits, evtl. Zertifizierung.

Beispiele:

  • Deinstallation oder Deaktivierung unnötiger Softwarekomponenten
  • Deaktivierung unnötiger System- und Kommunikationsdienste
  • Deaktivierung unnötiger Standardnutzer
  • Änderung von Standardpassworten
  • Aktivierung sicherheitserhöhender Konfigurationsoptionen
  • Nutzer und Programme haben nur die Rechte, die für die Durchführung ihrer Aufgaben erforderlich sind
  • Es sind nur benötigte und dokumentierte Kommunikations- und Datenträgerschnittstellen (CD/DVD, USB, Bluetooth, WLAN, usw.) aktiviert

Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation der resilienten Architektur
  • Testberichte

Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation der Systemarchitektur und der Modularität der Applikationsarchitektur
  • Vertragliche Zusicherung

Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation der Verschlüsselungsverfahren und der verwendeten Verschlüsselungs-Bibliotheken sowie der Algorithmen, mittels derer die Schlüssel generiert werden
  • Sourcecode Reviews

Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation der Systemarchitektur, der Schnittstellen und der Applikationsarchitektur
  • Ergebnisse von Penetration Tests
  • Grade A nach Qualys SSL Test

Umsetzbarkeit/Überprüfbarkeit:

  • CRC

Umsetzbarkeit/Überprüfbarkeit:

  • Beispiel Logfiles und Protokolle




Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation der Systemarchitektur


Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation der Sicherheitszertifizierung
  • Dokumentation der relevanten Sicherheitsrichtlinien


Umsetzbarkeit/Überprüfbarkeit:

Systemdateien, Anwendungen, Konfigurationsdateien und Anwendungs-Parameter müssen (im laufenden Betrieb) auf Integrität überprüft werden können, beispielsweise durch Prüfsummen (Vergleich gegen vom Entwickler bekanntgegebenen Prüfsummen) oder Blockchains oder signierter Code.


Umsetzbarkeit/Überprüfbarkeit:

Sourcecode und Binary müssen signiert sein. Es muss nachweisbar sein, dass ein bestimmter Source Code reproduzierbar ein definiertes Binary mit def. Checksumme erzeugt (siehe Punkt 3). Das erfordert dass für eine def. Release die gesamt Entwicklungsumgebung inkl. Libraries und Compiler aufgehoben werden.


Umsetzbarkeit/Überprüfbarkeit:

Vertragliche Verpflichtung mit entsprechender Rückabwicklungsklausel und Schad/klagloshaltung des Kunden


Umsetzbarkeit/Überprüfbarkeit:

  • Dokumentation des Herstellers seiner Patchstrategie
  • Vorhandensein von "Responsible Disclosure" Vereinbarungen
  • Vertragliche Zusicherung der zeitgerechten (innerhalb von x Tagen nach Bekanntwerden) Bereitstellung von Patches mit entsprechenden Haftungsverpflichtungen für Schäden, falls keine zeitgerechte Bereitstellung erfolgt
  • Versäumt der Lieferant diese Frist oder zur Abwendung einer unmittelbar drohenden, evidenten Cybergefahr ist der Betreiber jedenfalls berechtigt einen offiziellen Patch des Herstellers in das System einzubringen ohne den Lieferanten deshalb aus seiner Wartungsverpflichtung oder sonstigen vertraglichen Verpflichtungen zu befreien.


Umsetzbarkeit/Überprüfbarkeit:

Vertragliche Regelung mit Pönalen bei Nichteinhaltung.


Umsetzbarkeit/Überprüfbarkeit:

Vertragliche Regelung bzw. Erwähnung in den Lizenzbedingungen.



Umsetzbarkeit/Überprüfbarkeit:

Dokumentation


Umsetzbarkeit/Überprüfbarkeit:

Prozessbeschreibungen, Zertifizierungen

In der Auslieferungsdokumentation sollte die Dokumentation des Sicherheitstests in einer für eine Bewertung hinreichenden Detailtiefe enthalten sein.


Umsetzbarkeit/Überprüfbarkeit:

  • Bestätigung des obersten Leitungsorgans des Anbieters.
  • Liste aller Konzern-Gesellschaften (auch Zweigniederlassungen oder Betriebsstätten) des Anbieters und aller Subunternehmer („Gesellschaftsliste“).
  • Begründung für jede Gesellschaft auf der Gesellschaftsliste, weshalb diese keiner rechtlichen oder sonstigen Pflichten unterliegt, Daten aus der Leistungserbringung herauszugeben.
  • Begründung weshalb auch darüber hinaus keine rechtlichen oder sonstigen Pflichten für den Anbieter und alle Subunternehmer bestehen, Daten aus der Leistungserbringung herauszugeben.


Umsetzbarkeit/Überprüfbarkeit:

  • Bestätigung unter Beilage einer Liste der Subunternehmer und der Verträge, die für die Erbringung der Leistung zur Anwendung kommen, mit der Angabe, dass diese Verträge eine Rechtswahl auf EU Recht und einen Gerichtsstand in der EU vorsehen.
  • Vertragsentwurf mit Rechtswahl EU Recht und europäischen Gerichtsstand beilegen. Bestätigung der Akzeptanz des beigelegten Vertragsentwurfs


Umsetzbarkeit/Überprüfbarkeit:

  • Liste der Länder
Beschaffungsplattform für sichere IT von Fachhochschule St. Pölten.