Formen und Anwendungen des kollaborativen IT-Sicherheitsmanagements

Größe: px

Ab Seite anzeigen:

Download "Formen und Anwendungen des kollaborativen IT-Sicherheitsmanagements"

Irmela Bader
vor 8 Jahren
Abrufe

1 Formen und Anwendungen des kollaborativen IT-Sicherheitsmanagements nach IT-Grundschutz Christoph Gerber Hannes Federrath Thomas Nowey 3. IT-Sicherheitskongress, Bonn, 6.5.3

2 2 Kollaboratives IT-Sicherheitsmanagement Zusammenarbeit - intern - semi-extern - extern Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0

Aufwand Sicherheitsniveau 0 Aufwand Sicherheitsniveau 0 Aufwand

3 Spannungsfelder im IT-Sicherheitsmanagement IT-Sicherheitsmanagement Kollaboration keine Datenpreisgabe kein Aufwand Mermaids_Retreat/ Research/kraken.jpg underspending overspending sharing too little optimale Maßnahmenauswahl maximaler Aufwand sharing too much optimale Datenpreisgabe vollständige Datenpreisgabe Mermaids_Retreat/ Research/kraken.jpg 3

jpg underspending overspending sharing too little optimale Maßnahmenauswahl maximaler Aufwand

4 Spannungsfelder im IT-Sicherheitsmanagement IT-Sicherheitsmanagement Kollaboration keine Datenpreisgabe kein Aufwand Mermaids_Retreat/ Research/kraken.jpg underspending overspending sharing too little optimale Maßnahmenauswahl maximaler Aufwand sharing too much optimale Datenpreisgabe vollständige Datenpreisgabe Mermaids_Retreat/ Research/kraken.jpg 4

5 Kollaboratives IT-Sicherheitsmanagement Entwicklungsparadigma für Kollaborationssysteme Teilnehmer n Teilnehmer 2 Teilnehmer Teilnehmer Teilnehmer Teilnehmer Übertragunsweg Kollaborationsdienst Kollaborationsanwendung Kollaborationsanwendung Kollaborationsanwendung Dienstanbieter Teilnehmerseite Dienstanbieterseite Kernanfoderungen an Kollaborationsanwendungen im IT- Sicherheitsbereich Nützlichkeit Teilnehmersicherheit Benutzbarkeit 5

Kollaborationsanwendung Kollaborationsanwendung Kollaborationsanwendung Dienstanbieter Teilnehmerseite

6 IT-Grundschutz Vorgehensmodell zur systematischen Absicherung eines unternehmensweiten Informationssystems Vier Standards (BSI 00- bis BSI 00-4) beschreiben Einführung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) Kompatibilität zu internationalen Standards (ISO/IEC 2700) IT-Grundschutzkataloge Umfassende Sammlung von IT-Sicherheitsmaßnahmen Kontinuierliche Weiterentwicklung 8. EL 9. EL 0. EL.EL 2. EL Quelle: BSI-Grundschutz: letzte Ergänzungslieferungen 6

Kompatibilität zu internationalen Standards (ISO/IEC 2700) IT-Grundschutzkataloge Umfassende Sammlung von

7 Funktionsweise und Begriffsmodell Modularer Aufbau Bez. Gefährdungen G G2 G3 G4 G5 Höhere Gewalt Organisat. Mängel Menschl. Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen Gefährdungen Bez. M M2 Sicherheitsmaßnahmen Maßnahmen Infrastruktur Organisation M3 Personal M4 Hardware und Software Schwachstelle Asset asset asset 2 M5 M6 Kommunikation Notfallvorsorge Unternehmen Bez. Bausteine B Übergreifende Aspekte Bausteine B2 Infrastruktur B3 IT-Systeme 7 B4 B5 Netze Anwendungen (IT-Grundschutz: Mengendarstelllung)

M M2 Sicherheitsmaßnahmen Maßnahmen Infrastruktur Organisation M3 Personal M4 Hardware und Software Schwachstelle Asset asset asset

8 IT-Grundschutz als Datengrundlage für kollaboratives ITSM Verbundenheit IT-GS Granularität P K Informationsverbund Bausteine Maßnahmen/ Gefährdungen Individuelle Modellierung der Infrastruktur eines Unternehmens mit Standardbausteinen 85 Bausteine 234 Maßnahmen 583 Gefährdungen Prüf-/ Kontrollfragen 927 Kontrollfragen 43 Prüffragen Anzahl an Standardelementen zur Modellierung Vergleich kompletter Unternehmenskonfigurationen gemeinsame Erstellung neuer Bausteine gemeinsame Benennung neuer Gefährdungen gemeinsame Sammlung von Maßnahmen gemeinsame Sammlung von Prüffragen Vergleich auf Fragenebene Kollaborationsmöglichkeiten (sec-compose) (sec-compare) 8

Prüffragen Anzahl an Standardelementen zur Modellierung Vergleich kompletter Unternehmenskonfigurationen gemeinsame Erstellung neuer Bausteine gemeinsame Benennung

9 Security Benchmarking (sec-compare) a 9

10 Security Benchmarking (sec-compare) Unternehmen Unternehmen 2 Person Person 2 Person 3 Fragebogen Fragebogen 2 Fragebogen 3 Fragebogen 4 V V2 V3 Zeit V: Vergleiche im Zeitverlauf V2: Vergleiche hinsichtlich der Interpretation eines Kollegen V3: Vergleiche mit anderen Unternehmen 0

V2 V3 Zeit V: Vergleiche im Zeitverlauf V2: Vergleiche hinsichtlich

11 Beantwortung von Prüffragen Einfache Auswahl von Themenbereichen aus dem IT-Grundschutz Beantwortung der darin enthaltenen Prüf- und Kontrollfragen

12 Sensibilisierung der Mitarbeiter * * * * 2

13 Security Benchmarking (sec-compare) Einfache Teilnahme Keine Anmeldung notwendig Angabe von Unternehmenseckdaten optional Schnelle Einschätzung zu verschiedenen Themengebieten Auswahl aus derzeit 500 Fragen Dauer pro Themengebiet ~ 20 min kostenlos testbar unter Vergleichsmöglichkeiten Mit anderen Unternehmen (Grundgesamtheit) Mit ausgewählten Fragebögen Beantwortung durch Kollegen, Berater, Vorgesetzte... Eigene Fragebögen im Zeitverlauf vergleichen Dient erster Selbsteinschätzung; ersetzt keine Grundschutzanalyse 3

14 IT-Grundschutz als Datengrundlage für kollaboratives ITSM Verbundenheit IT-GS Granularität P K Informationsverbund Bausteine Maßnahmen/ Gefährdungen Individuelle Modellierung der Infrastruktur eines Unternehmens mit Standardbausteinen 85 Bausteine 234 Maßnahmen 583 Gefährdungen Prüf-/ Kontrollfragen 927 Kontrollfragen 43 Prüffragen Anzahl an Standardelementen zur Modellierung Vergleich kompletter Unternehmenskonfigurationen gemeinsame Erstellung neuer Bausteine gemeinsame Benennung neuer Gefährdungen gemeinsame Sammlung von Maßnahmen gemeinsame Sammlung von Prüffragen Vergleich auf Fragenebene Kollaborationsmöglichkeiten (sec-compose) (sec-compare) 4

15 Bausteinbaukasten (sec-compose) aa 5

16 Bausteinbaukasten (sec-compose) Anwendungsfalldiagramm Kollaborationsplattform gespeicherte Maßnahmen Baustein B 3.xxx Smartphone Gefährdungen Person BSI-Baustein B Mobiltelefon recherchieren erstellen BSI-Baustein B PDA BSI-Bausteine B übergreifende Aspekte B2 Infastruktur B3 IT-Systeme B4 Netze B5 Anwendungen eigene Bausteine G 5.2 Manipulation an Informationen oder Software G 5.xx Unautorisiertes Fernlöschen... Massnahmen M 4.4 Nutzung der Sicherheitsmechanismen von Mobiltelefonen M 2.89 Sperrung des Mobiltelefons bei Verlust... Kontrollfragen Werden sensible Daten auf dem Gerät verschlüsselt abgespeichert?... Person eigener B. B3.xxx Smartphone eigener B. bewerten erweitern B3.xxx Smartphone Version 2 Person 2 6

2 Manipulation an Informationen oder Software G 5.xx Unautorisiertes Fernlöschen... Massnahmen M 4.4 Nutzung der Sicherheitsmechanismen von Mobiltelefonen M 2.

17 Bausteinbaukasten (sec-compose) Einfache Teilnahme ohne Anmeldung: Suchen und Exportieren mit Anmeldung: Erstellen und Bewerten Schnelle Information zur Erstellung eigener Sicherheitskonzepte Gefährdungen Schutzmaßnahmen Kontrollfragen Testversion unter: Einfache Erstellung eigener Bausteine Erstellen von Bausteinen nach Vorlagen Zugriff auf hunderte möglicher Gefährdungen und Maßnahmen Aktuelle Informationen zum Schutz von Standardkomponenten, die bisher noch nicht in IT-Grundschutzkatalogen konsolidiert erfasst wurden 7

de Einfache Erstellung eigener Bausteine Erstellen von Bausteinen nach Vorlagen Zugriff auf hunderte möglicher Gefährdungen und Maßnahmen

18 Chancen und Risiken kollaborativer Sicherheitswerkeuge Chancen Informationen über Gefährdungen und Maßnahmen zu aktuellen tech. Enwicklungen Vergleichsdaten zur Einschätzung von Detailfragen à Breitere Datenbasis für Entscheidungen Risiken Preisgabe von sicherheitskritischen Unternehmensdaten Datenqualitätsprobleme und unreflektiertes Vertrauen in kollaborativ erhobene Datenbasis 8

Enwicklungen Vergleichsdaten zur Einschätzung von Detailfragen à Breitere Datenbasis für

19 Kollaboratives IT-Sicherheitsmanagement Anwendungen zur unternehmensübergreifenden Zusammenarbeit Christoph Gerber Universität Hamburg 9 gerber@informatik.uni-hamburg.de Telefon

Ähnliche Dokumente

Kollaboratives IT- Sicherheitsmanagement auf Basis von BSI-Grundschutz

Kollaboratives IT- Sicherheitsmanagement auf Basis von BSI-Grundschutz Hannes Federrath, Christoph Gerber Sicherheit in Verteilten Systemen 1 2011-10-04 KSVS 11 Was ist IT-Sicherheitsmanagement? ~ beschreibt