IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)

Transkript

1 IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP) In&Out AG IT Consulting & Engineering Kilchbergsteig 13, CH-8038 Zürich, Phone Fax

2 Inhalt Inhalt Kurzdarstellung (Abstract) Information Security Methodology Framework Grundzüge der Methodik IO-ISCCP Referenz auf internationale Standards Prüfablauf Arbeitsschritte Aufbauorganisation Auswahl des Prüfobjekts Ausführende Rollen Prozess-Steuerung Standardprozess Teilprozesse Jahresplanung Risikomanagement Schwachstellenanalyse Risikobeurteilung ISO Compliance Kontrolle Definition von Sicherheitsmassnahmen Sicherheitsrapportierung Grafische Profile Standardformat des Prüfberichts...12 Seite 2 von 13

3 1 Kurzdarstellung (Abstract) Das In&Out Information Security Compliance & Controlling Program (IO-ISCCP) ist Bestandteil von IO-ISMF (siehe Fussnote 1 ) und beschreibt eine Methodik zur regelmässigen, koordinierten und dokumentierten Durchführung von Sicherheitsreviews, Risikobeurteilungen und Audits. IO-ISCCP wird im vorliegenden Dokument ausführlich erläutert und eingeführt. Dokumentiert werden zuerst die Grundzüge der Methodik und danach deren Ablauf mit Aufbauorganisation, Prozessteuerung, Risikomanagement und Sicherheitsrapportierung. Zum Abschluss wird eine mögliche Auswahl von Prüfmodulen (Testpaketen) vorgestellt. 1 Das In&Out Information Security Methodology Framework (IO-ISMF) ist eine übergeordnete Methodik zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. Seite 3 von 13

4 2 Information Security Methodology Framework Das In&Out Information Security Methodology Framework (IO-ISMF) ist ein übergeordnetes Methodengerüst zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. IO-ISMF besteht in seinem Kern aus einem vierstufigen Referenzkatalog, welcher in 4 Wirkungsbereiche (Governance, Risk & Compliance; IT Security Architecture; Information Security Management; Information Security Audit), 14 Sicherheitsdienste (z.b. Kommunikationssicherheit), 43 Handlungsfelder (z.b. sicherer Datentransport) und rund 140 Sicherheitsanforderungen (sogenannte Controls) gegliedert ist. Abbildung 1: IO-ISMF Abbildung 2: IO-ISMF In Kombination mit einem an CobiT 4.1 ausgerichteten Reifegradmodell, das für die Umsetzung des Referenzkatalogs beziehungsweise die Durchsetzung von ausgewählten Sicherheitsmassnahmen drei Güteklassen definiert (Baseline, Advanced, Optimized Measures), erlaubt IO-ISMF die präzise Ausrichtung des firmen- und geschäftsspezifischen Sicherheitsdispositivs auf das angestrebte Sicherheitsniveau und stellt somit einen effizienten Ressourceneinsatz sicher. IO-ISMF umfasst neben dem allgemeinen Referenzkatalog die folgenden Untermodule: IO-ISMS: Methode zur Realisierung eines Information Security Management Systems (inkl. Sicherheitsorganisation) nach ISO/IEC IO-SA: Methode zur Realisierung einer Informationssicherheitsarchitektur auf der Grundlage von ISO/IEC (Common Criteria) und TOGAF V9 IO-ISCCP: Methode zur Realisierung eines Information Security Compliance & Controlling Programms (unter Verwendung von ISO/IEC und CRAMM) Die drei Module werden durch eine Reihe von Hilfsmitteln unterstützt: Risikotabellen Listen generischer Schutzobjekte und Bedrohungen Generische Weisungen und Standards (Policy Framework) Vorlagen zur Erstellung von Risiko-Grobanalysen und Sicherheitskonzepten Fragebogen und Checklisten (z.b. zur Überprüfung von Grundschutzvorgaben) Technische Werkzeuge (Toolboxes) für das Controlling (Security Probing, Hands-on-Testing, Tracking, Reporting) Seite 4 von 13

5 3 Grundzüge der Methodik IO-ISCCP 3.1 Referenz auf internationale Standards IO-ISCCP basiert auf der langjährigen Erfahrung der In&Out AG bei der Durchführung von Audits und orientiert sich an international angewandten Standards und Vorgehensweisen, insbesondere den folgenden: ISO (oft referenziert als Code of Practice (CoP), ehemals ISO/IEC 17799), Common Criteria for Information Technology Security Evaluation (ISO 15408). 3.2 Prüfablauf Der Ablauf eines typischen Audits im Rahmen von IO-ISCCP gliedert sich in: die systematische Identifikation schützenswerter Ziele, die Einschätzung des Risikos (d.h. mit welcher Wahrscheinlichkeit verursacht eine Gefahr ein Schadenereignis), die Definition von Gegenmassnahmen zur Begrenzung der festgestellten Risiken. 3.3 Arbeitsschritte Im Detail besteht ein typischer Audit aus den folgenden Arbeitsschritten: 1. Ermittlung der möglichen Bedrohungen anhand eines allgemeinen Gefahrenkatalogs, 2. Definition der Schutzobjekte auf der Grundlage des ISO Objektkatalogs (CoP Controls), 3. Ermittlung des Schadenspotentials jedes Schutzobjektes auf der Basis selektiver Prüfmodule 2 (z.b. einer Überprüfung der vorhandenen Projekt-Dokumentation, Interviews mit den verantwortlichen Personen, Durchführung technischer Sicherheitstests), 4. Einschätzung des Risikos, d.h. Quantifizierung der Tragweite und Quantifizierung der Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohungskategorie, 5. Definition von spezifischen Gegenmassnahmen mit Gewichtung nach geschätztem Aufwand und Restrisiko bei erfolgter oder nicht erfolgter Umsetzung, 6. Grafische und textliche Darstellung der Resultate respektive, wenn angebracht, Sicherheitsrapportierung nach ISO Standardformaten. 2 Für mehr Informationen zu möglichen Prüfmodulen in Rahmen eines Audits siehe Kapitel 7. Seite 5 von 13

6 4 Aufbauorganisation 4.1 Auswahl des Prüfobjekts IO-ISCCP eignet sich nicht nur als Methodik zur Durchführung einzelner Audits, sondern ist als Programm konzipiert, mit dessen Hilfe auch regelmässige Überprüfungen über eine längere Zeitdauer durchgeführt werden können. Die Auswahl der Prüfobjekte (= Targets of Evaluation (ToE)) über einen definierten Zeitraum (in der Regel ein Jahr) ist dabei der erste Schritt beim Aufbau des Audit Programms und erfolgt durch einen Steuerungsausschuss der Auftraggeberin in Zusammenarbeit mit der In&Out AG. Die Auswahl orientiert sich an der IT System- und Anwendungsarchitektur der Auftraggeberin, soll aber bewusst offen gehalten werden, damit aktuelle, sicherheitskritische Ereignisse in die Ablaufplanung miteinbezogen werden können. Die pro Audit relevanten Objekte (Geschäftsdaten, Geschäftsprozesse, Arbeitsabläufe, unterstützende Applikationen, eingesetzte Plattformen) werden jeweils von den ausführenden Personen des Programms gemeinsam identifiziert. 4.2 Ausführende Rollen Am IO-ISCCP sind folgende ausführende Funktionsrollen beteiligt: Security Board: Gesamtleitung des Audit Programms und verantwortlich für die Auswahl der Prüfobjekte, die Jahresplanung und die Umsetzungskontrolle. Project Leader: Verantwortlich seitens Auftraggeberin für die Koordination der einzelnen Audits. Der Project Leader identifiziert die internen Ansprechpartner (z.b. Geschäftsprozessverantwortliche, Applikationsanwender, Systembetreuer), stellt wesentliche Dokumentationen bereit und veranlasst alles Nötige, damit die Prüfung durchgeführt werden kann. Team Leader: Der Team Leader ist verantwortlich für die Durchführung der eigentlichen Prüfung und die Verfassung des Prüfberichts. Dies beinhaltet insbesondere die Risikoanalyse und die Erstellung des Katalogs vorgeschlagener Massnahmen. Diese Rolle wird durch einen leitenden Mitarbeiter respektive zertifizierten Auditor der In&Out AG wahrgenommen. Reviewer: Der Reviewer ist eine Fachkraft der In&Out AG und je nach Aufgabestellung eines Audits spezialisiert auf die Durchführung der entsprechenden Tests. Der Reviewer befragt die internen Ansprechpartner, begutachtet Dokumentationen, führt technische Tests durch und verfasst die Prüfprotokolle. Seite 6 von 13

7 5 Prozess-Steuerung 5.1 Standardprozess Die folgende Abbildung gibt einen grafischen Überblick über den IO-ISCCP Standardprozess. Zeitachse Teilprozesse [Lead] Lieferobjekte 1 Auswahl des Prüfobjekts [Security Board] 2 Vorbereitung [Project leader] 3 Kick-off Meeting [Project leader] Maximal 10 Wochen 4 5 Schwachstellenanalyse (Team leader) Risikobeurteilung [Team leader] 6 Massnahmenempfehlung [Team leader] Bericht V0.9 7 Workshop [Project leader] Ev. Iterationen 8 Nachbearbeitung [Team leader] Bericht V1.0 9 Umsetzungskontrolle [Security Board] t Abbildung 3: Übersicht IO-ISCCP Standardprozess Seite 7 von 13

8 5.2 Teilprozesse Die Inhalte der einzelnen Teilprozesse sind aus folgender Aufstellung ersichtlich: Teilprozess Kurzbeschreibung 1. Auswahl der Prüfobjekte (ToE) Vgl. Kapitel Vorbereitung Vorbereitung des Kick-off Meetings 3. Kick-off Meeting Festlegung des Prüfumfangs und zeitliche Planung 4. Schwachstellenanalyse Vgl. Kapitel Risikobeurteilung Vgl. Kapitel Massnahmenempfehlung Vgl. Kapitel Workshop Festlegung der umzusetzenden, zurückgestellten, nicht umzusetzenden oder empfohlenen Gegenmassnahmen zur Begrenzung des festgestellten Risikos 8. Nachbearbeitung Erstellen des Schlussberichts (vgl. Kapitel 7) 9. Umsetzungskontrolle Umsetzungskontrolle gemäss Usanz der Sicherheitsorganisation der Auftraggeberin 5.3 Jahresplanung Die folgende Abbildung zeigt die mögliche Verteilung von zwölf Audits über den Zeitraum eines Jahres. Sie soll aufzeigen, dass die Prüfungen überlappend und von unterschiedlicher Dauer geplant und nach Bedürfnis über das ganze Jahr verteilt werden können. Aufgabenname Dauer Q1 06 Q2 06 Q3 06 Q Project 1 10w 2 Project 2 10w Project 3 Project 4 Project 5 Project 6 Project 7 Project 8 Short Project 1 10w 10w 10w 10w 10w 10w 6w 10 Short Project 2 11 Short Project 3 6w 6w 12 Short Project 4 6w Abbildung 4: Übersicht einer möglichen Jahresplanung Seite 8 von 13

9 6 Risikomanagement 6.1 Schwachstellenanalyse Die Schwachstellenanalyse ist die erste und gleichzeitig die arbeitsintensivste Aktivität nach dem Kick-off Meeting eines Audits. Ausgangspunkte der Schwachstellenanalyse sind die Identifikation und Abgrenzung der zu prüfenden Komponenten und die durch die übergeordnete Methodik (IO-ISMF) vorgegebenen Kataloge generischer Bedrohungen und Schutzobjekte. Die Schwachstellenanalyse dient der Ermittlung möglicher Schadenspotentiale der Schutzobjekte. Dies geschieht, je nach Audit, durch Überprüfung der vorhandenen Projekt-Dokumentation, anhand von Interviews mit den zuständigen Fachpersonen und anhand der Begleitung kritischer/wichtiger Arbeitsabläufe vor Ort. Ergänzend werden, falls angebracht, Service Applikationen und Systemplattformen sicherheitstechnischen Tests unterzogen. Die Geschäftsdaten und Geschäftsprozesse werden, falls die Ausrichtung des Audits dies erforderlich macht, durch zusätzliche Interviews mit Stellen im Business (insb. Daten-Verantwortliche, Geschäftsprozess-Verantwortliche) in die Prüfung einbezogen. 6.2 Risikobeurteilung Die während der Schwachstellenanalyse eruierten kritischen Sachverhalte werden anschliessend einer Risikobewertung unterzogen. Die Beurteilung der Risiken ist dabei in erster Linie an den Schutzanforderungen der betrachteten Geschäftsdaten ausgerichtet. Die Einschätzung des Risikos erfolgt durch Quantifizierung der Tragweite und Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohung. Massgebend sind dabei die durch die IO-ISMF vorgegebenen Methoden und Risikobewertungstabellen, die sich an der ISO 2700x Reihe orientieren, es können aber auch standardisierte Risikomanagement-Methoden wie CRAMM, BSI, IRAM, SPRINT und andere eingesetzt oder die entsprechenden Methoden der Auftraggeberin zur Risikobeurteilung verwendet werden. Obwohl dies in der Praxis nicht allzu häufig vorkommt, können auch mehrere Schutzobjekte, Bedrohungen und Schwachstellen in einem Risiko-Szenario kombiniert werden. 6.3 ISO Compliance Kontrolle Analog zur Risikobewertung wird, falls von der Auftraggeberin gewünscht, im gleichen Schritt der Grad gemessen, mit welchem das von einem bestimmten Risiko betroffene ISO Control Objective mit den Anforderungen des ISO Standards übereinstimmt. Im Unterschied zu den Risiken, wo nur Potentiale bewertet werden, die mit einer Schwachstelle verbunden sind, werden in der ISO Compliance Kontrolle auch Schutzobjekte, die nicht mit einer Schwachstelle verbunden sind, und damit letztlich alle 39 im ISO Standard definierten Control Objectives auf ihren Compliance-Grad zum ISO Standard geprüft. Seite 9 von 13

10 6.4 Definition von Sicherheitsmassnahmen Auf Basis der Ergebnisse der Schwachstellenanalyse, der Risikobeurteilung und optional der ISO Compliance Kontrolle verfasst der Reviewer einen Katalog möglicher und aus seiner Sicht empfehlenswerter Sicherheitsmassnahmen. Für jede Massnahme wird dabei der Aufwand geschätzt und angegeben, wie hoch die verbleibenden Restrisiken sind, wenn die betroffene Massnahme korrekt umgesetzt bzw. nicht umgesetzt wird. Der Massnahmenkatalog dient als Vorgabe für die letzte Aktivität eines Audits vor der Fertigstellung des Prüfberichts, den Workshop, wo die Massnahmenempfehlungen der In&Out AG vom Sicherheitsmanagement der Auftraggeberin mit den Prüfern und mit den fachlichen und betrieblichen Vertretern des im Audit begutachteten Prüfobjekts diskutiert werden. Im Rahmen des Workshops entscheidet letztlich die Auftraggeberin, welche Gegenmassnahmen umzusetzen sind, bis wann dies geschehen muss und wer für die Umsetzung verantwortlich ist. Ebenfalls soll definiert werden, welche Massnahmen nicht umgesetzt oder zurückgestellt werden oder lediglich den Status einer empfohlenen Massnahme beibehalten; die letzteren Entscheide bedürfen jeweils einer Begründung. Seite 10 von 13

11 Basic security Identification and authentication Data protection Trusted communication Audit Resource utilization In&Out AG Information Security Compliance & Controlling Program (ISCCP) 7 Sicherheitsrapportierung 7.1 Grafische Profile Die Ergebnisse eines Audits werden in einem vertraulichen Prüfrapport in einer standardisierten Struktur dokumentiert, die von der Auftraggeberin gewünscht oder von der In&Out Methodik bereitgestellt wird. Folgt man der Sicherheitsrapportierung, die von IO-ISCCP bereitgestellt wird, werden die Resultate der ISO Compliance Kontrolle (siehe Kapitel 6.3) und der Risikobeurteilung (siehe Kapitel 6.2) für das Reporting grafisch dargestellt. Die Ergebnisse werden sowohl detailliert für alle 39 ISO Control Objectives als auch aggregiert für sechs generische Kategorien von Schutzobjekten ausgewiesen. 3 Beispiel-Grafiken Grade of compliance Grade of compliance (aggregated) compliant partly compliant (<90%) 100% 80% 60% 86% 50% 91% 77% 90% 83% not compliant (<60%) 40% 20% 0% 3 Für die Einstufung des Risikos auf aggregierter Ebene gilt: Ein einziges High Risk pro Kategorie auf der detaillierten Ebene führt zu einem High Risk auf der aggregierten Ebene. Werden ein Drittel oder mehr der bewerteten Control Objectives als Medium Risk klassifiziert, wird die zugehörige Kategorie auf aggregierter Ebene ebenfalls als Medium Risk klassifiziert. Für die Bewertung des Grade of compliance gilt: Wird ein Control Objective zu mindestens 90% erfüllt, gilt es als compliant. Ergebnisse zwischen 60% und 89% werden als partly compliant eingestuft. Ist der Erfüllungsgrad tiefer als 60%, wird das Prüfobjekt mit not compliant bewertet. Der Erfüllungsgrad auf aggregierter Ebene wird als Mittelwert der bewerteten Objectives auf der detaillierten Ebene berechnet. Seite 11 von 13

12 7.2 Standardformat des Prüfberichts Der Prüfbericht folgt, falls gewünscht, einem einheitlichen ISO Format, das in der folgenden Abbildung dargestellt wird. Kapitel Komponente Inhalt Management Summary Skizze des Prüfobjekts (ToE) Beschreibung bestehend aus Grafiken und Text Kontrollziel Erwartetes Verhalten Ergebnisse Massnahmen Grafiken Standard Kontrollziele und Einzelheiten Eine Beschreibung des erwarteten Qualitätsund Sicherheitsniveaus bzw. der erwarteten Sicherheitsfunktionalität Eine Beschreibung der Ergebnisse Eine Beschreibung von empfohlenen Sicherheitsmassnahmen Eine Sammlung von Grafiken, entsprechen den CISO Bedürfnissen Risikobericht Zusammenfassung Eine Tabelle mit Bedrohungsklassen und identifizierten Risiken dieser Klassen Schwachstellen Identifizierte Schwachstellen, mögliche Auswirkungen (Impacts), Schätzung der Eintrittswahrscheinlichkeit, Risikobewertung Umsetzung der Massnahmen Umgesetzte Massnahmen Eine Liste mit Massnahmen die umgesetzt werden einschliesslich der verantwortlichen Organisationseinheit und des vorgesehenen Umsetzungstermins Anhang: Einzelheiten des Prüfobjekts Nicht umgesetzte Massnahmen Weitere Empfehlungen Abbildung 5: Beispiel der Struktur der IO-ISCCP Prüfberichte Eine Liste der Massnahmen, die nicht umgesetzt werden einschliesslich einer entsprechenden Begründung Eine Liste von empfohlenen Massnahmen, deren Umsetzung noch nicht entschieden ist Eine Beschreibung des Prüfobjektes mit einem Fokus auf die untersuchten sicherheitsrelevanten Konzepte In der folgenden Tabelle sind die verschiedenen Prüfmodule und übergeordneten Testpakete erläutert. Test packets Test modules Test methods Test tools Procedural review Security review of the business case Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Ownership, Governance und Datenklassifizierung Document review, interviews Questionnaire Security review of the service procedures Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Daten- Inventarisierung und Archivierung, Nachvollziehbarkeit und Autorisierung der Zugriffe (Rollen und Rechte) Seite 12 von 13

13 Test packets Test modules Test methods Test tools Architectural review Security review of the business processes Prüfung der Geschäftsdaten-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Document review, interviews Questionnaire Security review of the IT services layer Prüfung der Anwendungs-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Security review of the IT infrastructure Prüfung der Sicherheit der IT Infrastruktur Application security assessment Security testing of a service application Prüfung einer Service Applikation auf Übereinstimmung mit der 10-Punkte-Checkliste (Top Ten) des Open Web Application Security Projects (OWASP) Hands on testing Penetration testing tools, test methodology Process review Security review of the use cases design Prüfung der Prozess-Sicherheit durch die Risikoanalyse kritischer und wichtiger Arbeitsabläufe Document review, interviews Checklist Security testing of the use cases implementation Prüfung der Prozess-Sicherheit durch die Begleitung kritischer und wichtiger Arbeitsabläufe vor Ort bei den Anwendern. Falls Kompensationskontrollen implementiert sind, werden diese dokumentiert. Hands on testing Review of the firewall rule set Security review of the firewall change process Prüfung der Firewall Sicherheit durch die Analyse der Firewall Change Requests Document review, interviews Checklist Security testing of the firewall rules Prüfung der Firewall Sicherheit durch die Kontrolle der Firewall Regeln vor Ort bei der Administration Hands on testing Compliance check Security testing of a system platform Prüfung einer Systemplattform auf Übereinstimmung mit den Base Line Security Standards der Anwender (korrektes Downstripping und Hardening) oder in Bezug zur im Sicherheitskonzept definierten Kommunikations-Matrix (vor Ort bei der Administration) Hands on testing Checklist Vulnerability scanning Security testing of the communication platform Prüfung der Netzwerksicherheit durch die automatisierte Suche nach Schwachstellen Hands on testing Scanning tools Abbildung 6: IO-ISCCP Testpakete und Testmodule Seite 13 von 13