IT-Sicherheit mit System

Transkript

2 Inhalt Kurzvorstellung Fujitsu Grundlagen Informationssicherheit Bedrohungen, Versäumnisse, Standards, Schutzziele Informationssicherheitsmanagement Informationssicherheitsmanagementsystem, Sicherheitskonzept Maßnahmen (Beispiele) Organisatorisch, Technisch Notfallmanagement / Business Continuity Management Ziele, Schadensereignisse, Maßnahmen Fazit 1 Copyright 2014 FUJITSU

3 Fujitsu Hauptsitz: Tokio, Japan Gegründet: 1935 Präsident: Masami Yamamoto Beschäftigte Kundenbeziehungen in >100 Ländern US$ 2,9 Mrd. Invest. in F&E Forschungseinrichtungen in Japan, USA, Deutschland, Großbritannien, China, Singapur Produktionsstätten in Asien, Europa, Nordamerika Umsatz Fujitsu Zentrale Tokio, Japan US$ 54,5 Mrd. 2 Copyright 2014 FUJITSU

6 Kennen Sie das auch? Bei uns ist noch nie etwas passiert. So geheim sind unsere Daten nicht Was soll bei uns schon zu holen sein? Unser Netz ist sicher. Wir haben einen zuverlässigen Administrator. s sind doch nicht überlebenswichtig. Komplizierte Backup Routinen brauchen wir nicht. Unsere Mitarbeiter sind vertrauenswürdig. 5 Copyright 2014 FUJITSU

8 Die häufigsten Versäumnisse Unzureichende Informationssicherheitsstrategie Schlechte Konfiguration von IT-Systemen Unsichere Vernetzung und Internet-Anbindung Nichtbeachtung von Sicherheitserfordernissen Schlechte Wartung von IT-Systemen Sorgloser Umgang mit Passwörtern Nichtnutzung vorhandener Sicherheitsmechanismen Mangelhafter Schutz vor Einbrechern und Elementarschäden Quelle: Leitfaden Informationssicherheit, BSI, Copyright 2014 FUJITSU

9 Standards Standards in der Informationssicherheit IT-Grundschutz (Bundesamt für Sicherheit in der Informationstechnik, BSI) ISO / ISO 2700x IT-Grundschutz ist voll kompatibel zum ISO-Standard und berücksichtigt die Empfehlungen der ISO-Standards und Weitere Standards Common Criteria (ISO/IEC 15408) COBIT (Control Objectives for Information and related Technology) ITIL (IT Infrastructure Library) 8 Copyright 2014 FUJITSU

10 Schutzziele Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Vertraulichkeit Die Eigenschaft, dass Informationen unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden. Integrität Die Eigenschaft der Absicherung von Richtigkeit und Vollständigkeit von Werten und der Minimierung von Risiken. Verfügbarkeit Die Eigenschaft, einer berechtigten Einheit auf Verlangen zugänglich und nutzbar zu sein (Systemverfügbarkeit und Datenverfügbarkeit). 9 Copyright 2014 FUJITSU

11 Schützenswerte Werte = Assets Unternehmen verfügen über verschieden Arten von Assets, die einen Wert darstellen. Diese Assets müssen gegen Bedrohungen geschützt werden. Risiken müssen ermittelt und entsprechende Maßnahmen ergriffen werden. Informationen z.b. Datenbankdateien, Ordner, Verträge, Vereinbarungen, Systemdokumentationen, Handbücher, Forschungsdaten, Schulungsmaterial, Kontinuitätspläne, Personalakten, Patente Software z.b. Anwendungen, Systemsoftware, Entwicklungsanwendungen Physische Assets z.b. Computer, Server, Router, Firewalls, Kommunikationsgeräte, Wechseldatenträger Services z.b. Klimaanlagen, Stromanlagen, Wasseranlagen, Telekommunikationsanlagen Personal Qualifikation, Fähigkeiten, Fertigkeiten, Erfahrungen Immaterielle Assets Ruf und Image des Unternehmens 10 Copyright 2014 FUJITSU

15 Informationssicherheitsmanagement Das Sicherheitskonzept als Komponente im Sicherheitsprozess Planung und Konzeption (Plan) - Auswahl einer Methode zur Risikobewertung - Klassifikation von Risiken bzw. Schäden - Risikobewertung - Entwicklung einer Strategie zur Behandlung von Risiken - Auswahl von Sicherheitsmaßnahmen 14 Copyright 2014 FUJITSU

16 Informationssicherheitsmanagement Das Sicherheitskonzept als Komponente im Sicherheitsprozess Planung und Konzeption (Plan) - Auswahl einer Methode zur Risikobewertung - Klassifikation von Risiken bzw. Schäden - Risikobewertung - Entwicklung einer Strategie zur Behandlung von Risiken - Auswahl von Sicherheitsmaßnahmen Umsetzung (Do) - Realisierungsplan für das Sicherheitskonzept - Umsetzung der Sicherheitsmaßnahmen - Überwachung und Steuerung der Umsetzung - Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen - Schulung und Sensibilisierung 15 Copyright 2014 FUJITSU

17 Informationssicherheitsmanagement Das Sicherheitskonzept als Komponente im Sicherheitsprozess Planung und Konzeption (Plan) - Auswahl einer Methode zur Risikobewertung - Klassifikation von Risiken bzw. Schäden - Risikobewertung - Entwicklung einer Strategie zur Behandlung von Risiken - Auswahl von Sicherheitsmaßnahmen Erfolgskontrolle und Überwachung (Check) - Detektion von Sicherheitsvorfällen im laufenden Betrieb - Überprüfung der Einhaltung von Vorgaben - Überprüfung der Eignung und Wirksamkeit von Sicherheitsmaßnahmen - Überprüfung der Effizienz der Sicherheitsmaßnahmen - Managementberichte Umsetzung (Do) - Realisierungsplan für das Sicherheitskonzept - Umsetzung der Sicherheitsmaßnahmen - Überwachung und Steuerung der Umsetzung - Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen - Schulung und Sensibilisierung 16 Copyright 2014 FUJITSU

18 Informationssicherheitsmanagement Das Sicherheitskonzept als Komponente im Sicherheitsprozess Optimierung und Verbesserung (Act) - Beseitigung von Fehlern - Verbesserung von Sicherheitsmaßnahmen Planung und Konzeption (Plan) - Auswahl einer Methode zur Risikobewertung - Klassifikation von Risiken bzw. Schäden - Risikobewertung - Entwicklung einer Strategie zur Behandlung von Risiken - Auswahl von Sicherheitsmaßnahmen Erfolgskontrolle und Überwachung (Check) - Detektion von Sicherheitsvorfällen im laufenden Betrieb - Überprüfung der Einhaltung von Vorgaben - Überprüfung der Eignung und Wirksamkeit von Sicherheitsmaßnahmen - Überprüfung der Effizienz der Sicherheitsmaßnahmen - Managementberichte Umsetzung (Do) - Realisierungsplan für das Sicherheitskonzept - Umsetzung der Sicherheitsmaßnahmen - Überwachung und Steuerung der Umsetzung - Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen - Schulung und Sensibilisierung 17 Copyright 2014 FUJITSU

19 Informationssicherheitsmanagement Das Sicherheitskonzept als Komponente im Sicherheitsprozess Optimierung und Verbesserung (Act) - Beseitigung von Fehlern - Verbesserung von Sicherheitsmaßnahmen Planung und Konzeption (Plan) - Auswahl einer Methode zur Risikobewertung - Klassifikation von Risiken bzw. Schäden - Risikobewertung - Entwicklung einer Strategie zur Behandlung von Risiken - Auswahl von Sicherheitsmaßnahmen Dokumentation Erfolgskontrolle und Überwachung (Check) - Detektion von Sicherheitsvorfällen im laufenden Betrieb - Überprüfung der Einhaltung von Vorgaben - Überprüfung der Eignung und Wirksamkeit von Sicherheitsmaßnahmen - Überprüfung der Effizienz der Sicherheitsmaßnahmen - Managementberichte Umsetzung (Do) - Realisierungsplan für das Sicherheitskonzept - Umsetzung der Sicherheitsmaßnahmen - Überwachung und Steuerung der Umsetzung - Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen - Schulung und Sensibilisierung 18 Copyright 2014 FUJITSU

21 Organisatorische Maßnahmen (Beispiele) Zuordnung von Rollen und Profilen für alle Systembenutzer Einschränkung von Administratorrechten auf das erforderliche Mindestmaß Durchführung regelmäßiger Datensicherungen (Backup) Erstellung und Testen von Notfallplänen Bekanntgabe der Notfallpläne an jeden Mitarbeiter Durchführung von Recherchen zu den Sicherheitseigenschaften verwendeter Software Erfassung des gesamten Bestandes an Hard- und Software in einer Inventarliste 20 Copyright 2014 FUJITSU

23 Organisatorische Maßnahmen (Beispiele) Besondere Vorsicht beim Umgang mit Web-Browsern und bei - Anhängen Grundsätzliche Beachtung der Sicherheitsrichtlinien und Sicherheitsanforderungen Am Arbeitsplatz sollten sensitive Informationen nicht frei zugänglich sein Einsatz gut gewählter und sicherer Passwörter Sicherung der Arbeitsplatzrechner beim Verlassen mit Bildschirmschoner und Kennwort Regelmäßige Schulung der Mitarbeiter 22 Copyright 2014 FUJITSU

24 Technische Maßnahmen (Beispiele) Flächendeckender Einsatz aktueller Viren-Schutzprogramme Verwendung einer Firewall Einschränkung von Datenzugriffsmöglichkeiten auf das erforderliche Mindestmaß Einsatz einer angemessenen Infrastruktur mit Komponenten für Backup und Archivierung Verschlüsselung von Informationen Regelmäßige Überprüfung von Sicherheitsupdates Testen von Softwareänderungen Umsetzung von Maßnahmen zum Zutrittsschutz und zum Schutz vor Einbrechern Schutz der IT-Systeme gegen Feuer, Überhitzung, Wasserschäden und Stromausfall 23 Copyright 2014 FUJITSU

26 Technische Maßnahmen Authentifizierungsgenauigkeit - Vergleich Praktikabilität Hoch Niedrig Niedrig Unterschrift Fingerabdruck Genauigkeit Netzhautscan Hoch False Acceptance Rate (FAR) & False Rejection Rate (FRR) Stimmerkennung Handvenenscan Gesichtserkennung Fingervenenscan Authentifizierungsmethode FAR (%) = FRR (%) = Gesichtserkennung ~ 1.3 ~ 2.6 Stimmerkennung ~ 0.01 ~ 0.3 Fingerabdruck ~ ~ 0.1 Fingervenenscan ~ ~ 0.01 Iris-/Netzhautscan ~ ~ 0.01 Fujitsu Handvenenscan < ~ 0.01 Handvenenscanning ist die genauste und praktikabelste Technologie. 25 Copyright 2014 FUJITSU

28 Notfallmanagement Ziele Der Fokus des Informationssicherheitsmanagements liegt auf dem Schutz der Informationen eines Unternehmens (präventiv). Das Notfallmanagement fokussiert sich auf die kritischen Geschäftsprozesse (reaktiv). Ziele Schutz vor Unterbrechungen von Geschäftsaktivitäten Schutz von kritischen Geschäftsprozessen vor den Auswirkungen größerer Störungen von Informationssystemen oder vor Katastrophen und ihre rechtzeitige Wiederaufnahme Die Informationen zählen zu den schützenswerten Werten (Assets) eines Unternehmens, die kritischen Geschäftsprozesse bilden das Rückgrat. 27 Copyright 2014 FUJITSU

29 Notfallmanagement Schadensereignisse Unterbrechungen von Geschäftsprozessen können unterschiedliche Ursachen und Auswirkungen haben. Störung Eine Störung ist eine Situation, in der Prozesse oder Ressourcen einer Institution nicht wie vorgesehen funktionieren. Die dadurch entstehenden Schäden sind als gering einzustufen. Störungen werden durch die im allgemeinen Tagesgeschäft integrierte Störungsbehebung beseitigt. Notfall Ein Notfall ist ein Schadensereignis, bei dem Prozesse oder Ressourcen einer Institution nicht wie vorgesehen funktionieren. Die Verfügbarkeit der entsprechenden Prozesse oder Ressourcen kann innerhalb einer geforderten Zeit nicht wieder hergestellt werden. Der Geschäftsbetrieb ist stark beeinträchtigt. Es entstehen hohe bis sehr hohe Schäden. Notfälle können nicht mehr im allgemeinen Tagesgeschäft abgewickelt werden, sondern erfordern eine gesonderte Organisation. 28 Copyright 2014 FUJITSU

30 Notfallmanagement Schadensereignisse Krise Unter einer Krise wird eine vom Normalzustand abweichende Situation verstanden, die jederzeit eintreten und mit der normalen Aufbau- und Ablauforganisation nicht bewältigt werden kann. Die Existenz der Institution oder das Leben und die Gesundheit von Personen sind gefährdet. Für die Bewältigung existieren kein Ablaufpläne, sondern lediglich Rahmenanweisungen und bedingungen. Ein typisches Merkmal einer Krise ist die Einmaligkeit des Ereignisses. Die Krise konzentriert sich auf das Unternehmen und kann innerhalb der Institution selbst behoben werden. Katastrophe Eine Katastrophe ist ein Großschadensereignis, das zeitlich und örtlich kaum begrenzbar ist und großflächige Auswirkungen auf Menschen, Werte und Sachen hat oder haben kann. Die Existenz der Institution oder das Leben und die Gesundheit von Personen sind gefährdet. Auch das öffentliche Leben wird stark beeinträchtigt. Eine Katastrophe kann nicht ausschließlich durch die Institution selbst behoben werden. 29 Copyright 2014 FUJITSU

31 Notfallmanagement Maßnahmen Entwicklung eines gelenkten Prozesses in der gesamten Organisation zur Sicherstellung des Geschäftsbetriebs Identifizierung von Ereignissen, die Unterbrechungen in Geschäftsprozessen verursachen können Analyse der Risiken Entwicklung und Umsetzung von Plänen, um den Betrieb aufrechtzuerhalten oder wiederherzustellen und um die Verfügbarkeit von Informationen im erforderlichen Maß und im erforderlichen Zeitraum sicher zu stellen Regelmäßiges Testen und Aktualisieren der Pläne zur Sicherstellung des Geschäftsbetriebs 30 Copyright 2014 FUJITSU

32 Fazit Informationssicherheits- und Notfallmanagement erfordert immer eine ganzheitliche Betrachtungsweise Einbeziehung der gesamten Organisation Kombination aus organisatorischen und technischen Maßnahmen Interne und externe Sicht Informationssicherheits- und Notfallmanagement ist kein einmaliges Projekt sondern ein fortlaufender Zyklus Plan - Do - Check - Act Unterstützung durch (externe) Spezialisten kann sich lohnen! 31 Copyright 2014 FUJITSU