Das Österreichische Informationssicherheitshandbuch. Manfred Holzbach Oliver Pönisch A-SIT

Transkript

1 Das Österreichische Informationssicherheitshandbuch Neuerungen Manfred Holzbach Oliver Pönisch A-SIT 1

2 Themen About A-SIT About Informationssicherheit Sicherheitshandbuch: Struktur und Inhalte Versionen, Ausprägungen Inhaltliche Erweiterungen 2013 / geplant Live Demos Weiterentwicklungen z.b. ISO 27001:2013 Einbettung im IKT-Sicherheitsportal Ziel und Zweck des Portals Neuheiten 2013 / 2014 Diskussion: Anregungen / Wünsche von Unternehmen manfred.holzbach@a-sit.at 2

3 About: A-SIT 3

4 About A-SIT Zentrum für sichere Informationstechnologie Rechtsform: Verein Mitglieder: Testreihen Studien EU-Projekte Beobachten Normung Prototyping Darstellen Begutachten Bestätigungs- Inspektionsstelle Amtsgutachter Seit 1999 Konzept Bürgerkarte Informationssicherheitshandbuch

5 About A-SIT Internationale Kooperationen LUX: 5

6 About : Informationssicherheit manfred.holzbach@a-sit.at 6

7 Definition IKT-Sicherheit: =Sicherheit in der Informations- und Kommunikationstechnik d.h. betrifft elektronisch gespeicherte und verarbeitete Informationen Informationssicherheit (vgl. Daten- und Geheimschutz): betrifft alle Informationen, also zusätzlich zu IKT: papiergebunden, Voice, künftig 3-D Druckoutput 7

8 Motivation und Akzeptanz Wir alle wünschen uns Sicherheit Aber schätzen wir sie auch? Sicherheit verursacht Kosten Sicherheitsmaßnahmen sind lästig und unbequem Sicherheitsmaßnahmen sind nicht attraktiv Sicherheitsvorkehrungen sind schwer zu verstehen? Verstehen: z.b. Folgen eines unbedachten Klicks Verständnis: z.b. keine Handys im Netzwerk (auch nicht beim Chef) Paradox: Nutzen = es passiert nichts manfred.holzbach@a-sit.at 8 8

9 Beispiel: Ursache < > Wirkung Persönliche Daten wurden kompromittiert (Datenschutzverletzung) Kopie von Produktionsdaten für Tests verwendet (Improvisation) Zeitdruck, fehlende Anweisungen (Organisationsproblem) Aufwand für Testdaten falsch geplant (Planungs- / Managementfehler) Wirkung Ursache Problem: Vorhersehbarkeit aller Möglichkeiten 9 manfred.holzbach@a-sit.at 9

10 InformationsSicherheitsManagementSystem Analyse, Aufbau, Mgmt. Notfallplan-BCP Verbesserung, Notfall-Mgmt PLAN ACT Grundlage DO CHECK Maßnahmen, Organisation, Technik Kontrolle, Audits, Zertif., Inspektion 10

11 Informationssicherheitshandbuch 11

12 Umfassender Umgang mit Sicherheit Virenschutz + Firewall allein reichen nicht (bei gezielten Angriffen oft zu spät) Sicherheit als Konzept (Vorsorgen-Erkennen-Reagieren-Verbessern) Sicheres Verhalten (Bewusstsein-Akzeptanz-Motivation-Verantwortung) Hilfe (Expertenwissen-Provider-CERT) Scope des SIHA 12 manfred.holzbach@a-sit.at 12

13 Was ist das Sicherheitshandbuch? Wissensbasis, Zusammenstellung aus Sicherheitsliteratur Enthält die wesentlichen, in Österreich gültigen Sicherheitsempfehlungen Einerseits: umfassend und vollständig Andererseits: kompakt und leicht lesbar Ein Werk im Ganzen mit klarer Struktur Zum Einlesen von Anfang bis Ende als Nachschlagewerk für gezielt gesuchte Themen 13 13

14 Historie des Informationssicherheitshandbuchs V : V : V : V : V : IT-Sicherheitshandbuch der Öffentlichen Verwaltung (BM für Inneres) - Buch IT-Sicherheitshandbuch (BMÖLS; Überarbeitung durch A-SIT) - Buch Österreichisches IT-Sicherheitshandbuch (BKA; ink. E-Government Aspekten) Buch und CD Österreichisches Informationssicherheitshandbuch (BKA; ganzheitliche Sicht auf Information) Web-Version mittels Client Österreichisches Informationssicherheitshandbuch (BKA; Neustrukturierung und Aktualisierung) Web-Version ohne Installation (Javascript) V : Neue Oberfläche (Ordnerstruktur) V3.2.x 2012: Neue Inhalte (A.3-A.5) manfred.holzbach@a-sit.at 14 14

15 Version 3.2: Struktur: Angepasst an die Normen ISO/IEC und Bisher 2 Teile, jetzt 15 Abschnitte Inhalte: Aktualisiert gemäß technischem Fortschritt z.b. Bedeutung mobiler Geräte, Virtualisierung Darstellung: Web-Oberfläche zum Blättern und Erzeugen von Auswahl- und Checklisten Kontinuierliche Aktualisierungen Daher auch kein gedrucktes Buch Unterstützung mehrfacher Texte / verschiedener Sprachen vorgesehen. 15 manfred.holzbach@a-sit.at 15

16 Struktur V 3.2 Durchführung, Kontrolle Abschnitte 8-15: Umsetzung von Si-Maßnahmen Service Abschnitte 1-7 Si-Organisation 2-3: : Sicherheits- Handbuch V 3 Anhänge B - F Muster, Referenz, Adressen Aufbau, Management Anhänge A.1 Szenarien Österr A.2 Si-Technologien A.3 A.5 Spezifisch, nicht in ISO

17 Einführung Aufbau ISMS Mgmt, Maßnahmen Umsetzung, Kontrolle Non-ISO: Österreich, Technologien, Szenarien Serviceteil 17

18 Funktionalität des Online-Tool Wissensbasis (SIHA) Auswahl (Liste) Checkliste Externes Modul zentral gespeichert Blättern, Suchen Filtern (Eingrenzen) Speichern Laden Laden Auswahl (Liste) Checkliste lokal gespeichert Externes Modul zentral gespeichert

19 19

20 20

21 Ausprägungen und Derivate A-SIT: Online Tool 3.2 Demo PDF Version Demo Div. private Versionen (z.b. Universitäten) WKÖ: Sicherheitshandbuch für KMU Demo Handbuch.aspx Sicherheitshandbuch für Mitarbeiter Demo Handbuch.aspx (PDF Downloads) 21 21

22 Ausprägungen und Derivate BKA: Sicherheitshandbuch für Gemeinden (in Arbeit) CD mit Inhalten und Checklisten (XLS) an Bürgermeister Integration ins A-SIT Sicherheitshandbuch in Diskussion 22 22

23 Neue Inhalte A.3 Cloud Computing A.4 Smartphone Sicherheit A.5 Social Networks Neue ISO/IEC Struktur 10/2013 Risikoanalyse neu, ggf mit Tools Umfassende Behandlung von BYOD (in Arbeit) (geplant) (geplant) /Ueberblickspapier_BYOD_pdf.pdf? blob=publicationfile Kompaktversion für Gemeinden Interaktive Checklisten (geplant) (für Portal in Diskussion) 23 23

24 Neue Features Prototyp: Mobile Version der Wissensbasis Die 10 Gebote (externe Liste mit Bildern oder Multimedia) 24 24

25 ISO/IEC /2013 Veröffentlicht: Okt 2013 Ziele: Aktuelle Controls (Maßnahmen) zb auch mobile Geräte, kompakter, abgestimmter (zwischen den 27xxx) Einführung: mitsm-iso wissenswertes-zum-update-2013/jlistfrontend-header-finish-title BSI-ISO-IEC Transition guide (z. Download) BSI-ISO27001-mapping-guide-UK-EN (z. Download) 25 25

26 ISO/IEC /2013 Quelle: 01/DQS_ISO_27001_%C3%84nderungen_in_ISO_27001_2013.pdf 26 26

27 Sicherheitshandbuch für Gemeinden Stadt Wien, Österreichischer Gemeindebund, Österreichischer Städtebund, das Zentrum für sichere Informationstechnologie - Austria und das Departement Sichere Informationssysteme der FH Oberösterreich, Campus Hagenberg: Leitfaden, der die Gemeinden bei der Implementierung von Sicherheitsmaßnahmen unterstützt. Im Zuge des Forschungsprojekts wurde mithilfe demografischer Daten und Partnergemeinden eine Mustergemeinde entwickelt, auf deren Grundlagen die Risikoermittlung stattgefunden hat. Mithilfe unterschiedlicher "Bedrohungsszenarien" konnte in weiterer Folge eine Checkliste erstellt werden. 27 manfred.holzbach@a-sit.at 27

28 Sicherheitshandbuch für Gemeinden Die Tipps, die in diesem Buch, das Anfang Jänner 2014 erscheinen soll, gegeben werden, sind nicht immer kompliziert. Einfach den Bildschirm zu sperren, wenn man den Arbeitsplatz verlässt, oder mit dem Schlüssel für den Serverraum sorgsam umzugehen, kann schon wesentlich zur Steigerung der Datensicherheit beitragen. Mitarbeiter/innen in den Gemeinden sollen einfach, bereits umgesetzte Maßnahmen überprüfen, sowie offene Risiken erkennen und minimieren können. Demo Geplant: 10 Gebote für Bürgermeister 28

29 Mobile Version Demo 29

30 IKT-Sicherheitsportal 30

31 IKT-Sicherheitsportal vs. SIHA Sicherheitshandbuch: spezifische, strukturierte Handlungs- und Maßnahmenempfehlung zwecks Umsetzung (> Implementierungshilfe) Sicherheitsportal: Breit angelegte und in hoher Frequenz aktualisierte Sammlung von Informationen, Anleitunen und Empfehlungen für unterschiedliche Zielgruppen (> Awarenessmaßnahme) Sicherheitshandbuch daher in Portal eingebettet Quelle: BMF / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 31

32 IKT-Sicherheitsportal Strategische Maßnahme der nationalen IKT-Sicherheitsstrategie (erste) Interministerielle Initiative in Kooperation mit der österreichischen Wirtschaft Internetportal für Themen rund um die Sicherheit der Informations- und Kommunikationstechnologie (IKT) Adressiert alle betroffenen Zielgruppen und Sektoren und unterstützt sowohl Laien als auch Experten Förderung und nachhaltige Stärkung der IKT- Sicherheitskultur in Österreich Quelle: BMF / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 32

33 Themenumfang Sensibilisierung und Bewusstseinsbildung Gefährdungstrends Online-Checks (2013) Zielgruppenspezifische Handlungsempfehlung Ratgeber, Leitfäden, Sicherheitshandbücher, Standards Nationale und internationale Publikationen IKT-Sicherheitslexikon Beratung und Unterstützung Initiativen und Angebote Behörden und Institutionen Aktuelles Sicherheitswarnungen (2013) Newsbeiträge Veranstaltungshinweise Quelle: BMF / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 33

34 Zielgruppen Nutzer/innen von IKT-Anwendungen und IKT-Endgeräten Kinder & Jugendliche Eltern Lehrende Konsument/innen Generation 60plus Mitarbeiter/innen Entwickler/innen und Betreiber/innen von IKT-Anwendungen und IKT-Infrastrukturen Unternehmer/innen Öffentliche Verwaltung Sicherheitsforschung Stakeholder nationaler Initiativen im Bereich der IKT-Sicherheit Nationale Sicherheitsinitiativen Quelle: BMF / Mag. Wolfgang Ebner 34

35 Initiatoren & Kooperationspartner Initiatoren & Auftraggeber Bundesministerium für Finanzen Bundeskanzleramt A-SIT Zentrum für sichere Informationstechnologie Austria 31 Kooperationspartner Bundesministerien Landesregierungen Behörden Universitäten, Fachhochschulen und Forschungsinstitute Unternehmen, Vereine und Interessensvertretungen 35

36 Kooperationspartner Bundeskanzleramt Bundesministerium für Arbeit, Soziales und Konsumentenschutz Bundesministerium für Finanzen Bundesministerium für Gesundheit Bundesministerium für Landesverteidigung und Sport Bundesministerium für Unterricht, Kunst und Kultur Bundesministerium für Verkehr, Innovation und Technologie Bundesministerium für Wirtschaft, Familie und Jugend AIT Austrian Institute of Technology GmbH Amt der NÖ Landesregierung A-SIT Zentrum für sichere Informationstechnologie Austria A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH Bundeskammer der Architekten und Ingenieurkonsulenten Bundesrechenzentrum GmbH Cyber Security Austria Fachhochschule St. Pölten GmbH FH OÖ Studienbetriebs GmbH Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) ISPA - Internet Service Providers Austria Kuratorium Sicheres Österreich (KSÖ) Magistrat der Stadt Wien nic.at Internet Verwaltungs- und Betriebsgesellschaft m. b. H. Österreichische Nationalbank oiip - Österreichisches Institut für Internationale Politik Österreichische Staatsdruckerei GmbH (ÖSD) Österreichisches Institut für angewandte Telekommunikation (ÖIAT) Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) SBA Research ggmbh Technische Universität Wien Wiener Krankenanstaltenverbund Wirtschaftskammer Österreich Bundessparte Information und Consulting IKT-Sicherheitsportal / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 36

37 Portalstruktur Demo Informations- Sicherheitshandbuch Hauptnavigation (Zielgruppen) Portalservices redaktionelle Beiträge (Aktuelles) IKT-Sicherheitsportal / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 37

38 Zielgruppenspezifische Inhalte IT-Sicherheitshandbuch für KMU der WKO Informations- Sicherheitshandbuch IKT-Sicherheitsportal / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 38

39 Weiterführende Informationen zielgruppenspez. Abbildung nationaler Initiativen und Angebote (Hilfe und Unterstützung) Informations- Sicherheitshandbuch IKT-Sicherheitsportal / Mag. Wolfgang Ebner manfred.holzbach@a-sit.at 39

40 Portalservices: Gefährdungstrends - Informationen über aktuelle Gefährdungen im Zusammenhang mit der IKT Sicherheitshandbuch - beschreibt und unterstützt die Vorgehensweise zuretablierung eines umfassenden ISMS Publikationen - Informationen zu nationalen und internationalenpublikationen zur IKT-Sicherheit Behörden und Institutionen - Informationen wie Zuständigkeiten, Post- und Internetadressen von IKTsicherheitsrelevanten Behörden und Institutionen sowie von Beratungs- und Meldestellen in Österreich Sicherheitslexikon - Informationen und Erläuterungen zu Fachbegriffen der IKT-Sicherheit manfred.holzbach@a-sit.at 40

41 IKT-Sicherheitsportal: Nächste Schritte Geplante Weiterentwicklung Einbindung von Sicherheitswarnungen (CERT.at) am IKT- Sicherheitsportal (ok) Verfügbarkeit eines Newsletters und RSS-Feeds Monatliche Fachartikel zu Technologien Einbindung von Online Checks (z.b. Facebook- Check, kritische Infrastrukturen) (??) 41

42 Diskussionsthemen: Anregungen Wünsche von Unternehmen 42

43 Von Interesse für Unternehmen? (Diskussion) Sicherheitshandbuch: Inhaltlich: BYOD Cloud Computing eid und Verschlüsselung. Features: Version für Mobilgeräte Erstellen eigener Policies Checklisten, Scorings, etc Crossref 43

44 Unternehmen als Zielgruppe? Großunternehmen und Berater verwenden z.t. SIHA als Handbuch. Für KMU und Gemeinden (Analogien?) als zu umfassend empfunden; verwenden dzt. WKÖ-Versionen Kritische Infrastrukturen: dzt. gibt es BKA-CD mit Checkliste Trend zu ISO Zertifizierung hält an, allerdings für KMU aufwändig, Bedarf nach angemessener Zertifizierung light (?) 44 44

45 Unternehmen als Zielgruppe? Diskussion um Checklisten als Geschäftsmodell: Es gibt unterschiedliche Angebote an Checklisten: von einfach (WKÖ) bis vertieft ( ; BKA-CD) Hürde 1: Entgelt für automatisierten Online-Dialog (sogar wenn <= 100) Hürde 2: es werden unternehmenspezifische Daten preisgegeben (Firma, Konfiguration) Hürde 3: Aufwand für eigene Mitarbeiter manfred.holzbach@a-sit.at 45 45

46 Unternehmen als Zielgruppe? Diskussion um Checklisten als Geschäftsmodell: Unbetreute, anonyme Checklisten mit Scoring werden dzt. kaum genutzt Wenn kostenpflichtig, praktisch gar nicht => wäre Werbung als Finanzierung hilfreich? Gibt es Bedarf nach betreutem Befüllen und Auswerten? was wird erzeugt: Vertrauen? Nutzen? in welcher Form (phys. Person / Video / )? In welchem Ausmaß (<=1 Tag / 2-3 / > Tage)? manfred.holzbach@a-sit.at 46 46

47 Unternehmen als Zielgruppe? Diskussion um Checklisten als Geschäftsmodell: Geeignete Kooperationsmodelle? PPP? Sponsoring? 47 47

48 Links Sicherheithandbuch: IKT Sicherheitsportal:

49 Danke für Ihre Aufmerksamkeit! Zentrum für sichere Informationstechnologie Austria Seidlgasse 22 / Wien 49 manfred.holzbach@a-sit.at 49

50 50