ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH

Transkript

1 ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau secunomic GmbH 1

2 Zur Person Christian Wahl Dipl. Ing. (FH) Nachrichtentechnik secunomic GmbH Kloppenheimer Straße 105 D Mannheim Telefon: Fax: Mobil: Geschäftsführer Senior Security Consultant Berater für Informationssicherheit seit 1999 Akkreditierter Auditor für ISO (DQS) IT, Security & Risk Management Management Consulting Projektmanagement 2

3 Zum Thema ISMS = Informations-Sicherheits-Management-System ISO beschreibt Aufzucht und Hege eines ISMS ISO 2700[2 bis xx] beschreiben konkrete Möglichkeiten ein ISMS nach ISO zu betreiben und zu auditieren (ISO 27006) / Intern 3

4 Agenda Teil 1: Des Pudels Kern und zu viel Respekt Teil 2: Informationssicherheit und der Bezug zum Standard Teil 3: Praktische Beispiele Teil 4: Diskussion / Intern 4

5 Über Pudel, Kerne und Respekt Was ist Informationssicherheit? > Informationssicherheit ist alles, was damit zu tun hat Informationswerte des Unternehmens zu schützen > Informationswerte sind die Informationen, die einen besonderen Wert für das Unternehmen oder berechtigte Dritte haben (Information Assets) > Also Informationen, von denen nicht gewünscht wird, dass Unbefugte sie haben oder verändern Informationssicherheit IT Sicherheit > IT = Information Technology > IT Sicherheit ist also die Sicherheit der Technologie und nicht der Informationen > Eine sichere IT schützt die Informationswerte > IT ist also nur Mittel zum Zweck Warum Ich? > Das kann ich Ihnen nicht sagen > es lässt sich jedoch herausfinden > Eine belastbare Aussage ist jedoch nur unter Anwendung sinnvoller Methoden möglich > Einige dieser Methoden sind Bestandteile eines ISMS > Andere Bestandteile des ISMS braucht es erst später / Intern 5

6 Über Pudel, Kerne und Respekt These > Informationssicherheit ist zu 75% gesunder Menschenverstand > Technologien ändern sich, Konzepte bleiben gleich > Komplexität ist der Feind der Informationssicherheit > Informationssicherheit muss den Geschäftszweck unterstützen > Informationssicherheit behindert nur bei der Arbeit Hintergrund > (Fast) jeder schützt seine Werte auch privat und überlegt wie viel Aufwand er wofür treibt > Es ist gut, zuerst Zeit in ein Konzept zu investieren, die Technologie findet sich meist > Mit wachsender Komplexität steigt die Fehlerwahrscheinlichkeit und Anwendbarkeit > Alles andere wäre eine Fehlinvestition aber es ist auch mit Reibung zu rechnen > Ohne Schlüssel wären Türen auch praktischer es geht um das Maß / Intern 6

7 Fazit Des Pudels Kern > Es gibt Informationswerte > Informationssicherheit IT Sicherheit > Fokussieren Sie sich auf die Wertschöpfungsprozesse > Analysieren Sie die Relevanz des Themas Informationssicherheit > Nehmen Sie sich Zeit für Konzepte und Analysen. Sie sparen die Zeit wieder bei der Umsetzung. > Akzeptieren Sie, dass einige Abläufe sich ändern und Arbeit hinzukommt > Akzeptieren Sie nicht, dass Wertschöpfung verunmöglicht wird Respekt > Informationssicherheit hat viel mit gesundem Menschenverstand zu tun > Halten Sie die Themen so einfach wie möglich und so komplex wie notwendig > Überlegen Sie sich genau, warum Sie was brauchen und konzentrieren Sie sich auf das Wichtige > Die einfachen Lösungen sind oftmals die Besten, weil sie verstanden und angewendet werden Informationssicherheit ist nicht schlimm, aber es muss strukturiert organisiert und geführt (gemanaget) werden. Hier hilft ein ISMS nach ISO / Intern 7

9 Informationssicherheit und der Bezug zum Standard Schlüsselfragen > Was sind die Wertschöpfungsprozesse zur Erreichung der Geschäftsziele? > Welche Parteien haben Interesse am Schutz der Informationswerte? > Welche Bedrohungen und Risiken existieren für die Geschäftsziele? > Welche dieser Risiken sollten getragen und welche Risiken behandelt werden? > Welche Maßnahmen müssen ergriffen werden um die Risiken zu behandeln? Zu erarbeiten > Alles womit Geld verdient wird und die dafür wichtigen Support Prozesse > Interessierte Parteien : Unternehmen, Kunden, Gesetzgeber, Aufsichtsbehörden > Identifikation Risikopotential zur Erreichung der Geschäftsziele > Risikoavers oder Risikotolerant? Oder eine gesunde Mischung? > Technisch, organisatorisch, prozedural etc. > Wie kann dies strukturiert organisiert und nachhaltig geführt werden? > Entwurf, Aufbau und Betrieb eines ISMS nach ISO / Intern 9

10 Informationssicherheit und der Bezug zum Standard 27001:2013 Kap :2013 Annex A Kapitel 1 bis 10 beschreiben das Management System und die Anforderungen an dieses. Alle Anforderungen aus diesen Kapiteln müssen erfüllt werden. A.X A.5 A.18 Eine der Anforderungen ist, dass die Ziele und Maßnahmen aus dem (normativen) Anhang im Detail betrachtet werden. Nicht anwendbare Ziele und Maßnahmen dürfen ausgeschlossen werden. Alle Ziele und damit verbundenen Maßnahmen müssen hinsichtlich ihrer Anwendbarkeit analysiert werden. Das Ergebnis muss in einem Statement of Applicability dokumentiert werden / Intern 10

11 Informationssicherheit und der Bezug zum Standard ISO 27001: Context of the Organisation (P) 5 Leadership (P) 6 Planning (P) 7 Support (P) 8 Operation (D) 9 Performance Evaluation (C) 10 Improvement (A) > Was sind die Wertschöpfungsprozesse zur Erreichung der Geschäftsziele? > Welche Parteien haben Interesse am Schutz der Informationswerte? > Welche Bedrohungen und Risiken existieren für die Geschäftsziele? > Welche dieser Risiken sollten getragen und welche Risiken behandelt werden? > Welche Maßnahmen müssen ergriffen werden um die Risiken zu behandeln? > Wie kann das alles strukturiert organisiert und geführt werden? Aus einer Mischung all dieser Überlegungen können Ziele formuliert werden. Das Management muss die Erreichung dieser Ziele unterstützen / Intern 11

12 Informationssicherheit und der Bezug zum Standard 4 Context of the Organisation (P) > Wer hat warum, welches Interesse an Informationssicherheit? > Hieraus soll abgeleitet werden, was warum gemacht wird > Es werden die Eckpfeiler definiert > Anforderungen des Standards > Understanding the organization and its context > Understanding the needs and expectations of interested parties > Determining the scope of the information security management system 5 Leadership (P) > Informationssicherheit muss man wollen > Vor allem das Top Management muss dahinter stehen > Notwendige Rahmenbedingungen müssen vorhanden sein > Anforderungen des Standards > Leadership and commitment > Policy > Organizational roles, responsibilities and authorities / Intern 12

13 Informationssicherheit und der Bezug zum Standard 6 Planning (P) > Verantwortungsvolles Management von Informationssicherheit setzt eine seriöse Planung voraus > Identifikation und Behandlung vorhandener Risiken > Setzen angemessener Ziele > Erreichen der Ziele > Hier kommt der Annex A ins Spiel! > Anforderungen des Standards > Actions to address risks and opportunities > Information security objectives and planning to achieve them 7 Support (P) > Ein ISMS ist nicht umsonst, es muss gefördert und gepflegt werden > Ohne die Bereitstellung von Zeit, Material und organisatorischen Mechanismen kann kein ISMS nutzstiftend existieren > Anforderungen des Standards > Resources > Competence > Awareness > Communication > Documented Information / Intern 13

14 Informationssicherheit und der Bezug zum Standard 8 Operation (D) > Das Geplante muss in gelebte Praxis überführt werden > Prozesse, > Dokumentation, > Technik, > Organisation > etc. > Anforderungen des Standards > Operational planning and control > Information security risk assessment > Information security risk treatment 9 Performance Evaluation (C) > Die tatsächliche Umsetzung muss sich an den Zielen messen lassen > Überwachen und Messen > Analysieren und Auswerten > Mit verschiedenen Mechanismen > Anforderungen des Standards > Monitoring, measurement, analysis and evaluation > Internal audit > Management review / Intern 14

15 Informationssicherheit und der Bezug zum Standard 10 Improvement (A) > Und ist das Werk auch gut gelungen, > bestimmt verträgt es Änderungen > Gesunder Menschenverstand > Was nicht gut genug geklappt hat, wird verbessert > Prüfung auch der Angemessenheit! > Anforderungen des Standards > Nonconformity and corrective action > Continual improvement 27001:2013 Annex A A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, devel. and maint. A.15 Supplier relationships A.16 Information security incident Mgt. A.17 Info. Sec. aspects of BCM A.18 Compliance / Intern 15

17 Klassifizierung Prinzipielles zur Klassifizierung Um sinnvolle Entscheidungen treffen zu können, werden Kenntnisse der Rahmenbedingungen benötigt. Um entscheiden zu können, wie viel Aufwand zum Schutz einer Information betrieben werden sollte, muss deren Wert bekannt sein. Um den Wert einer Information zu bestimmen, wird der Mechanismus der Klassifizierung genutzt. Kosten der Maßnahme Wert des Information Assets / Intern 17

18 Klassifizierung Die drei klassischen Säulen der Klassifizierung A1 A2 A3 A4 RPO (Wiederanlaufpunkt) 1 > 24h 2 <= 24h 3 <= 4h 4 0h / kein Datenverlust RTO (Wiederalaufzeit) 1 mehr als 5 Tage 2 maximal 5 Tage 3 maximal 2 Tage 4 maximal 5 Stunden Label Niedrig (Standard) Mittel Hoch Sehr Hoch Verfügbarkeit (Availability) Vertraulichkeit (Confidentiality) A C I C1 C2 C3 C4 Label Öffentlich Intern (Standard) Vertraulich Streng vertraulich I1 I2 I3 I4 Label Niedrig Integrität (Integrity) Mittel (Standard) Hoch Sehr Hoch / Intern 18

19 Klassifizierung Herausforderungen bei der Klassifizierung Vorgang des Klassifizierens Ableiten von Maßnahmen in Abhängigkeit von der Klassifizierung Nur wenn beide Herausforderungen bewältigt sind, ist eine Klassifizierung sinnvoll! / Intern 19

20 Klassifizierung Unterstützung beim Vorgang der Klassifizierung Frage Sind die Informationen als geheim einzustufen und dürfen nur klar definierten Personen oder Systemen bekannt bzw. zugänglich sein? Sind die Informationen nur für eine definierte Personengruppe bestimmt? Sind die Informationen für alle internen Mitarbeiter bzw. alle Benutzer im Intranet des Eigentümers bzw. Treuhänders bestimmt und diesen frei zugänglich? Würde die Publikation der Informationen in öffentlich zugänglichen Medien oder Netzen kein Problem darstellen bzw. sind diese bereits öffentlich verfügbar? Antwort Klassifikation C4 C3 C2 C1 Ja Nein Ja Nein Ja Nein Ja / Intern 20

21 Klassifizierung Unterstützung bei der Ableitung von Maßnahmen ab C1 ab C2 ab C3 ab C4 Sicherheitsanforderung an den internen Transport Keine Sicherheitsanforderung an den externen Transport Empfänger: Interne Mitarbeiter oder Externe mit unterschriebenem NDA Keine Verschlüsselung der übertragenen Informationen Empfänger: Eingeschränkter Nutzerkreis (z. B. spezieller Fachabteilung) Verschlüsselung der übertragenen Informationen Empfänger: Vom Data-Owner berechtigte Personen oder Systeme Verschlüsselung der übertragenen Informationen Nicht zulässig / Intern 21

22 Risikomanagement Die Klassifizierung eines Information Assets ist nicht das einzige Kriterium um zu entscheiden welcher Aufwand zum Schutz angemessen ist Angemessener Schutz eines Information Assets Ein weiteres Kernelement ist die Betrachtung, welches Risiko für eine bestimmtes Information Asset besteht. Schutzbedarf / Risiko Schutzmaßnahmen / Intern 22

23 Risikomanagement Erfolgreiches Risikomanagement bedeutet die Ausgewogenheit von Risikolage und Kontrollstruktur hoch Risikoignoranz Marlboro Mann Risikobewusst verantwortlich handelnder Unternehmer niedrig Risikobewusst verantwortlich handelnder Unternehmer Risikopedantisch Bürokrat schwach Kontrolle stark / Intern 23

24 Risikomanagement Risiko = Eintrittswahrscheinlichkeit * Schadensausmaß bei Eintritt Klasse Hoch Mittel Niedrig Eintrittswahrscheinlichkeit > 50% in einem Zeitraum von 3 Jahren Häufiger als alle 1.5 Jahre ein Schadensfall > 10% und <= 50% in einem Zeitraum von 3 Jahren Höchstens alle 1.5 Jahre ein Schadensfall Mindestens alle 3.6 Monate ein Schadensfall <= 10% in einem Zeitraum von 3 Jahren Seltener als alle 3.6 Monate ein Schadensfall Eintrittswahrscheinlichkeit Hoch Risikomatrix B B A Klasse Maximale Schadenshöhe Mittel C B A Hoch Maximale Schadenshöhe >= 10 Mio Mittel 2.5 Mio <= Maximale Schadenshöhe < 10 Mio Niedrig Maximale Schadenshöhe < 2.5 Mio Niedrig C C B Niedrig Mio Mittel Mio Hoch Max. Schaden / Intern 24

25 Risikomanagement Ein häufig gewählter Ansatz ist das Szenario basierte Vorgehen Ein Szenario besteht mindestens aus Bedrohung, Schwachstelle und Asset Bedrohung (Dieb) Asset (Goldstücke) Schwachstelle (Offenes Fenster) Meist wird das Szenario um genauere Beschreibungen ergänzt oder variiert Titel Schwachstelle(n) Beschreibung des Angriffs Potentielle Angreifer DoS-1 Architektur Gezielter Denial of Service Angriff unterbricht die Verfügbarkeit Hacker aus ideologischen oder finanziellen Gründen Bestehende Gegenmaßnahmen Georedundanz, Providerredundanz / Intern 25

26 Risikomanagement Mögliches Vorgehen (eines von vielen ) Szenariokatalog Konsolidierung Risikoanalyse Risikobehandlung > Bereitstellung Szenariokatalog mit Beispielen > Bewertung und Verdichtung der Szenarien (z.b. durch DREAD) > Moderierter Workshop > Konsolidierung und Objektivierung der erhaltenen Szenarien > Ggf. finale Abstimmung > Ableitung der Vorbelegung für Risikoanalyse > Überführung Szenariokatalog in Risikoanalyse > Durchführung der Risikoanalyse > Moderierter Workshops > Vorschläge für Maßnahmen > Entscheide welche Risiken getragen bzw. angegangen werden > Entscheide welche Maßnahmen umgesetzt werden > Umsetzung der Maßnahmen Ergebnis > bewertete Szenarien Ergebnis > Konsolidierter Szenariokatalog > Vorbelegung für Risikoanalyse Ergebnis > Risikosituation > Mögliche Maßnahmen zur Risikobehandlung Ergebnis > Formale Risikoakzeptanz > Umsetzungsplan für Maßnahmen / Intern 26