Verbesserung des ISMS durch Messung der Informationssicherheit Prof. Dr. Rainer Rumpel Fachtagung "lt-security in der Praxis der Netz- und Stationsleittechnik Frankfurt 3. Februar 2016 Partner: RWE Deutschland AG / Westnetz GmbH
Referent Prof. Dr. rer. nat. Rainer Rumpel Hochschule für Wirtschaft und Recht Berlin Fachbereich Duales Studium Facheinheit Wirtschaftsinformatik E-Mail: rainer.rumpel@hwr-berlin.de http://www.hwr-berlin.de Auditor für Konfomitätsbewertungen mit ISO/IEC 27001 im Auftrag von TÜV Saarland Bundesamt für Sicherheit in der Informationstechnik Mitglied des DIN-Ausschusses NIA-27 zu ISO/IEC JTC 1/SC 27 (IT-Sicherheitsverfahren) und der deutschen Delegation bei ISO/IEC (JTC 1 / SC 27) 2
Alles ist messbar!? Messen ist Vergleichen! - Stab und Zollstock liefert quantitativen Vergleich - Stab und Stab lassen sich qualitativ und quantitativ vergleichen: Welcher ist der Längste? Archimedes fordert: Miss alles, was sich messen lässt, und mach alles messbar, was sich nicht messen lässt. - Kann man Informationssicherheit messen? - Kann man die Qualität eines Managementsystems messen? 3
Managementsysteme ISO/IEC 27000: Ein Managementsystem ist ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Ziele, Richtlinien und Prozesse zum Erreichen dieser Ziele festzulegen. Zentrale Elemente eines Managementsystems sind: Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung. MANAGEMENTPROZESSE! 4
Informationssicherheitsmanagementsysteme (ISMS) Anforderungen: ISO/IEC 27001:2013 Abschnitt 9.1: Überwachung, Messung, Analyse und Bewertung des ISMS Die Organisation muss bestimmen: a) was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen; b) die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen; c) Anforderungen und Qualität ISO 9000: Qualität ist der Grad, in dem ein Satz inhärenter Merkmale Anforderungen erfüllt. 5
Bewertung des ISMS ISO/IEC 27001:2013, Anforderungen aus Abschnitt 9.1 - Bewertung der Wirksamkeit des ISMS und - Bewertung der Informationssicherheitsleistung Es sind sowohl die Managementprozesse als auch die Informationssicherheitsprozesse mit validen Methoden zu messen und zu bewerten: - valid results / gültige Ergebnisse - Beispiel: Messung Stromstärke mittels Lichtstrom Spannungsquelle - ISMS: Effektivität (Wirksamkeit) muss gemessen werden Lampe - Informationssicherheit: Leistung (Performance) muss gemessen werden Messung über Erfüllung der Anforderungen ( Qualität ) gemäß ISO/IEC 27001:2013 (Anhang A) Effektivität 6
ISO/IEC 27004:2009 Empfehlungen zur Messung des Informationssicherheitsmanagements Information security measurement model in Anlehnung an ISO/IEC 15939:2007, Systems and software engineering Measurement process Messkonstrukt Auswahl des Maßes Messmethode Messfunktion - Ergebnis: Indikatoren - abgeleitet aus Basismaßen Umfrage: nur von 10% der ISMS- Anwender bzw. Experten genutzt!? 7
Ziel Betreibern von Managementsystemen (und Experten für Informationssicherheitsmanagement) soll eine solide und verständliche theoretische Grundlage für das Messen, Analysieren und Bewerten der Effektivität von ISMS geliefert werden, deren Anwendbarkeit und Verständlichkeit ausreichend ist, um beträchtliche Akzeptanz bei den Zielgruppen zu erreichen. 8
Anwendungshintergrund SMART GRIDS Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Energiewirtschaftsgesetz (EnWG) 11 Betrieb von Energieversorgungsnetzen IT-Sicherheitskatalog Unter anderem: Forderung eines ISMS ISO/IEC TR 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry 9
Goal Question Metric (GQM) Victor R. Basili und David Weiss Ansatz zum zielorientierten Messen Top-Down-Ansatz Operationalisierung von Zielen in Frageform Zuordnung von Metriken anhand der Fragen 10
Messen / Metriken Binäres Maß / Binäre Länge 0 wwwwwwww xx = 0 LL 2 xx = 1 wwwwwwww xx 0 Dreiwertmaß / Dreiwertige Länge 0 LL 3 (xx) = 0,5 1 Beispiel: Anforderungen 0 bedeutet: nicht erfüllt 0,5 bedeutet: teilweise erfüllt 1 bedeutet: erfüllt wwwwwwww xx = 0 wwwwwwww xx (0,1) wwwwwwww xx = 1 11
GQMS-Vorgehensmodell ISO/IEC 27001:2013, Abschnitt 9.1 Bewertung der Wirksamkeit des ISMS und Bewertung der Informationssicherheitsleistung Es sind sowohl die Managementprozesse als auch die Informationssicherheitsprozesse mit validen Messmethoden zu messen und zu bewerten.
Anforderungsorientiertes Messverfahren Hauptteil der Norm ISO/IEC 27001 ist eine Liste von Anforderungen Checklistenverfahren (erfüllt: 1; nicht erfüllt: 0) Alternative: Beispiel mit dreiwertigem Maß: Legende: 0 bedeutet: nicht erfüllt; 0,5 bedeutet: teilweise erfüllt; 1 bedeutet: erfüllt 13
Anforderungsorientiertes Messverfahren Bei n Anforderungen ergibt sich als Punktsumme SS 3 = L 3 xx 1 + L 3 xx 2 + + LL 3 (xx nn ) Beispiel (der Einfachheit halber wird n=10 angenommen) SS 3 = 1 + 0 + 0,5 + 0,5 + 0,5 + 0 + 1 + 0,5 + 1 + 0,5 = 5,5 ; EE 3 = 55% Anforderungen können unterschiedliches Gewicht haben! Punktsumme mit Gewichtung SS 3gg = gg 1 L 3 xx 1 + gg 2 L 3 xx 2 + + gg nn LL 3 xx nn Probleme des Messverfahrens: - Wie kommen die Werte zustande? - Was bedeutet teilweise erfüllt? Subjektivität der Gewichtung ist Problem und Chance zugleich. 14
Zielorientiertes Messverfahren ISO/IEC 27001:2013, Abschnitt 6.2 Die Organisation muss Sicherheitsziele für das ISMS festlegen. Die Ziele sollen messbar sein (sofern machbar). Goal-Question-Metrik-Ansatz (GQM) - Operationalisierung der Ziele durch organisationsspezifische Fragen - Verknüpfung mit Metriken GQM-Beispiel Industrieunternehmen - Ziel aus ISO/IEC 27001:2013 15
Zielorientiertes Messverfahren Zielerfüllungsgrad - Clusterung - Normierung 0 wwwwwwww MM 1 = 0 ZEG1 = 0,5 wwwwwwww MM 1 = 1 1 wwwwwwww MM 1 > 1 Bei m Messgrößen pro Frage ergibt sich: ZEG(Frage) = (ZEG1 + ZEG2 + + ZEGn) / m Bei n Fragen pro Ziel ergibt sich: ZEG(ZIel) = (ZEG(Frage 1 ) + ZEG(Frage 2 ) + + ZEG(Frage n )) / n Die Werte von ZEG liegen jeweils zwischen 0 und 1 und können in Prozent angegeben werden. 16
Prozessorientiertes Messverfahren Managementprozesse gemäß ISO/IEC 27001:2013 Kürzel M1 M2 M3 M4 M5 M6 Bezeichnung Führung Planung Unterstützung Betrieb Bewertung Verbesserung Die Managementprozesse des ISMS haben den Zweck die Informationssicherheitsprozesse zu planen, zu implementieren, zu bewerten und zu verbessern. 17
Prozessorientiertes Messverfahren Informationssicherheitsprozesse gemäß ISO/IEC 27001:2013 (Anhang A) Kürzel Bezeichnung Quelle I01 Informationssicherheitsrichtlinien A.5 I02 Verwaltung der Sicherheitsorganisation A.6 I03 Management der Personalsicherheit A.7 I04 Handhabung der Unternehmenswerte A.8 I05 Zugangssteuerung A.9 I06 Handhabung der Kryptographie A.10 I07 Physische Sicherheit A.11 I08 Betriebssicherheit A.12 I09 Kommunikationssicherheit A.13 I10 Systementwicklung A.14 I11 Lieferantenbeziehungsmanagement A.15 I12 Handhabung von Informationssicherheitsvorfällen A.16 I13 Business-Continuity-Management A.17 I14 Compliancemanagement A.18 18
Prozessorientiertes Messverfahren Anforderungen Durchlaufzeit der Prozesse - Regelmäßige Überprüfung des ISMS ist eine Anforderung der Norm in der Regel jährlich Durchlaufzeit 1 Jahr - Ergebnis: Messergebnisse zur Effektivität - Anforderungserfüllung / Ergebnisqualität / Zielerreichung Man kann sowohl die Anforderungen aus dem Hauptteil der Norm als auch die Maßnahmenbereiche aus Anhang A als Prozesse auffassen und somit die Wirksamkeit bzw. Leistung mit einem einheitlichen Ansatz messen. 19
GQMS: Ermittlung der Basismessgrößen Prozessbeispiel (I12) Prozessname Bearbeitungsobjekt Prozessziel(e) Eingaben I12: Handhabung von Informationssicherheitsvorfällen Sicherheitsvorfall Eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen ist sichergestellt. Richtlinie(n), Verfahrensanweisung(en) Normverweis ISO/IEC 27001:2013, Anhang A.16 20
GQMS: Ermittlung der Basismessgrößen Anhang A erleichtert das Finden von Fragen, da zu den Maßnahmenzielen auch Maßnahmen ausformuliert sind. Maßnahme gemäß ISO/IEC 27001:2013, Anhang A.16 Verantwortlichkeiten und Verfahren Verantwortlichkeiten der Leitung und Verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen. Meldung von Informationssicherheitsereignissen Informationssicherheitsereignisse werden so schnell wie möglich über geeignete Kanäle zu deren Handhabung gemeldet. Nr. I12_F01 I12_F02 I12_F03 I12_F04 I12_F05 Mögliche Frage Welche Leitungsverantwortlichkeiten sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? Welche Verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? Welche Kanäle werden zur Meldung von Informationssicherheitsereignissen genutzt? Sind die Meldekanäle geeignet? Wie schnell erfolgt die Meldung? Reaktion auf Informationssicherheitsvorfälle Auf Informationssicherheitsvorfälle wird entsprechend den dokumentierten Verfahren reagiert. Ergänzung aus ISO/IEC TR 27019:2013: Where a national or sector specific CSIRT is established to that purpose it should be informed as required. I12_F06 I12_F07 Sind Verfahren dokumentiert, die die Reaktion auf Informationssicherheitsvorfälle behandeln? Wird ein nationales oder sektorspezifisches CSIRT /CERT über Informationssicherheitsvorfälle informiert? 21
GQMS: Ermittlung der Basismessgrößen Messgrößen zum Prozess I12 gemäß GQM-Ansatz Nr. Mögliche Frage Nr. Messgröße Messwert I12_F01 Welche I12_F01_M01 Anzahl der 0 wenn I12_F01_M01=0 Leitungsverantwortlichkeiten sind festgelegt, um lichen für die Leitungsverantwort- 0,5 wenn I12_F01_M01=1 eine schnelle, effektive und Vorfallreaktion 1 wenn I12_F01_M01>1 geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? I12_F02 Welche Verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen? I12_F02_M01 I12_F02_M02 I12_F02_M03 Anzahl der Verfahren für die Reaktion auf Sicherheitsvorfälle Durchschnittliche Reaktionsdauer auf Sicherheitsvorfälle im letzten Monat Anteil der Sicherheitsvorfälle, die von einem Fachexperten bearbeitet wurden 0 wenn I12_F02_M01=0 1 wenn I12_F02_M01>0 0 wenn I12_F02_M02> 24h 0,5 wenn I12_F02_M02 24h, aber größer als 12 h 1 wenn I12_F02_M02 12 h 0, wenn I12_F02_M03 < 50% 0,5 wenn I12_F02_M03 50%, aber kleiner als 80% 1 wenn I12_F02_M03 80% Festlegung der Messwerte in der Regel gemäß Dreiwertmaß L 3 (x) 22
GQMS: Ermittlung der Basismessgrößen Beispiel: I12_F02_M02 / Reaktionsdauer Sicherheitsvorfälle Messungsfrequenz: monatlich Maßeinheit: Stunde (h) Zielwert: Durchschnittliche Reaktionsdauer höchstens 12 h Messverfahren - Einstufung des Informationssicherheitsereignisses als Informationssicherheitsvorfall im Störungsmanagementsystem Einstufungszeitpunkt - Dokumentation der Reaktionsaktivität im Störungsmanagementsystem Reaktionszeitpunkt - Reaktionsaktivitäten können sein: - Zuweisung des Vorgangs an einen Fachexperten - Rückfrage an den Melder usw. - Reaktionsdauer: Reaktionszeitpunkt minus Einstufungszeitpunkt 23
Abgeleitete Maße und Indikatoren Prozessbeispiel I12 Handhabung von Informationssicherheitsvorfällen 11 Fragen und 22 Basismessgrößen Abgeleitete Maße - Pro Frage ein abgeleitetes Maß - Beispiel: Frage I12_F01 (Leitungsverantwortlichkeiten?) - Einzige Messgröße: I12_F01_M01 (Anzahl der Verantwortlichen) - Abgeleitetes Maß: A_I12_F01 = I12_F01_M01 1 - Beispiel: Frage I12_F02 (Welche Verfahren?) - Drei Messgrößen - I12_F02_M01: Anzahl der Verfahren - I12_F02_M02: Reaktionsdauer Sicherheitsvorfälle - I12_F02_M03: Anteil der Bearbeitungen durch Experten - Abgeleitetes Maß A_I12_F02 = I12_F02_M01 + I12_F02_M02 + I12_F02_M03 3 Nicht normiert 24
Abgeleitete Maße und Indikatoren Normierung durch Division mit der Anzahl der Messgrößen - A n (I12_F01) = (I12_F01_M01) / 1 - A n (I12_F02) = (I12_F02_M01 + I12_F02_M02 + I12_F02_M03) / 3 Indikator für die Effektivität des Prozesses (I12) Eff(I12) = A n (I12_F01) + A n (I12_F02) + A n (I12_F03) + + A n (I12_F11) - Effektivität in Prozent (Normierung) Eff n (I12) = (A n (I12_F01) + A n (I12_F02) + A n (I12_F03) + + A n (I12_F11))/11 - Beispiel: - Eff n (I12) = (0,4+0+0,5+0,7+1+1+0+0,35+0,2+0,6+0,9) / 11 = 0,51 = 51% - Erinnerung: Effektivität = Zielerreichungsgrad 25
Abgeleitete Maße und Indikatoren Gewichtung der abgeleiteten Maße - Priorisierung von Fragen - Organisationsspezifische Gründe - Normierung beachten! - Gewichteter, normierter Prozesseffektivitätsindikator - Beispiel (vgl. vorherige Folie) Eff_g n (I12) = (1*0,4+1*0+1*0,5+2*0,7+2*1+1*1+1*0+1*0,35+1*0,2+1*0,6+2*0,9) / 14 = 8,25 / 14 = 0,589 = 58,9% - Gewichtung kann beachtlichen Einfluss auf das Effektivitätsergebnis haben! 26
Gesamteffektivität Prozesseffektivitätsindikatoren im Vergleich Spinnennetzdiagramm für die sechs Managementprozesse Bewertung des Managementsystems (M1 bis M6) Eff n (MS) = (Eff_g n (M1) + Eff_g n (M6)) / 6 Bewertung des Prozessportfolios Informationssicherheitsmanagement (I1 bis I14) Eff n (ISM) = (Eff_g n (I01) + Eff_g n (I02) + Eff_g n (I14)) / 14 27
Kurzfassung GQMS-Verfahren 1. Die Kapitel des Hauptteils der Norm ISO/IEC 27001 als Prozesse definieren 2. Die Kapitel des Anhangs A der Norm ISO/IEC 27001 als Prozesse definieren 3. Den Prozessen des Hauptteils per GQM-Ansatz Ziele, Fragen und Metriken zuordnen 4. Den Prozessen des Anhangs A als Ziele die Maßnahmenziele des Anhang A zuordnen und die Fragen anhand der Maßnahmen aus Anhang A stellen; anhand der Fragen normierte Basismessgrößen samt Zielwerten entwickeln 5. Aus den Basismessgrößen durch Summierung abgeleitete Maße für die Fragen erzeugen; gegebenenfalls gewichtete Summen bilden 6. Durch Summierung der abgeleiteten Maße Effektivitätsindikatoren für den Prozess erzeugen; Indikator normieren; gegebenenfalls gewichtete Summen bilden 7. Durch Summierung der Effektivitätsindikatoren für die Prozesse und Normierung Effektivitätsindikatoren für die Prozessgebiete Managementsystem und Informationssicherheitsmanagement erzeugen 28
Fazit Anforderung ISO/IEC 27001:2013, Abschnitt 9.1 - Bewertung der Wirksamkeit des ISMS und - Bewertung der Informationssicherheitsleistung - mit validen Messmethoden erfüllt Einheitliches Verfahren Schrittweises, nachvollziehbares Verfahren (GQMS) Metriken: nicht zu einfach, nicht zu komplex Vergleichbarkeit durch Normierung Möglichkeit der Gewichtung Spitzenkennzahl (KPI) für Wirksamkeit des ISMS möglich 29
Vielen Dank für die Aufmerksamkeit! Prof. Dr. Rainer Rumpel 14055 Berlin E-Mail: beratung@rumpel.de Fachtagung "lt-security in der Praxis der Netz- und Stationsleittechnik 3. Februar 2016 30