Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig DFN-Kanzlerforum, Berlin, 09.05.2012 Dr. Gunnar Auth, Martin Ullrich Universität Leipzig
Agenda Ausgangslage & Lösungsansatz Methode: OCTAVE Umsetzung: Kurze Projektbeschreibung Ergebnisse: Empfehlungen und Maßnahmen Fragen/Diskussion 2
Ausgangslage Untersuchungsgegenstand: Personaldezernat Motivation: Einführung Neues Verwaltungsnetz Einführung Neue Hochschulsteuerung Datenschutzfragen Anwendung der IT-Grundschutz-Methode nicht zielführend 3
Lösung: Risikoanalyse Risiko-Identifizierung Risikoabschätzung Einschätzung des IST-Zustands Eingeschränkter Untersuchungsgegenstand Identifizierung & Bewertung von Defiziten Definition & Priorisierung von geeigneten Sicherheitsmaßnahmen Ziel: akzeptables Sicherheitsniveau 4
Einführung OCTAVE (1/2) OCTAVE = Operationally Critical Threat, Asset and Vulnerability Evaluation Methode zur Risiko-basierten Beurteilung und Planung von Informationssicherheit Unterstützt den Anwender mit Techniken, Formblättern, Checklisten Entwickelt vom CERT der Carnegie Mellon University, Pennsylvania, USA Vom DFN-CERT ins Deutsche übersetzt und angepasst (u.a. ISO 27001 IT-Sicherheitsverfahren) 5
Einführung OCTAVE (2/2) Schwerpunkt: selbstgesteuerte und wertbezogene interne Analyse der Risiken und Sicherheitsprozesse Ermittlung der erforderlichen Maßnahmen zum Schutz kritischer Werte (information assets) Softwaretool von DFN-CERT angekündigt Migrationspfad in Richtung ISO 27001 und BSI- Grundschutz gangbar 6
Ablauf der OCTAVE-Methode Start 1. Workshop 2. Workshop 3. Workshop 4. 5.Workshop Präsentation Workshop 3 Wochen 3 Wochen 7 Wochen 3 Wochen 3 Wochen Gesamtzeit = 5 Monate 7
Bildung des Analyseteams Bereichsübergreifendes Team Überschaubare Größe Personaldezernat URZ / Verwaltungs-IT, Netzwerk-Admin Datenschutzbeauftragter DFN-CERT 8
Festlegung der kritischen Werte Personaldaten personenbezogene Daten zur Verwaltung des Arbeits- und Dienstverhältnisses Elektronisches Schriftgut schützenswerte elektronische Informationen, sensible Reports, Übersichten 9
Einschätzung aktueller IT- Sicherheitsmaßnahmen (Ampelstatus) Themengebiet Informationssicherheitsmanagement und Informationssicherheitspolitik Organisation Klassifizierung und Kontrolle von Werten Personal Physische Sicherheit Kommunikation und Betrieb Zugangs- und Zugriffskontrolle Entwicklung und Wartung Behandlung von Sicherheitsvorfällen Notfallplanung - Business Continuity Einhaltung von Verpflichtungen Ampelstatus 10
Arbeiten mit Bedrohungsprofilen Insider fahrlässig Vertraulichkeit Integrität Verlust Verfügbarkeit Identifizierung Identifizierung relevanter relevanter Bedrohungsbäume Bedrohungsbäume Vertraulichkeit Personaldaten Netzwerk vorsätzlich Integrität Verlust Verfügbarkeit Extern fahrlässig Vertraulichkeit Integrität Verlust Verfügbarkeit Vier Vier mögliche mögliche Bedrohungsprofile Bedrohungsprofile Personen Personen mit mit Netzzugang Netzzugang Personen Personen mit mit physischem physischem Zugang Zugang Technische Technische Probleme Probleme Weitere Weitere Problemfelder Problemfelder vorsätzlich Vertraulichkeit Integrität Verlust Verfügbarkeit 11
Ansatz zur Risikominimierung Schadenswirkung Eintrittswahrscheinlichkeit Sicherheitsmaßnahmen Ansatz 12
Sicherheitsstatus aktuell IS-Management Organisation Compliance Klassifizierung v. Werten Notfallplanung Personal Sicherheitsvorfälle Physische Sicherheit Entwicklung / Wartung Kommunikation Zugangskontrolle 13
Zu verbessernde Themenbereiche Übergeordnete Bereiche Informationssicherheitsmanagement Organisation Behandlung von Sicherheitsvorfällen Verwaltungsbezogene Bereiche Personelle Sicherheit Kommunikation und Betrieb Entwicklung und Wartung 14
Übergeordnete Bereiche: Maßnahmenempfehlungen I Initialisierung eines ISMS: Festlegung der Sicherheitsziele und -strategie Erstellung und Publikation einer Leitlinie für Informationssicherheit Benennung eines Informationssicherheits- Beauftragten (ISB) 15
Übergeordnete Bereiche: Maßnahmenempfehlungen II Organisation / Betrieb des ISMS: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Organisationsleitung und Budget bereitstellen Aufbau einer übergeordneten Organisationsstruktur für das ISMS Festlegen von Rollen und Verantwortlichkeiten im Sicherheitsprozess 16
Übergeordnete Bereiche: Maßnahmenempfehlungen III Behandlung von Sicherheitsvorfällen: Proaktiv: Schwachstellenmanagement, Informationsbeschaffung Automatische Warnmeldungen, Monitoring Reaktiv: Festlegen von Verhaltensregeln, Verantwortlichkeiten und Meldewegen bei Sicherheitsvorfällen Nachbearbeitung ( lessons learned ) 17
Wie? ISMS-Einführung und Betrieb Initiierung des Sicherheitsprozesses Verantwortung der Leitungsebene Konzeption und Planung Erstellung einer Sicherheitsleitlinie Aufbau einer IS-Organisation Bereitstellung von Ressourcen Einbindung aller Mitarbeiter Erstellung der Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung und Verbesserung Quelle: [BSI] 18
Warum? Neue Anforderungen durch Veränderungen in den Verwaltungsstrukturen Verwendung des Business Intelligence Moduls von HIS Einführung eines ReCoB-Systems (speziell gesichertes Terminalserver-System für Web-Zugang) Neues Verwaltungsnetz Veränderte Risikolage -> Neue und modifizierte Sicherheitsmaßnahmen erforderlich -> Datenschutzbetrachtung erforderlich 19
Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen I Kommunikation und Betrieb: ChangeManagement Regelmäßige interne und externe Audits Regelungen zur Nutzung von mobilen Datenträgern Regelungen zum Einsatz von E-Mail, internen und externen Informationssystemen Regelungen zur Abnahme und Freigabe von IT- Verfahren 20
Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen II Entwicklung und Wartung: Anforderungsspezifikation: Beschaffung, Konfiguration und Umsetzung von neuen IT- Anwendungen unter Berücksichtigung von Informationssicherheit und Datenschutz Abnahme- und Freigabeverfahren für Hard- und Standardsoftware Wartungsverträge mit SLAs und Berücksichtigung von Sicherheitsanforderungen 21
Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen III Personelle Sicherheit: Sensibilisierung / Schulung der Mitarbeiter bezügl. Informationssicherheit Durchsetzung disziplinarischer Maßnahmen bei Verletzung der Sicherheitspolitik Geregelte Prozesse beim Ausscheiden eines Mitarbeiters (Arbeitsmittel, Zugangsberechtigungen löschen,...) 22
Sicherheitsstatus Nach erfolgreicher Maßnahmenumsetzung IS-Management Organisation Compliance Klassifizierung v. Werten Notfallplanung Personal Sicherheitsvorfälle Physische Sicherheit Entwicklung / Wartung Kommunikation Zugangskontrolle 23
Nächste Schritte Zu verbessernde Themenbereiche Übergeordnete Bereiche Informationssicherheitsmanagement Organisation Behandlung von Sicherheitsvorfällen Verwaltungsbezogene Bereiche Personelle Sicherheit Kommunikation und Betrieb Entwicklung und Wartung Folgeauftrag DFN-CERT Untersuchung der Umsetzungsvarianten für Informationssicherheitsbeauftragten: a) ISB als Mitarbeiter der UL ausschließlich für Informationssicherheit der Universität zuständig b) ISB als Managed Service eines externen Dienstleisters für Informationssicherheit der Universität c) ISB als gemeinsam finanzierter Shared Service der Leipziger Hochschulen sowie ggf. außeruniversitärer Forschungseinrichtungen in den Varianten eigenes Personal/Shared Service 24
Vielen Dank! Fragen? Kontakt Dr. Gunnar Auth E-Mail: gunnar.auth@uni-leipzig.de Tel.: 0341 97 33301 Martin Ullrich E-Mail: martin.ullrich@uni-leipzig.de Tel.: 0341 97 33340 25