Einsatz und Umsetzung von Security Policies Detlev Henze Geschäftsführer TÜV Secure it IT Security Day 2004 27. Mai 2004, München
Inhalt TÜV Secure it Gemanagte IT-Security als Erfolgsfaktor für Unternehmen Security Policies: Initialisierung Analyse Planung und Umsetzung Betrieb 2 / 33
IT Risiken kennen Vorausschauend handeln Wer wir sind. Tochtergesellschaft der TÜV Rheinland Group TÜV RG weltweit vertreten an 200 Standorten in 50 Ländern TÜV Secure it: Spezialisten zur dauerhaften Sicherung von IT-Umgebungen Konzentration auf IT Services in den Bereichen IT- Security, IT-Prozesse und e-business 3 / 33
Mit Sicherheit zum Erfolg Bestandsaufnahme Workshop Analysieren Technische / organisatorische Audits Bericht Maßnahmenempfehlungen Umsetzungsworkshop IT-Security Kennzahlensystem Security Process Framework Optimieren Policies IT-Security Prozessmodell (Basis BS 7799) Konzeptentwicklung QM / Coaching Technische Audits: Scanning Pentesting Client Hacking TK-Anlagen Scanning Organisatorische Audits: Risikoanalyse Schutzbedarfsermittlung GAP-Analyse Audits Begehungen Zertifizieren BS 7799 IT-Grundschutz (nach BSI) Best Practices TÜV 4 / 33
Inhalt TÜV Secure it Gemanagte IT-Security als Erfolgsfaktor für Unternehmen Security Policies: Initialisierung Analyse Planung und Umsetzung Betrieb 5 / 33
Strategisches IT-Sicherheitsmanagement Konzern IT-Sicherheit Analyse Konzeption Implementierung Monitoring Unternehmen Abteilung System Anwendung 6 / 33
Sicherheitsarchitektur Dokumente Gültigkeitsbereiche Sicherheitselemente Sicherheitsstandards und -richtlinien Sicherheitskonzepte Konzern Konzern Konzern, Unternehmen Abteilung, Projekt spezifisch Sicherheitspolitik Sicherheitsstrategiepapiere Sicherheitsgrundsätze Sicherheitsstrategien Sicherheitsanforderungen technische und organisatorische Sicherheitsmaßnahmen plattform- und produktspezifische Dokumentation Sicherheitsdienste 7 / 33
Security Process Framework - SPF Bank... Datensch.... Framework Backup............ Notebook... Philosophie Bank Vers. Chemie Handel... Individuelle IT Security Library Konzepte... HR... Facility......... Arb.Sich.... Policies... PKI... Backup... Notebook Datensch....... Firewall 8 / 33
Inhalt TÜV Secure it Gemanagte IT-Security als Erfolgsfaktor für Unternehmen Security Policies: Initialisierung Analyse Planung und Umsetzung Betrieb 9 / 33
Was ist eine IT-Security Policy? Definition nach ISO/IEC 17799: Im Kern jeder Implementierung von Informationssicherheit muss die Formulierung eines fundierten und realistischen Sicherheitskonzepts (Information Security Policy) stehen. Nur durch ein solches Dokument kann die Unternehmensleitung umfassende Vorgaben dahingehend geben, wie die Informationssicherheit in der Unternehmenskultur und im Unternehmenskonzept integriert ist. Eine solche Sicherheitspolitik gibt den einzelnen Abteilungen und allen Mitarbeitern die Vorgaben, die sie bei der Umsetzung bei der täglichen Arbeit benötigen. Sie legt auch die Grundlagen für die organisatorische Umsetzung der notwendigen Prozeduren und Richtlinien und erlaubt damit eine umfassende Implementierung aller Sicherheitsaspekte. 10 / 33
Was sind und sollen Policies? Ziel: Sicherheit nachhaltig verbessern Sicherheitsprozess wird handhabbar managebar nutzbar Einerseits allgemeine Regelungen bzw. Vorgaben Handlungsspielraum wird definiert Andererseits konkrete Regelungen Handlungsspielraum wird ausgefüllt Kontextbezogen 11 / 33
# Q NM # 0/ -, -.-, 0/ -, -.-, 4 ;0 876-8.-.( A-@! # K )-. B # # 3-12 / 33 K O K # # # L $ Der Implementierungprozess für Security Policies P # O M N # P # 4 2-3.-1 ))+* '() 2-3.-1 ))+* )- '5-5-. //50( 2-2-. 2: 59-3 -.,.- 50-3 0-05D CD -3.AB 0?5D E- ( B 05D 0( +. ( % $ "?:3 5>- 0) >-. <5= 5-. 92-53 5-3 /0>53 E5= G /5= 5-) F: $ 3-0?5-. I- :.A, >. 79H53 +3 79>>. 3-2+. = 3-, >+ /+3 <=
Management Aufgaben Initialisierung des Sicherheitsprozesses IT-Sicherheitspolitik formulieren und verabschieden IT Sicherheitsorganisation etablieren: IT Sicherheitsbeauftragten (ITSB) benennen, Organisation entsprechend der Unternehmensgröße und Struktur aufbauen Verantwortung zuweisen, delegieren Grundlagen für Sicherheitsprozess legen Schutzbedarfsfeststellung durchführen Ausgehend von Geschäftsprozessen wird Schutzbedarf ermittelt und daraus Klassifizierung abgeleitet Schadensklassen festlegen Awareness bilden und pflegen Aufmerksamkeit aller Mitarbeiter für die Belange des Informationsschutzes wecken und (vor allem) wach halten internes Marketing betreiben Maßnahmen mit Außenwirkung, z.b. Zertifizierung, Audits, Preisausschreiben, Kampagnen,... 13 / 33
Initialisierung durch Kickoff-Workshop Teilnehmer Input Leitende Mitarbeiter aus: Management, Organisation, IT, Datenschutz und Informationssicherheit, Kaufmännische Leitung, Technische Leitung Bestimmung der generellen Sicherheitspolitik Bestimmung der übergeordneten Sicherheitsziele Bestimmung der Bereiche Ergebnis Übereinstimmender Zielkorridor Etablierung eines Sicherheitsbeauftragten und der Organisation Motivation der Verantwortlichen und Zuständigen Optimale Vorbereitung 14 / 33
# Q NM # 0/ -, -.-, 0/ -, -.-, 4 ;0 876-8.-.( A-@! # K )-. B # # 3-15 / 33 K O K # # # L $ Der Implementierungprozess für Security Policies P # O M N # P # 4 2-3.-1 ))+* '() 2-3.-1 ))+* )- '5-5-. //50( 2-2-. 2: 59-3 -.,.- 50-3 0-05D CD -3.AB 0?5D E- ( B 05D 0( +. ( % $ "?:3 5>- 0) >-. <5= 5-. 92-53 5-3 /0>53 E5= G /5= 5-) F: $ 3-0?5-. I- :.A, >. 79H53 +3 79>>. 3-2+. = 3-, >+ /+3 <=
Bedrohungsanalyse / Risikoanalyse Analyse der Schwachstellen und Bedrohungen Ziel der Analyse der Schwachstellen und Bedrohungen ist das Entdecken möglichst aller vorhandenen Schwachstellen und das Erkennen aller wesentlichen Bedrohungen Bewertung der dadurch erkannten Risiken Bewertung der aktuellen Risiken durch Bedrohungen hinsichtlich Schadenswirkung und Schadenshäufigkeit Festlegung geeigneter Sicherheitsmaßnahmen Bestehende Schutzmaßnahmen hinsichtlich gefundener Schwachstellen und Bedrohungen bewerten und ggf. für die in der vorhergehenden Analyse als untragbar hoch erkannten Risiken zusätzliche Maßnahmen auswählen Ziel ist Prävention von, sowie (richtige) Reaktion auf Ereignisse 16 / 33
Bewertung des Sicherheitsniveaus anhand eines Kennzahlen-Systems Analyse der Bereiche Gewichtung der Teilbereiche Gewichtung der Themenkomplexe auf Basis von BS 7799 Kennzahl-Grafik mit Ist-Soll-Abgleich 17 / 33
Graphische Darstellung Einhaltung von Gesetzen und Vorschriften Risikomanagement 120 105 90 IS-Policy Ergebnis: Mängel in -Notfall- und Vorsorge -Zugriffskontrolle -Klassifizierung von Asstes resultieren aus Mängeln in der IS-Policy (fehlende Vorgaben) 75 Notfall und Vorsorge 60 45 Infrastruktur der Informationssicherheit 30 15 0 System-Entwicklung + Wartung Klassifizierung von Assets Access Control Personal Kommunikations- Betriebsmanagement Physische Umgebung Zielgerechter Einsatz limitierter Ressourcen in den notwendigen Bereichen 18 / 33
Tiefergehende Ergebnisse 120 105 90 75 60 45 30 15 0 Verhalten bei Sicherheitsvorfällen Personal Schulung Aufbau Ablauf Organisation Beispiel: Personal gemessener Wert Ziel 120 105 90 75 60 45 30 15 0 Notfall K-Fall Betriebsw eiterführung Beispiel: Notfall und Vorsorge 19 / 33
# Q NM # 0/ -, -.-, 0/ -, -.-, 4 ;0 876-8.-.( A-@! # K )-. B # # 3-20 / 33 K O K # # # L $ Der Implementierungprozess für Security Policies P # O M N # P # 4 2-3.-1 ))+* '() 2-3.-1 ))+* )- '5-5-. //50( 2-2-. 2: 59-3 -.,.- 50-3 0-05D CD -3.AB 0?5D E- ( B 05D 0( +. ( % $ "?:3 5>- 0) >-. <5= 5-. 92-53 5-3 /0>53 E5= G /5= 5-) F: $ 3-0?5-. I- :.A, >. 79H53 +3 79>>. 3-2+. = 3-, >+ /+3 <=
Sicherheitskonzepte /Policies Aus der Risikoanalyse ergibt sich als nächster Schritt die Erstellung eines Sicherheitskonzeptes zum sicheren Betrieb jedes Objektes. Ein Sicherheitskonzept enthält organisatorische und technische Maßnahmen: Präventive Maßnahmen, die Gefahren bereits im Vorfeld vermeiden helfen Überwachende Maßnahmen, die Angriffe und Ereignisse erkennen und sie ggf. schon abwehren, berichten, dokumentieren Reaktive Maßnahmen, die nach Eintritt der Bedrohung die Folgen minimieren können 21 / 33
Generisches Policy-Modell übergeordnet IT Security Policy strategisch IT Security Strategie IT Security Konzept IT Security Management System Themenkonzepte Virenschutz- Konzept E-Mail- Konzept Netzwerk- Konzept Servermanagement -Konzept Berechtigungs- Konzept Enduser Policy E-Mail Policy Admin Policy Software Policy SAP BHBuch Techn. und org. Umsetzung 22 / 33
Auswahl Themenkonzepte Anti Virus Konzept E-mail Konzept Firewall-Zonen Konzept Dialin Konzept Netzwerk Konzept Authentisierungs- und Rechtekonzept / PKI Konzept Serverbetriebskonzept Client Konzept Versorgungskonzept (Klima, Energie) Maintenance (Hardware- / Softwarewartung) Betrachtung rechtlicher Aspekte Entsorgungskonzept 23 / 33
Auswahl Organisatorische Policies / Anweisungen Datenschutz Policy End-User Policy Dokumenten Klassifizierung Software Policy Backup Policy und Archivierung Operator Policy Netzwerk Policy Server Component Policy Beschaffung Support Firewall Policy Incident und Problem Management / Reporting Desaster Recovery Policy Telekommunikations Policy User Administration Policy ICM Policy (Installation und Konfigurations Management) Roaming User / Heimarbeitsplätze / Partner Netzwerke 24 / 33
Auswahl technische Umsetzung / Betriebshandbücher Technische End-User Policy Berechtigungen: Nachweise des Lebenszyklus und dessen Pflege Serverbetrieb Firewallbetrieb Betrieb Antiviren... 25 / 33
Beispiel 1: E-Mail Konzept / Policy 26 / 33
Beispiel 2: Laptop Policy 27 / 33
# Q NM # 0/ -, -.-, 0/ -, -.-, 4 ;0 876-8.-.( A-@! # K )-. B # # 3-28 / 33 K O K # L # # $ Der Implementierungprozess für Security Policies P # O M N # P # 4 2-3.-1 ))+* '() 2-3.-1 ))+* )- '5-5-. //50( 2-2-. 2: 59-3 -.,.- 50-3 0-05D CD -3.AB 0?5D E- ( B 05D 0( +. ( % $ "?:3 5>- 0) >-. <5= 5-. 92-53 5-3 /0>53 E5= G /5= 5-) F: $ 3-0?5-. I- :.A, >. 79H53 +3 79>>. 3-2+. = 3-, >+ /+3 <=
Beispiel: Awareness durch E-Learning Entwicklung eines E-Learning-Tools zur IT-Sicherheit Ziel: Steigerung des Informationssicherheitsbewusstseins der Anwender von IT-Systemen Lerneinheiten: Informationen Arbeitsplatz Passwörter E-mail und Internet Telefonieren Unbekannte Personen 29 / 33
Inhalte E-Learning am Beispiel Informationen und Internet Lerneinheit: Information Bedeutung von Informationen Arten von Informationen Schutzziele Verantwortung für Informationssicherheit Sicherheitsvorfälle Lerneinheit: E-Mail und Internet Sicherer Gebrauch von E-Mails Umgang mit eingehenden E-Mails (Gefahren, Risiken, Folgen) Umgang mit dem Versand von E-Mails Sicherer Gebrauch von Internet 30 / 33
# Q NM # 0/ -, -.-, 0/ -, -.-, 4 ;0 876-8.-.( A-@! # K )-. B # # 3-31 / 33 K O K # # # L $ Der Implementierungprozess für Security Policies P # O M N # P # 4 2-3.-1 ))+* '() 2-3.-1 ))+* )- '5-5-. //50( 2-2-. 2: 59-3 -.,.- 50-3 0-05D CD -3.AB 0?5D E- ( B 05D 0( +. ( % $ "?:3 5>- 0) >-. <5= 5-. 92-53 5-3 /0>53 E5= G /5= 5-) F: $ 3-0?5-. I- :.A, >. 79H53 +3 79>>. 3-2+. = 3-, >+ /+3 <=
Zusammenfassung Security Policies sind ein wesentlicher Baustein eines umfassenden Sicherheitssystems Sie müssen verbindlich sein und dürfen nur wenig Interpretationsspielraum lassen Das Policy System sollte modular sein und lebt, d.h. es muss aktuell gehalten werden Konkrete, handlungsleitende Informationen erleichtern die Etablierung Regelmäßiges Monitoring unterstützt die Umsetzung und gibt Feedback für notwendige Anpassungen Konsequenzsysteme und Sanktionen müssen vorhanden sein und angewendet werden 32 / 33
Vielen Dank. Haben Sie Fragen? Detlev Henze, Geschäftsführer TÜV Secure it GmbH Am Grauen Stein 51105 Köln 0221 806 33 14 henze@de.tuv.com 33 / 33