Upload
dinhdien
View
222
Download
2
Embed Size (px)
Citation preview
Erfahrungen mit dem Einsatz der OCTAVE-Methode an der Universität Leipzig
DFN-Kanzlerforum, Berlin, 09.05.2012
Dr. Gunnar Auth, Martin UllrichUniversität Leipzig
2Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Agenda
● Ausgangslage & Lösungsansatz● Methode: OCTAVE● Umsetzung: Kurze Projektbeschreibung● Ergebnisse: Empfehlungen und Maßnahmen● Fragen/Diskussion
3Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Ausgangslage
● Untersuchungsgegenstand: Personaldezernat
● Motivation:● Einführung Neues Verwaltungsnetz● Einführung Neue Hochschulsteuerung● Datenschutzfragen● Anwendung der IT-Grundschutz-Methode nicht
zielführend
4Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Lösung: Risikoanalyse
● Einschätzung des IST-Zustands● Eingeschränkter Untersuchungsgegenstand ● Identifizierung & Bewertung von Defiziten● Definition & Priorisierung von geeigneten
Sicherheitsmaßnahmen● Ziel: akzeptables Sicherheitsniveau
Risiko-Identifizierung Risikoabschätzung
5Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Einführung OCTAVE (1/2)
● OCTAVE = Operationally Critical Threat, Asset and Vulnerability Evaluation
● Methode zur Risiko-basierten Beurteilung und Planung von Informationssicherheit
● Unterstützt den Anwender mit Techniken, Formblättern, Checklisten
● Entwickelt vom CERT der Carnegie Mellon University, Pennsylvania, USA
● Vom DFN-CERT ins Deutsche übersetzt und angepasst (u.a. ISO 27001 IT-Sicherheitsverfahren)
6Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Einführung OCTAVE (2/2)
● Schwerpunkt: selbstgesteuerte und wertbezogene interne Analyse der Risiken und Sicherheitsprozesse
● Ermittlung der erforderlichen Maßnahmen zum Schutz kritischer Werte (information assets)
● Softwaretool von DFN-CERT angekündigt● Migrationspfad in Richtung ISO 27001 und BSI-
Grundschutz gangbar
7Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Ablauf der OCTAVE-Methode
Start 2. Workshop1. Workshop Präsentation4. Workshop
3. Workshop 5.Workshop
3 Wochen 3 Wochen 7 Wochen 3 Wochen 3 Wochen
Gesamtzeit = 5 Monate
8Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Bildung des Analyseteams
● Bereichsübergreifendes Team● Überschaubare Größe
● Personaldezernat● URZ / Verwaltungs-IT, Netzwerk-Admin● Datenschutzbeauftragter● DFN-CERT
9Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Festlegung der kritischen Werte
Personaldaten Elektronisches Schriftgut
personenbezogene
Daten zur Verwaltung
des Arbeits- und
Dienstverhältnisses
schützenswerte
elektronische
Informationen,
sensible Reports,
Übersichten
10Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Einschätzung aktueller IT-Sicherheitsmaßnahmen (Ampelstatus)
Themengebiet Ampelstatus
Informationssicherheitsmanagement und Informationssicherheitspolitik
Organisation
Klassifizierung und Kontrolle von Werten
Personal
Physische Sicherheit
Kommunikation und Betrieb
Zugangs- und Zugriffskontrolle
Entwicklung und Wartung
Behandlung von Sicherheitsvorfällen
Notfallplanung - Business Continuity
Einhaltung von Verpflichtungen
11Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Arbeiten mit Bedrohungsprofilen
Vertraulichkeitfahrlässig Integrität
VerlustVerfügbarkeit
Insider
Vertraulichkeitvorsätzlich Integrität
VerlustVerfügbarkeit
Netzwerk
Vertraulichkeitfahrlässig Integrität
VerlustVerfügbarkeit
Extern
Vertraulichkeitvorsätzlich Integrität
VerlustVerfügbarkeit
Personal-daten
Identifizierung relevanter
Bedrohungsbäume
Identifizierung relevanter
Bedrohungsbäume
Vier mögliche BedrohungsprofilePersonen mit NetzzugangPersonen mit physischem ZugangTechnische ProblemeWeitere Problemfelder
Vier mögliche BedrohungsprofilePersonen mit NetzzugangPersonen mit physischem ZugangTechnische ProblemeWeitere Problemfelder
12Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Ansatz zur Risikominimierung
SicherheitsmaßnahmenSchadenswirkung AnsatzEintritts-wahrscheinlichkeit
13Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Sicherheitsstatus aktuellIS-Management
Organisation
Klassifizierung v. Werten
Personal
Physische Sicherheit
Kommunikation Zugangskontrolle
Entwicklung / Wartung
Sicherheitsvorfälle
Notfallplanung
Compliance
14Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Zu verbessernde Themenbereiche
Übergeordnete Bereiche
Verwaltungsbezogene Bereiche
● Informationssicherheitsmanagement● Organisation● Behandlung von Sicherheitsvorfällen
● Personelle Sicherheit● Kommunikation und Betrieb● Entwicklung und Wartung
15Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Übergeordnete Bereiche: Maßnahmenempfehlungen I
● Initialisierung eines ISMS:● Festlegung der Sicherheitsziele und -strategie● Erstellung und Publikation einer Leitlinie für
Informationssicherheit● Benennung eines Informationssicherheits-
Beauftragten (ISB)
16Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Übergeordnete Bereiche: Maßnahmenempfehlungen II
● Organisation / Betrieb des ISMS:● Übernahme der Gesamtverantwortung für
Informationssicherheit durch die Organisationsleitung und Budget bereitstellen
● Aufbau einer übergeordneten Organisationsstruktur für das ISMS
● Festlegen von Rollen und Verantwortlichkeiten im Sicherheitsprozess
17Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Übergeordnete Bereiche: Maßnahmenempfehlungen III
● Behandlung von Sicherheitsvorfällen:● Proaktiv:
– Schwachstellenmanagement, Informationsbeschaffung– Automatische Warnmeldungen, Monitoring
● Reaktiv: – Festlegen von Verhaltensregeln, Verantwortlichkeiten
und Meldewegen bei Sicherheitsvorfällen– Nachbearbeitung („lessons learned“)
18Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Initiierung des Sicherheitsprozesses
Wie? – ISMS-Einführung und Betrieb
Verantwortung der Leitungsebene
Konzeption und Planung
Erstellung einer Sicherheitsleitlinie
Aufbau einer IS-Organisation
Bereitstellung von Ressourcen
Einbindung aller Mitarbeiter
Erstellung der Sicherheitskonzeption
Quelle: [BSI]
Umsetzung der Sicherheitskonzeption
Aufrechterhaltung und Verbesserung
19Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Warum? – Neue Anforderungen durch Veränderungen in den Verwaltungsstrukturen● Verwendung des Business Intelligence Moduls von
HIS ● Einführung eines ReCoB-Systems
(speziell gesichertes Terminalserver-System für Web-Zugang)
● Neues Verwaltungsnetz
● Veränderte Risikolage-> Neue und modifizierte Sicherheitsmaßnahmen erforderlich-> Datenschutzbetrachtung erforderlich
20Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen I
● Kommunikation und Betrieb:● ChangeManagement● Regelmäßige interne und externe Audits● Regelungen zur Nutzung von mobilen
Datenträgern● Regelungen zum Einsatz von E-Mail, internen
und externen Informationssystemen● Regelungen zur Abnahme und Freigabe von IT-
Verfahren
21Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen II
● Entwicklung und Wartung:● Anforderungsspezifikation: Beschaffung,
Konfiguration und Umsetzung von neuen IT-Anwendungen unter Berücksichtigung von Informationssicherheit und Datenschutz
● Abnahme- und Freigabeverfahren für Hard- und Standardsoftware
● Wartungsverträge mit SLAs und Berücksichtigung von Sicherheitsanforderungen
22Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen III
● Personelle Sicherheit:● Sensibilisierung / Schulung der Mitarbeiter
bezügl. Informationssicherheit● Durchsetzung disziplinarischer Maßnahmen bei
Verletzung der Sicherheitspolitik ● Geregelte Prozesse beim Ausscheiden eines
Mitarbeiters (Arbeitsmittel, Zugangsberechtigungen löschen, ...)
23Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Sicherheitsstatus –Nach erfolgreicher Maßnahmenumsetzung
IS-Management
Organisation
Klassifizierung v. Werten
Personal
Physische Sicherheit
Kommunikation Zugangskontrolle
Entwicklung / Wartung
Sicherheitsvorfälle
Notfallplanung
Compliance
24Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Nächste SchritteZu verbessernde Themenbereiche
Übergeordnete Bereiche
Verwaltungsbezogene Bereiche
● Informationssicherheitsmanagement●Organisation●Behandlung von Sicherheitsvorfällen
●Personelle Sicherheit●Kommunikation und Betrieb●Entwicklung und Wartung
Folgeauftrag DFN-CERTUntersuchung der Umsetzungsvarianten für Informationssicherheitsbeauftragten:a) ISB als Mitarbeiter der UL ausschließlich für
Informationssicherheit der Universität zuständigb) ISB als „Managed Service“ eines externen
Dienstleisters für Informationssicherheit der Universität
c) ISB als gemeinsam finanzierter „Shared Service“ der Leipziger Hochschulen sowie ggf. außeruniversitärer Forschungs- einrichtungen in den Varianten eigenes Personal/Shared Service
25Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012
Vielen Dank! Fragen?
KontaktDr. Gunnar AuthE-Mail: [email protected].: 0341 97 33301Martin UllrichE-Mail: [email protected].: 0341 97 33340