Erfahrungen mit dem Einsatz der OCTAVE-Methode an der Universität Leipzig

DFN-Kanzlerforum, Berlin, 09.05.2012

Dr. Gunnar Auth, Martin UllrichUniversität Leipzig

2Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Agenda

● Ausgangslage & Lösungsansatz● Methode: OCTAVE● Umsetzung: Kurze Projektbeschreibung● Ergebnisse: Empfehlungen und Maßnahmen● Fragen/Diskussion

3Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Ausgangslage

● Untersuchungsgegenstand: Personaldezernat

● Motivation:● Einführung Neues Verwaltungsnetz● Einführung Neue Hochschulsteuerung● Datenschutzfragen● Anwendung der IT-Grundschutz-Methode nicht

zielführend

4Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Lösung: Risikoanalyse

● Einschätzung des IST-Zustands● Eingeschränkter Untersuchungsgegenstand ● Identifizierung & Bewertung von Defiziten● Definition & Priorisierung von geeigneten

Sicherheitsmaßnahmen● Ziel: akzeptables Sicherheitsniveau

Risiko-Identifizierung Risikoabschätzung

5Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Einführung OCTAVE (1/2)

● OCTAVE = Operationally Critical Threat, Asset and Vulnerability Evaluation

● Methode zur Risiko-basierten Beurteilung und Planung von Informationssicherheit

● Unterstützt den Anwender mit Techniken, Formblättern, Checklisten

● Entwickelt vom CERT der Carnegie Mellon University, Pennsylvania, USA

● Vom DFN-CERT ins Deutsche übersetzt und angepasst (u.a. ISO 27001 IT-Sicherheitsverfahren)

6Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Einführung OCTAVE (2/2)

● Schwerpunkt: selbstgesteuerte und wertbezogene interne Analyse der Risiken und Sicherheitsprozesse

● Ermittlung der erforderlichen Maßnahmen zum Schutz kritischer Werte (information assets)

● Softwaretool von DFN-CERT angekündigt● Migrationspfad in Richtung ISO 27001 und BSI-

Grundschutz gangbar

7Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Ablauf der OCTAVE-Methode

Start 2. Workshop1. Workshop Präsentation4. Workshop

3. Workshop 5.Workshop

3 Wochen 3 Wochen 7 Wochen 3 Wochen 3 Wochen

Gesamtzeit = 5 Monate

8Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Bildung des Analyseteams

● Bereichsübergreifendes Team● Überschaubare Größe

● Personaldezernat● URZ / Verwaltungs-IT, Netzwerk-Admin● Datenschutzbeauftragter● DFN-CERT

9Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Festlegung der kritischen Werte

Personaldaten Elektronisches Schriftgut

personenbezogene

Daten zur Verwaltung

des Arbeits- und

Dienstverhältnisses

schützenswerte

elektronische

Informationen,

sensible Reports,

Übersichten

10Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Einschätzung aktueller IT-Sicherheitsmaßnahmen (Ampelstatus)

Themengebiet Ampelstatus

Informationssicherheitsmanagement und Informationssicherheitspolitik

Organisation

Klassifizierung und Kontrolle von Werten

Personal

Physische Sicherheit

Kommunikation und Betrieb

Zugangs- und Zugriffskontrolle

Entwicklung und Wartung

Behandlung von Sicherheitsvorfällen

Notfallplanung - Business Continuity

Einhaltung von Verpflichtungen

11Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Arbeiten mit Bedrohungsprofilen

Vertraulichkeitfahrlässig Integrität

VerlustVerfügbarkeit

Insider

Vertraulichkeitvorsätzlich Integrität

VerlustVerfügbarkeit

Netzwerk

Vertraulichkeitfahrlässig Integrität

VerlustVerfügbarkeit

Extern

Vertraulichkeitvorsätzlich Integrität

VerlustVerfügbarkeit

Personal-daten

Identifizierung relevanter

Bedrohungsbäume

Identifizierung relevanter

Bedrohungsbäume

Vier mögliche BedrohungsprofilePersonen mit NetzzugangPersonen mit physischem ZugangTechnische ProblemeWeitere Problemfelder

Vier mögliche BedrohungsprofilePersonen mit NetzzugangPersonen mit physischem ZugangTechnische ProblemeWeitere Problemfelder

12Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Ansatz zur Risikominimierung

SicherheitsmaßnahmenSchadenswirkung AnsatzEintritts-wahrscheinlichkeit

13Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Sicherheitsstatus aktuellIS-Management

Organisation

Klassifizierung v. Werten

Personal

Physische Sicherheit

Kommunikation Zugangskontrolle

Entwicklung / Wartung

Sicherheitsvorfälle

Notfallplanung

Compliance

14Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Zu verbessernde Themenbereiche

Übergeordnete Bereiche

Verwaltungsbezogene Bereiche

● Informationssicherheitsmanagement● Organisation● Behandlung von Sicherheitsvorfällen

● Personelle Sicherheit● Kommunikation und Betrieb● Entwicklung und Wartung

15Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Übergeordnete Bereiche: Maßnahmenempfehlungen I

● Initialisierung eines ISMS:● Festlegung der Sicherheitsziele und -strategie● Erstellung und Publikation einer Leitlinie für

Informationssicherheit● Benennung eines Informationssicherheits-

Beauftragten (ISB)

16Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Übergeordnete Bereiche: Maßnahmenempfehlungen II

● Organisation / Betrieb des ISMS:● Übernahme der Gesamtverantwortung für

Informationssicherheit durch die Organisationsleitung und Budget bereitstellen

● Aufbau einer übergeordneten Organisationsstruktur für das ISMS

● Festlegen von Rollen und Verantwortlichkeiten im Sicherheitsprozess

17Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Übergeordnete Bereiche: Maßnahmenempfehlungen III

● Behandlung von Sicherheitsvorfällen:● Proaktiv:

– Schwachstellenmanagement, Informationsbeschaffung– Automatische Warnmeldungen, Monitoring

● Reaktiv: – Festlegen von Verhaltensregeln, Verantwortlichkeiten

und Meldewegen bei Sicherheitsvorfällen– Nachbearbeitung („lessons learned“)

18Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Initiierung des Sicherheitsprozesses

Wie? – ISMS-Einführung und Betrieb

Verantwortung der Leitungsebene

Konzeption und Planung

Erstellung einer Sicherheitsleitlinie

Aufbau einer IS-Organisation

Bereitstellung von Ressourcen

Einbindung aller Mitarbeiter

Erstellung der Sicherheitskonzeption

Quelle: [BSI]

Umsetzung der Sicherheitskonzeption

Aufrechterhaltung und Verbesserung

19Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Warum? – Neue Anforderungen durch Veränderungen in den Verwaltungsstrukturen● Verwendung des Business Intelligence Moduls von

HIS ● Einführung eines ReCoB-Systems

(speziell gesichertes Terminalserver-System für Web-Zugang)

● Neues Verwaltungsnetz

● Veränderte Risikolage-> Neue und modifizierte Sicherheitsmaßnahmen erforderlich-> Datenschutzbetrachtung erforderlich

20Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen I

● Kommunikation und Betrieb:● ChangeManagement● Regelmäßige interne und externe Audits● Regelungen zur Nutzung von mobilen

Datenträgern● Regelungen zum Einsatz von E-Mail, internen

und externen Informationssystemen● Regelungen zur Abnahme und Freigabe von IT-

Verfahren

21Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen II

● Entwicklung und Wartung:● Anforderungsspezifikation: Beschaffung,

Konfiguration und Umsetzung von neuen IT-Anwendungen unter Berücksichtigung von Informationssicherheit und Datenschutz

● Abnahme- und Freigabeverfahren für Hard- und Standardsoftware

● Wartungsverträge mit SLAs und Berücksichtigung von Sicherheitsanforderungen

22Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Verwaltungsbezogene Bereiche: Maßnahmenempfehlungen III

● Personelle Sicherheit:● Sensibilisierung / Schulung der Mitarbeiter

bezügl. Informationssicherheit● Durchsetzung disziplinarischer Maßnahmen bei

Verletzung der Sicherheitspolitik ● Geregelte Prozesse beim Ausscheiden eines

Mitarbeiters (Arbeitsmittel, Zugangsberechtigungen löschen, ...)

23Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Sicherheitsstatus –Nach erfolgreicher Maßnahmenumsetzung

IS-Management

Organisation

Klassifizierung v. Werten

Personal

Physische Sicherheit

Kommunikation Zugangskontrolle

Entwicklung / Wartung

Sicherheitsvorfälle

Notfallplanung

Compliance

24Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Nächste SchritteZu verbessernde Themenbereiche

Übergeordnete Bereiche

Verwaltungsbezogene Bereiche

● Informationssicherheitsmanagement●Organisation●Behandlung von Sicherheitsvorfällen

●Personelle Sicherheit●Kommunikation und Betrieb●Entwicklung und Wartung

Folgeauftrag DFN-CERTUntersuchung der Umsetzungsvarianten für Informationssicherheitsbeauftragten:a) ISB als Mitarbeiter der UL ausschließlich für

Informationssicherheit der Universität zuständigb) ISB als „Managed Service“ eines externen

Dienstleisters für Informationssicherheit der Universität

c) ISB als gemeinsam finanzierter „Shared Service“ der Leipziger Hochschulen sowie ggf. außeruniversitärer Forschungs- einrichtungen in den Varianten eigenes Personal/Shared Service

25Auth, Ullrich Erfahrungsbericht mit der OCTAVE-Methode 09.05.2012

Vielen Dank! Fragen?

KontaktDr. Gunnar AuthE-Mail: gunnar.auth@uni-leipzig.deTel.: 0341 97 33301Martin UllrichE-Mail: martin.ullrich@uni-leipzig.deTel.: 0341 97 33340