10. Information-Security-Symposium öffentlich

ISO 27001 für das Internet

ISMS-Einführung bei nic.at

Christian Proschinger CISO

Datum: 04.06.2014

10. Information-Security-Symposium öffentlich

ISO/IEC 27001:2013 Implementierung

2

10. Information-Security-Symposium öffentlich

Das Domain Name System

3

.

com at

meineFirma

www

mail

ch wien

mail.meineFirma.at

10. Information-Security-Symposium öffentlich

Wer ist nic.at? .at: Registrierung und Verwaltung der .at - Zone Betrieb von Country Code Top Level Domains (ccTLDs) Betrieb von Generic Top Level Domains (gTLDs) Betrieb eines Anycast-Netzwerks an 9 Standorten – RCode Zero Entwicklung von Software zur Verwaltung und den Betrieb von

Top Level Domains CERT.at – nationales Computer Emergency Response Team GovCERT Austria – Government CERT gemeinsam mit

Bundeskanzleramt Austrian Trust Circle – Security Information Exchanges Eigentümer Internet Privatstiftung Austria

4

10. Information-Security-Symposium öffentlich

5

10. Information-Security-Symposium öffentlich

Zahlen und Fakten nic.at 2 Bürostandorte

Salzburg Wien

ca. 50 Mitarbeiter 3 RZ-Standorte in Wien 1 RZ-Standort in Salzburg 9 RZ-Standorte an wichtigen

Knotenpunkten des Internets 6

10. Information-Security-Symposium öffentlich

Betreiber kritischer Infrastruktur als KMU

7

vs.

Quelle: en.wikipedia.org

hands-on, dynamisch, hohe Expertise, flache Hierarchien, flexibel, spezifische Lösungen, hohe Eigenverantwortung, basisdemokratisch

klare Strukturen, klare Hierarchien und Zuständigkeiten, Supportprozesse, Unterstützungstools, Management-systeme, sehr arbeitsteilig

10. Information-Security-Symposium öffentlich

Management Briefing

8

IS Aspekte Projektmanagement

Bet

rieb

– liv

e!

Basecamp 1 Basecamp 2

Zerti

fizie

rung

Ticketing

Zentrale Prozessdoku

AD Redesign

Basi

s

Org ISMS

Ext Lieferanten

Informationsklassifikation

Risikomgmt

Min

dest

. IS

MS

Riskomanagement oper. Review ISMS

10. Information-Security-Symposium öffentlich

Management Support

9

Kontinuierliche Verbesserung für .at

Erfüllung der ICANN-Anforderung für die gTLDs

Regelmäßige externe Meinung durch Zertifizierung

10. Information-Security-Symposium öffentlich

Dokumentation Prozesshaus

„Wirklich relevante“ Prozesse

Intranet Informationssicherheitspolitik Standard Richtlinien Generelle Anleitungen

Wiki(s) Abteilungsspezifische Anleitungen Betriebsdokumentation

„Ticketing“-System Nachvollziehbarkeit der Umsetzung Asset Management

10

10. Information-Security-Symposium öffentlich

Risikomanagement

Risikomanagement muss verständlich sein

Aufzeigen der Konsequenzen von Entscheidungen

Nachvollziehbarkeit der Entscheidungen

Von „Keif“ zu „Life“

11

Security-“Keif“-Cycle

10. Information-Security-Symposium öffentlich

Lieferanten Teilweise 100% Lieferanten aus universitärem Umfeld

Seit Jahren erfolgreiche Zusammenarbeit nach „best-effort“ Weitere Professionalisierung durch ISO 27001

Weitere Verbesserungen in der Zusammenarbeit Klare Meldewege für Sicherheitsvorfälle in beide Richtungen Regelm. explizite Security-Meetings mit Bericht an Management Gemeinsame Risikoanalyse und Definition von Controls Regelm. Audits (extern/intern) Gemeinsame Maßnahmenplanung und Monitoring der Umsetzung

12

10. Information-Security-Symposium öffentlich

Sicherheitsvorfälle Lieferanten

SOFORTIGE gegenseitige Information bei Sicherheitsvorfällen oder Verdacht Gemeinsame Bewertung des aktuellen Risikos Gemeinsame Maßnahmen

Mitarbeiter Explizite Aufforderung zur Meldung von Sicherheitsvorfällen

oder Verdachtsfällen Information wohin sie/er sich wenden kann Persönlich unterschrieben von jedem Mitarbeiter im

Dienstvertrag Allgemeine und spezifische Security-Trainings

13

10. Information-Security-Symposium öffentlich

Informationsaustausch über Sicherheitsvorfälle CENTR Security Working Group

Mailingliste für aktuelle Vorfälle Diskussion aktueller Angriffe auf Registries

Austrian Trust Circle Sektorspezifische Runden im Bereich der

kritischen Infrastruktur Hosted by CERT.at

Mitarbeiter aus ISM auch teilw. CERT.at Teammitglieder

14

10. Information-Security-Symposium öffentlich

Notfallübungen

15

• Länderübergreifende Koordination / Kommunikation International

• Koordination • Zuständigkeiten • Kontakte

• Öffentliche Hand • Kritische Infrastruktur

• Kommunikationswege

National

• Kommunikation • Business Continuity

Management • Erkennung Sicherheitsvorfälle • Reaktion Sicherheitsvorfälle

Unternehmensebene

10. Information-Security-Symposium öffentlich

Kommunikation

Business Impact Analyse Notfall- und Krisenkommunikation für nic.at besonders wichtig Beispielszenario: Unvollständige .at-Zone

www.nic.at nicht mehr erreichbar Abhilfe: Facebook als Kommunikationsmittel für den Ernstfall

+ Domains anderer TLDs z.B. atregistry.org Wichtig: Nameserver!

16

10. Information-Security-Symposium öffentlich

Vorteile ISMS mit Zertifizierung Klare Ziele und Vorgaben mit

externer Beurteilung und Feedback Begleitende Maßnahme für

Wachstum, da es Strukturen schafft bzw. harmonisiert

Gratwanderung – Flexibilität muss erhalten bleiben

Stärkung der Eigenverantwortung – ISM als Unterstützung

17

10. Information-Security-Symposium öffentlich

Fragen?

18

Kontakt: Christian Proschinger Karlsplatz 1, 1010 Vienna, Austria email: christian.proschinger (at) nic.at www.nic.at