Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
10. Information-Security-Symposium öffentlich
ISO 27001 für das Internet
ISMS-Einführung bei nic.at
Christian Proschinger CISO
Datum: 04.06.2014
10. Information-Security-Symposium öffentlich
ISO/IEC 27001:2013 Implementierung
2
10. Information-Security-Symposium öffentlich
Das Domain Name System
3
.
com at
meineFirma
www
ch wien
mail.meineFirma.at
10. Information-Security-Symposium öffentlich
Wer ist nic.at? .at: Registrierung und Verwaltung der .at - Zone Betrieb von Country Code Top Level Domains (ccTLDs) Betrieb von Generic Top Level Domains (gTLDs) Betrieb eines Anycast-Netzwerks an 9 Standorten – RCode Zero Entwicklung von Software zur Verwaltung und den Betrieb von
Top Level Domains CERT.at – nationales Computer Emergency Response Team GovCERT Austria – Government CERT gemeinsam mit
Bundeskanzleramt Austrian Trust Circle – Security Information Exchanges Eigentümer Internet Privatstiftung Austria
4
10. Information-Security-Symposium öffentlich
5
10. Information-Security-Symposium öffentlich
Zahlen und Fakten nic.at 2 Bürostandorte
Salzburg Wien
ca. 50 Mitarbeiter 3 RZ-Standorte in Wien 1 RZ-Standort in Salzburg 9 RZ-Standorte an wichtigen
Knotenpunkten des Internets 6
10. Information-Security-Symposium öffentlich
Betreiber kritischer Infrastruktur als KMU
7
vs.
Quelle: en.wikipedia.org
hands-on, dynamisch, hohe Expertise, flache Hierarchien, flexibel, spezifische Lösungen, hohe Eigenverantwortung, basisdemokratisch
klare Strukturen, klare Hierarchien und Zuständigkeiten, Supportprozesse, Unterstützungstools, Management-systeme, sehr arbeitsteilig
10. Information-Security-Symposium öffentlich
Management Briefing
8
IS Aspekte Projektmanagement
Bet
rieb
– liv
e!
Basecamp 1 Basecamp 2
Zerti
fizie
rung
Ticketing
Zentrale Prozessdoku
AD Redesign
Basi
s
Org ISMS
Ext Lieferanten
Informationsklassifikation
Risikomgmt
Min
dest
. IS
MS
Riskomanagement oper. Review ISMS
10. Information-Security-Symposium öffentlich
Management Support
9
Kontinuierliche Verbesserung für .at
Erfüllung der ICANN-Anforderung für die gTLDs
Regelmäßige externe Meinung durch Zertifizierung
10. Information-Security-Symposium öffentlich
Dokumentation Prozesshaus
„Wirklich relevante“ Prozesse
Intranet Informationssicherheitspolitik Standard Richtlinien Generelle Anleitungen
Wiki(s) Abteilungsspezifische Anleitungen Betriebsdokumentation
„Ticketing“-System Nachvollziehbarkeit der Umsetzung Asset Management
10
10. Information-Security-Symposium öffentlich
Risikomanagement
Risikomanagement muss verständlich sein
Aufzeigen der Konsequenzen von Entscheidungen
Nachvollziehbarkeit der Entscheidungen
Von „Keif“ zu „Life“
11
Security-“Keif“-Cycle
10. Information-Security-Symposium öffentlich
Lieferanten Teilweise 100% Lieferanten aus universitärem Umfeld
Seit Jahren erfolgreiche Zusammenarbeit nach „best-effort“ Weitere Professionalisierung durch ISO 27001
Weitere Verbesserungen in der Zusammenarbeit Klare Meldewege für Sicherheitsvorfälle in beide Richtungen Regelm. explizite Security-Meetings mit Bericht an Management Gemeinsame Risikoanalyse und Definition von Controls Regelm. Audits (extern/intern) Gemeinsame Maßnahmenplanung und Monitoring der Umsetzung
12
10. Information-Security-Symposium öffentlich
Sicherheitsvorfälle Lieferanten
SOFORTIGE gegenseitige Information bei Sicherheitsvorfällen oder Verdacht Gemeinsame Bewertung des aktuellen Risikos Gemeinsame Maßnahmen
Mitarbeiter Explizite Aufforderung zur Meldung von Sicherheitsvorfällen
oder Verdachtsfällen Information wohin sie/er sich wenden kann Persönlich unterschrieben von jedem Mitarbeiter im
Dienstvertrag Allgemeine und spezifische Security-Trainings
13
10. Information-Security-Symposium öffentlich
Informationsaustausch über Sicherheitsvorfälle CENTR Security Working Group
Mailingliste für aktuelle Vorfälle Diskussion aktueller Angriffe auf Registries
Austrian Trust Circle Sektorspezifische Runden im Bereich der
kritischen Infrastruktur Hosted by CERT.at
Mitarbeiter aus ISM auch teilw. CERT.at Teammitglieder
14
10. Information-Security-Symposium öffentlich
Notfallübungen
15
• Länderübergreifende Koordination / Kommunikation International
• Koordination • Zuständigkeiten • Kontakte
• Öffentliche Hand • Kritische Infrastruktur
• Kommunikationswege
National
• Kommunikation • Business Continuity
Management • Erkennung Sicherheitsvorfälle • Reaktion Sicherheitsvorfälle
Unternehmensebene
10. Information-Security-Symposium öffentlich
Kommunikation
Business Impact Analyse Notfall- und Krisenkommunikation für nic.at besonders wichtig Beispielszenario: Unvollständige .at-Zone
www.nic.at nicht mehr erreichbar Abhilfe: Facebook als Kommunikationsmittel für den Ernstfall
+ Domains anderer TLDs z.B. atregistry.org Wichtig: Nameserver!
16
10. Information-Security-Symposium öffentlich
Vorteile ISMS mit Zertifizierung Klare Ziele und Vorgaben mit
externer Beurteilung und Feedback Begleitende Maßnahme für
Wachstum, da es Strukturen schafft bzw. harmonisiert
Gratwanderung – Flexibilität muss erhalten bleiben
Stärkung der Eigenverantwortung – ISM als Unterstützung
17
10. Information-Security-Symposium öffentlich
Fragen?
18
Kontakt: Christian Proschinger Karlsplatz 1, 1010 Vienna, Austria email: christian.proschinger (at) nic.at www.nic.at