Prozessorientiertes Risikomanagement für ...€¦ · ISO 31000 als allgemeingültige Beschreibung ISO 27005 speziell für Informationssicherheit Das Prozessmodell ist in beiden

Prozessorientiertes Risikomanagement für Informationssicherheitam Beispiel der Methode OCTAVE

solutions.hamburg, 11. September 2015

Christian Aust, .consecco

2Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

.consecco: die Vorstellung

� Unabhängige Unternehmensberatung in Hamburg seit 2004

� Wir bieten:

� Hochqualifizierte Beratung, Schulungen und Audits

� Unsere Themen:

� Informationssicherheit und Risikomanagement

� (IT) Service Management nach ITIL / ISO 20000

� Qualitätsmanagement

� Unser Branchenschwerpunkt:

� IT-Dienstleister

� Banken und Versicherungen

� Luftfahrt-Industrie

� Weitere Informationen: www.consecco.de


Prozessorientiertes Risikomanagement (RM)gewinnt an Bedeutung!

� Bekannte Managementsysteme fordern heute bereits einen

RM-Prozess oder werden dies in naher Zukunft tun, z.B.:

� Informationssicherheit (ISMS nach ISO 27001)

� Business Continuity Management (BCMS nach ISO 22301)

� (IT) Service Management (SMS nach ISO 20000)

� Qualitätsmanagement (QMS nach ISO 9001 ab 2016)

� Umweltmanagement (UMS nach ISO 14001)

� Die gemeinsame Basis für diesen RM-Prozess ist

� ISO 31000 als allgemeingültige Beschreibung

� ISO 27005 speziell für Informationssicherheit

� Das Prozessmodell ist in beiden Standards identisch


RM-Prozess nach ISO 31000 / 27005


Was ist OCTAVE?

� “Operationally Critical Threat, Asset and Vulnerability Evaluation”

� Anschauliche, praxisorientierte Methode zum

prozess- und werte-orientierten Risikomanagement (RM)

in der Informationssicherheit

� Entwickelt von der internationalen CERT-Community,

federführend dem CERT/CC der Carnegie Mellon University

� Gute Struktur der einzelnen Aktivitäten auf Basis von themenbezogenen

Workshops

� Unterstützung des Anwenders durch

� ausführliche Anleitungen, Arbeitsblätter und Checklisten

� Konform zu den den Anforderungen der ISO 27001:2013

sowie den Empfehlungen der RM-Standards ISO 31000 und ISO 27005


OCTAVE: die Phasen

Vorbereitung

• Werte• Bedrohungen• vorhandene Sicherheitsmaßnahmen

• Schwachstellen• Sicherheitsanforderungen

• Risiken• Schutzstrategie

• Schlüsselkomponenten• Technische Schwachstellen

Phase 2Technische Sicht

Phase 1Organisatorische Sicht

Phase 3Strategien

und Pläne• Teambildung


Phase 1: Organisatorische SichtÜberblick

� Ziel: Ermittlung von Bedrohungsprofilen

� Inhalt:

� Aufstellen einer Bewertungsmetrik

� Identifizieren kritischer Werte (Assets) und ihres Schutzbedarfs

� Durchführen einer Ist-Analyse zum aktuellen Sicherheitsniveau

� Identifizieren und Bewerten relevanter Bedrohungen pro Asset

� Typische Fragestellungen:

� Welche kritischen Werte sind vorhanden?

� In welcher Beziehung stehen sie zueinander?

� Welchen spezifischen Bedrohungen sind sie ausgesetzt?

� Welche Sicherheitsmaßnahmen sind bereits vorhanden?


Phase 2: Technische SichtÜberblick

� Ziel: Identifizierung von Schwachstellen

� Inhalt:

� Strukturierung der beteiligten technischen Systeme und ihrer Schnittstellen

� Identifizierung wesentlicher Schwachstellen

� Bewertung der aktuellen Betriebssicherheit

� Fragestellungen:

� Wie greifen Mitarbeiter auf die kritischen Werte zu?

� Welche Komponenten der IT-Infrastruktur sind den kritischen Werten

zuzuordnen?

� Welche technischen Schwachstellen sind vorhanden?


Phase 3: Strategien und PläneÜberblick

� Ziel: Erarbeitung eines Risikobehandlungsplanes

� Inhalt:

� Entwickeln einer Sicherheitsstrategie

� Bewerten jeder Bedrohung durch Eintrittswahrscheinlichkeit und

Schadensauswirkung => damit wird die Bedrohung zum Risiko

� Festlegen der individuellen Behandlung pro Risiko

� Fragestellungen:

� In welchen Themenbereichen wollen wir uns konkret verbessern?

� Wie bewerten wir das Risiko?

� Wie behandeln wir das Risiko? Welche Maßnahmen sind ggf. nötig?

� Welche Maßnahmen müssen kurzfristig/mittelfristig/langfristig umgesetzt

werden? Welche Ressourcen sind erforderlich?

� Welche Veränderungen sind für ein kontinuierliches Sicherheitsmanagement

erforderlich?


OCTAVE-Ablauf: die Struktur

� 3 Phasen plus Vorbereitung

� 5 Prozesse

� S1: Bewertungskriterien, Werte,

vorhandene Maßnahmen

� S2: Identifizierung kritischer Werte mit

Anforderungen und Bedrohungen

� S3: Erfassung der IT-Infrastruktur

und ihrer Schwachstellen

� S4: Risikoanalyse und Sicherheitsstrategie

� S5: Schutzstrategie und Risiko-Behandlungsplan

� 16 Aktivitäten

� S1.1-3, S2.1-3, S3.1-2, S4.1-3, S5.1-5


Beispiel: Bedrohungsanalyse mit Bedrohungsbäumen

� S2.3: Relevante Bedrohungen identifizieren

� Basis: 4 Bedrohungsprofile

� Personen mit Netzwerkzugang

� Personen mit physischem Zugang

� Technische Probleme (Systeme)

� Weitere Problemfelder, z.B. Infrastruktur, Dienstleister, Höhere Gewalt

� Ein Bedrohungsbaum bezieht sich auf einen kritischen Wert sowie ein

Profil und hat i.a. die Struktur

� Wert – Zugriff – Akteur – Motiv - Schaden


Beispiel: Bedrohungsbaum


Beispiel: Schadenswirkung für Bedrohung durch Personen mit Netzwerkzugang


Beispiel: Risikobewertung und -behandlung

� S4: Identifizierung und Analyse der Risiken

� S4.1: Abschätzung der Schadenswirkung

auf Basis der identifizierten Bedrohungen

� S4.3: Abschätzung der Eintrittswahrscheinlichkeit

für ein vorgegebenes Bedrohungsszenario

� S5: Entwicklung einer Risikostrategie

und eines Plans zur Risikominimierung

� S5.1: Beschreibung der aktuell umgesetzten Sicherheitsmaßnahmen

für die einzelnen Themenbereiche

� S5.3: Identifikation notwendiger Sicherheitsmaßnahmen

zur Risikominimierung und Umsetzungsplanung


Beispiel: Risikobewertung und -behandlungmit Themenbezug zur ISO 27001


Tool-Unterstützung bei OCTAVE

� Standard: vorbereitete Excel-Arbeitsblätter

� Alternative: ADORA

� Assistent zur Durchführung einer OCTAVE Risiko-Analyse

� Entwickelt vom DFN-CERT im Rahmen einer Diplomarbeit in 2011

� Unterstützung des gesamten Workflows

� Assistenten u.a. für Exportfunktionen und Risikoberechnung

� Systemeigenschaften

� Client-Server Modell

� Zertifikatsbasierter Zugang über ein Webportal

� Abruf der aktuellen Arbeitsblätter bei jedem Start

� Datenhaltung als XML-Datei beim Client, nicht beim DFN-CERT

� Freiwillige Weitergabe von Ergebnissen zum Benchmarking

� Unterstützt 4-Augen-Prinzip


Zusammenfassung: die Vorteile von OCTAVE

� Anwendung einer strukturierten und skalierbaren Methode

� Maßgebliche Beteiligung aller Verantwortlichen incl. Management

� Berücksichtigung betriebswirtschaftlicher Aspekte

� Arbeitsblätter führen das Analyseteam durch die gesamte Evaluation

� Klare Trennung zwischen dringenden und kontinuierlichen Maßnahmen

� Schärfung des Sicherheitsbewusstseins der Mitarbeiter

� Grundlage für ein ISMS und eine Zertifizierung nach ISO 27001

(und weiterer Managementsystem-Standards)

� Investitionen in risikoreduzierende Maßnahmen sind leichter

argumentierbar


Herzlichen Dank für Ihre Aufmerksamkeit !

� Offene Fragen?

Christian AustDipl.-Ing.

Geschäftsführer

.consecco business.security.management

Stresemannstraße 34222761 Hamburg

Fon 040 – 89 06 64 86

Fax 040 – 89 06 64 88

Mobil 0151 – 15 22 29 54

Mail [email protected]

Web www.consecco.de

Documents

Prozessorientiertes Risikomanagement für ...€¦ · ISO 31000 als allgemeingültige Beschreibung ISO 27005 speziell für Informationssicherheit Das Prozessmodell ist in beiden