Prozessorientiertes Risikomanagement für Informationssicherheitam Beispiel der Methode OCTAVE
solutions.hamburg, 11. September 2015
Christian Aust, .consecco
2Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
.consecco: die Vorstellung
� Unabhängige Unternehmensberatung in Hamburg seit 2004
� Wir bieten:
� Hochqualifizierte Beratung, Schulungen und Audits
� Unsere Themen:
� Informationssicherheit und Risikomanagement
� (IT) Service Management nach ITIL / ISO 20000
� Qualitätsmanagement
� Unser Branchenschwerpunkt:
� IT-Dienstleister
� Banken und Versicherungen
� Luftfahrt-Industrie
� Weitere Informationen: www.consecco.de
3Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Prozessorientiertes Risikomanagement (RM)gewinnt an Bedeutung!
� Bekannte Managementsysteme fordern heute bereits einen
RM-Prozess oder werden dies in naher Zukunft tun, z.B.:
� Informationssicherheit (ISMS nach ISO 27001)
� Business Continuity Management (BCMS nach ISO 22301)
� (IT) Service Management (SMS nach ISO 20000)
� Qualitätsmanagement (QMS nach ISO 9001 ab 2016)
� Umweltmanagement (UMS nach ISO 14001)
� Die gemeinsame Basis für diesen RM-Prozess ist
� ISO 31000 als allgemeingültige Beschreibung
� ISO 27005 speziell für Informationssicherheit
� Das Prozessmodell ist in beiden Standards identisch
5Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Was ist OCTAVE?
� “Operationally Critical Threat, Asset and Vulnerability Evaluation”
� Anschauliche, praxisorientierte Methode zum
prozess- und werte-orientierten Risikomanagement (RM)
in der Informationssicherheit
� Entwickelt von der internationalen CERT-Community,
federführend dem CERT/CC der Carnegie Mellon University
� Gute Struktur der einzelnen Aktivitäten auf Basis von themenbezogenen
Workshops
� Unterstützung des Anwenders durch
� ausführliche Anleitungen, Arbeitsblätter und Checklisten
� Konform zu den den Anforderungen der ISO 27001:2013
sowie den Empfehlungen der RM-Standards ISO 31000 und ISO 27005
6Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
OCTAVE: die Phasen
Vorbereitung
• Werte• Bedrohungen• vorhandene Sicherheitsmaßnahmen
• Schwachstellen• Sicherheitsanforderungen
• Risiken• Schutzstrategie
• Schlüsselkomponenten• Technische Schwachstellen
Phase 2Technische Sicht
Phase 1Organisatorische Sicht
Phase 3Strategien
und Pläne• Teambildung
7Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Phase 1: Organisatorische SichtÜberblick
� Ziel: Ermittlung von Bedrohungsprofilen
� Inhalt:
� Aufstellen einer Bewertungsmetrik
� Identifizieren kritischer Werte (Assets) und ihres Schutzbedarfs
� Durchführen einer Ist-Analyse zum aktuellen Sicherheitsniveau
� Identifizieren und Bewerten relevanter Bedrohungen pro Asset
� Typische Fragestellungen:
� Welche kritischen Werte sind vorhanden?
� In welcher Beziehung stehen sie zueinander?
� Welchen spezifischen Bedrohungen sind sie ausgesetzt?
� Welche Sicherheitsmaßnahmen sind bereits vorhanden?
8Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Phase 2: Technische SichtÜberblick
� Ziel: Identifizierung von Schwachstellen
� Inhalt:
� Strukturierung der beteiligten technischen Systeme und ihrer Schnittstellen
� Identifizierung wesentlicher Schwachstellen
� Bewertung der aktuellen Betriebssicherheit
� Fragestellungen:
� Wie greifen Mitarbeiter auf die kritischen Werte zu?
� Welche Komponenten der IT-Infrastruktur sind den kritischen Werten
zuzuordnen?
� Welche technischen Schwachstellen sind vorhanden?
9Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Phase 3: Strategien und PläneÜberblick
� Ziel: Erarbeitung eines Risikobehandlungsplanes
� Inhalt:
� Entwickeln einer Sicherheitsstrategie
� Bewerten jeder Bedrohung durch Eintrittswahrscheinlichkeit und
Schadensauswirkung => damit wird die Bedrohung zum Risiko
� Festlegen der individuellen Behandlung pro Risiko
� Fragestellungen:
� In welchen Themenbereichen wollen wir uns konkret verbessern?
� Wie bewerten wir das Risiko?
� Wie behandeln wir das Risiko? Welche Maßnahmen sind ggf. nötig?
� Welche Maßnahmen müssen kurzfristig/mittelfristig/langfristig umgesetzt
werden? Welche Ressourcen sind erforderlich?
� Welche Veränderungen sind für ein kontinuierliches Sicherheitsmanagement
erforderlich?
10Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
OCTAVE-Ablauf: die Struktur
� 3 Phasen plus Vorbereitung
� 5 Prozesse
� S1: Bewertungskriterien, Werte,
vorhandene Maßnahmen
� S2: Identifizierung kritischer Werte mit
Anforderungen und Bedrohungen
� S3: Erfassung der IT-Infrastruktur
und ihrer Schwachstellen
� S4: Risikoanalyse und Sicherheitsstrategie
� S5: Schutzstrategie und Risiko-Behandlungsplan
� 16 Aktivitäten
� S1.1-3, S2.1-3, S3.1-2, S4.1-3, S5.1-5
11Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Bedrohungsanalyse mit Bedrohungsbäumen
� S2.3: Relevante Bedrohungen identifizieren
� Basis: 4 Bedrohungsprofile
� Personen mit Netzwerkzugang
� Personen mit physischem Zugang
� Technische Probleme (Systeme)
� Weitere Problemfelder, z.B. Infrastruktur, Dienstleister, Höhere Gewalt
� Ein Bedrohungsbaum bezieht sich auf einen kritischen Wert sowie ein
Profil und hat i.a. die Struktur
� Wert – Zugriff – Akteur – Motiv - Schaden
13Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Schadenswirkung für Bedrohung durch Personen mit Netzwerkzugang
14Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Risikobewertung und -behandlung
� S4: Identifizierung und Analyse der Risiken
� S4.1: Abschätzung der Schadenswirkung
auf Basis der identifizierten Bedrohungen
� S4.3: Abschätzung der Eintrittswahrscheinlichkeit
für ein vorgegebenes Bedrohungsszenario
� S5: Entwicklung einer Risikostrategie
und eines Plans zur Risikominimierung
� S5.1: Beschreibung der aktuell umgesetzten Sicherheitsmaßnahmen
für die einzelnen Themenbereiche
� S5.3: Identifikation notwendiger Sicherheitsmaßnahmen
zur Risikominimierung und Umsetzungsplanung
15Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Risikobewertung und -behandlungmit Themenbezug zur ISO 27001
16Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Tool-Unterstützung bei OCTAVE
� Standard: vorbereitete Excel-Arbeitsblätter
� Alternative: ADORA
� Assistent zur Durchführung einer OCTAVE Risiko-Analyse
� Entwickelt vom DFN-CERT im Rahmen einer Diplomarbeit in 2011
� Unterstützung des gesamten Workflows
� Assistenten u.a. für Exportfunktionen und Risikoberechnung
� Systemeigenschaften
� Client-Server Modell
� Zertifikatsbasierter Zugang über ein Webportal
� Abruf der aktuellen Arbeitsblätter bei jedem Start
� Datenhaltung als XML-Datei beim Client, nicht beim DFN-CERT
� Freiwillige Weitergabe von Ergebnissen zum Benchmarking
� Unterstützt 4-Augen-Prinzip
17Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Zusammenfassung: die Vorteile von OCTAVE
� Anwendung einer strukturierten und skalierbaren Methode
� Maßgebliche Beteiligung aller Verantwortlichen incl. Management
� Berücksichtigung betriebswirtschaftlicher Aspekte
� Arbeitsblätter führen das Analyseteam durch die gesamte Evaluation
� Klare Trennung zwischen dringenden und kontinuierlichen Maßnahmen
� Schärfung des Sicherheitsbewusstseins der Mitarbeiter
� Grundlage für ein ISMS und eine Zertifizierung nach ISO 27001
(und weiterer Managementsystem-Standards)
� Investitionen in risikoreduzierende Maßnahmen sind leichter
argumentierbar
18Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Herzlichen Dank für Ihre Aufmerksamkeit !
� Offene Fragen?
Christian AustDipl.-Ing.
Geschäftsführer
.consecco business.security.management
Stresemannstraße 34222761 Hamburg
Fon 040 – 89 06 64 86
Fax 040 – 89 06 64 88
Mobil 0151 – 15 22 29 54
Mail [email protected]
Web www.consecco.de