boban krsic - is-management als prävention von cyber

SerNet

IS-Management als Prävention von Cyber-Bedrohungen bei der DENIC eG

Boban Krsic, DENIC eGAlexander Koderman, SerNet GmbH

Bonn, den 21.05.2015

Agenda

• Kurzvorstellung

• IS-Standards

• Prozessbewertung

• Reifegrad des Managementrahmens

• ISMS bei DENIC

• Strategische Ausrichtung und Steuerung des ISMS

• Risikomanagement im Rahmen des ISMS

• Ausblick

2 © DENIC eG, SerNet GmbH

Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


Kurzvorstellung - DENIC eG

Eingetragene Genossenschaft mit Sitz in Frankfurt am Main, gegründet 1996.

Zentrale Registrierungsstelle für alle Domains unterhalb der länderbezogenen Top Level Domain .de sowie für ENUM-Domains (E.164 NUmber Mapping) unter .9.4.e164.arpa, dem deutschen Rufnummernraum.

Selbstverständnis als neutraler, diskriminierungsfreier, Not-for-Profit-Dienstleister für die Internet Community, der seiner Verantwortung gemeinsam mit den mehr als 320 Mitgliedern (Registrare, ISP) der Genossenschaft nachkommt.

Aufgaben und Tätigkeitsbereiche: Betrieb des Nameservices für .de und für .9.4.e164.arpa.

Betrieb eines automatischen Registrierungssystems und der Domaindatenbank sowie Bereitstellung von Auskunftsdiensten und einer Service Hotline.

Aktive Mitgestaltung der Weiterentwicklung des Internets und von Internet-Standards (RFC) in internationalen Gremien (ICANN, RIPE, IETF, CENTR).


Kurzvorstellung - DENIC eG - Nameservice für .de

18 eigene Nameserverstandorte und35+ ergänzende Anycast-Standorte in der ganzen Welt

> 40.000 Nameserveranfragen pro Sekunde im Durchschnitt


Kurzvorstellung – SerNet GmbH

gegründet 1997

Büros in Göttingen und Berlin

Themen: Informationssicherheit und Datenschutz

spezialisiert auf Open Source Software

verinice.: Open Source ISMS Tool

SAMBA: Windows/Linux-Interoperabilität, Clustering und Private Clouds

Zertifizierungen und Audits, IT-Grundschutz und ISO 27001

Firewalls und VPN-Lösungen für mittlere und große Einrichtungen

Old Economy: kein Risiko-Kapital, keine Bank-Kredite

über 1500 Bestandskunden in DE, EU, US


Agenda

• Kurzvorstellung

• IS-Standards

• (ISMS) Prozessbewertung


• ISMS bei DENIC



• Ausblick


IS-Standards

Fokus: internationales Umfeld

ISO/IEC 27001:2013

ISMS: Zertifizierbarer Managementrahmen für IS

Controls im Anhang

Unterstützt durch Standardreihe ISO27k

ISO/IEC 27005:2011

IS-Risikobeurteilung

IS-Risikobehandlung

Anpassung des ISMS an Bedrohungslage


Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


Prozessbewertung

ISO/IEC 15504-2 Rahmenwerk zur Reifegradbewertung von Prozessen

Ursprünglich bekannt als „SPICE“ (Software Process Improvement and CapabilityDetermination)

Inzwischen auch für System- und Service-Delivery, Beispiel in ISO/IEC 12207:2008 (Software life cycle processes)

Bewertung in zwei Dimensionen Process Reference Model (PRM)

Process Assessment Model (PAM)


Prozessbewertung

ISO/IEC 15504-3 Anleitung zur Durchführung einer Reifegradbewertung

Unterschiedliche Prozesse haben gemeinsame Attribute

Diese werden definiert und den Reifegraden zugeordnet

Für jeden Prozess wird Erfüllungsgrad der einzelnen Attribute festgestellt und dokumentiert

Vollständig erfüllt

Teilweise erfüllt

Nicht erfüllt

Gesamtreifegrad für den Prozess ergibt sich aus Erfüllung der Attribute


Prozessbewertung - ISMS

Normative Vorgaben der ISO/IEC 27001:2013: Managementprozesse und Maßnahmenziele über Reifegradbewertung

Verfolgung strategischer Geschäftsziele über Erfüllung von KPIs

Reaktion auf Risiken über erfolgte IS-Risikobehandlung


Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


Reifegrad des Managementrahmens

Process Reference Model (PRM) Liste von Prozessen, Prozesspraktiken und Arbeitsergebnissen

Neun ISM-Prozesse Prozess 1: Management Review

Prozess 2: Audit

Prozess 3: Improvement

Prozess 4: Information Asset Management

Prozess 5: Organizational Management

Prozess 6: ISMS Establishment and Maintenance

Prozess 7: Measurement

Prozess 8: Human Resource Management

Prozess 9: Risk Management


* vgl. Mangin et al. (2012): Designing a process refererence model for Information Security Management Systems

Reifegrad des Managementrahmens

Process Assessment Model (PAM)

Integration der Annex A Maßnahmen in vorhandene Geschäftsprozesse Maßnahmen erweitern bestehende Prozesspraktiken und Prozessergebnisse

Werden zum Teil des PAM der allgemeinen Geschäftsprozesse

Zusätzlich definierte Prozesse zur Erfüllung der Maßnahmenziele Machen Erfüllung der Maßnahmenziele messbar

Prozesspraktiken für die Reifegradbewertung abgeleitet aus Implementierungshilfe ISO/IEC 27002:2013


*vgl. Mesquida, Mas (2015): Implementing information security best practices on software lifecycle processes: The ISO/ IEC15504 Security Extension

Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


ISMS bei DENIC – Ausgestaltung

Ganzheitliche Ausrichtung des ISMS nach ISO/IEC 27001:2013

Scope des ISMS: Gesamtes Unternehmen inkl. aller erbrachten Dienste

Aufbau des ISMS unter Berücksichtigung der strategischen Unternehmensziele* Operational Excellence - Stärkung des operativen Kerngeschäftes durch Verbesserung

der Effizienz sowie Erhöhung der Qualität und Skalierbarkeit der Dienste

Gestaltung von und Weiterentwicklung der DENIC-Aufgaben in neue Bereiche, die die Bereitstellung neutraler Internet-Infrastrukturdienste benötigen

Stärkung des Modells der industriellen Selbstverwaltung

Risikomanagement der Informationssicherheit nach ISO/IEC 27005:2011

Steuerung des ISMS unter Verwendung von Key Performance Indikatoren (KPIs), die unter Zuhilfenahme von COBIT 5 for Information Security abgeleitet wurden

* vgl. hierzu Strategiepapier der DENIC eG, S.1 ff. vom März 2008


ISMS bei DENIC – Scope im Detail


https://intern.denic.de/display/Informationssicherheit/ISMS+bei+DENIC

Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


Strategische Ausrichtung und Steuerung des ISMS

Unter Berücksichtigung der strategischen Unternehmensziele wurden die nachfolgenden generischen Ziele zur Ausrichtung aller Aktivitäten des ISMS auf gemeinsame Ziele relevanter Interessengruppen identifiziert: Finanzen

2. Portfolio wettbewerbsfähiger Produkte und Services

3. Gemanagtes Unternehmensrisiko (Sicherung der Betriebsmittel)

Kunden (Mitglieder) 7. Kontinuität und Verfügbarkeit von Services

10. Optimierung der Kosten für die Serviceerbringung

Prozesse 11. Optimierung der Funktionalität von Geschäftsprozessen

12. Optimierung der Geschäftsprozesskosten

Mitarbeiter 16. Kompetente und motivierte Mitarbeiter



Unter Anwendung der Zielkaskadierung von „COBIT 5 for Information Security“ wurden die nachfolgenden sicherheitsspezifischen Prozessziele und dazugehörigen Metriken zur zukünftigen Steuerung des ISMS abgeleitet.



Jährliche Ermittlung des Umsetzungsstatus aller Maßnahmenziele der normativen Anforderungen der ISO/IEC 27001:2013


* Grafik zeigt den Reifegrad der Umsetzung des ISMS bei DENIC – Ende 2014

Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


Risikomanagement im Bereich Information Security bei DENIC


Orientierung an ISO/IEC 27005

Prozessuale Einbindung in das übergreifende Risikomanagement bei DENIC

Kontext deckungsgleich mit ISMS

Beteiligte Akteure / Rollen: Risikomanager

Risikomanagementkreis

Risikoverantwortliche

Ermittlung der Risiken durch: Workshops mit Fachseite / Betrieb

Bedrohungsmodellierung

Bedrohungskataloge

Risikomanagement im Bereich Information Security bei DENIC


Agenda

• Kurzvorstellung

• IS-Standards



• ISMS bei DENIC



• Ausblick


Ausblick

• Überarbeitung sicherheitsspezifischen Prozessziele und dazugehörigen Metriken

• Integration der Prozessziele in ein Process Reference Model bzw. in die übergreifenden ISMS Prozesse nach Mangin et. al

• Risikobasierte Neubewertung des Process Reference Models

• Kontinuierliche Aktualisierung des Risikomodells und Anpassung der Maßnahmen


Fragen?

Vielen Dank!

Boban Krsic, DENIC eGChief Information Security Officer

e-mail: <[email protected]>phone: +49 69 272 35 – 120

PGP Key-ID: 0x43C89BA9


Alexander Kodermann, SerNet GmbHAbteilungsleiter - Certifications & Audits

e-mail: <[email protected]>phone: +49 30 5 779 779 - 0

boban krsic - is-management als prävention von cyber

Documents