boban krsic - is-management als prävention von cyber
TRANSCRIPT
SerNet
IS-Management als Prävention von Cyber-Bedrohungen bei der DENIC eG
Boban Krsic, DENIC eGAlexander Koderman, SerNet GmbH
Bonn, den 21.05.2015
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
2 © DENIC eG, SerNet GmbH
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
3 © DENIC eG, SerNet GmbH
Kurzvorstellung - DENIC eG
Eingetragene Genossenschaft mit Sitz in Frankfurt am Main, gegründet 1996.
Zentrale Registrierungsstelle für alle Domains unterhalb der länderbezogenen Top Level Domain .de sowie für ENUM-Domains (E.164 NUmber Mapping) unter .9.4.e164.arpa, dem deutschen Rufnummernraum.
Selbstverständnis als neutraler, diskriminierungsfreier, Not-for-Profit-Dienstleister für die Internet Community, der seiner Verantwortung gemeinsam mit den mehr als 320 Mitgliedern (Registrare, ISP) der Genossenschaft nachkommt.
Aufgaben und Tätigkeitsbereiche: Betrieb des Nameservices für .de und für .9.4.e164.arpa.
Betrieb eines automatischen Registrierungssystems und der Domaindatenbank sowie Bereitstellung von Auskunftsdiensten und einer Service Hotline.
Aktive Mitgestaltung der Weiterentwicklung des Internets und von Internet-Standards (RFC) in internationalen Gremien (ICANN, RIPE, IETF, CENTR).
4 © DENIC eG, SerNet GmbH
Kurzvorstellung - DENIC eG - Nameservice für .de
18 eigene Nameserverstandorte und35+ ergänzende Anycast-Standorte in der ganzen Welt
> 40.000 Nameserveranfragen pro Sekunde im Durchschnitt
5 © DENIC eG, SerNet GmbH
Kurzvorstellung – SerNet GmbH
gegründet 1997
Büros in Göttingen und Berlin
Themen: Informationssicherheit und Datenschutz
spezialisiert auf Open Source Software
verinice.: Open Source ISMS Tool
SAMBA: Windows/Linux-Interoperabilität, Clustering und Private Clouds
Zertifizierungen und Audits, IT-Grundschutz und ISO 27001
Firewalls und VPN-Lösungen für mittlere und große Einrichtungen
Old Economy: kein Risiko-Kapital, keine Bank-Kredite
über 1500 Bestandskunden in DE, EU, US
6 © DENIC eG, SerNet GmbH
Agenda
• Kurzvorstellung
• IS-Standards
• (ISMS) Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
7 © DENIC eG, SerNet GmbH
IS-Standards
Fokus: internationales Umfeld
ISO/IEC 27001:2013
ISMS: Zertifizierbarer Managementrahmen für IS
Controls im Anhang
Unterstützt durch Standardreihe ISO27k
ISO/IEC 27005:2011
IS-Risikobeurteilung
IS-Risikobehandlung
Anpassung des ISMS an Bedrohungslage
8 © DENIC eG, SerNet GmbH
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
9 © DENIC eG, SerNet GmbH
Prozessbewertung
ISO/IEC 15504-2 Rahmenwerk zur Reifegradbewertung von Prozessen
Ursprünglich bekannt als „SPICE“ (Software Process Improvement and CapabilityDetermination)
Inzwischen auch für System- und Service-Delivery, Beispiel in ISO/IEC 12207:2008 (Software life cycle processes)
Bewertung in zwei Dimensionen Process Reference Model (PRM)
Process Assessment Model (PAM)
10 © DENIC eG, SerNet GmbH
Prozessbewertung
ISO/IEC 15504-3 Anleitung zur Durchführung einer Reifegradbewertung
Unterschiedliche Prozesse haben gemeinsame Attribute
Diese werden definiert und den Reifegraden zugeordnet
Für jeden Prozess wird Erfüllungsgrad der einzelnen Attribute festgestellt und dokumentiert
Vollständig erfüllt
Teilweise erfüllt
Nicht erfüllt
Gesamtreifegrad für den Prozess ergibt sich aus Erfüllung der Attribute
11 © DENIC eG, SerNet GmbH
Prozessbewertung - ISMS
Normative Vorgaben der ISO/IEC 27001:2013: Managementprozesse und Maßnahmenziele über Reifegradbewertung
Verfolgung strategischer Geschäftsziele über Erfüllung von KPIs
Reaktion auf Risiken über erfolgte IS-Risikobehandlung
12 © DENIC eG, SerNet GmbH
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
13 © DENIC eG, SerNet GmbH
Reifegrad des Managementrahmens
Process Reference Model (PRM) Liste von Prozessen, Prozesspraktiken und Arbeitsergebnissen
Neun ISM-Prozesse Prozess 1: Management Review
Prozess 2: Audit
Prozess 3: Improvement
Prozess 4: Information Asset Management
Prozess 5: Organizational Management
Prozess 6: ISMS Establishment and Maintenance
Prozess 7: Measurement
Prozess 8: Human Resource Management
Prozess 9: Risk Management
14 © DENIC eG, SerNet GmbH
* vgl. Mangin et al. (2012): Designing a process refererence model for Information Security Management Systems
Reifegrad des Managementrahmens
Process Assessment Model (PAM)
Integration der Annex A Maßnahmen in vorhandene Geschäftsprozesse Maßnahmen erweitern bestehende Prozesspraktiken und Prozessergebnisse
Werden zum Teil des PAM der allgemeinen Geschäftsprozesse
Zusätzlich definierte Prozesse zur Erfüllung der Maßnahmenziele Machen Erfüllung der Maßnahmenziele messbar
Prozesspraktiken für die Reifegradbewertung abgeleitet aus Implementierungshilfe ISO/IEC 27002:2013
15 © DENIC eG, SerNet GmbH
*vgl. Mesquida, Mas (2015): Implementing information security best practices on software lifecycle processes: The ISO/ IEC15504 Security Extension
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
16 © DENIC eG, SerNet GmbH
ISMS bei DENIC – Ausgestaltung
Ganzheitliche Ausrichtung des ISMS nach ISO/IEC 27001:2013
Scope des ISMS: Gesamtes Unternehmen inkl. aller erbrachten Dienste
Aufbau des ISMS unter Berücksichtigung der strategischen Unternehmensziele* Operational Excellence - Stärkung des operativen Kerngeschäftes durch Verbesserung
der Effizienz sowie Erhöhung der Qualität und Skalierbarkeit der Dienste
Gestaltung von und Weiterentwicklung der DENIC-Aufgaben in neue Bereiche, die die Bereitstellung neutraler Internet-Infrastrukturdienste benötigen
Stärkung des Modells der industriellen Selbstverwaltung
Risikomanagement der Informationssicherheit nach ISO/IEC 27005:2011
Steuerung des ISMS unter Verwendung von Key Performance Indikatoren (KPIs), die unter Zuhilfenahme von COBIT 5 for Information Security abgeleitet wurden
* vgl. hierzu Strategiepapier der DENIC eG, S.1 ff. vom März 2008
17 © DENIC eG, SerNet GmbH
ISMS bei DENIC – Scope im Detail
18 © DENIC eG, SerNet GmbH
https://intern.denic.de/display/Informationssicherheit/ISMS+bei+DENIC
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
19 © DENIC eG, SerNet GmbH
Strategische Ausrichtung und Steuerung des ISMS
Unter Berücksichtigung der strategischen Unternehmensziele wurden die nachfolgenden generischen Ziele zur Ausrichtung aller Aktivitäten des ISMS auf gemeinsame Ziele relevanter Interessengruppen identifiziert: Finanzen
2. Portfolio wettbewerbsfähiger Produkte und Services
3. Gemanagtes Unternehmensrisiko (Sicherung der Betriebsmittel)
Kunden (Mitglieder) 7. Kontinuität und Verfügbarkeit von Services
10. Optimierung der Kosten für die Serviceerbringung
Prozesse 11. Optimierung der Funktionalität von Geschäftsprozessen
12. Optimierung der Geschäftsprozesskosten
Mitarbeiter 16. Kompetente und motivierte Mitarbeiter
20 © DENIC eG, SerNet GmbH
Strategische Ausrichtung und Steuerung des ISMS
Unter Anwendung der Zielkaskadierung von „COBIT 5 for Information Security“ wurden die nachfolgenden sicherheitsspezifischen Prozessziele und dazugehörigen Metriken zur zukünftigen Steuerung des ISMS abgeleitet.
21 © DENIC eG, SerNet GmbH
Strategische Ausrichtung und Steuerung des ISMS
Jährliche Ermittlung des Umsetzungsstatus aller Maßnahmenziele der normativen Anforderungen der ISO/IEC 27001:2013
22 © DENIC eG, SerNet GmbH
* Grafik zeigt den Reifegrad der Umsetzung des ISMS bei DENIC – Ende 2014
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
23 © DENIC eG, SerNet GmbH
Risikomanagement im Bereich Information Security bei DENIC
24 © DENIC eG, SerNet GmbH
Orientierung an ISO/IEC 27005
Prozessuale Einbindung in das übergreifende Risikomanagement bei DENIC
Kontext deckungsgleich mit ISMS
Beteiligte Akteure / Rollen: Risikomanager
Risikomanagementkreis
Risikoverantwortliche
Ermittlung der Risiken durch: Workshops mit Fachseite / Betrieb
Bedrohungsmodellierung
Bedrohungskataloge
Agenda
• Kurzvorstellung
• IS-Standards
• Prozessbewertung
• Reifegrad des Managementrahmens
• ISMS bei DENIC
• Strategische Ausrichtung und Steuerung des ISMS
• Risikomanagement im Rahmen des ISMS
• Ausblick
26 © DENIC eG, SerNet GmbH
Ausblick
• Überarbeitung sicherheitsspezifischen Prozessziele und dazugehörigen Metriken
• Integration der Prozessziele in ein Process Reference Model bzw. in die übergreifenden ISMS Prozesse nach Mangin et. al
• Risikobasierte Neubewertung des Process Reference Models
• Kontinuierliche Aktualisierung des Risikomodells und Anpassung der Maßnahmen
27 © DENIC eG, SerNet GmbH
Fragen?
Vielen Dank!
Boban Krsic, DENIC eGChief Information Security Officer
e-mail: <[email protected]>phone: +49 69 272 35 – 120
PGP Key-ID: 0x43C89BA9
28 © DENIC eG, SerNet GmbH
Alexander Kodermann, SerNet GmbHAbteilungsleiter - Certifications & Audits
e-mail: <[email protected]>phone: +49 30 5 779 779 - 0