christian rian flo...intro duction to y securit ws20 | rische organisato sicherheit t echnische vs....
TRANSCRIPT
INSO � Industrial Software
Institut für Information Systems Engineering | Fakultät für Informatik | Te hnis he Universität Wien
Introdu tion to Se urity � VO 7:
Organisatoris he Si herheit/Si herheitsmanagement
Christian Brem, Florian Fankhauser
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Agenda
2 / 43
Einleitung
Beispiele Organisatoris her Si herheitsmaÿnahmen
Si herheitsmanagementprozess
(Se urity) Poli ies
PDCA-Modell
Standards und Normen zu IT-Si herheit
Si herheitskonzepte
Literatur
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Te hnis he vs. organisatoris he Si herheit
3 / 43
■ Bestimmte Herausforderungen lassen si h besser bzw. nur dur h
organisatoris he Maÿnahmen lösen.
■ �If you think te hnology an solve your se urity problems, then you
don't understand the problems and you don't understand the
te hnology.� (B. S hneier)
■ Breiter Bogen unters hiedli her Aspekte
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Beispiele für te hnis he Si herheitsmaÿnahmen
4 / 43
■ Usernamen/Passwörter
■ Firewall, Virens anner
■ Kryptographie
■ Vers hlüsselung
■ Elektronis he Signaturen
■ Hashes
■ Absi herung (drahtloser) Kommunikationswege (LAN, WLAN, et .)
mittels VPN/TLS
■ Si herheits-Pat hes und Systemhärtung (siehe Vorlesung zu
Betriebssystemsi herheit)
■ Sandbox-Systeme (siehe Vorlesung zu Betriebssystemsi herheit)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Organisatoris he Si herheitsaspekte
5 / 43
■ Primär der Aufbau des IT-Si herheits-Managements
(Si herheitsplanung)
■ GF: Formulierung einer IT-Si herheitsleitlinie (strategis he Aussagen)
■ Typis he Aufgaben sind z.B.
■ Eindeutige De�nition von Verantwortli hkeiten inklusive
Vertretungsregelungen sowie Kommunikationswege
■ IT-BenutzerInnen s hulen und für Si herheit sensibilisieren
■ Alle Maÿnahmen und Veränderungen dokumentieren
■ Regelmäÿige Audits
■ IT-Si herheit muss vom Management, den AdministratorInnen und
den IT-BenutzerInnen als fortlaufender Prozess verstanden und gelebt
werden!
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Beispiele Organisatoris her
Si herheitsmaÿnahmen
6 / 43
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
S hulung von MitarbeiterInnen
7 / 43
■ MitarbeiterInnen brau hen eine ausrei hende Einführung und S hulung
■ Ziel ist Etablierung eines Si herheitsbewusstseins
■ Betri�t sowohl den si heren Umgang mit IT-Systemen, als au h
Unternehmensdaten
■ Regelmäÿige S hulungen und Si herheitssensibilisierungen
■ Re htzeitige Unterri htung der MitarbeiterInnen über Bedrohungen
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herung von Daten
8 / 43
■ Verlust von Daten kann zu Eins hränkungen im Betrieb und
wirts haftli hen S häden führen
■ Daher: aktive Datensi herung (Ba kup)
■ Dur hführung regelmäÿiger Ba kups na h einem Ba kup-Plan
■ Bei wi htigen Daten evtl. au h Si herungskopien auÿerhalb des
Unternehmens
■ Regelmäÿige Kontrolle der Ba kups/Test der Wiederherstellung
gesi herter Daten (Restore)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si heres Lös hen von Daten
9 / 43
■ Besonderer S hutz für sensible Daten
■ Lös hen na h Ende von Aufbewahrungsfristen, Hardwaretaus h et .
■ Häu�ger Fall: ausrangierte HDDs enthalten interne Zahlen,
KundInneninformationen, Zugangsdaten,. . .
■ Einfa hes Lös hen ni ht ausrei hend � Daten können oft
wiederhergestellt werden
■ Verwendung von spezieller Soft- und/oder Hardware zur Zerstörung,
z.B. thermis h, aktives Übers hreiben
■ Auslagerung an spezialisierte Unternehmen
■ Dur hgehende Anwendung von Vers hlüsselung
■ Berü ksi htigung von Ausdru ken/Papier-Unterlagen
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Updates
10 / 43
■ Ständige Weiterentwi klung von S hadprogrammen, tw. mit sehr
hohem Gefährdungsgrad
■ Aufkommen neuer Te hnologien, die Angri�e ermögli hen oder die
Angri�swahrs heinli hkeit erhöhen
■ Laufende Updates der Risiko- und Bedrohungsanalysen
■ Zeitnahe Installation von Si herheitsupdates
■ Wartung eingesetzter Soft- und Hardware
■ → Prozesse
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Dokumentation
11 / 43
■ Soft- und Hardware, Daten, Prozesse
■ Stetig aktuelle Dokumentation bildet oft Grundlage für Aufgaben
■ Einzuhaltende Si herheitsanforderungen
■ Kon�gurationen der (wi htigsten) Systeme
■ Servi enummern der (wi htigsten) IT-Lieferanten und IT-Dienstleister
■ Vertragli he Vereinbarungen, SLAs
■ Prozesse (Onboarding, O�boarding,. . . )
■ Bere htigungen
■ Mögli hst hoher Automatisierungsgrad
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Überprüfung der Wirksamkeit von (organisatoris hen)
Si herheitsmaÿnahmen
12 / 43
■ (Organisatoris he) Si herheitsmaÿnahmen und Vorgaben sind
regelmäÿig auf Einhaltung und Wirksamkeit zu überprüfen
■ → Dokumentation
■ Aktualität von Software/IT-Systemen
■ Einhaltung von Ri htlinien seitens der MitarbeiterInnen
■ Aktualität der Notfallpläne und Dokumentationen
■ Test dur h externe Dienstleister, z.B. Penetrationstests
■ Besteht die Erfordernis, müssen entspre hende Anpassungen
vorgenommen werden
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Use Che klists
13 / 43
(Verglei he s hienestrasseluft.de, West Pharma euti al Servi es, In ., Tesla
Fa tory, Fremont (Maurizio Pes e), Curimedia)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitsmanagementprozess
14 / 43
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Festlegung der IT-Si herheitsverantwortli hen-Rollen
15 / 43
■ Klare Regelung von Verantwortli hkeiten und Zuständigkeiten
■ Festlegung IT-Si herheitsverantwortli her (CISO) (und Vertretung)
dur h Management
■ Anspre hpartnerIn bei auftretenden Si herheitsproblemen
■ Typis he Rollen sind beispielsweise
■ Information Se urity Manager (Zentrale Koordination und
Anspre hperson für das Thema Si herheit)
■ Information Risk Manager (Erkennung, Bewertung, Management
von Risiken)
■ IT-Si herheitsbeauftragter (Umsetzung von
Si herheitsmaÿnahmen)
■ Datens hutzbeauftragter (S hutz personenbezogener Daten)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Se urity Poli ies
16 / 43
�Die Si herheitsri htlinie (engl. se urity poli y) eines Systems oder einer
organisatoris hen Einheit legt die Menge von te hnis hen und organisatori-
s hen Regeln, Verhaltensri htlinien, Verantwortli hkeiten und Rollen sowie
Maÿnahmen fest, um die angestrebten S hutzziele zu errei hen.�
�Jede Organisation ist frei, die für ihren ges häftli hen Kontext als
relevant era hteten Ziele individuell festzulegen. Diese Ziele sind zu
dokumentieren, was meist im Überbli k in einer Se urity Poli y erfolgt �
im Deuts hen meist als Si herheitsleitlinie bezei hnet.�
(Verglei he E kert, IT-Si herheit; Kersten, IT-Si herheitsmanagement na h der
neuen ISO 27001)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Inhalte von (Se urity) Poli ies
17 / 43
■ Angestrebte IT-Si herheitsziele
■ Verfolgte IT-Si herheitsstrategie
■ Anspru h und Aussage zuglei h, dass das IT-Si herheitsniveau auf
allen Ebenen der Organisation errei ht werden soll
■ Die Verantwortung für die Se urity Poli y unterliegt der
Unternehmens-/Behörden/. . . -leitung
■ Eine Poli y muss von der GF verabs hiedet und vorgelebt werden
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Anforderungen an Poli ies
18 / 43
■ Vollständigkeit der Poli ies
■ Bekanntheit der Poli ies
■ Verständnis und aktives �Leben� der Poli ies
■ Laufende Überprüfung der Einhaltung von Poli ies
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitsri htlinien für MitarbeiterInnen
19 / 43
■ Eines der gröÿten Risiken ist Fehlverhalten von MitarbeiterInnen
■ Poli ies enthalten Vorgaben, um diesem Risiko entgegenzuwirken,
bzw. dieses zu mindern
■ Bes hreibung wie si her und korrekt mit IT und deren Komponenten
umgegangen wird
■ Fortwährende Anpassung und Ergänzung aufgrund aktueller
Entwi klungen wi htig (z.B. Smartphones, BYOD)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Konkrete Beispiel-Poli ies: TU Wien
20 / 43
■ Betriebs- und Benutzungsordnung des Zentralen Informatikdienstes
(ZID) der TU Wien
■ Die Se urity Poli y der TU Wien
■ Benützungsregelung für die Servi es von TUNET
■ https://www.it.tuwien.a .at/student/a ounteinri htung/
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Weitere Beispiele für mögli he Poli ies
21 / 43
■ Nutzung der IT und des Internets am Arbeitsplatz
■ Datens hutz
■ Zutritts-, Zugangs- und Zugri�ss hutz
■ Anlage/Deaktivierung bzw. Lös hung von A ounts
■ Verwendung von USB-Sti ks
■ Private Verwendung von Notebooks
■ Vers hlüsselung von Daten auf mobilen Clients
■ Externe Besu herInnen in Firmenräumen
■ Passwort-Poli y
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitsmanagementprozess
22 / 43
■ Darstellung z.B. als PDCA-Modell
(Verglei he BSI-Standard 100-1: IT-Grunds hutz-Vorgehensweise)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Planung (Plan)
23 / 43
■ Planung und Installation eines Si herheitsmanagements anhand
Risiko-, Si herheits- und Unternehmenspolitik, der betriebli hen
Anforderungen sowie der gesetzli hen Vorgaben
■ De�nition Vorgehensmodell zu Si herheits-, Kontinuitäts- und
Risikopolitik
■ Erhebung der Si herheits- und Kontinuitätsanforderungen
■ Erstellung von Si herheits- und Kontinuitätsri htlinien
■ Entwi klung von Si herheitskonzepten
■ Planung der Dur hführung von Maÿnahmen
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Betreiben (Do)
24 / 43
■ Einführung, Betrieb und Monitoring des Si herheitsmanagements
■ S hulung und Sensibilisierung von MitarbeiterInnen
■ Betrieb unter Berü ksi htigung der eingeführten Si herheits- und
Kontinuitätskonzepte
■ Messung und Überwa hung den Anforderungen entspre hend
(Erkennung & Alarmierung)
■ Sammlung von Controlling-Daten, Dur hführung von Ist-Soll
Verglei hen
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Prüfung (Che k)
25 / 43
■ Prüfung des Si herheitsmanagements in regelmäÿigen Abständen
■ Tests
■ Audits
■ Übungen
■ Si herheitsprüfungen
■ Dokumentation, Analyse/Auswertung und Beri ht der Ergebnisse
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Verbesserung (A t)
26 / 43
■ Weiterentwi klung des Si herheitsmanagements
■ Identi�zierung von Potenzial bzw. Änderungsbedarf
■ Adaptierung beispielsweise auf Grund
■ neuer Erkenntnisse
■ neuer Gesetze
■ Veränderungen der Umwelt
■ Priorisierung von Bedarfen und Erstellung einer Roadmap/eines
Projektplans zur Verbesserung
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
27 / 43
Wie s ha�en wir Vertrauen in die
IT-Si herheit einer
Organisation/eines Produkts?
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Standards und Normen zu IT-Si herheit
28 / 43
■ Errei hung von Vertrauen in IT-Si herheit: Standards und Normen
■ Zerti�zierung
■ Na hweis eines bestimmten Levels an IT-Si herheit
■ Einmaliger Na hweis vs. regelmäÿiger erneuter Na hweis der
IT-Si herheit
■ Teilweise Grundlage für Vertragsbeziehungen
■ Fokus auf unters hiedli he Aspekte der IT-Si herheit
■ Betriebs-Prozesse, Entwi klungs-Prozesse, Fertigungs-Prozesse,
te hnis he Maÿnahmen
■ ISO 27k Reihe, IT-Grunds hutz, Common Criteria (CC), COBIT,
ITIL, PCI/DSS,. . .
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Familie von Information Se urity Standards: ISO27k-Reihe
29 / 43
■ 27000: Übersi ht/Einführung ISO27k Standards inkl. verwendeter
Vokabeln
■ 27001: Information Se urity Management System (ISMS)
Anforderungen
■ 27005: Information Se urity Risk Management Standard
■ und viele weitere zu unters hiedli hsten Gebieten, teilweise no h in
Umsetzung
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
ISO 27001
30 / 43
■ Entwi kelt, um die Auswahl geeigneter und angemessener
Si herheitskontrollen dur hzuführen
■ Spezi�kation von Anforderungen an
Informationssi herheitsmanagementsysteme (ISMS)
■ Erri htung, Umsetzung, Betrieb, Überwa hung, Überprüfung,
Aufre hterhaltung und Verbesserung eines dokumentierten ISMS
■ Anwendbar auf Bedürfnisse von Organisationen jegli her Art, Gröÿe
oder Ausprägung oder Teile davon
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Aspekte bei der Einführung eines ISMS na h ISO 27001
31 / 43
■ ISMS-Ri htlinie, die die Grundlagen des ISMS bes hreibt
■ Umfang des ISMS
■ Prozeduren und Maÿnahmen zur P�ege eines ISMS
■ Bes hreibung der Methoden zur Risikobewertung
■ Risikobewertung selbst
■ Plan zum Umgang mit Risiken
■ Dokumentation der Si herheitsmaÿnahmen und eine Bes hreibung
zum Na hweis der E�ektivität
■ Erklärung über die Anwendbarkeit der einzelnen
Si herheitsmaÿnahmen
■ Evtl. weitere erforderli he Dokumente
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
IT-Grunds hutz: Idee und Konzeption
32 / 43
■ Herausgegeben vom BSI, Deuts hland
■ �Ko hbu h� für normales S hutzniveau
■ Praktikable Dur hführung von IT-Si herheitsanalysen
■ Kostene�ektive Erhöhung des IT-Si herheitsniveaus
■ S hnelle Identi�zierung von Si herheitsmaÿnahmen
■ S hnelle Umsetzung von Si herheitsmaÿnahmen
■ Angemessener S hutz dur h Kombination von organisatoris hen,
personellen, infrastrukturellen & te hnis hen Maÿnahmen
■ Verwendung eines Baukastenprinzips: Bausteine, Gefährdungen,
Maÿnahmen
■ Soll-Ist-Verglei h empfohlene und realisierte Maÿnahmen
■ Einfa he und arbeitsökonomis he Erstellung von
IT-Si herheitskonzepten
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
ITIL
33 / 43
■ Information Te hnology Infrastru ture Library
■ ITIL Si herheitsmanagement baut auf dem ISO 27001 Standard auf
■ Hinweise zu Best-Pra ti es
■ Ri htlinien was man wie umsetzen soll
■ Prozess-basiert
■ Optimierung des operativen Betriebs von IT-Servi es
■ Anwendung auf nahezu alle IT-Infrastrukturen mögli h
(Verglei he S. Weil: http://www.se urityfo us. om/info us/1815)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Si herheitskonzepte
34 / 43
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Inhalte eines IT-Si herheitskonzepts
35 / 43
■ Erforderli he Maÿnahmen zur
■ Realisierung und Aufre hterhaltung eines
■ angemessenen und de�nierten Si herheitsniveaus
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Zu beantwortende Fragen in einem Si herheitskonzept
36 / 43
■ Was will i h s hützen?
■ Wogegen soll i h mi h s hützen?
■ Wie kann i h diesen S hutz erzielen?
■ Kann i h mir diesen S hutz leisten?
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
S hritte zur Erstellung eines Si herheitskonzeptes na h
IT-Grunds hutz
37 / 43
(Verglei he BSI-Standard 100-2: IT-Grunds hutz-Vorgehensweise)
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Business Continuity (BC)
38 / 43
■ Mögli he und erforderli he Verfahren und Konzepte,
■ die bei Einwirkung existenzieller Bedrohungen
■ die Erhaltung der Ges häftstätigkeit ermögli hen.
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Literatur und Web-Referenzen 1/3
39 / 43
■ Mutlaq Alotaibi, Steven Furnell, und Nathan Clarke. Information
se urity poli ies: A review of hallenges and in�uen ing fa tors. In
2016 11th International Conferen e for Internet Te hnology and
Se ured Transa tions (ICITST), Seiten 352�358, Dezember 2016.
doi: 10.1109/ICITST.2016.7856729
■ Claudia E kert. IT-Si herheit: Konzepte - Verfahren - Protokolle.
Oldenbourg, Mün hen, 9. Auflage, 2014. ISBN 978-3-486-77848-9
■ Hans-Peter Königs. IT-Risiko-Management mit System.
Vieweg+Teubner, Wiesbaden, 3. Auflage, 2009. ISBN
978-3-8348-0359-7
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Literatur und Web-Referenzen 2/3
40 / 43
■ Heinri h Kersten, Gerhard Klett, Jürgen Reuter, und Klaus-Werner
S hröder. IT-Si herheitsmanagement na h der neuen ISO 27001.
Edition <kes>. Springer Vieweg, Wiesbaden. ISBN
978-3-658-14693-1
■ Bundesamt fuer Si herheit in der Informationste hnik. BSI Standard
200-1: Managementsysteme für Informationssi herheit (ISMS), 2017a.
https://www.bsi.bund.de/grunds hutz
■ Bundesamt fuer Si herheit in der Informationste hnik. BSI Standard
200-3: Risikoanalyse auf der Basis von IT-Grunds hutz, 2017b.
https://www.bsi.bund.de/grunds hutz
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Literatur und Web-Referenzen 3/3
41 / 43
■ Matt Bishop. Introdu tion to Computer Se urity. Pearson Edu ation,
In , 2003. ISBN 0-321-24744-2
■ Ross Anderson. Se urity Engineering. A Guide to Building
Dependable Distributed Systems. Wiley Publishing, In ., 2. Auflage,
2008. ISBN 978-0-470-06852-6. http://www. l. am.a .uk/
~rja14/book.html
■ Gitlab. Postmortem of database outage of January 31, 2017.
https://about.gitlab. om/blog/2017/02/10/
postmortem-of-database-outage-of-january-31/
Introdu tion to Se urity WS20 | Organisatoris he Si herheit
Zusammenfassung
42 / 43
■ Te hnis he vs. organisatoris he Si herheit
■ Beispiele für organisatoris he Si herheitsmaÿnahmen
■ Si herheitsmanagement und der dahinterliegende
Si herheitsmanagementprozess
■ (Se urity) Poli ies
■ Beispiele für Standards: ISO 27k, IT-Grunds hutz, ITIL
■ Si herheitskonzepte
■ Business Continuity
INSO � Industrial Software
Institut für Information Systems Engineering | Fakultät für Informatik | Te hnis he Universität Wien
Vielen Dank!
https://establishing-se urity.at/