EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

Industrie

eGovernment

eHealthcare

Energie

Transport

undmehr …

Soziale Netze

eEducation

Geschäftsziele/Regulierungen /Nachhaltigkeit

Internetof Things/ServiceComputing

EN 6.3: IT-Sicherheit und Technischer DatenschutzMittwoch, den 30. März 2016Dozent: Dr. Sven Wohlgemuth <[email protected]>

Themen

1. IT-Sicherheit und Datenschutz2. IT-Compliance und IT-Sicherheitsmanagement3. Sicherheitsmodelle4. Kryptographie5. Netzwerksicherheit6. Sichere Dienste7. IT-Risikomanagement8. Risikoidentifizierung9. Risikoquantifizierung10. Benutzbare Sicherheit

Agenda

2. IT-Compliance und IT-Sicherheitsmanagement

2.1 IT-Compliance-Management2.2 Externe Vorgaben2.3 IT-Sicherheitsmanagement2.4 ISO/IEC 270xx 2.5 BSI Standard 1002.6 COBIT

Forderung nach effektiven Kontrollen

…

Forderung nach:

• Transparenz• Durchsetzung von Compliance• Prüfung von Compliance

…

8. EU-Richtlinie (EURO-SOX)

Müller, IT Compliance Management, 2012

Risiken und Chancen von Information

Information ist neben Arbeit, Boden und Kapital der vierte Produktionsfaktor

Arbeit Boden

Kapital Information

Nutzer

Elektronische VertriebskanäleBeispiele:

• Online Banking, Portale,• Externes Hosting, ASP• Kommunikation (SNS, e-mail)

Wachsende Komplexität• Lokale, globale Vernetzung• Technologische Veränderungen

Missbrauch

„Geldkanäle“ als Objekt der Begierde

Beispiele:• Beeinträchtigung von Geschäftsprozessen• „Umleitung/Manipulation von

Transaktionen“• Erlangen von Kunden- und Unternehmens-

informationen

Schwachstellen: Nicht nur technischem Ursprung (1/2)

BSI, Webkurs IT-Grundschutz, 2006

Schwachstellen: Nicht nur technischem Ursprung (2/2)

BSI, Webkurs IT-Grundschutz, 2006

1. Türen und Fenster stehen offen: Rechner und Zubehör könnten aus den Räumen gestohlen werden.

2. Der Bildschirm und damit möglicherweise auch vertrauliche Informationen können von Unbefugten eingesehen werden.

3. Ein Zettel mit Passwörtern ist sichtbar und könnte von Unbefugten missbraucht werden.

4. Eine mit "Sicherung" beschriftete CD-ROM liegt zugänglich herum.

5. Ausdrucke und Kopien mit vertraulichen Daten liegen an Druckern und Kopierern.

6. Rechner mit direkter Verbindung an das Internet können den zentralen Firewallschutz des Netzes aushebeln.

7. Durch private Datenträger (im Bild eine CD-ROM) kann Schadsoftware in das Unternehmensnetz gelangen.

8. Austretende Flüssigkeiten gefährden die Hardware. 9. Rauchen bedeutet Brandgefahr.

Vielfältige Schwachstellen für Informationssicherheit eines Unternehmens

Definition von IT-ComplianceDefinition nach [Fröhlich/Glasner 2007, S. 58]:IT Compliance: IT-Prozesse und von IT-unterstützte Prozesse müssen regulativen

Anforderungen erfüllen.

Definition nach [Beham/Schatz 2009, S. 66]:IT-Compliance-Management beschreibt die Anstrengungen zur gesicherten Erfüllung der

rechtlichen, internen und vertraglichen Regeln und Anforderungen mit der IT-Infrastruktur.

IT-Compliance enthält: Einhaltung der verpflichteten Regeln:• Rechtliche Regeln (recehtliche Normen, Anordnungen, Verwaltungsvorschriften,

usw.)• Verträge (mit Kunden, Zulieferern, Dienstanbieter, usw.) • Weitere externe Regeln (Normierungen, Standards, usw.) • Interne Regeln (interne Richtlinien, prozedurale Anforderungen, usw.)

IT-Compliance ist Teil der IT-Governance und steht in enger Beziehung zuIT-Risikomanagement

IT-Compliance: Ein notwendiges Übel?

Compliance …fordert:

• Einmalige Kosten, um einenZustand Compliance zu erreichen

• Laufende Betriebskosten, um den Zustand Compliance nachhaltig/fortlaufend zu behalten

à Relativer Wechsel der Wettbewerbsposition

bietet:

• (Erhebung,) Analyse und Optimierung der bestehendenProzesse

• Entwicklung von Reputation

à Investition und nachhaltigerWettbewerbsvorteil


IT Ziele

Geschäftsziele

IT-Compliance-Management

Business Outcome

TechnicalIT-Capability

Operational IT-Capability

IT Compliance ManagementIT-related Business

Capability

• WelcheAnforderungen liegenvor?

• WelcheMaßnahmenkönnen ergriffenwerden?


Strategischer Fokus: IT-Compliance-Prozess

1. Identifizierung der relevanten Gesetzeund Regulierungen

2. Bewertung der Compliance

3. Realisierung von Compliance

4. Steuerung und Beobachtung der ComplianceBeham, Schatz 2009

Flexible Nutzung• Nutzer• Märkte• Innovationen• …

Compliance und Service Computing: „Moving Target“

Agiler Geschäftsprozess

Flexible IT-Unterstützung• Web Service und Komposition• Virtualisierung• Cloud Computing• …

Compliance• Gesetze• Regulierungen• Verträge• …

?

Aus z ahlunganweis en

Betrag is tüberprüft

Ware is tge l ie fert

V

► Beobachtung/Einhaltung von Compliance in hoch-dynamischen/agilen Geschäftsprozessen?

Service Provider

d

Isolation

d or d´B

A

Sackmann, Economics of Controls, 2011

Kontrollen: Compliance + Geschäftsprozess

Access Control

Compliance Anforderung

Geschäfts-prozess

Kontrollen

Execute payout

Amount paidis correct

Product isreceived

V

Compliance Ziel

Bekämpfung von

Korruption

1..n

1..m

„Separation ofDuty (SoD)“

für Auszahlung

Technische Struktur

Security PolicyAccess conditions

ObligationsSanctions

tAccess

obligationsprovisions

Execute payout

Amount paidis correct

Product isreceived

V


Operativer Fokus: Internes Kontrollsystem (1/2)

Entity Level Process Level

Beham, Schatz, 2009

• Fokus auf Organisation und Struktur des Unternehmens

• Geringe Standardisierung und geringe Wiederholung

à Automatisierung möglich…

à …allerdings ist Effizienz fraglich

• Fokus mehr auf Kontrollprinzipien als auf implementierte Kontrollen

Internal Control System

Operativer Fokus: Internes Kontrollsystem (2/2)

Entity Level Process Level

Beham, Schatz 2009

• Fokus auf Geschäftsaktivität und Ausführung des Geschäftsprozesses

• Doppelte Rolle der IT

à Standardisierte, häufig wiederholte, automatisierte Ausführung von Geschäftsprozessen (s. Service Computing)

à Potential für integrierte und automatisierte Kontrollen

Internal Control System

Automatisierte Kontrollen

IT supported and automated control activities

allow

effect

larger volume of data process integration company wide implementation possible

larger control period

higher coverage through control activities

identification of irregular processes

elevation of further process information

unlawful / wrongful behaviorpotential risks

process inefficiencies

performance figuresspecific analysis

results in

Surveillance of Business Process Execution

Improvement of Enterprise Rating

Identification of potentials to reduce costs

Nach Brauer et al. 2009

Automatisierbare Kontrollen

Kontrolle/Steuerung

Vergleich ISTmit SOLL-Zustand

Bestimmungdes aktuellen

Zustands

1…*1Behandlung

von Abweichungen

1

Kontrollmechanismus

Policy (definiert den SOLL-Zustand)

Schritt 1: Interpretation und EntscheidbarkeitDie Durchsetzung einer Anforderung kann nur automatisch kontrolliert werden, wenn sieentscheidbar ist (vgl. EN 6.3: 3 Sicherheitsmodelle)

Sollte Entscheidbarkeit nicht gegeben sein, dann muß die Anforderung für eine automatischeKontrolle interpretiert und schrittweise verfeinert werden.

Quelle: Lewis (1998)

Entscheidbarkeit: Zum Zeitpunkt der Kontrolle kann eindeutig entschiedenwerden (ja/nein bzw. true/false), ob der IST-Wert dem SOLL-Wert entspricht.

Anforderung

Provision Obligation

enforceable enforceable not enforceable

observableQuelle:Nach Pretschner etal.(2006)

Schritt 2: FormalisierungAnforderungen

FormalisierbarkeitUm automatische Analyse, Beweisführung und Verifikation zu ermöglichen

Konformitätsprüfung und NormalisierungUm Inkonsistenzen und Konflikte zwischen den Complianceregeln zu identifizieren und aufzulösenUm Redundanzen zu identifizeiren und ggf. zu entfernen

DeklarationUm den maßgeblichen Kontext auszudrücken und zu beschreiben

GenerischUm den Ausdruck von Sequenzen, Kardinalitäten, zeitliche Beziehungen, erforderliches

Vorkommen, Verwendungen und Obligationen auszudrücken

AusdrucksfähigkeitUm die intrensische Semantik von Anforderungen der Compliance, die aus unterschiedlichen

Quellen entstehen, zu erfassen Nach Elgammal et al. 2010

Formale Spezifikation

Konkreter Service

Berechenbar:Gebiet der InformatikKorrektheit

Komplex/Statistisch:Die physikalische WeltGefälligkeit

Schritt 3: Spezifikation von Kontrollen

Prozessausführung

tStart Ende

Auswahl der Kontrollmechanismen

Benutzbare Kontrollmechanismen hängen ab von:• Attribute der Anforderungen (Enforceability vs. Observability)• Ökonomisch erforderliche Zeit der Kontrolle

Observable Requirements

Design Time

• Process Design Patterns

• Static Analysis

Execution Time

• Monitoring

• Process Rewriting

Post Execution Time

• Auditing

Enforceable Requirements

Schritt 4: Nutzung von Kontrollen

Workflow

Adaptierte(r) Kontroll-prozess(e) Geschäftsprozess

?

Prinzip: Kontext-spezifische Integration von Kontrollprozessen in Geschäftsprozesse zum Zeitpunkt ihrer Instantiierung

Technische Anforderungen:– Konzeptionell getrennte Modellierung von Kontroll-

und Geschäftsprozessen– Identifikation (aller) möglicher Kontrollprozesse

Wirtschaftliche Anforderungen:– Auswahl des (lokal) optimalen Kontrollprozesses– Risikobewertung der Kontrollprozesse


Agenda



Ziel: Schutz von Investoren und Zuverlässigkeit der Unternehmensinformation

• Einhaltung von SOX ist Bedingung für die Teilnahme am Kapitelmarkt

• Eine Regelung is die Zertifizierung der Finanzberichte durch CEO und CFO

• Bezieht sich auf Vertraulichkeit von Kundeninformationen und gegen Whisteblower (Insider)

• Die Signierer bestätigen ihre Verantwortung für eine Einreichung und Pflege interner

Kontrollen

• Regionale Variation: J-SOX (Japan) und EuroSOX (Europa)

Public Company Accounting Oversight Board:

"The nature and characteristics of a company's use of information technology in

its information system affect the company's internal control over financial reporting.“

• Eine Vorgehensweise zur Umsetzung ist die Ausrichtung an CObiT

• Technische Kontrolle von Informationsflüssen: Chinese-Wall Security Policy

Sarbanes Oxley Act (SOX)

Senate and House of Representatives of the United States of America in Congress assembled, SOX, 2002.

BaselZiel: Integrität (soundness) und Stabiliät des internationalen Bankensystem

• Basel I: Management von Markt- und Kreditrisiken

• Basel II Management von Markt, Kredit und operationalen Risiken (u.a. Einsatz von IT)

• Basel III zzgl. Resilienz zwischen Stabilität des Finanzsystems und Vermeidung einer

Kreditverknappung

„Operational risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events.

This definition includes legal risk, but excludes strategic and reputational risk.“

Definition: Operationales Risiko

è IT-Risiko ist eine Teilmenge des operationalen Risikos

European Commission, Regulation(EU)No 648/2012,2013

BDSG, 95/46/EC• Schutz personenbezogener Daten bei ihrer elektronischen Verarbeitung• Grundprinzipien des Datenschutzrechts

– Transparenz durch Unterrichtung und Benachrichtigung– Erforderlichkeit der erhobenen Daten für einen bestimmten Zweck– Begrenzung der Datenverarbeitung auf einen bestimmten Zweck– Korrekturrechte des Betroffenen auf erforderliche Daten und Verarbeitungsphasen– Kontrolle durch Datenschutzbeauftragten– Datenvermeidung und –sparsamkeit– Datenschutz durch Technik– Deklassifizierung durch Anonymisierung

• Minimale Schutzprinzipien• Nutzer von IT ist verantwortlich bei Auftragsverarbeitung

CloudGeschäfts-ziele

IT Ziele

Geschäfts-modell

Geschäfts-prozesse

cust

omer pu

rch.

prov

ider

capt ure new r equirem ent

capt ure

r ef und r equirem ent

place or der

or der dispos

al

appr oval

denial goods r ecieptor der denialed

or der r eceived

depa

rtmen

t

r equir em ent

place or der


capt ure


or der denialed

place or der


capt ure


place or der

or der r eceived

Anwendungs-systeme

Customer Relationship Management System

PDB

Enterprise Resource Planing System

Supply Chain Management System

Content Management System

SDB

CDB

Infrastrukturbranc h offic e A

branc h offic e B

Anwendungs-systeme

(SaaS & PaaS)

Customer Relationship Management System

PDB

Enterprise Resource Planing System

Supply Chain Management System

Content Management System

SDB

CDB

Infrastruktur (IaaS)PaaS

SaaS

IaaS

Viruses

Hackers

Trojans

Earthquake Terrorism

Vandalism

Burglary

(D)DoS

Corruption

Money Laundry

Fraud

Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, 2005

Datenschutzrichtlinien der OECDEingeschränkte

ProfilbildungQualität der

erhobenen Daten

Eingeschränkte Nutzungder erhobenen Daten

Angabe desVerwendungszwecksHaftungsumfang

OffeneProfilbildung

Individuelle Beteiligungdes Betroffenen

AngemesseneSicherheitsmaßnahmen

Fair Information Practices (1/2)1. Eingeschränkte Profilbildung (collection limitation)

Der Umfang des erstellten Profils sollte zu dessen Verwendungszweck angemessen sein. Die Datenerhebung sollte mit legalen Mitteln und mit dem Wissen oder dem Einverständnis der betroffenen Person, wann immer es möglich ist, erfolgen.

2. Qualität der erhobenen Daten (data quality)Die erhobenen Daten sollten für den Zweck relevant und notwendig sein. Weiterhin sollten sie korrekt, vollständig und aktuell sein.

3. Angabe des Verwendungszwecks (purpose specification)Der Zweck der Erhebung persönlicher Daten soll spätestens zum Zeitpunkt der Datenerhebung angegeben werden. Ändert sich der Verwendungszweck, so soll diese Änderung ebenfalls angegeben werden. Zusätzlich soll die weitere Nutzung der erhobenen Daten auf die Erfüllung des Zweckes oder äquivalenter Zwecke beschränkt sein.

4. Eingeschränkte Nutzung der erhobenen Daten (use limitation)Persönliche Daten dürfen nicht für andere Zwecke als unter den angegebenen Verwendungszwecken veröffentlicht, zur Verfügung gestellt oder auf andere Weisen genutzt werden. Eine Ausnahme besteht dann, wenn der Eigentümer dieser Daten dem zugestimmt hat oder im Falle eines richterlichen Amtsbefugnisses.

Fair Information Practices (2/2)5. Verwendung angemessener Sicherheitsmaßnahmen (reasonable security)

Persönliche Daten sollen durch angemessene Sicherheitsmaßnahmen vor unbeabsichtigten Verlust und gegen unerlaubten Zugriff, Vernichtung, Nutzung, Änderung und Veröffentlichung geschützt werden.

6. Offene Profilbildung (openess and transparency)Es sollte eine allgemeine Politik der Offenheit bestehen, die Auskunft über die Entwicklungen, Praktiken und Richtlinien der Organisation mit Bezug zu den von ihr erhobenen persönlichen Daten gibt. Es sollten dem Einzelnen Mittel zur Verfügung stehen, mit denen er die Existenz und die Motivation zur Datenerhebung, die wesentlichen Verwendungszwecke der erhobenen Daten und den Datenschutzbeauftragten dieser Organisation ermitteln kann.

7. Individuelle Beteiligung des Betroffenen (individual participation)Ein Einzelner sollte da Recht haben, (a) von einem Datenschutzbeauftragten einer Organisation zu erfahren, ob und ggf. welche persönlichen Daten über ihn von der Organisation erhoben wurden; (b) innerhalb einer angemessenen Zeit, evtl. zu einer nicht übertriebenen Gebühr, auf eine angemessene Art und Weise und in einer für ihn verständlichen Form über die erhobenen Daten in Kenntnis gesetzt zu werden; (c) eine Begründung zu erhalten, wenn einer der obigen beiden Anfragen abgelehnt wurden, und eine solche Ablehnung anfechten zu können; (d) eine Datenerhebung anzufechten und, im Erfolgsfall, die Lösung, Richtigstellung, Vervollständigung oder Änderung des Profils anzuordnen.

8. Haftungsumfang (accountability)Ein Datenschutzbeauftragter sollte für die Einhaltung der Mittel, mit denen diese Prinzipien ausgeführt werden, haften.

OECD 1980: Information Security and Privacy, OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

Datenschutz bei Service Computing?• Allgegenwärtige und mobile Services:

– Verknüpfung von physischer und virtueller Welt– Überall, jederzeit, alles (incl. grenzüberschreitend)– Hoch dynamische Vernetzung und „mixed-mode“– Web Services haben ein „Gedächtnis“ und sind autonom

• Herausforderungen für den Datenschutz:– Pers. Daten sind nicht Eigentum des Einzelnen– Fehlende Transparenz durch komplexe IT-Systeme und Fülle an Datenerhebung– Einwilligung zur Datenerhebung überfordert Betroffenen; schriftliche Einwilligung kaum

umsetzbar– Erforderlichkeit und Zweckbindung durch dynamische Vernetzung nicht vorher

bestimmbar– Datensparsamkeit im Widerspruch zu nutzenbringenden Geräten mit „Gedächtnis“– Korrekturrechte des Betroffenen sind durch unklare Verantwortlichkeiten der

Datenverarbeitung kaum durchsetzbar

è Ziel: Nutzerkontrollierbare Herausgabe und Verwendung pers. Datenè Gegenwärtig: Überarbeitung der 95/46/EC zu General Data Protection Regulation

Industrie

eGovernment

eHealthcare

Energie

Transport

und mehr…

Soziale Netze

eEducation

Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, 2005

Elektrizität und Energiewirtschaftsgesetz• FordertEinhaltungminimalerSicherheitsregeln füreinenindividuellangemessenen

SchutzeinesEnergieversorgungsnetzesundZuverlässigkeitderIKT-Unterstützung• Mindeststandard: IT-SicherheitskatalogderBundesnetzagentur• Geltungsbereich: AllefüreinensicherenNetzbetriebnotwendigen Anwendungen,

SystemeundKomponenten

• Kernanforderungen:• Netzbetreiberistverantwortlichund

ernenntAnsprechpartner• Einführung einesISMSgemäß

DINISO/IEC27001• SicherheitskatalogeDINISO/IEC

27002undDINISO/IECTR27019• Zertifizierung durchzugelasseneStelle• Netzstrukturplan (Kommunikationskanäle)• ProzesszurIT-Risikoeinschätzung• RisikobehandlungnachdemStandderTechnik• MeldungvonLageberichtenundWarnmeldungen

Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, 2015

KRITIS und IT-Sicherheitsgesetz9 Sektoren der digitalen Kritischen Infrastrukturnicht im Bild: Sektor „Staat und Verwaltung“

IT-Sicherheitsgesetz:“Ausdruck der Schutzverantwortung des Staates gegenüber den Bürgerinnen und Bürgern, der Wirtschaft und seinen eigenen Institutionen und Verwaltungen.“

BetreiberKritischer Infrastrukturen

Betreiber von Webangeboten

Telekommunikations-unternehmen

• Schutz nach Stand der Technik• Prüfung jedes 2. Jahr• Meldung erheblicher Störungen

an das BSI (zunächst: KKW und Telco)

• Schutz von Kunden-daten und der von ihnen genutzten IT-Systeme

• Warnung von Kunden bei Missbrauch seines Anschlusses

• Schutz der Infrastruktur und Kundendaten nach Stand der Technik

• Sofortige Meldung erheblicher Vorfälle an BSI

Bundesamt für Sicherheit in der Informationstechnik (BSI)

• Zentrale Meldestelle, Bewertung und Weiterleitung an Dritte• Jährlich öffentlicher Lagebericht BSI, Das IT-Sicherheitsgesetz,

Kritische Infrastrukturen schützen, 2016

Beispiel: Zwischen Nutzer und Dienstanbieter– Ausdrucksfähigkeit erlaubt Konditionen und Obligationen

(bspw. “hat zugestimmt” oder “löscht Daten”)– Nutzer können ihre Sicherheitsrichtlinie (privacy policy) formulieren und integrieren– Operationen für Kombination und Analyse von Policies

initial policy proposal

Data

modification(s)

2l milk6 egs

Allow recommender to read food shopping lists and suggest recipes based on them,but delete data after visit

ExPDT

Allow the analysis of food shopping listsfor customized advertisements,but delete data after visit

ExPDTAllow recommenderto read shopping lists and suggest recipes based on them

ExPDT

Policy enforcement

+ policy agreed upon

ExPDT: Automatisierte Konflikterkennung

Sackmann und Kähmer, ExPDT: A Policy-based Approach for Automatic Compliance, 2008

Agenda



IT Ziele

Geschäftsziele

IT-Sicherheitsmanagement

IT-related Business Capability

Business Outcome

TechnicalIT-Capability

Operational IT-Capability

IT Sicherheitsmanagement

• WelcheMaßnahmenkönnen ergriffenwerden?

Information Security Management Systems (ISMS)Definition der ISO/IEC 27000:“An Information Security Management System (ISMS) consists of the policies, procedures, guidelines, and associated ressources and activities, collectivelymanaged by an organization, in the pursuit of protecting its information assets. An ISMS is a systematic approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization‘s information security to achievebusiness objectives. It is based upon a risk assessment and the organization‘s riskacceptance levels designed to effectively treat and manage risks.“

Quelle: ISO/IEC 27000:2014(E)

Definition des BSI Standard 100-1:Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).

Quelle: BSI-Standard 100-1, 2008

Fokus ist nicht (nur) auf Technik, sondern (auch) auf• Geschäftsziele• Compliance• Organisation• Prozesse• Ressourcen

ISMS - ein personalisierter

Dienst (?)

Organisation

• Management/Geschäftsführung• Zusage zu Informationssicherheit mit ISMS• Ausrichtung durch die Security Policy• Allokation der Ressourcen und Rollen

• Sicherheitsmanagement-Team• Leitet den Sicherheitsprozess

• Sicherheitsbeauftragter (CISO)• Ansprechpartner für alle Fragen der Sicherheit• Schnittstelle Management/Führung

• Datenschutzbeauftragter• Datenschutzkonzept für Einhaltung der Datenschutzregeln

• Krisenmanagement• Verantwortlich für die Bewältigung von Sicherheitsvorkommnissen

IT-Sicherheitsbeauftragter (CISO)Der IT-Sicherheitsbeauftragte ist verantwortlich für die Wahrnehmung aller Belangeder IT-Sicherheit innerhalb der Organisation

Aufgaben:• Koordination und Steuerung des IT-Sicherheitsprozesses• Unterstützung der Leitung bei der Erstellung der IT-Sicherheitsleitlinie• Koordination der Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts

und anderer Teilkonzepte und System-Sicherheitsrichtlinien sowie Erlassen weiterer Richtlinien und Regelungen zur IT-Sicherheit

• Erstellung des Realisierungsplans für IT-Sicherheitsmaßnahmen und Initiierung sowie Prüfung seiner Umsetzung

• Bericht an IT-Sicherheitsmanagement-Team und Leitungsebene über den Status der IT-Sicherheit

• Koordination sicherheitsrelevanter Projekte• Untersuchung sicherheitsrelevanter Vorfälle• Initiierung und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zu IT-

Sicherheit

IT-Sicherheitsleitlinie (Security Policy)

Die IT-Sicherheitsleitlinie sollte mindestens enthalten:• Stellenwert der IT Sicherheit

– Bedeutung der IT für die Aufgabenerfüllung– Begründung: Gesetze, Kundenanforderungen, Konkurrenzsituation

• Sicherheitsziele, Sicherheitsstrategie und Sicherheitsgrade• Geltungsbereiche und Organisationsstruktur für die Umsetzung des IT-

Sicherheitsprozesses• Rollen und Verantwortlichkeiten, Obligationen und Sanktionen • Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene

durchgesetzt wird: Geschäftsführung

Security PolicyAccess conditions

ObligationsSanctions

Abstraktionsebenen

Security Policy

Richtlinien

Verfahrensanweisungen

IT SicherheitshandbücherLeitfäden,Standards......etc.

Ebene 1

Ebene 2

Ebene 3

unterstützende Ebene

Warum(Geschäftsziele

und Orientierung)

Was

Wie

Agenda



ISO/IEC 27001: Struktur• 14 Information Security Controls Areas• 34 Information Security Control Objectives• 114 Information Security Controls

14 Control Areas

1. Information security policy2. Organization of information

security3. Human resource security4. Asset management5. Access control6. Cryptography7. Physical and environmental

security8. Operations security9. Communnications security10. System acquisition, development

and maintenance11. Supplier relationships12. Information security incident

management13. Information security aspects of

business continuity management14. Compliance

Interestedparties

Informationsecurity

requirements&expectations

PLANEstablishISMS

CHECKMonitor &reviewISMS

ACTMaintain&improve

Management responsibility

ISMSPROCESS

Interestedparties

Managedinformationsecurity

DOImplement&operate the

ISMS

Plan-Do-Check-Act

ISO27k Forum at www.ISO27001security.com

Der Kern von ISO/IEC 270xx (27k)

Standard Title Notes (Gary Hinson ISO 27K Forum)

ISO/IEC 27000 Information security management systems - Overview and vocabulary

Overview/introduction to the ISO27k standards as a whole plus the specialist vocabulary

ISO/IEC 27001 Information security management systems — Requirements

Formally specifies an ISMS against which thousands of organizations have been certified compliant

ISO/IEC 27002 Code of practice for information security controls

A reasonably comprehensive suite of information security control objectives and generally-accepted good practice security controls

ISO/IEC 27003 Information security management system implementation guidance Basic advice on implementing ISO27k

ISO/IEC 27004 Information security management ― Measurement

Basic (and frankly rather poor) advice on information security metrics

ISO/IEC 27005 Information security risk management Discusses risk management principles; does not specify particular methods for risk analysis etc.

ISO/IEC 27006Requirements for bodies providing audit and certification of information security management systems

Formal guidance for the certification bodies

ISO/IEC 27007 Guidelines for information security management systems auditing Auditing the management system elements of the ISMS

ISO/IEC TR 27008

Guidelines for auditors on information security management systems controls Auditing the information security elements of the ISMS

Fokus auf die interne Datenverarbeitung des Unternehmens (isoliertes System)

ISO/IEC 270xx auf dem Weg zu Service Computing?

Cloud

FinanceInformation exchange

ISO/IEC 27001 Roadmap ISO27k Forum at www.ISO27001security.com

Information Security Management System (ISMS)

} It is important to be able to demonstrate the relationship from the selected controls back to the risk assessment and risk treatment process, and subsequently back to the ISMS policy and objectives.

} ISMS documentation should include:◦ Documented statements of the ISMS policy and objectives;◦ The scope of the ISMS;◦ Procedures and other controls in support of the ISMS;◦ A description of the risk assessment methodology;◦ A risk assessment report and Risk Treatment Plan (RTP);◦ Procedures for effective planning, operation and control of the

information security processes, describing how to measure the effectiveness of controls;

◦ Various records specifically required by the standard;◦ The Statement of Applicability (SOA).

Information SecurityManagement

System (ISMS)


ISO/IEC 27002

§ ISO27002 is a “Code of Practice” recommending a large number of information security controls.

§ Control objectives throughout the standard are generic, high-level statements of business requirements for securing or protecting information assets.

§ The numerous information security controls recommended by the standard are meant to be implemented in the context of an ISMS, in order to address risks and satisfy applicable control objectives systematically.

§ Compliance with ISO27002 implies that the organization has adopted a comprehensive, good practice approach to securing information.

ISO27002


Management Support

} Management should actively support information security by giving clear direction (e.g. policies), demonstrating the organization’s commitment, plus explicitly assigning information security responsibilities to suitable people.

} Management should approve the information security policy, allocate resources, assign security roles and co-ordinate and review the implementation of security across the organization.

} Overt management support makes information security more effective throughout the organization, not least by aligning it with business and strategic objectives.Management

support is vital


Definition des Anwendungsbereichs (Scope)

} Management should define the scope of the ISMS in terms of the nature of the business, the organization, its location, information assets and technologies.

} Any exclusions from the ISMS scope should be justified and documented.◦ Areas outside the ISMS are inherently less trustworthy, hence additional

security controls may be needed for any business processes passing information across the boundary.

◦ De-scoping usually reduces the business benefits of the ISMS.

} If commonplace controls are deemed not applicable, this should be justified and documented in the Statement of Applicability (SOA)

} The certification auditors will check the documentation.Define ISMS

scope


Bestandsaufnahme der Vermögenswerte (Assets)

} An inventory of all important information assets should be developed and maintained, recording details such as:◦ Type of asset; ◦ Format (i.e. software, physical/printed, services, people,

intangibles) ◦ Location;◦ Backup information; ◦ License information; ◦ Business value (e.g. which business processes depend

on it?).Inventory information

assets


Risikobewertung

} Risk assessments should identify, quantify, and prioritize information security risks against defined criteria for risk acceptance and objectives relevant to the organization.

} The results should guide and determine the appropriate management action and priorities for managing information security risks and for implementing controls selected to protect against these risks.

} Assessing risks and selecting controls may need to be performed repeatedly across different parts of the organization and information systems, and to respond to changes.

} The process should systematically estimate the magnitude of risks (risk analysis) and compare risks against risk criteria to determine their significance (risk evaluation).

} The information security risk assessment should have a clearly defined scope and complement risk assessments in other aspects of the business, where appropriate.

Assess informationsecurity risks


Statement of Applicability (SOA)

} The Statement of Applicability (SOA) is a key ISMS document listing the organization’s information security control objectives and controls.

} The SOA is derived from the results of the risk assessment, where:◦ Risk treatments have been selected;◦ All relevant legal and regulatory requirements have been

identified; ◦ Contractual obligations are fully understood; ◦ A review the organization’s own business needs and

requirements has been carried out.

Prepare Statement

of Applicability


Risk Treatment Plan (RTP)

} The organisation should formulate a risk treatment plan (RTP) identifying the appropriate management actions, resources, responsibilities and priorities for dealing with its information security risks.

} The RTP should be set within the context of the organization's information security policy and should clearly identify the approach to risk and the criteria for accepting risk.

} The RTP is the key document that links all four phases of the PDCA cycle for the ISMS (next 2 slides).

Prepare RiskTreatment Plan


PDCA: Plan-Do-Check-Act

} The "Plan-Do-Check-Act" (PDCA) model applies at different levels throughout the ISMS (cycles within cycles).

} The same approach is used for quality management in ISO9000.

} The diagram illustrates how an ISMS takes as input the information security requirements and expectations and through the PDCA cycle produces managed information security outcomesthat satisfy those requirements and expectations.


Plan-DCA

Outline Step 1 ISMS scope is determined.Step 2 ISMS basic policy is decided.Step 3 Systematic method of risk assessment to be tackled is decided.Step 4 Risk is identified.Step 5 Risk assessment is performed.Step 6 Measure against risk is executed.Step 7 Purpose and items of control are chosen.Step 8 Declaration for applying the PLAN is created.Step 9 Remaining risk is recognized and enforcement of ISMS is permitted.

DO

CHECK

ACT

PLANIn order to achieve the results in alignment with the overall statement of policy and overall target of an organization,

it establishes basicpolicy of information security, target, object, process, and procedure,which relates to the improvement of risk management and an information security.

Müller und Takaragi, Security Evaluation and Management, 2008

P-Do-CA

DO

CHECK

ACT

PLAN

Outline Step 1 Decision of plan of measure against riskStep 2 Assignment of resources by the managementStep 3 Enforcement of management measureStep 4 Execution of education and trainingStep 5 Management of operationStep 6 Management of business resourcesStep 7 Corresponding action to security incident and accident

Basic policy of information security, a management measure, a process, and a procedure defined by PLAN are employed and executed.


PD-Check-A

DO

CHECK

ACT

PLANOutline Step 1 Execution of procedure for

surveillance, and management measure

Step 2 Periodical reexamination of ISMS

Step 3 Management review

Enforcement situation of a process is evaluated in the light of basic policy of information security, target, and actual experience,

if possible, this is measured, and the result is reported to the management for reexamination.


PDC-Act

DO

CHECK

ACT

PLAN

Outline Step 1 Enforcement of improvement measure

Step 2 Notification of devised setting

In order to attain the continuous improvement of ISMS, correctionsetting and prevention setting are devised based on the result of management review.


ISO Zertifizierung【Example of needs 】

§ Want to acquire a certification of ISMS as a data center to raise a security level?

§ Want to acquire a certification of ISMS before starting a new business which treats personal information?

PLAN DO CHECK ACT

Re-enforcement after a fixed period.

Establish-ment of organization

Inspection,Certification acquisition


Agenda



IT-GrundschutzBSI Standards zu IT-Sicherheit

- Bereich IT-Sicherheitsmanagement -

BSI Standard 100-1

BSI Standard 100-2

BSI Standard 100-3

BSI Standard 100-4

ISMS: Managementsystem für Informationssicherheit (s. ISO 2700x)

IT-Grundschutz-Vorgehensweise

Risikoanalyse auf der Basis von IT-Grundschutz

Notfallmanagement

IT-Grundschutz-KatalogeKapitel 1: EinführungKapitel 2: Schichtenmodell und

ModellierungKapitel 3: GlossarKapitel 4: Rollen

• Bausteinkataloge:• Kapitel B1: Übergreifende

Aspekte• Kapitel B2: Infrastruktur• Kapitel B3: IT-Systeme• Kapitel B4: Netze• Kapitel B5: IT-Anwendungen

• Gefährdungskataloge• Maßnahmenkataloge

Ziel und Anwendungen des IT-Grundschutz

Anwendungen:

• Information Security Management System• Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten• Sammlung von Standard-Sicherheitsmaßnahmen für typische IT-Systeme• Nachschlagewerk• Referenz und Standard für IT-Sicherheit• Basis für Zertifizierung

Ziel:

Durch infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau für typische Geschäftsprozesse und Informationssysteme aufzubauen, das auch für sensiblere Bereiche ausbaufähig ist.

Muench, Compliance und IT-Sicherheit, 2007

BSI Standard 100-1 & 100-2BSI Standard 100-1: ISMS• Zielgruppe: Management• Allgemeine Anforderungen an ein ISMS• Kompatibel mit ISO 27001• PDCA-Modell als Lebenszyklus• Empfehlungen aus ISO 13335 und ISO

17799BSI Standard 100-2: Vorgehensweise für Aufbau und Betrieb eines ISMS• Aufgaben des IT-Sicherheitsmanagements• Etablierung einer IT-

Sicherheitsorganisation• Erstellung eines IT-Sicherheitskonzepts• Auswahl angemessener IT-

Sicherheitsmaßnahmen• IT-Sicherheit aufrecht erhalten und

verbessern• Pauschaler „Schutz“ statt Orientierung an

individuellem RisikoMuench, Compliance und IT-Sicherheit, 2007

IT-Sicherheitskonzeption (100-2)


StrukturanalyseZiel: Zusammenstellung der notwendigen Informationen über die

Informationstechnik, die in diesem IT-Verbund eingesetzt wird(= IT-Strukturanalyse)

Teilaufgaben:– Erstellung bzw. Aktualisierung eines Netzplans

(grafische Übersicht) à Übersicht zu Kommunikationsverbindungen– Erhebung der IT-Systeme (Tabelle)– Erfassung der IT-Anwendungen und der zugehörigen Informationen (Tabelle)

Quelle: BSI: Webkurs IT-Grundschutz, 2006

Netzplan

Quelle: BSI: WebkursIT-Grundschutz, 2006

Erfassung der IT-Systeme

Erforderliche Information

Nr. Beschreibung Plattform Anz. Standort Status Anwender/Admin.

S1 Server fürPersonal-verwaltung

Windows NTServer

1 Bonn,R 1.01

inBetrieb

Personal-referat

S2 PrimärerDomänen-Controller

Windows NTServer

1 Bonn,R 3.10

inBetrieb

alleIT-Anwender

C6 Gruppe derLaptops für denStandort Berlin

Laptop unterWindows 95

2 Berlin,R 2.01

inBetrieb

alleIT-Anwenderin Berlin

N1 Router zumInternet-Zugang

Router 1 Bonn,R 3.09

inBetrieb

alleIT-Anwender

T1 TK-Anlage fürBonn

ISDN-TK-Anlage

1 Bonn,B.02

inBetrieb

alle Mitarb.in Bonn

Erfassung der IT-AnwendungenDiejenigen IT-Anwendungen des jeweiligen IT-Systems,• deren Daten und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit)

besitzen,• deren Daten und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit

(Integrität) besitzen,• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben,müssen erfasst werden.è Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

Beschreibung der IT-Anwendungen IT-Systeme

Anw.-Nr.

IT-Anwendung/Informationen

Pers.-bez.

Daten

S1 S2 S3 S4 S5 S6 S7

A1 Personaldaten-verarbeitung

X X

A4 Benutzer-Authentisierung

X X X

A5 Systemmanagement X

A7 zentraleDokumentenverwaltung

X


Erfassung der IT-AnwendungenDiejenigen IT-Anwendungen des jeweiligen IT-Systems,• deren Daten und Programme den höchsten Bedarf an Geheimhaltung (Vertraulichkeit)

besitzen,• deren Daten und Programme den höchsten Bedarf an Korrektheit und Unverfälschtheit

(Integrität) besitzen,• die die kürzeste tolerierbare Ausfallzeit (höchster Bedarf an Verfügbarkeit) haben,müssen erfasst werden.è Es ist nicht sinnvoll, alle IT-Anwendungen zu erfassen.

Beschreibung der IT-Anwendungen IT-Systeme

Anw.-Nr.

IT-Anwendung/Informationen

Pers.-bez.

Daten

S1 S2 S3 S4 S5 S6 S7

A1 Personaldaten-verarbeitung

X X

A4 Benutzer-Authentisierung

X X X

A5 Systemmanagement X

A7 zentraleDokumentenverwaltung

X


Welche sind dies im Service Computing?

SchutzbedarfsfeststellungZiel: Erfassung, Lokalisierung und Begründung der schutzbedürftigen

Komponenten eines IT-Verbundes

Teilaufgaben• Definition der Schutzbedarfskategorien• Schutzbedarfsfeststellung für

– IT-Anwendungen einschließlichihrer Daten

– IT-Systeme– Kommunikationsverbindungen– IT-Räumeanhand von typischen Schadens-szenarien

• Klassifizierung in mittel, hoch, sehr hoch• Dokumentation der Ergebnisse


IT-Grundschutzanalyse• Ziel: Möglichst vollständige Abbildung des IT-Verbundes und seiner einzelnen

Komponenten durch Bausteine• Ergebnis: IT-Grundschutz-Modell als

– Prüfplan für bestehende Komponenten oder– Entwicklungskonzept für geplante Komponenten

• Modularer Aufbau des GS-Handbuchs: „Bausteine“

Kapitel("Bausteine")

Gefährdungskataloge• Höhere Gewalt• Organisatorische Mängel• Menschliche

Fehlhandlungen• Technisches Versagen• Vorsätzliche Handlungen

Maßnahmenkataloge• Infrastruktur• Organisation• Personal• Hardware/Software• Kommunikation• Notfallvorsorge

Quelle: BSI: Muster für eine Schulung zurEinführung in die Vorgehensweisenach IT-Grundschutz, 2006

IT-Grundschutz-KatalogeWissen zu Sicherheit von• IT-Systemen,• Organisation und • Personal


Einordnung der Bausteine

Ziele des Schichtenmodells:• Reduzierung der Komplexität der Darstellung des Sicherheitskonzeptes• Vermeidung von Redundanzen• Schichten können unabhängig voneinander aktualisiert und erweitert werden• Bündelung der Zuständigkeiten

Schicht 1:

Schicht 2:

Schicht 3:

Schicht 4:

Schicht 5:

Übergreifende Aspekte

Infrastruktur

IT-Systeme

Netze

IT-Anwendungen


Basis-Sicherheitscheck

Switch

Router Stand-leitung

Router

Switch

Kommunikations- Server

(Unix)Exchange-Server(Windows NT)

File-Server(NovellNetware)

PrimärerDomänen-Controller(Windows NT)

Server fürPersonalverwaltung (Windows NT)

15 Client-Computer(Windows NT)

75 Client-Computer(Windows NT)

Switch

Internet

Router

Firewall

BackupDomänen-Controller(Windows NT)

40 Client-Computer(Windows NT)Liegenschaft

BonnLiegenschaftBerlin

IP IP

IT-Grundschutz-Modell

Soll-/Ist-VergleichMaßnahmen-empfehlungen

RealisierteMaßnahmen

umzusetzende Maßnahmen

Ziel: Identifizierung des erreichten IT-Sicherheitsniveaus

Quelle: BSI: Muster für eine Schulung zur Einführung in die Vorgehensweise nach IT-Grundschutz, 2006

Agenda



COITT

• COBIT = Control Objectives for Information and Related Technology• Erste Version: Ende 1995• Ziel: Revision• Beschreibt die Kontroll-Ziele, die in einer IT-Umgebung erreicht werden

müssen, damit man von einer sicheren und ordnungsgemäßen Informationsverarbeitung sprechen kann.

• Definiert nicht, WIE die Anforderungen umzusetzen sind, sondern nur WAS umzusetzen ist.

• COITT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt.

• Definition von IT-Prozessen, die Verarbeitung von Informationen, die Verwaltung von IT-Ressourcen (Personal, Technologie, Daten, Anwendungen) erlauben

• Als Standard für Sarbanes Oxley Act Prüfungen für IT-Audit

Quelle: http://www.cobit-isaca.de

COBIT: Prozessmodell• 4 Domains mit 34 IT Prozessen• Über 300 Einzelaktivitäten bzw. Kontrollen

Quelle: http://www.cobit-isaca.de

Industrie

eGovernment

eHealthcare

Energie

Transport

undmehr …

Soziale Netze

eEducation

Geschäftsziele/Regulierungen /Nachhaltigkeit

Internetof Things/ServiceComputing

Bemerkung zur ErinnerungIT Governance:

Wie kann sichergestellt werden, dass IT die Erreichung der Geschäftsziele unterstützt,

so dass Ressourcen verantwortlich verwendet und Risiken beobachtet werden?

ISO/IEC 2700x

BSI Standard 100-2

BenutzbareSicherheit?

Quellen und weiterführende Literatur• Brauer, M. H. et al. Compliance Intelligence. Schäffer-Poeschel Verlag Stuttgart, 2009.• BSI. Das IT-Sicherheitsgesetz – Kritische Infrastrukturen schützen, 2016.

https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html• BSI. IT-Grundschutz-Standards.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html

• Haes, S. Enterprise Governance of Information Technology. Achieving Strategic Alignment and Value. Boston MA: Springer Science + Business Media LLC, 2009.

• ISO27k forum at www.ISO27001security.com• ISO/IEC JTC1/ SC27. Introduction package to ISO/IEC JTC 1/SC 27 IT Security Techniques. 2014

http://www.jtc1sc27.din.de/en • Sackmann, S. Economics of Controls. International Workshop on Information Systems for Social

Innovation 2011 (ISSI 2011), National Institute of Informatics, S. 230-236, Tachikawa, Tokyo, Japan, 2011.• Sackmann, S., Kähmer, M. ExPDT – A Polic-based Approach for Automatic Compliance.

Wirtschaftsinformatik 50(5), 2008.• Von Solms, S. H. Information Security Governance – Compliance Management vs. Operational

Management. Computers and Security, Vol. 24 (6), 2006.

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement

Science

Transcript of EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement