Information Security Konzept - ethz.ch · Informatikdienste, Konzept Informationssicherheit,...

Informatikdienste

Konzept

Informationssicherheit

Strategie für eine durchgängige Informations Security an der ETH Zürich

Released

Für internen Gebrauch

Datum : 15.12.2013

Version : 2.0

Autoren : Dieter Gut Reto Gutmann

Informatikdienste, Konzept Informationssicherheit, Version 2.0

Seite ii / iv

Zusatzinformationen

Versionskontrolle Version Bemerkung Datum Autoren

1.0 Freigabe 7.11.2012

1.1 Korrektur Chief Information Security Officer 13.11.2012 Dieter Gut

1.2 Rolle des IT-Sicherheitsbeauftragten eingefügt. Abgrenzungen zu CISO dargestellt. Feedback von Frau K. Timmel und Frau B. Schiesser eingearbeitet.

20.11.2012 Dieter Gut

1.3 Feedback Herr Prof. R. Boutellier eingearbeitet


1.4 Feedback Herr Dr. R. Perich und Frau K. Timmel (Kapitel Schulleitung, Risikomanagement Kommission hinzugefügt; Kapitel SGU entfernt)


1.5 Entwurf für die Vernehmlassung 05.02.2013

1.6 Umsetzung des Feedbacks aus Workshop mit ISL


1.7 Überarbeitung/Kürzung durch R. Gutmann 30.08.2013 Reto Gutmann

1.8 Redaktionelle Korrekturen gemäss Rücklauf Workshop Team


1.9 Feedback von SGU und Legal 15.10.2013 Reto Gutmann

2.0 Freigabe zur Vorlage an Schulleitung 15.12.2013 Reto Gutmann

Tabelle 1: Versionskontrolle


Seite iii / iv

Freigaben Version Bemerkung Datum Freigegeben durch

1.0 Freigabe 07.11.2012 Reto Gutmann

2.0 Freigabe 15.12.2013 Reto Gutmann

Tabelle 2: Freigaben

Referenzierte Dokumente

Titel Version Autor/in Datum

[1] ISO/IEC 27001 Information Management System

SNV

[2] Informationsschutzverordnung ISchV RS 510.411 Schweizerische Eidgenossenschaft

30.06.2010

[3] ISO/IEC 20000 IT Service Management System

SNV

[4] Benutzerordnung Telematik der ETH Zürich (BOT) RSETHZ 203.21

Teilrevisions- entwurf in Vernehm- lassung

ETH Zürich 15.01.2013


Seite iv / iv

Inhaltsverzeichnis

Zusatzinformationen ................................................................................................................. ii

Versionskontrolle .................................................................................................................... ii Freigaben .............................................................................................................................. iii Referenzierte Dokumente ...................................................................................................... iii

Inhaltsverzeichnis .................................................................................................................... iv

Abbildungs- und Tabellenverzeichnis .................................................................................... iv

Abbildungen .......................................................................................................................... iv Tabellen ................................................................................................................................ iv

1. Einführung ........................................................................................................................... 1

1.1. Informationssicherheit (IS) ............................................................................................. 1 1.2. Motivation und Zielsetzungen ........................................................................................ 1 1.3. Grundsatz für die Umsetzung innerhalb der ETH Zürich ................................................ 2 1.4. Risikobeurteilung ........................................................................................................... 2 1.5. Business Risk Management .......................................................................................... 2

2. Das Information Security Management System (ISMS) .................................................... 3

2.1. Die Norm ....................................................................................................................... 3 2.2. Empfehlungen der Norm ................................................................................................ 3 2.3. Ein systematischer und lebbarer Prozess ...................................................................... 3 2.4. Die Steuerung des ISMS ............................................................................................... 3

3. Umsetzung des Informationssicherheits-Konzepts an der ETH Zürich .......................... 5

3.1. Rollen ............................................................................................................................ 5 3.2. Aufgaben und Organisation ........................................................................................... 6

Abkürzungen und Begriffe ....................................................................................................... 8

Abbildungs- und Tabellenverzeichnis

Abbildungen

Abbildung 1: PDCA Zyklus in der Information Security ................................................................ 4

Abbildung 2: Übersicht Rollen ..................................................................................................... 6

Tabellen

Tabelle 1: Versionskontrolle ......................................................................................................... ii

Tabelle 2: Freigaben ................................................................................................................... iii


Seite 1 / 8

1. Einführung

1.1. Informationssicherheit (IS)

Die Information Security beschäftigt sich mit

Verfügbarkeit (Availability)

Vertraulichkeit (Confidentiality)

Unversehrtheit (Integrity)

Nachweisbarkeit (Traceability) 1

von Informationen. Informationssicherheit ist die Gesamtheit aller Anforderungen und Massnahmen, mit denen die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Nachweis- bzw. Nachvollziehbarkeit von Informationen sowie die Verfügbarkeit und die Integrität von IT-Mitteln der ETH Zürich geschützt werden.

Die Informationssicherheit richtet sich nach den Vorgaben der Eigentümer oder Ersteller der Daten (vgl. Ziffer 1.5). Jedes Bearbeiten von Informationen an der ETH Zürich, unabhängig von den angewandten Mitteln und Verfahren, unterliegt den gesetzlichen Regelungen und Vorschriften (z.B. Informationsschutzverordnung des Bundes, Datenschutzgesetz) sowie den ETH-internen Bestimmungen. Es gibt den Security Prozess in zwei Ausprägungen.

Governance Prozess2

IT Security Management (ITIL-Prozess)3

Die beiden Ausprägungen unterscheiden sich im Geltungsbereich. Während der ITIL-Prozess sich speziell und ausschliesslich um die Risiken bei den IT-Services kümmert, befasst sich der Governance Prozess mit allen IT-Risiken für die „Geschäftsprozesse“ der ETH.

1.2. Motivation und Zielsetzungen

Informationssicherheit ist ein Thema, dessen Relevanz oft erst ersichtlich wird, wenn etwas Unvorhergesehenes eingetreten ist. Ziel dieses Dokumentes ist, mittels eines systematischen Ansatzes innerhalb der ETH Zürich einen kontinuierlichen Verbesserungsprozess zu etablieren, der folgende Themen stärken soll:

Erhöhen des Bewusstseins und der Sensibilität zur Informationssicherheit allgemein

Einführen einer systematischen Beurteilung der Informationssicherheitsrisiken abgeleitet aus den relevanten Geschäftsprozessen der einzelnen Einheiten (Departemente oder zentrale Organe)

1 Traceability: In diesem Zusammenhang ist die Fähigkeit gemeint, Zugriffe auf Informationen und Veränderungen von Informationen nachzuvollziehen im Sinne von “wer hat was” gelesen oder verändert.

2 Norm ISO 27000 [1]

3 Norm ISO 20000 [3] / Service Design / Information Security Management


Seite 2 / 8

Daraus abgeleitet ein bewusstes Entscheiden zu Informationssicherheitsrisiken – und damit Reduktion von Überraschungen

Klare dezentrale Verantwortlichkeiten

Gemeinsames erarbeiten von Best Practices oder Richtlinien

Es ist nicht a priori die Zielsetzung des Konzepts zur Informationssicherheit, diese grundsätzlich einfach zu erhöhen. Es ist zu jeder Veränderung zwingend eine Risikobeurteilung notwendig. Die einzige Ausnahme davon sind gesetzliche Auflagen, die umgesetzt werden müssen.

Das Konzept soll damit gemäss den Zielsetzungen einen direkten Mehrwert für die ETH Zürich bringen und sowohl die Empfehlungen aus dem Bericht vom ETH-Rats-Audit vom 29.9.2011 als auch mögliche zukünftige Auflagen des Bundes zum Thema Informationsschutz berücksichtigen.

1.3. Grundsatz für die Umsetzung innerhalb der ETH Zürich

Um diese Zielsetzungen innerhalb der ETH Zürich zu erreichen, sollen die bestehenden Strukturen genutzt und eingesetzt werden.

1.4. Risikobeurteilung

Die Risiken für einen Business Prozess1 oder die Reputation der ETH werden mit einer Business Impact Analyse (BIA) bestimmt.

Kennt man die Risiken, kann man sie beurteilen und bewerten. Man ermittelt, wie weit ein Risiko mit welcher Massnahme vermindert werden kann. Darauf wird zwischen Kosten und Nutzen abgewogen. Ziel dieses kontinuierlichen Prozesses ist es, nur noch akzeptierte Restrisiken für die Organisation zu haben, deren Auswirkungen tolerierbar sind. Der Nachweis für dieses Vorgehen wird bei Revisionen eingefordert.

1.5. Business Risk Management

Die meisten Geschäftsprozesse an der ETH haben eine IT-Komponente. Der Ausfall dieser Komponente bewirkt direkt einen Ausfall eines oder mehrerer Geschäftsprozesse. Ein Verfügbarkeitsunterbruch ist definitionsgemäss im Fokus der Information Security.

Weil nur der Eigentümer des Geschäftsprozesses selber in der Lage ist, die Auswirkungen eines Ausfalls auf seinen Prozess zu beurteilen, muss er selber eine sogenannte Business Impact Analyse (BIA) machen. Er bestimmt damit, wie lange er maximal auf seinen Business Prozess verzichten kann. Diese Zeit teilt er seinen Servicelieferanten für die Komponenten in seinem Prozess mit. Insbesondere fixiert er diesen Wert im Service Level Agreement (SLA) mit seinem IT Provider, in der Regel die Informatikdienste. Die Informatikdienste der ETH unterstützen die Geschäftsprozessverantwortliche bei dieser Aufgabe.

Der IT Provider leitet daraus die Anforderung an seine IT-Systeme ab und definiert Massnahmen zur Sicherstellung der Verfügbarkeit und regelt mit seinen Lieferanten die Verträge. Der IT Provider benutzt die Vorgaben seiner Kunden für die Erfassung und Bewertung seiner eigenen Risiken.

1 Geschäftsprozess (Business Process): In diesem Zusammenhang sind Aktivitäten gemeint, die zur erfolgreichen Erledigung der Kernaufgaben einer Einheit gehören.


Seite 3 / 8

2. Das Information Security Management System (ISMS)

2.1. Die Norm

Um vergleichbare Verhältnisse zu schaffen, wurde eine international gültige Norm erstellt, nach der viele Firmen und Verwaltungen arbeiten und die auch von Zertifizierungsstellen geprüft wird. Die heute gültige Norm heisst ISO/IEC 27000 [1] und besteht aus mehreren Büchern zu verschiedenen Teilthemen der Informationssicherheit. Im wichtigsten Teil, der Norm ISO 27001, geht es um das Informationssicherheits-Managementsystem. Dieses erlaubt der ETH die nachvollziehbare Steuerung der Informationssicherheit.

2.2. Empfehlungen der Norm

Die Norm gibt Anregungen und Richtlinien, welche Steuerungsgrössen und Prozesse angewendet werden können und wie sie zu implementieren sind. Es ist Sache der ETH, welche Steuerungsgrössen sie auswählt oder wie genau sie die erforderlichen Prozesse implementiert. Sie muss aber ihre Entscheidungen dokumentieren und Kontrollelemente so wählen, dass Fehlfunktionen in den Prozessen erkannt und korrigiert werden können.

2.3. Ein systematischer und lebbarer Prozess

Um die in diesem Dokument formulierten Zielsetzungen zu erreichen, muss die ETH einen ISMS-Prozess betreiben. Entscheidend ist, dass alle Angehörigen, welche sich mit Informationssicherheit beschäftigen, aktiv diesen Prozess leben. Dazu gehört immer auch das oberste Management – die Schulleitung. Sie trägt die Verantwortung und kommuniziert ihre Unterstützung der Informationssicherheit (Commitment).

2.4. Die Steuerung des ISMS

Der internationale Standard wendet das Modell des Plan-Do-Check-Acts (PDCA)1, auch Deming-Cycle genannt, an, um die Prozesse des ISMS zu strukturieren.

Planen: Festlegen, welche Zielsetzungen erreicht werden sollen und Ableiten von Massnahmen

Ausführen: Umsetzen der definierten Massnahmen

Überprüfen: Anhand von Messgrössen verifizieren, ob die Zielsetzungen erreicht wurden

Schlussfolgerung und Verbesserung: Auswerten der Erkenntnisse und Ableiten von Korrekturen

1 Deming Cycle (William Edwards Deming (1900-1993))


Seite 4 / 8

PLANFremde Richtlinien, Gesetze

Eigene Richtlinien

Verträge mit Dritten

Verträge mit Angestellten

CHECKInterne Audits

Externe Audits

Self Assessments

Messungen

Analyse von Vorfällen

Risiken

ACTQualitative Aussagen aufbereiten

Management Reviews

Verbesserungsmassnahmen

bestimmen

Risikoreduktionsmassnahmen

bestimmen

DOAwareness sicherstellen

Klassifizieren von Informationen

Berechtigungsvergabe

Prozeduren zur Behandlung von

Vorfällen

Risiken erkennen und festhalten

SteuernProzessrahmen

Rollen

Verantwortungen

Abbildung 1: PDCA Zyklus in der Information Security


Seite 5 / 8

3. Umsetzung des Informationssicherheits-Konzepts an der ETH Zürich

3.1. Rollen

Um die in diesem Dokument erwähnten Zielsetzungen zu erreichen, werden an der ETH bereits bestehende Rollen durch Aufgaben im Zusammenhang mit Informationssicherheit ergänzt. Die neue Rolle des ISO (Information Security Officers) ist eine ergänzende Rolle zu der bestehenden Funktionen des ISL (Informatik Support Leiter). Die Pfeile im Diagramm stellen Informationsflüsse dar und nicht organisatorische Unterstellungen.

Schulleitung Die SL trägt die Verantwortung für Information Security. Sie setzt Richtlinien in Kraft, die für die gesamte ETH gültig sind. Die Umsetzung der Richtlinien in den Departementen und den ZO erfolgt über die Departementsvorsteher und die Infrastrukturbereiche.

Risikomanagement Kommission (RMK)

Die Risikomanagement Kommission (RMK) als ständige Kommission der Schulleitung berät den Präsidenten und die Schulleitung in sämtlichen Fragen des Risikomanagements (Organisationsverordnung ETHZ, Art. 28, Abs. 1, Bst. e).

Sie unterstützt die Einheiten bei der Koordination und Organisation der Informationssicherheit als Teil eines umfassenden Risikomanagements.

Departementsvorsteher Der Departemenstvorsteher trägt die Verantwortung für Information Security in seiner Einheit. Er legt bei Bedarf individuelle Richtlinien in seiner Einheit fest.

IT Sicherheitsbeauftragte (SGU)

Die Rolle der IT Sicherheitsbeauftragten wird von der SGU-Leiterin wahrgenommen.

Die IT Sicherheitsbeauftragte ist verantwortlich für die rechtlich zulässige und bestimmungsgemässe Nutzung der ETH-Informatiksysteme durch die Anwender in der Hochschule und durch berechtigte Dritte (z.B. Spinoff-Unternehmen). Sie ist Ansprechstelle bei Missbräuchen. Sie koordiniert die Kontrollen und die Massnahmen zur Vermeidung von Missbräuchen.

Chief Information Security Officer (CISO)

Die Rolle und Verantwortung des CISO liegt an der ETH bei den Informatikdiensten.

Der CISO koordiniert Treffen mit den ISO. Er legt in Absprache mit den ISO und der Schulleitung die Informationssicherheits-Strategie der ETH fest.

Der CISO unterstützt die ISO bei der Durchführung der Business Impact Analyse.

Er erarbeitet zusammen mit den ISO die jährlichen Information Security Ziele im Sinne des PDCA Cycles.


Seite 6 / 8

Information Security Officer (ISO)

Die Rolle des Information Security Officer (ISO) ist neu. Diese Rolle wird durch den ISL wahrgenommen.

Der ISO koordiniert die individuellen Information Security Bedürfnisse seiner Einheit. Er ist Ansprechpartner für den CISO. Er berät die Interessensgruppen in seiner Einheit bei der Erkennung und Beurteilung der Sicherheitsrisiken.

Er unterstützt seine Einheit bei der Durchführung der BIA.

Er erarbeitet zusammen mit den anderen ISO’s und dem CISO die jährlichen Information Security Ziele im Sinne des PDCA Cycles.

Er kommuniziert gegenüber den Nutzern seines Bereiches bei IS Systemausfällen.

Endbenutzer/Anwender Ist informiert über Best Practices und Richtlinien. Geht proaktiv auf den ISO/CISO zu, falls Risiken oder Probleme identifiziert werden.

Die folgende Abbildung zeigt das funktionelle Zusammenspiel der Rollen.

Abbildung 2: Übersicht Rollen

3.2. Aufgaben und Organisation

Die ISOs organisieren sich in zwei Gremien, welche vom CISO geleitet werden : Das „ISO Gremium Departemente“ und das „ISO Gremium ZO“. Da die Bedürfnisse der Departemente und der Einheiten der zentralen Organe divergieren können, finden die Koordinationssitzungen der beiden Gremien in der Regel getrennt statt.

Die ISO-Gremien haben keine Weisungsbefugnisse. Ihr Ziel ist es, die Informationssicherheit der ETH zu verbessern.

Entscheide zur Umsetzung werden über den regulären Weg an der ETH, via Schulleitung, angegangen.


Seite 7 / 8

Die ISO Gremien treffen sich im Normallfall einmal im Quartal, wobei ein zusätzliches individuelles Meeting zwischen ISO und CISO dazu dient, die BIA im jährlichen Rhythmus zu überarbeiten. Zuständig für die Einladung ist der CISO. Jeder ISO kann bei Bedarf zusätzlich ein entsprechendes Meeting vereinbaren.

Inhalt des jeweiligen Meetings ist im Normalfall:

Zeitpunkt des Meetings: Inhalt

Q1 (optional) Festlegen der Vorgehensweise zur Umsetzung der gestellten Zielsetzungen (DO)

Q2 (optional) Zwischenresultate, neue Erkenntnisse (DO)

Q3 Verifikation des Erreichten. Beurteilung der aktuellen Bedürfnisse und Aufnahme neuer Bedürfnisse (CHECK)

Q4 Festlegen von gemeinsamen IS Massnahmen für das kommende Jahr, basierend auf einer Risikoeinschätzung oder konkreten Aufträgen durch die SL (ACT/PLAN)

Im eingespielten Zustand kann die Zahl der Meetings von 4 auf 2 pro Jahr reduziert werden. Die Verteilung auf das Kalenderjahr ist flexibel und erfolgt sinnvoll.


Seite 8 / 8

Abkürzungen und Begriffe

Begriff Bedeutung

BIA Business Impact Analysis

BOT Benutzerordnung Telematik

CISO Chief Information Security Officer;

IS Informationssicherheit, Information Security

ISL Informatiksupportleiter

ISO Information Security Officer; Trägt die Verantwortung für die IS eines Teilbereichs; Der ISO berichtet dem obersten Management seiner Organisationseinheit

ITIL IT Infrastructure Library; IT-Prozessbibliothek

SLA Service Level Agreement; Servicevertrag zwischen Leistungserbringer und Leistungsbezüger.

Information Security Konzept - ethz.ch · Informatikdienste, Konzept Informationssicherheit,...

Documents

Transcript of Information Security Konzept - ethz.ch · Informatikdienste, Konzept Informationssicherheit,...