Security Knowledge Management auf Basis einer ... · Security Knowledge Management auf Basis einer...

Security Knowledge Management

auf Basis einer

Dokumentenvorlage für

Sicherheitskonzepte

Felix von Eye

Leibniz-Rechenzentrum, Garching bei München

Sicherheit in vernetzten Systemen 18.02.2014

Sicherheit in vernetzten Systemen Security Knowledge Management2

Leibniz-Rechenzentrum (LRZ)

‣ Rechenzentrum für Münchner

Universitäten und Hochschulen‣ 130,000+ Benutzer

‣ 550+ Gebäude

‣ 100+ PB Speicher/Backup/Archiv

‣ Nationales HPC‣ Flaggschiff: SuperMUC, 3 PetaFlop/s

‣ Großer Linux Cluster (9,396 cores)

‣ Mitglied des Gauss Computing

Centre

Photo: Ernst A. Graf, 2012

Sicherheit in vernetzten Systemen Security Knowledge Management

Gliederung

‣Motivation

‣ für Security Knowledge Management

‣ für den Template-basierten Ansatz

‣Das LRZ Security Konzept Template

‣ Designprozess

‣ Ausgewählter Inhalt

‣ Management Workflow

‣ Ausblick/weitere Schritte

3


Kategorien von Sicherheitsmaßnahmen

präventiv detektierend reaktiv

tech

nis

ch

org

anis

ato

risch

Security

Awareness

Training

Network

Firewall

Logfile

Analyse

Incident

Response

Process

Intrusion

Detection

System

Automa-

tische

Quarantäne

Beispiele für diese Kategorien:


Kategorien von Sicherheitsmaßnahmen

präventiv detektierend reaktiv

tech

nis

ch

org

anis

ato

risch

Security

Awareness

Training

Network

Firewall

Logfile

Analyse

Incident

Response

Process

Intrusion

Detection

System

Automa-

tische

Quarantäne

Beispiele für diese Kategorien:

Wissen oft in den Köpfen der Administratoren,

Konfigurationsdateien, ... versteckt

(Implizite) Dokumentation existiert oft,

z.B., Folien und Teilnehmerliste von Schulungen


Dokumentation von

Sicherheitsmaßnahmen ist...

‣ ... hilfreich für eine Organisation als ganzes:

‣ Urlaubsvertretung, Mitarbeiterwechsel, ...

‣ Unterstützt das Security Team in Notfällen

‣ Anforderung von Industriepartnern, für Zertifizierungen...

‣ ... oft eine Herausforderung:

‣ Schreiben einer Dokumentation ist langweilig und

zeitaufwändig

‣ “Wo soll ich starten und was muss ich hinschreiben?”


Ein Template-basierter Ansatz

‣ Erwünschte Vorteile:

‣ Bidirektionaler Wissenstransfer:

‣ Administratoren müssen über Security nachdenken

‣ Liefert dem Security Team notwendige Informationen

‣ Effizienz:

‣ Verringert die Zeit, die Dokumentation zu schreiben

‣ Einheitliche Struktur vereinfacht die Suche nach

Informationen

‣Risiken, die man beachten sollte:

‣ Dokumentation ist kein Ersatz für Security Schulungen

‣ Generisches Template kann keine Service-spezifischen

Aspekte abdecken


Wie ist das Template entstanden?

Gespräche mit dem Security-

TeamGespräche mit Administratoren

Bereits vorhandene

Sicherheitskonzepte





Bereits vorhandene

Sicherheitskonzepte

Wissenschaftliche

Artikel und freie

Quellen im WWW

Standards und “Good Practices”:

ISO/IEC 27001, ITIL v3,

BSI IT-Grundschutz





Bereits vorhandene

Sicherheitskonzepte

Wissenschaftliche

Artikel und freie

Quellen im WWW



BSI IT-Grundschutz

Stoffsammlung für Inhalte und Struktur





Bereits vorhandene

Sicherheitskonzepte

Wissenschaftliche

Artikel und freie

Quellen im WWW



BSI IT-Grundschutz


Konsolidierung in

mehreren Iterationen





Bereits vorhandene

Sicherheitskonzepte

Wissenschaftliche

Artikel und freie

Quellen im WWW



BSI IT-Grundschutz


Konsolidierung in



Sicherheitskonzepte

Genehmigung und

Selbstverpflichtung der Leitung+





Bereits vorhandene

Sicherheitskonzepte

Wissenschaftliche

Artikel und freie

Quellen im WWW



BSI IT-Grundschutz


Verpflichtende

Nutzung für neue

Dienste bzw. nach

“Major Changes”

Praktische

Anwendung

Verbesserungs-

vorschläge

Konsolidierung in



Sicherheitskonzepte

Genehmigung und

Selbstverpflichtung der Leitung+


Überblick Inhalt des Templates

‣Dokumentenstruktur:

‣ Metadaten, Einleitung

‣ Security Überblick

‣ Implementierte

Sicherheitsmaßnahmen

und ihre Konfiguration

‣ Schnittstellen zu anderen

Prozessen

http://git.lrz.de/secdoc


Inhalt 1/4: Metadaten, Einleitung

‣ Metadaten des Dokuments

‣ Nicht Sicherheits-spezifisch

‣ Autor und

Versionsinformation

‣ Speicherort

‣Einleitung

‣ Zweck des Templates

‣ Typografische Konventionen

‣ Wo zu erweitern,

was ggf. auszulassen


Inhalt 2/4: Security Überblick

‣Dienstbeschreibung

‣ Kontaktinformationen

‣ Serverinformationen

‣ Softwaredetails

‣Datenklassifikation

‣Dienstabhängigkeiten

‣Dienstkritikalität und -

nutzung

‣Dienstspezifische

Risiken


Inhalt 3/4: Sicherheitsmaßnahmen

‣ Software Updates (OS/Dienst)

‣Dezidierte Securitysoftware, z.B.

‣ AntiVirus / AntiMalware

‣ Denial-of-Service-

Gegenmaßnahmen

‣ Identity & Access Management

‣Netzsicherheit, z.B. Firewall

‣ Verfügbarkeit und Datenschutz,

z.B.

‣ Backup- und Recoveryplan

‣ Logdatenmanagement


Inhalt 4/4: Schnittstellen

‣Weitere Information:

‣ Zugehörige Dokumente und

relevante Weblinks

‣ Do’s and Don’ts für das

Security Team

‣ Kontinuierliche Verbesserung:

‣ Frühere Sicherheitsvorfälle

‣ Bekannte Schwächen

‣ Geplante Verbesserungen

‣ Implementierung:

‣ Verantwortlichkeiten

‣ Erforderlicher Aufwand


Management Workflow

Start


‣ Aus allen Abteilungen haben repräsentative

Dienste das Template gefüllt.

‣ Fachliches Feedback ist dadurch zurückgeflossen.

‣ Aber:

‣ Aktualisierung einer Papiervorlage ist schwer

‣ Änderung am Template erzwingt komplettes Neuausfüllen

‣ Anbindung externer Quellen nicht zuverlässig

20

Betriebserfahrungen


‣Web Applikation‣ Zentraler Speicherort

‣ Unterstützung von Workflows

‣ Dynamische Formulare

‣ Statistiken

‣ Export in verschiedene Formate

‣Diskussion in regionalen und nationalen Arbeitsgruppen

‣ Kontinuierliches Verbessern basierend auf Feedback

21

Ausblick/weitere Schritte


Zusammenfassung

‣Unser Security Konzept Template ist...‣ ... klein, aber hilfreich für Security Knowledge

Management.

‣ ... nicht vollständig, aber ein guter Start.

‣ PDF verfügbar unter http://git.lrz.de/secdoc

‣Web Applikation wird als Open Source veröffentlicht.

‣Wir freuen uns über Feedback! [email protected]

‣ Wie kann man das Template intuitiver gestalten?

‣ Welche weiteren Themen sollten behandelt werden?

Security Knowledge Management auf Basis einer ... · Security Knowledge Management auf Basis einer...

Documents

Transcript of Security Knowledge Management auf Basis einer ... · Security Knowledge Management auf Basis einer...