BYOD und ISO 27001
Sascha Todt
Bremen, 23.11.2012
Inhalt
Definition BYOD
Einige Zahlen zu BYOD
ISO 27001
Planung & Konzeption
Assets
Bedrohungen/Risiken
Maßahmen(ziele)
Fazit
BYOD
Definition (Bring Your Own Device)
Bearbeitung von Unternehmensdaten durch Mitarbeiter mit Hilfe
ihrer eigenen elektronischen Geräte.
BYOD – Einige Zahlen
Quelle: ESET, Harris Interactive & The SANS Institute Februar 2012;
Stichprobe: 1.320 angestellte, erwachsene US-Bürger
BYOD und Sicherheitsmaßnahmen
Quelle: ESET, Harris Interactive & The SANS Institute Februar 2012;
Stichprobe: 1.320 angestellte, erwachsene US-Bürger
ISO 27001
Information Security Management Systems
ISO/IEC 27000er-Familie
ISO/IEC 27000:2005
Managementsysteme für Informationssicherheit (ISMS):
Grundlegende Prinzipien, Konzepte, Begriffe und Definitionen
ISO/IEC 27001:2005 (Ursprung: BS 7799-2:2002)
Anforderungen an ein ISMS
Empfehlungen zur Einführung, Betrieb und Verbesserung eines
ISMS unter Berücksichtigung der Risiken
ISO/IEC 27002:2005 (zuvor: ISO 17799:2005, Ursprung BS
7799-1 „Code of Practice“)
Aufbau und Verankerung eines Sicherheitsmanagements auf
abstraktem Niveau
ISO 27005:2008
Rahmenempfehlungen zum Risikomanagement
ISMS – Demingkreis (PDCA)
Planung & Konzeption
(Plan)
Planung & Konzeption
(Plan)
Umsetzung (Do)
Umsetzung (Do)
Erfolgskontrolle &
Überwachung (Check)
Erfolgskontrolle &
Überwachung (Check)
Optimierung & Verbesserung
(Act)
Optimierung & Verbesserung
(Act)
„The organization shall establish,
implement, operate, monitor, review,
maintain and improve a documented
ISMS within the context of the
organization‘s overall business
activities and the risks it faces.“
Planung & Konzeption (Auszug 1/2)
Festlegung des Gültigkeitsbereichs des ISMS
Formulierung einer Sicherheitsleitlinie
Beschreibung der Risiken
Identifizierung der zu schützenden Informationen und
Geschäftsprozesse (Assets)
Identifizierung aller Bedrohungen für diese Assets
Identifizierung der Schwachstellen, über die Bedrohungen
wirken können (Gefährdungen)
Identifizierung der Folgen, die durch den Verlust der
Vertraulichkeit, Integrität oder Verfügbarkeit der Assets
verursacht werden können
Planung & Konzeption (Auszug 2/2)
Bewertung der Risiken
Auswirkungen auf die Geschäftstätigkeit oder
Aufgabenerfüllung
Eintrittswahrscheinlichkeit
Auswahl von Sicherheitsmaßnahmen
Gültigkeitsbereich
„Unter einem Informationsverbund (oder auch IT-Verbund) ist die
Gesamtheit von infrastrukturellen, organisatorischen, personellen
und technischen Objekten zu verstehen, die der Aufgabenerfüllung
in einem bestimmten Anwendungsbereich der Informations-
verarbeitung dienen.
Ein Informationsverbund kann dabei als Ausprägung die gesamte
Institution oder auch einzelne Bereiche, die durch organisatorische
Strukturen (z. B. Abteilungen) oder gemeinsame Geschäfts-
prozesse bzw. Anwendungen (z. B. Personalinformationssystem)
gegliedert sind, umfassen.“
[IT Grundschutz Katalog, 09-2011]
„Unter einem Informationsverbund (oder auch IT-Verbund) ist die
Gesamtheit von infrastrukturellen, organisatorischen, personellen
und technischen Objekten zu verstehen, die der Aufgabenerfüllung
in einem bestimmten Anwendungsbereich der Informations-
verarbeitung dienen.
Ein Informationsverbund kann dabei als Ausprägung die gesamte
Institution oder auch einzelne Bereiche, die durch organisatorische
Strukturen (z. B. Abteilungen) oder gemeinsame Geschäfts-
prozesse bzw. Anwendungen (z. B. Personalinformationssystem)
gegliedert sind, umfassen.“
[IT Grundschutz Katalog, 09-2011]
Beispiel BYOD-Smartphone: Assets
Private Nutzung
Kontakte
Photos
Musik
Dokumente
Anmeldeinformation
Heimnetzwerk
Soziale Netzwerke
Banking
…
Private Nutzung
Kontakte
Photos
Musik
Dokumente
Anmeldeinformation
Heimnetzwerk
Soziale Netzwerke
Banking
…
Geschäftliche Nutzung
Kontakte
Photos
Musik
Dokumente
Anmeldeinformation
Firmennetzwerk
…
Geschäftliche Nutzung
Kontakte
Photos
Musik
Dokumente
Anmeldeinformation
Firmennetzwerk
…
Beispiel BYOD-Smartphone:
Bedrohungen der Assets (1/2)
Top 10 Risks
R1 Data leakage
R2 Improper decommissioning
R3 Unintentional data disclosure
R4 Phishing
R5 Spyware
R6 Network spoofing attacks
R7 Surveillance
R8 Diallerware
R9 Financial malware
R10 Network congestion
Top 10 Risks
R1 Data leakage
R2 Improper decommissioning
R3 Unintentional data disclosure
R4 Phishing
R5 Spyware
R6 Network spoofing attacks
R7 Surveillance
R8 Diallerware
R9 Financial malware
R10 Network congestion
Beispiel BYOD-Smartphone:
Bedrohungen der Assets (2/2)
Beispiel BYOD-Smartphone:
Schadsoftware
Bewertung der Risiken
Eintrittswahrscheinlichkeit?
Schutzbedarfskategorien aus BSI Standard 100-2
„normal“ Die Schadensauswirkungen sind begrenzt und
überschaubar.
„hoch“ Die Schadensauswirkungen können beträchtlich sein.
„sehr hoch“ Die Schadensauswirkungen können ein existentiell
bedrohliches, katastrophales Ausmaß erreichen.
Umgang mit dem Risiko
Verminderung der Risiken durch adäquate
Sicherheitsmaßnahmen.
Vermeidung, z.B. durch Umstrukturierung oder Aufgabe
von Geschäftsbereichen.
Übertragung, z.B. durch Outsourcing oder
Versicherungen.
Bewusstes Akzeptieren von Risiken.
Auswahl von anwendbaren
Maßnahmenzielen und Maßnahmen
7. Management von organisationseigenen Werten (Assets)
7.1 Verantwortung für Assets
7.1.3 Zulässiger Gebrauch von Assets
9. Physische und umgebungsbezogene Sicherheit
9.2 Sicherheit von Betriebsmitteln
9.2.5 Sicherheit von außerhalb des Standorts befindlicher
Ausrüstung
11 Zugangskontrolle
11.4 Zugangskontrolle für Netze
11.4.6 Kontrolle von Netzverbindungen
11.7 Mobile Computing und Telearbeit
11.7.1 Mobile Computing und Kommunikation
Quelle: Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für
das Informationssicherheits-ManagementISO/IEC (27002:2005)
Lösungsansätze
Technisch
Zugriffsregelung und Einschränkung von Nutzerrechten
Berechtigungskonzept für Unternehmensdaten
Installation von Sicherheits-Software
Firewall
Virenscanner
Verschlüsselungssoftware
Deinstallation von nicht vertrauenswürdiger Software
…
Organisatorisch
Nutzungsvereinbarungen
Kennwortrichtlinie
Whitelist für Programminstallation
Aktivierung der Bildschirmsperre
…
Do-Check-Act
Umsetzung und Betrieb
Priorisierung
Ressourcen
Umgang mit Sicherheitsvorfällen
Schulung und Sensibilisierung
Erfolgskontrolle und Überwachung
Überprüfung der Eignung getroffener Maßnahmen
Überprüfung technischer Maßnahmen
Kontrolle organisatorischer Maßnahmen
Optimierung und Verbesserung
Korrektur von Fehlern
Überprüfung der Aktualität
Fazit
(BYO)Device ist Teil des Unternehmensnetzes.
Eine Sicherheitsrichtlinie für BYOD ist dringend erforderlich.
Der Schutzbedarf der vorhandenen Informationen und
Geschäftsprozesse (Assets) ist festzulegen.
Eine individuelle Risikobewertung ist notwendig.
Die private Benutzbarkeit des (BYO)Device wird (stark)
eingeschränkt.
Top Related