Prozessorientiertes Risikomanagement für Informationssicherheit am Beispiel der Methode OCTAVE solutions.hamburg, 11. September 2015 Christian Aust, .consecco
Prozessorientiertes Risikomanagement für Informationssicherheitam Beispiel der Methode OCTAVE
solutions.hamburg, 11. September 2015
Christian Aust, .consecco
2Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
.consecco: die Vorstellung
� Unabhängige Unternehmensberatung in Hamburg seit 2004
� Wir bieten:
� Hochqualifizierte Beratung, Schulungen und Audits
� Unsere Themen:
� Informationssicherheit und Risikomanagement
� (IT) Service Management nach ITIL / ISO 20000
� Qualitätsmanagement
� Unser Branchenschwerpunkt:
� IT-Dienstleister
� Banken und Versicherungen
� Luftfahrt-Industrie
� Weitere Informationen: www.consecco.de
3Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Prozessorientiertes Risikomanagement (RM)gewinnt an Bedeutung!
� Bekannte Managementsysteme fordern heute bereits einen
RM-Prozess oder werden dies in naher Zukunft tun, z.B.:
� Informationssicherheit (ISMS nach ISO 27001)
� Business Continuity Management (BCMS nach ISO 22301)
� (IT) Service Management (SMS nach ISO 20000)
� Qualitätsmanagement (QMS nach ISO 9001 ab 2016)
� Umweltmanagement (UMS nach ISO 14001)
� Die gemeinsame Basis für diesen RM-Prozess ist
� ISO 31000 als allgemeingültige Beschreibung
� ISO 27005 speziell für Informationssicherheit
� Das Prozessmodell ist in beiden Standards identisch
5Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Was ist OCTAVE?
� “Operationally Critical Threat, Asset and Vulnerability Evaluation”
� Anschauliche, praxisorientierte Methode zum
prozess- und werte-orientierten Risikomanagement (RM)
in der Informationssicherheit
� Entwickelt von der internationalen CERT-Community,
federführend dem CERT/CC der Carnegie Mellon University
� Gute Struktur der einzelnen Aktivitäten auf Basis von themenbezogenen
Workshops
� Unterstützung des Anwenders durch
� ausführliche Anleitungen, Arbeitsblätter und Checklisten
� Konform zu den den Anforderungen der ISO 27001:2013
sowie den Empfehlungen der RM-Standards ISO 31000 und ISO 27005
6Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
OCTAVE: die Phasen
Vorbereitung
• Werte• Bedrohungen• vorhandene Sicherheitsmaßnahmen
• Schwachstellen• Sicherheitsanforderungen
• Risiken• Schutzstrategie
• Schlüsselkomponenten• Technische Schwachstellen
Phase 2Technische Sicht
Phase 1Organisatorische Sicht
Phase 3Strategien
und Pläne• Teambildung
7Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Phase 1: Organisatorische SichtÜberblick
� Ziel: Ermittlung von Bedrohungsprofilen
� Inhalt:
� Aufstellen einer Bewertungsmetrik
� Identifizieren kritischer Werte (Assets) und ihres Schutzbedarfs
� Durchführen einer Ist-Analyse zum aktuellen Sicherheitsniveau
� Identifizieren und Bewerten relevanter Bedrohungen pro Asset
� Typische Fragestellungen:
� Welche kritischen Werte sind vorhanden?
� In welcher Beziehung stehen sie zueinander?
� Welchen spezifischen Bedrohungen sind sie ausgesetzt?
� Welche Sicherheitsmaßnahmen sind bereits vorhanden?
8Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Phase 2: Technische SichtÜberblick
� Ziel: Identifizierung von Schwachstellen
� Inhalt:
� Strukturierung der beteiligten technischen Systeme und ihrer Schnittstellen
� Identifizierung wesentlicher Schwachstellen
� Bewertung der aktuellen Betriebssicherheit
� Fragestellungen:
� Wie greifen Mitarbeiter auf die kritischen Werte zu?
� Welche Komponenten der IT-Infrastruktur sind den kritischen Werten
zuzuordnen?
� Welche technischen Schwachstellen sind vorhanden?
9Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Phase 3: Strategien und PläneÜberblick
� Ziel: Erarbeitung eines Risikobehandlungsplanes
� Inhalt:
� Entwickeln einer Sicherheitsstrategie
� Bewerten jeder Bedrohung durch Eintrittswahrscheinlichkeit und
Schadensauswirkung => damit wird die Bedrohung zum Risiko
� Festlegen der individuellen Behandlung pro Risiko
� Fragestellungen:
� In welchen Themenbereichen wollen wir uns konkret verbessern?
� Wie bewerten wir das Risiko?
� Wie behandeln wir das Risiko? Welche Maßnahmen sind ggf. nötig?
� Welche Maßnahmen müssen kurzfristig/mittelfristig/langfristig umgesetzt
werden? Welche Ressourcen sind erforderlich?
� Welche Veränderungen sind für ein kontinuierliches Sicherheitsmanagement
erforderlich?
10Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
OCTAVE-Ablauf: die Struktur
� 3 Phasen plus Vorbereitung
� 5 Prozesse
� S1: Bewertungskriterien, Werte,
vorhandene Maßnahmen
� S2: Identifizierung kritischer Werte mit
Anforderungen und Bedrohungen
� S3: Erfassung der IT-Infrastruktur
und ihrer Schwachstellen
� S4: Risikoanalyse und Sicherheitsstrategie
� S5: Schutzstrategie und Risiko-Behandlungsplan
� 16 Aktivitäten
� S1.1-3, S2.1-3, S3.1-2, S4.1-3, S5.1-5
11Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Bedrohungsanalyse mit Bedrohungsbäumen
� S2.3: Relevante Bedrohungen identifizieren
� Basis: 4 Bedrohungsprofile
� Personen mit Netzwerkzugang
� Personen mit physischem Zugang
� Technische Probleme (Systeme)
� Weitere Problemfelder, z.B. Infrastruktur, Dienstleister, Höhere Gewalt
� Ein Bedrohungsbaum bezieht sich auf einen kritischen Wert sowie ein
Profil und hat i.a. die Struktur
� Wert – Zugriff – Akteur – Motiv - Schaden
13Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Schadenswirkung für Bedrohung durch Personen mit Netzwerkzugang
14Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Risikobewertung und -behandlung
� S4: Identifizierung und Analyse der Risiken
� S4.1: Abschätzung der Schadenswirkung
auf Basis der identifizierten Bedrohungen
� S4.3: Abschätzung der Eintrittswahrscheinlichkeit
für ein vorgegebenes Bedrohungsszenario
� S5: Entwicklung einer Risikostrategie
und eines Plans zur Risikominimierung
� S5.1: Beschreibung der aktuell umgesetzten Sicherheitsmaßnahmen
für die einzelnen Themenbereiche
� S5.3: Identifikation notwendiger Sicherheitsmaßnahmen
zur Risikominimierung und Umsetzungsplanung
15Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Beispiel: Risikobewertung und -behandlungmit Themenbezug zur ISO 27001
16Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Tool-Unterstützung bei OCTAVE
� Standard: vorbereitete Excel-Arbeitsblätter
� Alternative: ADORA
� Assistent zur Durchführung einer OCTAVE Risiko-Analyse
� Entwickelt vom DFN-CERT im Rahmen einer Diplomarbeit in 2011
� Unterstützung des gesamten Workflows
� Assistenten u.a. für Exportfunktionen und Risikoberechnung
� Systemeigenschaften
� Client-Server Modell
� Zertifikatsbasierter Zugang über ein Webportal
� Abruf der aktuellen Arbeitsblätter bei jedem Start
� Datenhaltung als XML-Datei beim Client, nicht beim DFN-CERT
� Freiwillige Weitergabe von Ergebnissen zum Benchmarking
� Unterstützt 4-Augen-Prinzip
17Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Zusammenfassung: die Vorteile von OCTAVE
� Anwendung einer strukturierten und skalierbaren Methode
� Maßgebliche Beteiligung aller Verantwortlichen incl. Management
� Berücksichtigung betriebswirtschaftlicher Aspekte
� Arbeitsblätter führen das Analyseteam durch die gesamte Evaluation
� Klare Trennung zwischen dringenden und kontinuierlichen Maßnahmen
� Schärfung des Sicherheitsbewusstseins der Mitarbeiter
� Grundlage für ein ISMS und eine Zertifizierung nach ISO 27001
(und weiterer Managementsystem-Standards)
� Investitionen in risikoreduzierende Maßnahmen sind leichter
argumentierbar
18Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco
Herzlichen Dank für Ihre Aufmerksamkeit !
� Offene Fragen?
Christian AustDipl.-Ing.
Geschäftsführer
.consecco business.security.management
Stresemannstraße 34222761 Hamburg
Fon 040 – 89 06 64 86
Fax 040 – 89 06 64 88
Mobil 0151 – 15 22 29 54
Mail [email protected]
Web www.consecco.de