Reifegradmodell zur Darstellung der toMs

BvD-Verbandstag 2018

Referent: Dipl.-Ök. Stephan Rehfeld

TECHNISCH-ORGANISATORISCHE MAßNAHMEN Gesetzgeber

2

Ausgangslage

Die toMs werden benötigt zur Beschreibung des technischen Datenschutzniveaus des Auftragnehmers und des Auftraggebers1.  Die toMs sind bei Auftragsverarbeitungen häufig Streitpunkt zwischen

Auftraggeber und Auftragnehmer (Umfang und Ausgestaltung) – Welche Maßnahmen sollte man beim Auftragnehmer erwarten?

2.  Beobachtung: aktuell wird keine Risikoanalyse zur Auswahl der erforderlichen toMs durchgeführt – Das Checklisten-Massaker!

3.  Im Falle eines Rechtstreits müssen die toMs so gut beschrieben sein, dass ein fachkundiger Dritter die Einhaltung oder einen Verstoß beurteilen kann.

Forderung: ein flexibles und risikoorientiertes System zur Maßnahmenkommunikation, dass durch eine graphische Darstellung einfach und schnell auswertbar ist, auch durch den Laien.

3

ERWARTETE MAßNAHMEN „Gucken wir mal, was wir im Durchschnitt an InfoSec erwarten können.“

4

NIST SP 800-70 Revision 2, 2011

•  Das National Institute of Standards and Technology (U.S. Department of Commerce) hat im SP 800-70 Revision 2 typische EDV-Einsatz-Szenarien definiert.

•  Die Definitionen beruhen auf Beobachtungen/Erfahrungen aus der Praxis.

•  Es wird also die Frage beantwortet, welche Erwartungen in einem spezifischen Szenario typischerweise von einer Organisation erfüllt werden.

5

Aus NIST SP 800-70 Revision 2, 2011

6

•  Firewall appliance

•  Personal firewalls

•  Security updates

•  Anti-virus software

•  Malicious filtering on web and e-mail

•  Disable unnecessary applications

Environment Descrip/on ExampleSystems

Smalloffice/homeoffice(SOHO)

Informalcomputerinstalla6onusedforhomeorsmallbusinesses

Homeoffice/smallbusiness

•  Encrypt wireless traffic

•  System connection restrictions

•  User privilege restrictions

•  Resource-sharing restrictions

•  Backup and recovery procedures

•  Physical security procedures

Aus NIST SP 800-70 Revision 2, 2011

7

•  Segmented internal networks

•  Centralized system management

•  Centralized security application management

•  Automated update management

•  Restricted access to printers

•  Centralized backup and recovery

Environment Descrip/on ExampleSystems

Enterprise Managedenvironmentsconsis6ngofcentrallymanagedworksta6onsandserversprotectedfromtheInternet

Mediumtolargebusinesses

Aus NIST SP 800-70 Revision 2, 2011

8

•  Single-function servers•  Removal of unnecessary services and applications•  Host-based firewall applications•  Limited users•  Strong authentication•  Restricted and encrypted remote access•  Intrusion detection monitoring•  Regular vulnerability scans•  Skilled administrators

Environment Descrip/on ExampleSystems

Highsecurity AnenvironmentthatisatahighriskofaFackordataexposure.Securitytakesprecedenceoverusability.Environmentincludeslimitedfunc6oncomputersandhighlyconfiden6alinforma6on

Bankingsystems

Aus NIST SP 800-70 Revision 2, 2011

9

•  Varies widely

Environment Descrip/on ExampleSystems

Custom Specializedsystemsinwhichfunc6onanddegreeofsecuritydonotfitotherenvironments

Legacysystems

CHECKLISTEN-MASSAKER UND AUSWAHL VON MAßNAHMEN DER INFORMATIONSSICHERHEIT

„Das Hornbacher Schießen“

10

Große Auswahl an Checklisten

•  Checkliste des GDD von Peter Gola•  Anhang A der ISO 27001•  Tabelle: „Maßnahmen und Datenschutz-Kontrollziele“ zu

Baustein 1.5 „Datenschutz“•  IT-Grundschutzkatalog•  Hilfen der Aufsichtsbehörden•  Listen aus der Datenschutz-Literatur

oder auch

•  … irgendwas aus dem Internet.

11

MÖGLICHE KONSTELLATION BEI DEM EINSATZ EINES MAßNAHMENKATALOGES (CHECKLISTE)

So sieht die Praxis aus

12

ForderungdesGesetzgebers:UmsetzungundEinhaltungder

erforderlichentechnisch-organisatorischenMaßnahmen

So ist Leben: Forderungen des Gesetzgebers

13

Katalogauswahl bei KMUs - meist durch DSB -

14

ForderungdesGesetzgebers:UmsetzungundEinhaltungder

erforderlichentechnisch-organisatorischenMaßnahmen

IrgendeinMaßnahmenkatalog

„Verbesserung“ durch „Rumfummeln“ am Maßnahmenkatalog

15

Informationen von der Informationssicherheit

ForderungdesGesetzgebers:UmsetzungundEinhaltungder

erforderlichentechnisch-organisatorischenMaßnahmen

IrgendeinMaßnahmenkatalog

anwen

dbar

nicht

anwen

dbar

Erzieltes Ergebnis I

16

ForderungdesGesetzgebers:UmsetzungundEinhaltungder

erforderlichentechnisch-organisatorischenMaßnahmen

IrgendeinMaßnahmenkatalog

anwen

dbar

nicht

anwen

dbar

MaßnahmendesMaßnahmenkataloges,dienicht

imRahmeneinesRisiko-Assessmentsermitteltworden

sind.

Erzieltes Ergebnis II

17

ForderungdesGesetzgebers:UmsetzungundEinhaltungder

erforderlichentechnisch-organisatorischenMaßnahmen

IrgendeinMaßnahmenkatalog

anwen

dbar

nicht

anwen

dbar

ErforderlicheMaßnahmen,dieimMaßnahmenkatalogenthaltensindunddurcheinRisiko-

Assessmentidentifiziertwordensind.

MaßnahmendesMaßnahmenkataloges,dienicht

imRahmeneinesRisiko-Assessmentsermitteltworden

sind.

Erzieltes Ergebnis III

18Realität „zufälliger Schutz“ „modelliert“

ForderungdesGesetzgebers:UmsetzungundEinhaltungder

erforderlichentechnisch-organisatorischenMaßnahmen

IrgendeinMaßnahmenkatalog

anwen

dbar

nicht

anwen

dbar

ErforderlicheMaßnahmen,dienichtimMaßnahmenkatalog

enthaltensind.

ErforderlicheMaßnahmen,dieimMaßnahmenkatalogenthaltensindunddurcheinRisiko-

Assessmentidentifiziertwordensind.

MaßnahmendesMaßnahmenkataloges,dienicht

imRahmeneinesRisiko-Assessmentsermitteltworden

sind.

Zwischenfazit

•  Durch den ungefilterten Einsatz von Checklisten ist die Auswahl der erforderlichen Maßnahmen Glücksspiel.

•  Erfahrungsgemäß werden die Maßnahmen als erstes umgesetzt, die „einfach“ sind, meistens sind diese jedoch nicht die wichtigsten!

•  Die erforderlichen Maßnahmen können nur durch eine Risikoanalyse bestimmt werden.

•  Auch bei einer Risikoanalyse werden mit an Sicherheit grenzender Wahrscheinlichkeit nicht alle erforderlichen Maßnahmen identifiziert, aber es wird eine gute Näherungslösung erzielt.

•  Der Einsatz von Checklisten kann nur unterstützenden Charakter haben.

… und Achtung: „viel hilft viel“ ist keine Lösung!19

BESCHREIBUNG VON TOMS Der Neandertaler im Autohaus

20

Bis zur Unkenntlichkeit vereinfacht

21

SZENARIEN ZUR MAßNAHMENAUSWAHL Der Auftraggeber muss an sich selbst arbeiten

22

Szenario

23

Informationssicherheit (technisch-organisatorische Maßnahmen)

S1 - Diebstahl / Verlust von mobilen Geräten

Mobile Hardware oder Datenträger werden verloren, gestohlen oder es wird anderweitig die Verfügungsgewalt über Informationen verloren. Informationen werden auf Datenträgern gespeichert. Typische Datenträger sind z.B. Dokumente, Magnetbänder, CDs, DVDs oder USB-Sticks. Die Datenträger konnen wiederum in Hardware verbaut sein, z.B. in Laptops, Tablets, PDAs, Mobiltelefonen oder Kameras. Datenträger oder Hardware können verloren gehen, gestohlen, beschädigt, zerstört oder veruntreut werden. Die Verfügungsgewalt über Informationen kann auch verloren gehen, weil Datenträger oder Hardware entsorgt oder (von jemand anderen) wiederverwendet wird.

Maßnahmenauswahl am Beispiel der ISO 27001:2005

24

Zwischenfazit

•  Die Maßnahmen werden auf Management-Ebene oder von der Leitung ausgewählt.

Vorteile:–  Akzeptanz in der Organisation

–  Rückhalt für die Verantwortlichen

•  Maßnahmen aus einem Maßnahmenkatalog müssen bewusst ausgeschlossen werden (begründet!). Das Ergebnis wird dann auch „Erklärung zur Anwendbarkeit“ oder „Statement of applicability“ genannt.

25

Erklärung zur Anwendbarkeit - Was muss gemacht werden oder warum nicht?

26

Informationssicherheit (technisch-organisatorische Maßnahmen)

Erklärung zur Anwendbarkeit Kommentar

Section Information security control   A5 Sicherheitsleitlinien  

A5.1 Managementausrichtung zur Informationssicherheit   A5.1.1 Leitlinie zur Informationssicherheit nicht anwendbar

A5.1.2 Überprüfung der Informationssicherheitsleitlinie nicht anwendbar

A6 Organisation der Informationssicherheit  

A6.1 Interne Organisation   A6.1.1 Information security roles and responsibilities nicht anwendbar

A6.1.2 Segregation of duties nicht anwendbar

A6.1.3 Contact with authorities nicht anwendbar

A6.1.4 Contact with special interest groups nicht anwendbar

A6.1.5 Information security in project management nicht anwendbar

A6.2 Mobilgeräte und Telearbeit   A6.2.1 Mobile device policy nicht anwendbar

A6.2.2 Teleworking nicht anwendbar

A7 Personalsicherheit  

A7.1 Vor der Anstellung   A7.1.1 Screening nicht anwendbar

Risikobehandlungsplan - Wer macht was zu wann?

27

Informationssicherheit (technisch-organisatorische Maßnahmen)

Erklärung zur Anwendbarkeit Risikobehandlungsplan

Section Information security control   Umsetzung Verantwortlich Status

A5 Sicherheitsleitlinien        

A5.1 Managementausrichtung zur Informationssicherheit        A5.1.1 Leitlinie zur Informationssicherheit nicht anwendbar     ? unbekannt

A5.1.2 Überprüfung der Informationssicherheitsleitlinie nicht anwendbar     ? unbekannt

A6 Organisation der Informationssicherheit        

A6.1 Interne Organisation        A6.1.1 Information security roles and responsibilities nicht anwendbar     ? unbekannt

A6.1.2 Segregation of duties nicht anwendbar     ? unbekannt

A6.1.3 Contact with authorities nicht anwendbar     ? unbekannt

A6.1.4 Contact with special interest groups nicht anwendbar     ? unbekannt

A6.1.5 Information security in project management nicht anwendbar     ? unbekannt

A6.2 Mobilgeräte und Telearbeit        A6.2.1 Mobile device policy nicht anwendbar     ? unbekannt

A6.2.2 Teleworking nicht anwendbar     ? unbekannt

A7 Personalsicherheit        

A7.1 Vor der Anstellung        A7.1.1 Screening nicht anwendbar     ? unbekannt

Messung und Kontrolle des Umsetzungsstandes (Projektplan)

28

Status Bedeutung

? unbekannt wurdenochnichtbetrachtet

nicht existentEsfehlensämtlicheNachweisewiez.B.Richtlinien,ArbeitsanweisungenoderandereMaßnahmen

initialDieEntwicklungwurdebegonnen,wirdabernocheinensignifikantenZeitraumbiszurErfüllungderAnforderungenbenö6gen.

eingeschränktFortschriFewurdengemacht,dieEntwicklungistabernochnichtabgeschlossen.

23%

5%

28%

36%

8%

DSMS-Anforderungen (%)

?unbekannt

nichtexistent

ini6al

eingeschränkt

definiert

gelenkt

op6miert

nichtanwendbar

Technisch-organisatorische Maßnahmen (%)

Rechtlich-organisatorische Maßnahmen (%)

10%

19%

36%

19%

16%5%

44%

20%

28%

3%,…,…

INTERNE AUDITS DER TECHNISCH-ORGANISATORISCHEN MAßNAHMEN

„Nie was beauftragen, was man nicht kontrollieren kann!“

29

Best Practice: VDA Information Self Assessment

•  Das VDA ISA ist ein Audit-Tool und wird von OEMs als Self Assessment Tool eingesetzt oder als Grundlage für ein Vor-Ort-Audit.

•  Die Bewertung der Umsetzung einzelner Maßnahmenerfolgt über die Reifegrad-Levels 0-5 und n/a.

Verfügbarkeit•  Überarbeiteter Fragenkatalog „Information Security Assessment“ zur

Informationssicherheitsbewertung, Vers. 4, basierend auf der ISO 27002:2013 mit zusätzlichen Controls für die Überprüfung des Information Security Management Systems (ISMS)

•  Verfügbare Sprachen: Deutsch, Englisch•  https://www.vda.de/de/services/Publikationen/information-security-

assessment.html

30

ISO/IEC FDIS 29190 INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — PRIVACY CAPABILITY ASSESSMENT MODEL

Reifegrad-Skala in der Normenwelt

31

ISO/IEC FDIS 29190, Introduction

•  “The aim of this International Standard is to provide organizations with high-level guidance about how to assess the level of their ability (capability) to manage privacy-related processes. This International Standard focuses on an approach for assessing the efficiency and effectiveness of privacy-related processes used by organizations.”

•  This International Standard guides organizations towards the production of several different kinds of output:–  an overall “score” against a simple capability assessment model;

–  a set of metrics indicating assessment against key performance indicators;

–  the detailed outputs from privacy process management audits and management practices (for example, assessment against data protection criteria and data custody best practice) for input into improving capability in these specific areas.

32

ISO/IEC FDIS 29190 – Capability scale

Level 0: Incomplete process•  The process is not implemented, or fails to achieve its process purpose. At this level there is little or no evidence

of any systematic achievement of the process purpose.

Level 1: Performed process•  The implemented process achieves its process purpose.

Level 2: Managed process•  The performed process is implemented in a managed fashion (planned, monitored and adjusted) and its work

products are appropriately established, controlled and maintained.

Level 3: Established process•  The managed process is implemented using a defined process capable of achieving its process outcomes.

Level 4: Predictable process•  The established process operates within defined limits to achieve its process outcomes.

Level 5: Innovating process•  The predictable process is continuously improved to respond to change aligned to organizational goals.

33

VDA INFORMATION SELF ASSESSMENT Ab in die Praxis

34

Audit-Frage, Beispiel

35

9 Access Control    

9.2 Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern mit den zugehörigen Zugriffsrechten umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?

  (Referenz zu ISO 27001: Control A9.2.1, A9.2.2, A9.2.4 und A9.2.5)

DurchdieVerwendungeindeu6gerundpersonalisierterBenutzerkennungen(Benutzerkonten)wirdgewährleistet,dassHandlungeneindeu6gnachvollziehbarsind.DieAnmeldeinforma6onen(z.B.Passwörter)dürfennurdemberech6gtenBenutzerbekanntsein.FürdenLifecyclevonBenutzerkontensinddefinierteProzessevorhanden.EserfolgteineregelmäßigeÜberprüfungdervorhandenenBenutzerkontenaufihreNotwendigkeit.

Erforderliche Aspekte zur Maßnahmenerfüllung

36

Einstufung nach Reifegradmodell (SPICE)

37

Bewertung mit Hilfe eines Reifegrad-Modells

38

Reifegrad Level 0-5; na

9 Access Control

   

2

9.2 In wie weit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern mit den zugehörigen Zugriffsrechten umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?

  (Referenz zu ISO 27002: Control 9.2.1, 9.2.2, 9.2.4 und 9.2.5)

Tabellarische Auswertung

39

Information Security Assessment Results

           

Frage Nr. Themen Ziel- Reifegrad Ergebnis

1.1Freigabe eines Informationssicherheitsmanagementsystems (ISMS)

3 0

1.2 IS-Risikomanagement 3 0

1.3 Wirksamkeit des ISMS 3 0

5.1 Informationssicherheitsrichtlinie 3 0

6.1 Zuweisung der Verantwortung für Informationssicherheit 3 0

Firma: 0 Standort: 0 Datum: 00.01.1900

Ergebnis mit Kürzung auf Zielreifegrad: 0,04 Maximal erreichbar: 3,00

Ergebnis ohne Kürzung auf Zielreifegrad: 0,04

Ergebnis je Kapitel:

Graphische Auswertung

40

0

1

2

3

4

5 1 ISMS

5 Information Security Policies

6 Organization of Information Security

7 Human Resources Security

8 Asset Management

9 Access Control

10 Cryptography

11 Physical and Environmental Security 12 Operations Security

13 Communications Security

14 System acquisition, development and maintenance

15 Supplier Relationships

16 Information Security Incident Management

17 Information Security Aspects of Business Continuity Management

18 Compliance

Ergebnis Ziel- Reifegrad

FAZIT

41

Vorteile eines Reifegrad-Modells

•  Tipp: Reifegrade anstatt „ja/nein/weiß ich nicht“ verwenden! Es ist nicht wichtig wie ein Schutzbedarf erfüllt wird, es ist wichtig, dass Schutzbedarf erfüllt wird (Maßnahmenmix, Beispiel: Pförtner)!

•  „Ja/nein/weiß ich nicht“ gibt keine Auskunft, ob die Erfüllung der Maßnahme erforderlich ist und ob die Maßnahmenerfüllung ausreichend ist (Intensität der Maßnahmenumsetzung).

•  Wenn das erforderliche Level des Reifegrades bekannt ist, kann das Level des Reifegrades auch Auftragnehmer (ADV) kommuniziert, bzw. vorgeschrieben werden.

42

LIEFERANTENAUDITS - ADV Datenschutzniveau einheitlich – flexible Umsetzung

43

Vorteile der einheitlichen Auditliste mit einem Reifegradmodell

•  Erhebliche Vereinfachung der Festlegung des Datenschutzniveaus, bei unterschiedlicher Umsetzung mittels Reifegrad-Modell.

•  Durch Mapping unterschiedlicher Maßnahmenkataloge können die Standards auf die Auditliste „umgerechnet“ werden und ein einheitliches Datenschutzniveau erreicht werden.

•  Durch Justierung des Zielerreichungsgrades (Level des Reifegrades) und Veränderung der Gewichtung kann eine Auditliste bei unterschiedlichen Schutzbedarfen genutzt werden.

•  In Spezialfällen müssen nur wenige Auditfragen aufgrund individueller Anforderungen ergänzt werden.

44

Vielen Dank für die Aufmerksamkeit.

45

Zeppelinstr. 8

30175 Hannover

Telefon: 0511/8112162

Fax: 0511/3076240

www.scope-and-focus.com

information@scope-and-focus.com

Dipl.-Ök. Stephan Rehfeld

Dipl.-Wirt.-Ing. Ulrike Hauser

46