Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Ausgangslage
Die toMs werden benötigt zur Beschreibung des technischen Datenschutzniveaus des Auftragnehmers und des Auftraggebers1. Die toMs sind bei Auftragsverarbeitungen häufig Streitpunkt zwischen
Auftraggeber und Auftragnehmer (Umfang und Ausgestaltung) – Welche Maßnahmen sollte man beim Auftragnehmer erwarten?
2. Beobachtung: aktuell wird keine Risikoanalyse zur Auswahl der erforderlichen toMs durchgeführt – Das Checklisten-Massaker!
3. Im Falle eines Rechtstreits müssen die toMs so gut beschrieben sein, dass ein fachkundiger Dritter die Einhaltung oder einen Verstoß beurteilen kann.
Forderung: ein flexibles und risikoorientiertes System zur Maßnahmenkommunikation, dass durch eine graphische Darstellung einfach und schnell auswertbar ist, auch durch den Laien.
3
NIST SP 800-70 Revision 2, 2011
• Das National Institute of Standards and Technology (U.S. Department of Commerce) hat im SP 800-70 Revision 2 typische EDV-Einsatz-Szenarien definiert.
• Die Definitionen beruhen auf Beobachtungen/Erfahrungen aus der Praxis.
• Es wird also die Frage beantwortet, welche Erwartungen in einem spezifischen Szenario typischerweise von einer Organisation erfüllt werden.
5
Aus NIST SP 800-70 Revision 2, 2011
6
• Firewall appliance
• Personal firewalls
• Security updates
• Anti-virus software
• Malicious filtering on web and e-mail
• Disable unnecessary applications
Environment Descrip/on ExampleSystems
Smalloffice/homeoffice(SOHO)
Informalcomputerinstalla6onusedforhomeorsmallbusinesses
Homeoffice/smallbusiness
• Encrypt wireless traffic
• System connection restrictions
• User privilege restrictions
• Resource-sharing restrictions
• Backup and recovery procedures
• Physical security procedures
Aus NIST SP 800-70 Revision 2, 2011
7
• Segmented internal networks
• Centralized system management
• Centralized security application management
• Automated update management
• Restricted access to printers
• Centralized backup and recovery
Environment Descrip/on ExampleSystems
Enterprise Managedenvironmentsconsis6ngofcentrallymanagedworksta6onsandserversprotectedfromtheInternet
Mediumtolargebusinesses
Aus NIST SP 800-70 Revision 2, 2011
8
• Single-function servers• Removal of unnecessary services and applications• Host-based firewall applications• Limited users• Strong authentication• Restricted and encrypted remote access• Intrusion detection monitoring• Regular vulnerability scans• Skilled administrators
Environment Descrip/on ExampleSystems
Highsecurity AnenvironmentthatisatahighriskofaFackordataexposure.Securitytakesprecedenceoverusability.Environmentincludeslimitedfunc6oncomputersandhighlyconfiden6alinforma6on
Bankingsystems
Aus NIST SP 800-70 Revision 2, 2011
9
• Varies widely
Environment Descrip/on ExampleSystems
Custom Specializedsystemsinwhichfunc6onanddegreeofsecuritydonotfitotherenvironments
Legacysystems
CHECKLISTEN-MASSAKER UND AUSWAHL VON MAßNAHMEN DER INFORMATIONSSICHERHEIT
„Das Hornbacher Schießen“
10
Große Auswahl an Checklisten
• Checkliste des GDD von Peter Gola• Anhang A der ISO 27001• Tabelle: „Maßnahmen und Datenschutz-Kontrollziele“ zu
Baustein 1.5 „Datenschutz“• IT-Grundschutzkatalog• Hilfen der Aufsichtsbehörden• Listen aus der Datenschutz-Literatur
oder auch
• … irgendwas aus dem Internet.
11
MÖGLICHE KONSTELLATION BEI DEM EINSATZ EINES MAßNAHMENKATALOGES (CHECKLISTE)
So sieht die Praxis aus
12
ForderungdesGesetzgebers:UmsetzungundEinhaltungder
erforderlichentechnisch-organisatorischenMaßnahmen
So ist Leben: Forderungen des Gesetzgebers
13
Katalogauswahl bei KMUs - meist durch DSB -
14
ForderungdesGesetzgebers:UmsetzungundEinhaltungder
erforderlichentechnisch-organisatorischenMaßnahmen
IrgendeinMaßnahmenkatalog
„Verbesserung“ durch „Rumfummeln“ am Maßnahmenkatalog
15
Informationen von der Informationssicherheit
ForderungdesGesetzgebers:UmsetzungundEinhaltungder
erforderlichentechnisch-organisatorischenMaßnahmen
IrgendeinMaßnahmenkatalog
anwen
dbar
nicht
anwen
dbar
Erzieltes Ergebnis I
16
ForderungdesGesetzgebers:UmsetzungundEinhaltungder
erforderlichentechnisch-organisatorischenMaßnahmen
IrgendeinMaßnahmenkatalog
anwen
dbar
nicht
anwen
dbar
MaßnahmendesMaßnahmenkataloges,dienicht
imRahmeneinesRisiko-Assessmentsermitteltworden
sind.
Erzieltes Ergebnis II
17
ForderungdesGesetzgebers:UmsetzungundEinhaltungder
erforderlichentechnisch-organisatorischenMaßnahmen
IrgendeinMaßnahmenkatalog
anwen
dbar
nicht
anwen
dbar
ErforderlicheMaßnahmen,dieimMaßnahmenkatalogenthaltensindunddurcheinRisiko-
Assessmentidentifiziertwordensind.
MaßnahmendesMaßnahmenkataloges,dienicht
imRahmeneinesRisiko-Assessmentsermitteltworden
sind.
Erzieltes Ergebnis III
18Realität „zufälliger Schutz“ „modelliert“
ForderungdesGesetzgebers:UmsetzungundEinhaltungder
erforderlichentechnisch-organisatorischenMaßnahmen
IrgendeinMaßnahmenkatalog
anwen
dbar
nicht
anwen
dbar
ErforderlicheMaßnahmen,dienichtimMaßnahmenkatalog
enthaltensind.
ErforderlicheMaßnahmen,dieimMaßnahmenkatalogenthaltensindunddurcheinRisiko-
Assessmentidentifiziertwordensind.
MaßnahmendesMaßnahmenkataloges,dienicht
imRahmeneinesRisiko-Assessmentsermitteltworden
sind.
Zwischenfazit
• Durch den ungefilterten Einsatz von Checklisten ist die Auswahl der erforderlichen Maßnahmen Glücksspiel.
• Erfahrungsgemäß werden die Maßnahmen als erstes umgesetzt, die „einfach“ sind, meistens sind diese jedoch nicht die wichtigsten!
• Die erforderlichen Maßnahmen können nur durch eine Risikoanalyse bestimmt werden.
• Auch bei einer Risikoanalyse werden mit an Sicherheit grenzender Wahrscheinlichkeit nicht alle erforderlichen Maßnahmen identifiziert, aber es wird eine gute Näherungslösung erzielt.
• Der Einsatz von Checklisten kann nur unterstützenden Charakter haben.
… und Achtung: „viel hilft viel“ ist keine Lösung!19
Szenario
23
Informationssicherheit (technisch-organisatorische Maßnahmen)
S1 - Diebstahl / Verlust von mobilen Geräten
Mobile Hardware oder Datenträger werden verloren, gestohlen oder es wird anderweitig die Verfügungsgewalt über Informationen verloren. Informationen werden auf Datenträgern gespeichert. Typische Datenträger sind z.B. Dokumente, Magnetbänder, CDs, DVDs oder USB-Sticks. Die Datenträger konnen wiederum in Hardware verbaut sein, z.B. in Laptops, Tablets, PDAs, Mobiltelefonen oder Kameras. Datenträger oder Hardware können verloren gehen, gestohlen, beschädigt, zerstört oder veruntreut werden. Die Verfügungsgewalt über Informationen kann auch verloren gehen, weil Datenträger oder Hardware entsorgt oder (von jemand anderen) wiederverwendet wird.
Zwischenfazit
• Die Maßnahmen werden auf Management-Ebene oder von der Leitung ausgewählt.
Vorteile:– Akzeptanz in der Organisation
– Rückhalt für die Verantwortlichen
• Maßnahmen aus einem Maßnahmenkatalog müssen bewusst ausgeschlossen werden (begründet!). Das Ergebnis wird dann auch „Erklärung zur Anwendbarkeit“ oder „Statement of applicability“ genannt.
25
Erklärung zur Anwendbarkeit - Was muss gemacht werden oder warum nicht?
26
Informationssicherheit (technisch-organisatorische Maßnahmen)
Erklärung zur Anwendbarkeit Kommentar
Section Information security control A5 Sicherheitsleitlinien
A5.1 Managementausrichtung zur Informationssicherheit A5.1.1 Leitlinie zur Informationssicherheit nicht anwendbar
A5.1.2 Überprüfung der Informationssicherheitsleitlinie nicht anwendbar
A6 Organisation der Informationssicherheit
A6.1 Interne Organisation A6.1.1 Information security roles and responsibilities nicht anwendbar
A6.1.2 Segregation of duties nicht anwendbar
A6.1.3 Contact with authorities nicht anwendbar
A6.1.4 Contact with special interest groups nicht anwendbar
A6.1.5 Information security in project management nicht anwendbar
A6.2 Mobilgeräte und Telearbeit A6.2.1 Mobile device policy nicht anwendbar
A6.2.2 Teleworking nicht anwendbar
A7 Personalsicherheit
A7.1 Vor der Anstellung A7.1.1 Screening nicht anwendbar
Risikobehandlungsplan - Wer macht was zu wann?
27
Informationssicherheit (technisch-organisatorische Maßnahmen)
Erklärung zur Anwendbarkeit Risikobehandlungsplan
Section Information security control Umsetzung Verantwortlich Status
A5 Sicherheitsleitlinien
A5.1 Managementausrichtung zur Informationssicherheit A5.1.1 Leitlinie zur Informationssicherheit nicht anwendbar ? unbekannt
A5.1.2 Überprüfung der Informationssicherheitsleitlinie nicht anwendbar ? unbekannt
A6 Organisation der Informationssicherheit
A6.1 Interne Organisation A6.1.1 Information security roles and responsibilities nicht anwendbar ? unbekannt
A6.1.2 Segregation of duties nicht anwendbar ? unbekannt
A6.1.3 Contact with authorities nicht anwendbar ? unbekannt
A6.1.4 Contact with special interest groups nicht anwendbar ? unbekannt
A6.1.5 Information security in project management nicht anwendbar ? unbekannt
A6.2 Mobilgeräte und Telearbeit A6.2.1 Mobile device policy nicht anwendbar ? unbekannt
A6.2.2 Teleworking nicht anwendbar ? unbekannt
A7 Personalsicherheit
A7.1 Vor der Anstellung A7.1.1 Screening nicht anwendbar ? unbekannt
Messung und Kontrolle des Umsetzungsstandes (Projektplan)
28
Status Bedeutung
? unbekannt wurdenochnichtbetrachtet
nicht existentEsfehlensämtlicheNachweisewiez.B.Richtlinien,ArbeitsanweisungenoderandereMaßnahmen
initialDieEntwicklungwurdebegonnen,wirdabernocheinensignifikantenZeitraumbiszurErfüllungderAnforderungenbenö6gen.
eingeschränktFortschriFewurdengemacht,dieEntwicklungistabernochnichtabgeschlossen.
23%
5%
28%
36%
8%
DSMS-Anforderungen (%)
?unbekannt
nichtexistent
ini6al
eingeschränkt
definiert
gelenkt
op6miert
nichtanwendbar
Technisch-organisatorische Maßnahmen (%)
Rechtlich-organisatorische Maßnahmen (%)
10%
19%
36%
19%
16%5%
44%
20%
28%
3%,…,…
INTERNE AUDITS DER TECHNISCH-ORGANISATORISCHEN MAßNAHMEN
„Nie was beauftragen, was man nicht kontrollieren kann!“
29
Best Practice: VDA Information Self Assessment
• Das VDA ISA ist ein Audit-Tool und wird von OEMs als Self Assessment Tool eingesetzt oder als Grundlage für ein Vor-Ort-Audit.
• Die Bewertung der Umsetzung einzelner Maßnahmenerfolgt über die Reifegrad-Levels 0-5 und n/a.
Verfügbarkeit• Überarbeiteter Fragenkatalog „Information Security Assessment“ zur
Informationssicherheitsbewertung, Vers. 4, basierend auf der ISO 27002:2013 mit zusätzlichen Controls für die Überprüfung des Information Security Management Systems (ISMS)
• Verfügbare Sprachen: Deutsch, Englisch• https://www.vda.de/de/services/Publikationen/information-security-
assessment.html
30
ISO/IEC FDIS 29190 INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — PRIVACY CAPABILITY ASSESSMENT MODEL
Reifegrad-Skala in der Normenwelt
31
ISO/IEC FDIS 29190, Introduction
• “The aim of this International Standard is to provide organizations with high-level guidance about how to assess the level of their ability (capability) to manage privacy-related processes. This International Standard focuses on an approach for assessing the efficiency and effectiveness of privacy-related processes used by organizations.”
• This International Standard guides organizations towards the production of several different kinds of output:– an overall “score” against a simple capability assessment model;
– a set of metrics indicating assessment against key performance indicators;
– the detailed outputs from privacy process management audits and management practices (for example, assessment against data protection criteria and data custody best practice) for input into improving capability in these specific areas.
32
ISO/IEC FDIS 29190 – Capability scale
Level 0: Incomplete process• The process is not implemented, or fails to achieve its process purpose. At this level there is little or no evidence
of any systematic achievement of the process purpose.
Level 1: Performed process• The implemented process achieves its process purpose.
Level 2: Managed process• The performed process is implemented in a managed fashion (planned, monitored and adjusted) and its work
products are appropriately established, controlled and maintained.
Level 3: Established process• The managed process is implemented using a defined process capable of achieving its process outcomes.
Level 4: Predictable process• The established process operates within defined limits to achieve its process outcomes.
Level 5: Innovating process• The predictable process is continuously improved to respond to change aligned to organizational goals.
33
Audit-Frage, Beispiel
35
9 Access Control
9.2 Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern mit den zugehörigen Zugriffsrechten umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?
(Referenz zu ISO 27001: Control A9.2.1, A9.2.2, A9.2.4 und A9.2.5)
DurchdieVerwendungeindeu6gerundpersonalisierterBenutzerkennungen(Benutzerkonten)wirdgewährleistet,dassHandlungeneindeu6gnachvollziehbarsind.DieAnmeldeinforma6onen(z.B.Passwörter)dürfennurdemberech6gtenBenutzerbekanntsein.FürdenLifecyclevonBenutzerkontensinddefinierteProzessevorhanden.EserfolgteineregelmäßigeÜberprüfungdervorhandenenBenutzerkontenaufihreNotwendigkeit.
Bewertung mit Hilfe eines Reifegrad-Modells
38
Reifegrad Level 0-5; na
9 Access Control
2
9.2 In wie weit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern mit den zugehörigen Zugriffsrechten umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?
(Referenz zu ISO 27002: Control 9.2.1, 9.2.2, 9.2.4 und 9.2.5)
Tabellarische Auswertung
39
Information Security Assessment Results
Frage Nr. Themen Ziel- Reifegrad Ergebnis
1.1Freigabe eines Informationssicherheitsmanagementsystems (ISMS)
3 0
1.2 IS-Risikomanagement 3 0
1.3 Wirksamkeit des ISMS 3 0
5.1 Informationssicherheitsrichtlinie 3 0
6.1 Zuweisung der Verantwortung für Informationssicherheit 3 0
Firma: 0 Standort: 0 Datum: 00.01.1900
Ergebnis mit Kürzung auf Zielreifegrad: 0,04 Maximal erreichbar: 3,00
Ergebnis ohne Kürzung auf Zielreifegrad: 0,04
Ergebnis je Kapitel:
Graphische Auswertung
40
0
1
2
3
4
5 1 ISMS
5 Information Security Policies
6 Organization of Information Security
7 Human Resources Security
8 Asset Management
9 Access Control
10 Cryptography
11 Physical and Environmental Security 12 Operations Security
13 Communications Security
14 System acquisition, development and maintenance
15 Supplier Relationships
16 Information Security Incident Management
17 Information Security Aspects of Business Continuity Management
18 Compliance
Ergebnis Ziel- Reifegrad
Vorteile eines Reifegrad-Modells
• Tipp: Reifegrade anstatt „ja/nein/weiß ich nicht“ verwenden! Es ist nicht wichtig wie ein Schutzbedarf erfüllt wird, es ist wichtig, dass Schutzbedarf erfüllt wird (Maßnahmenmix, Beispiel: Pförtner)!
• „Ja/nein/weiß ich nicht“ gibt keine Auskunft, ob die Erfüllung der Maßnahme erforderlich ist und ob die Maßnahmenerfüllung ausreichend ist (Intensität der Maßnahmenumsetzung).
• Wenn das erforderliche Level des Reifegrades bekannt ist, kann das Level des Reifegrades auch Auftragnehmer (ADV) kommuniziert, bzw. vorgeschrieben werden.
42
Vorteile der einheitlichen Auditliste mit einem Reifegradmodell
• Erhebliche Vereinfachung der Festlegung des Datenschutzniveaus, bei unterschiedlicher Umsetzung mittels Reifegrad-Modell.
• Durch Mapping unterschiedlicher Maßnahmenkataloge können die Standards auf die Auditliste „umgerechnet“ werden und ein einheitliches Datenschutzniveau erreicht werden.
• Durch Justierung des Zielerreichungsgrades (Level des Reifegrades) und Veränderung der Gewichtung kann eine Auditliste bei unterschiedlichen Schutzbedarfen genutzt werden.
• In Spezialfällen müssen nur wenige Auditfragen aufgrund individueller Anforderungen ergänzt werden.
44
Zeppelinstr. 8
30175 Hannover
Telefon: 0511/8112162
Fax: 0511/3076240
www.scope-and-focus.com
Dipl.-Ök. Stephan Rehfeld
Dipl.-Wirt.-Ing. Ulrike Hauser
46