Verbesserung des ISMS durch Messung der Informationssicherheit
Prof. Dr. Rainer Rumpel Fachtagung "lT-Security in der Praxis der Netz- und Stationsleittechnik Frankfurt 3. Februar 2016
Partner: RWE Deutschland AG / Westnetz GmbH
Berlin, 12.02.2016 2
Prof. Dr. rer. nat. Rainer Rumpel Hochschule fr Wirtschaft und Recht Berlin Fachbereich Duales Studium Facheinheit Wirtschaftsinformatik E-Mail: [email protected] http://www.hwr-berlin.de
Referent
Auditor fr Konfomittsbewertungen mit ISO/IEC 27001 im Auftrag von TV Saarland Bundesamt fr Sicherheit in der Informationstechnik
Mitglied des DIN-Ausschusses NIA-27 zu ISO/IEC JTC 1/SC 27 (IT-Sicherheitsverfahren) und der deutschen Delegation bei ISO/IEC (JTC 1 / SC 27)
Berlin, 12.02.2016
Alles ist messbar!?
Messen ist Vergleichen! - Stab und Zollstock liefert quantitativen
Vergleich - Stab und Stab lassen sich
qualitativ und quantitativ vergleichen: Welcher ist der Lngste?
Archimedes fordert: Miss alles, was sich messen lsst, und mach alles messbar, was sich nicht messen lsst. - Kann man Informationssicherheit messen? - Kann man die Qualitt eines Managementsystems
messen?
3
Berlin, 12.02.2016
Managementsysteme
ISO/IEC 27000: Ein Managementsystem ist ein Satz zusammenhngender und sich gegenseitig beeinflussender Elemente einer Organisation, um Ziele, Richtlinien und Prozesse zum Erreichen dieser Ziele festzulegen.
Zentrale Elemente eines Managementsystems sind: Fhrung, Planung, Untersttzung, Betrieb, Bewertung, Verbesserung. MANAGEMENTPROZESSE!
4
Berlin, 12.02.2016
Informationssicherheits-managementsysteme (ISMS)
Anforderungen: ISO/IEC 27001:2013 Abschnitt 9.1: berwachung, Messung, Analyse und Bewertung
des ISMS
Anforderungen und Qualitt
5
Die Organisation muss bestimmen: a) was berwacht und gemessen werden muss, einschlielich der
Informationssicherheitsprozesse und Manahmen; b) die Methoden zur berwachung, Messung, Analyse und
Bewertung, sofern zutreffend, um gltige Ergebnisse sicherzustellen;
c)
ISO 9000: Qualitt ist der Grad, in dem ein Satz inhrenter Merkmale Anforderungen erfllt.
Berlin, 12.02.2016
Bewertung des ISMS
ISO/IEC 27001:2013, Anforderungen aus Abschnitt 9.1 - Bewertung der Wirksamkeit des ISMS und - Bewertung der Informationssicherheitsleistung
Es sind sowohl die Managementprozesse als auch die Informationssicherheitsprozesse mit validen Methoden zu messen und zu bewerten:
- valid results / gltige Ergebnisse - Beispiel: Messung Stromstrke mittels
Lichtstrom - ISMS: Effektivitt (Wirksamkeit) muss gemessen werden - Informationssicherheit: Leistung (Performance) muss gemessen
werden Messung ber Erfllung der Anforderungen (Qualitt) gem ISO/IEC 27001:2013 (Anhang A) Effektivitt
6
Spannungsquelle Lampe
Berlin, 12.02.2016
ISO/IEC 27004:2009
Empfehlungen zur Messung des Informationssicherheitsmanagements
Information security measurement model in Anlehnung an ISO/IEC 15939:2007, Systems and software engineering Measurement process
Messkonstrukt
- Ergebnis: Indikatoren - abgeleitet aus Basismaen
Umfrage: nur von 10% der ISMS-Anwender bzw. Experten genutzt!?
7
Auswahl des Maes Messmethode Messfunktion
Berlin, 12.02.2016
Ziel
8
Betreibern von Managementsystemen (und Experten fr Informationssicherheitsmanagement) soll eine solide und verstndliche theoretische Grundlage fr das Messen, Analysieren und Bewerten der
Effektivitt von ISMS geliefert werden, deren Anwendbarkeit und Verstndlichkeit
ausreichend ist, um betrchtliche Akzeptanz bei den Zielgruppen zu erreichen.
Berlin, 12.02.2016
Anwendungshintergrund
9
SMART GRIDS Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung fr das staatliche Gemeinwesen, bei deren Ausfall oder Beeintrchtigung nachhaltig wirkende Versorgungsengpsse, erhebliche Strungen der ffentlichen Sicherheit oder andere dramatische Folgen eintreten wrden. Energiewirtschaftsgesetz (EnWG) 11 Betrieb von Energieversorgungsnetzen IT-Sicherheitskatalog Unter anderem: Forderung eines ISMS
ISO/IEC TR 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry
Berlin, 12.02.2016
Goal Question Metric (GQM)
Victor R. Basili und David Weiss Ansatz zum zielorientierten Messen Top-Down-Ansatz Operationalisierung von Zielen in Frageform Zuordnung von Metriken anhand der Fragen
10
Berlin, 12.02.2016
Messen / Metriken
Binres Ma / Binre Lnge
Dreiwertma / Dreiwertige Lnge
Beispiel: Anforderungen 0 bedeutet: nicht erfllt 0,5 bedeutet: teilweise erfllt 1 bedeutet: erfllt
11
2 = 0 = 01 0
3() = 0
0,51
= 0 (0,1) = 1
Berlin, 12.02.2016
GQMS-Vorgehensmodell
ISO/IEC 27001:2013, Abschnitt 9.1 Bewertung der Wirksamkeit des ISMS und Bewertung der Informationssicherheitsleistung
Es sind sowohl die Managementprozesse als auch die Informationssicherheitsprozesse mit validen Messmethoden zu messen und zu bewerten.
Berlin, 12.02.2016
Anforderungsorientiertes Messverfahren
Hauptteil der Norm ISO/IEC 27001 ist eine Liste von Anforderungen
Checklistenverfahren (erfllt: 1; nicht erfllt: 0) Alternative: Beispiel mit dreiwertigem Ma:
Legende: 0 bedeutet: nicht erfllt; 0,5 bedeutet: teilweise erfllt; 1 bedeutet: erfllt
13
Berlin, 12.02.2016
Anforderungsorientiertes Messverfahren
Bei n Anforderungen ergibt sich als Punktsumme
Beispiel (der Einfachheit halber wird n=10 angenommen)
3 = 1 + 0 + 0,5 + 0,5 + 0,5 + 0 + 1 + 0,5 + 1 + 0,5 = 5,5 ; 3 = 55%
Anforderungen knnen unterschiedliches Gewicht haben! Punktsumme mit Gewichtung
Probleme des Messverfahrens:
- Wie kommen die Werte zustande? - Was bedeutet teilweise erfllt?
Subjektivitt der Gewichtung ist Problem und Chance zugleich.
14
3 = L3 1 + L3 2 + + 3()
3 = 1 L3 1 +2 L3 2 + + 3
Berlin, 12.02.2016
Zielorientiertes Messverfahren
ISO/IEC 27001:2013, Abschnitt 6.2
Goal-Question-Metrik-Ansatz (GQM) - Operationalisierung der Ziele durch organisationsspezifische Fragen - Verknpfung mit Metriken
GQM-Beispiel Industrieunternehmen - Ziel aus ISO/IEC 27001:2013
15
Die Organisation muss Sicherheitsziele fr das ISMS festlegen. Die Ziele sollen messbar sein (sofern machbar).
Berlin, 12.02.2016
Zielorientiertes Messverfahren
Zielerfllungsgrad - Clusterung - Normierung
Bei m Messgren pro Frage ergibt sich:
ZEG(Frage) = (ZEG1 + ZEG2 + + ZEGn) / m
Bei n Fragen pro Ziel ergibt sich:
ZEG(ZIel) = (ZEG(Frage1) + ZEG(Frage2) + + ZEG(Fragen)) / n
Die Werte von ZEG liegen jeweils zwischen 0 und 1 und knnen in Prozent angegeben werden.
16
ZEG1 = 0 1 = 0
0,5 1 = 11 1 > 1
Berlin, 12.02.2016
Prozessorientiertes Messverfahren
Managementprozesse gem ISO/IEC 27001:2013
Die Managementprozesse des ISMS haben den Zweck die Informationssicherheitsprozesse zu planen, zu implementieren, zu bewerten und zu verbessern.
17
Krzel Bezeichnung M1 Fhrung M2 Planung M3 Untersttzung M4 Betrieb M5 Bewertung M6 Verbesserung
Berlin, 12.02.2016
Prozessorientiertes Messverfahren
Informationssicherheitsprozesse gem ISO/IEC 27001:2013 (Anhang A)
18
Krzel Bezeichnung Quelle I01 Informationssicherheitsrichtlinien A.5 I02 Verwaltung der Sicherheitsorganisation A.6 I03 Management der Personalsicherheit A.7 I04 Handhabung der Unternehmenswerte A.8 I05 Zugangssteuerung A.9 I06 Handhabung der Kryptographie A.10 I07 Physische Sicherheit A.11 I08 Betriebssicherheit A.12 I09 Kommunikationssicherheit A.13 I10 Systementwicklung A.14 I11 Lieferantenbeziehungsmanagement A.15 I12 Handhabung von Informationssicherheitsvorfllen A.16 I13 Business-Continuity-Management A.17 I14 Compliancemanagement A.18
Berlin, 12.02.2016
Prozessorientiertes Messverfahren
Durchlaufzeit der Prozesse - Regelmige berprfung des ISMS ist eine Anforderung der Norm in der Regel jhrlich Durchlaufzeit 1 Jahr
- Ergebnis: Messergebnisse zur Effektivitt - Anforderungserfllung / Ergebnisqualitt / Zielerreichung
Man kann sowohl die Anforderungen aus dem Hauptteil der Norm als auch die Manahmenbereiche aus Anhang A als Prozesse auffassen und somit die Wirksamkeit bzw. Leistung mit einem einheitlichen Ansatz messen.
19
Anforderungen
Berlin, 12.02.2016
GQMS: Ermittlung der Basismessgren
Prozessbeispiel (I12)
20
Prozessname I12: Handhabung von Informationssicherheitsvorfllen
Bearbeitungsobjekt Sicherheitsvorfall
Prozessziel(e) Eine konsistente und wirksame Herangehensweise fr die Handhabung von Informationssicherheitsvorfllen einschlielich der Benachrichtigung ber Sicherheitsereignisse und Schwchen ist sichergestellt.
Eingaben Richtlinie(n), Verfahrensanweisung(en)
Normverweis ISO/IEC 27001:2013, Anhang A.16
Berlin, 12.02.2016
GQMS: Ermittlung der Basismess
