Prozessorientiertes Risikomanagement für Informationssicherheitam Beispiel der Methode OCTAVE

solutions.hamburg, 11. September 2015

Christian Aust, .consecco

2Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

.consecco: die Vorstellung

� Unabhängige Unternehmensberatung in Hamburg seit 2004

� Wir bieten:

� Hochqualifizierte Beratung, Schulungen und Audits

� Unsere Themen:

� Informationssicherheit und Risikomanagement

� (IT) Service Management nach ITIL / ISO 20000

� Qualitätsmanagement

� Unser Branchenschwerpunkt:

� IT-Dienstleister

� Banken und Versicherungen

� Luftfahrt-Industrie

� Weitere Informationen: www.consecco.de

3Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Prozessorientiertes Risikomanagement (RM)gewinnt an Bedeutung!

� Bekannte Managementsysteme fordern heute bereits einen

RM-Prozess oder werden dies in naher Zukunft tun, z.B.:

� Informationssicherheit (ISMS nach ISO 27001)

� Business Continuity Management (BCMS nach ISO 22301)

� (IT) Service Management (SMS nach ISO 20000)

� Qualitätsmanagement (QMS nach ISO 9001 ab 2016)

� Umweltmanagement (UMS nach ISO 14001)

� Die gemeinsame Basis für diesen RM-Prozess ist

� ISO 31000 als allgemeingültige Beschreibung

� ISO 27005 speziell für Informationssicherheit

� Das Prozessmodell ist in beiden Standards identisch

4Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

RM-Prozess nach ISO 31000 / 27005

5Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Was ist OCTAVE?

� “Operationally Critical Threat, Asset and Vulnerability Evaluation”

� Anschauliche, praxisorientierte Methode zum

prozess- und werte-orientierten Risikomanagement (RM)

in der Informationssicherheit

� Entwickelt von der internationalen CERT-Community,

federführend dem CERT/CC der Carnegie Mellon University

� Gute Struktur der einzelnen Aktivitäten auf Basis von themenbezogenen

Workshops

� Unterstützung des Anwenders durch

� ausführliche Anleitungen, Arbeitsblätter und Checklisten

� Konform zu den den Anforderungen der ISO 27001:2013

sowie den Empfehlungen der RM-Standards ISO 31000 und ISO 27005

6Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

OCTAVE: die Phasen

Vorbereitung

• Werte• Bedrohungen• vorhandene Sicherheitsmaßnahmen

• Schwachstellen• Sicherheitsanforderungen

• Risiken• Schutzstrategie

• Schlüsselkomponenten• Technische Schwachstellen

Phase 2Technische Sicht

Phase 1Organisatorische Sicht

Phase 3Strategien

und Pläne• Teambildung

7Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Phase 1: Organisatorische SichtÜberblick

� Ziel: Ermittlung von Bedrohungsprofilen

� Inhalt:

� Aufstellen einer Bewertungsmetrik

� Identifizieren kritischer Werte (Assets) und ihres Schutzbedarfs

� Durchführen einer Ist-Analyse zum aktuellen Sicherheitsniveau

� Identifizieren und Bewerten relevanter Bedrohungen pro Asset

� Typische Fragestellungen:

� Welche kritischen Werte sind vorhanden?

� In welcher Beziehung stehen sie zueinander?

� Welchen spezifischen Bedrohungen sind sie ausgesetzt?

� Welche Sicherheitsmaßnahmen sind bereits vorhanden?

8Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Phase 2: Technische SichtÜberblick

� Ziel: Identifizierung von Schwachstellen

� Inhalt:

� Strukturierung der beteiligten technischen Systeme und ihrer Schnittstellen

� Identifizierung wesentlicher Schwachstellen

� Bewertung der aktuellen Betriebssicherheit

� Fragestellungen:

� Wie greifen Mitarbeiter auf die kritischen Werte zu?

� Welche Komponenten der IT-Infrastruktur sind den kritischen Werten

zuzuordnen?

� Welche technischen Schwachstellen sind vorhanden?

9Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Phase 3: Strategien und PläneÜberblick

� Ziel: Erarbeitung eines Risikobehandlungsplanes

� Inhalt:

� Entwickeln einer Sicherheitsstrategie

� Bewerten jeder Bedrohung durch Eintrittswahrscheinlichkeit und

Schadensauswirkung => damit wird die Bedrohung zum Risiko

� Festlegen der individuellen Behandlung pro Risiko

� Fragestellungen:

� In welchen Themenbereichen wollen wir uns konkret verbessern?

� Wie bewerten wir das Risiko?

� Wie behandeln wir das Risiko? Welche Maßnahmen sind ggf. nötig?

� Welche Maßnahmen müssen kurzfristig/mittelfristig/langfristig umgesetzt

werden? Welche Ressourcen sind erforderlich?

� Welche Veränderungen sind für ein kontinuierliches Sicherheitsmanagement

erforderlich?

10Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

OCTAVE-Ablauf: die Struktur

� 3 Phasen plus Vorbereitung

� 5 Prozesse

� S1: Bewertungskriterien, Werte,

vorhandene Maßnahmen

� S2: Identifizierung kritischer Werte mit

Anforderungen und Bedrohungen

� S3: Erfassung der IT-Infrastruktur

und ihrer Schwachstellen

� S4: Risikoanalyse und Sicherheitsstrategie

� S5: Schutzstrategie und Risiko-Behandlungsplan

� 16 Aktivitäten

� S1.1-3, S2.1-3, S3.1-2, S4.1-3, S5.1-5

11Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Beispiel: Bedrohungsanalyse mit Bedrohungsbäumen

� S2.3: Relevante Bedrohungen identifizieren

� Basis: 4 Bedrohungsprofile

� Personen mit Netzwerkzugang

� Personen mit physischem Zugang

� Technische Probleme (Systeme)

� Weitere Problemfelder, z.B. Infrastruktur, Dienstleister, Höhere Gewalt

� Ein Bedrohungsbaum bezieht sich auf einen kritischen Wert sowie ein

Profil und hat i.a. die Struktur

� Wert – Zugriff – Akteur – Motiv - Schaden

12Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Beispiel: Bedrohungsbaum

13Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Beispiel: Schadenswirkung für Bedrohung durch Personen mit Netzwerkzugang

14Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Beispiel: Risikobewertung und -behandlung

� S4: Identifizierung und Analyse der Risiken

� S4.1: Abschätzung der Schadenswirkung

auf Basis der identifizierten Bedrohungen

� S4.3: Abschätzung der Eintrittswahrscheinlichkeit

für ein vorgegebenes Bedrohungsszenario

� S5: Entwicklung einer Risikostrategie

und eines Plans zur Risikominimierung

� S5.1: Beschreibung der aktuell umgesetzten Sicherheitsmaßnahmen

für die einzelnen Themenbereiche

� S5.3: Identifikation notwendiger Sicherheitsmaßnahmen

zur Risikominimierung und Umsetzungsplanung

15Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Beispiel: Risikobewertung und -behandlungmit Themenbezug zur ISO 27001

16Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Tool-Unterstützung bei OCTAVE

� Standard: vorbereitete Excel-Arbeitsblätter

� Alternative: ADORA

� Assistent zur Durchführung einer OCTAVE Risiko-Analyse

� Entwickelt vom DFN-CERT im Rahmen einer Diplomarbeit in 2011

� Unterstützung des gesamten Workflows

� Assistenten u.a. für Exportfunktionen und Risikoberechnung

� Systemeigenschaften

� Client-Server Modell

� Zertifikatsbasierter Zugang über ein Webportal

� Abruf der aktuellen Arbeitsblätter bei jedem Start

� Datenhaltung als XML-Datei beim Client, nicht beim DFN-CERT

� Freiwillige Weitergabe von Ergebnissen zum Benchmarking

� Unterstützt 4-Augen-Prinzip

17Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Zusammenfassung: die Vorteile von OCTAVE

� Anwendung einer strukturierten und skalierbaren Methode

� Maßgebliche Beteiligung aller Verantwortlichen incl. Management

� Berücksichtigung betriebswirtschaftlicher Aspekte

� Arbeitsblätter führen das Analyseteam durch die gesamte Evaluation

� Klare Trennung zwischen dringenden und kontinuierlichen Maßnahmen

� Schärfung des Sicherheitsbewusstseins der Mitarbeiter

� Grundlage für ein ISMS und eine Zertifizierung nach ISO 27001

(und weiterer Managementsystem-Standards)

� Investitionen in risikoreduzierende Maßnahmen sind leichter

argumentierbar

18Risiko-Management mit OCTAVE© DFN-CERT Services GmbH, consecco

Herzlichen Dank für Ihre Aufmerksamkeit !

� Offene Fragen?

Christian AustDipl.-Ing.

Geschäftsführer

.consecco business.security.management

Stresemannstraße 34222761 Hamburg

Fon 040 – 89 06 64 86

Fax 040 – 89 06 64 88

Mobil 0151 – 15 22 29 54

Mail christian.aust@consecco.de

Web www.consecco.de