LV3 - Security Engineering Group | TU Darmstadt
Transcription
LV3 - Security Engineering Group | TU Darmstadt
VPN: wired and wireless Fachbereich Informatik (FB 20) Fachgruppe: Security Engineering Modul: 2000096 LV-3 er Skriptum und Literatur: http://www.seceng.informatik.tu-darmstadt.de/assets/ws13/vpn/WS13VPN-3.pdf Wolfgang BÖHMER, TU-Darmstadt, Hochschulstr. 10, D-64289 Darmstadt, Dep. of Computer Science, Security Engineering Group Email: [email protected] VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Wichtige Information zur Vorlesung und den Übungen § Ziel der Vorlesung/Übungen § Freiwilliges Lernen § Gute und ruhige Lernatmosphäre § Hausordnung während der Vorlesung 1. 2. 3. 4. 5. Mobiltelefone sind auszuschalten Laptops können angeschaltet sein, um die Vorlesung zu verfolgen Keine Privatgespräche mit Kommilitonen in der Vorlesung Kein Essen (auch nicht vegetarisch) Keine Verspätung VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 2 Vorlesungsinhalt LV-03 § IT- und Informationssicherheit für VPNs § Definition der Schutzziele § Verfahren zur Erlangung einer angemessenen IT-Sicherheit § Technische Betrachtung herrscht in den 90er-Jahren vor § ITSEC, Orange Book und Common Criteria (CC) und IT-Grundschutz § Policy orientierte Werke für geschlossene/abgeschlossene Systeme § Entwicklung der Gesamtunternehmenssicherheit (Enterprise Security) § Policies versus Management Systeme § Offene, geschlossene und abgeschlossene Systeme § Management Systeme der Informationssicherheit § Regelkreisorientierte Management Systeme (Systemtheorie) ausgerichtet auf offene Systeme § Übungen § Literatur VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 3 Allg. Informations- und Kommunikationssicherheit § Grenzen zwischen traditionellen und modernen Kommunikationsmittel lösen sich mehr und mehr auf § Grundsätzlich zwei verschiedene Typen von Kommunikationsnetzen § Verteilnetze: Alle Teilnehmer bekommen vom Netz die gleiche Information (Fernsehen, Radio). Jeder Teilnehmer wählt lokal aus was er empfangen will. (Broadcast) § Vermittlungsnetze: Jede Teilnehmerstation erhält vom Netz individuell nur das was vom Teilnehmer angefordert oder geschickt wurde. Es wird generell in zwei Richtungen kommuniziert. § Aufbau von neuen Informationssystemen bringt nicht nur Vorteile, Risiken und Gefährdungen müssen ebenso in Betracht gezogen werden. § Zu Vertiefung dieser Frage werden Schutzziele und Mechanismen betrachtet § Duale IT-Sicherheit § Verlässlich § Beherrschbarkeit etc. VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 4 Die fünf Schutzziele der IT-/Inf-Sicherheit Wichtig: Vertraulichkeit, Verfügbarkeit, Integrität (CIA) § Definition der IT-/Inf-Sicherheit gemäß BSI (neue Definition, ca. seit 2000) § Vertraulichkeit (confidentiality) § Integrität (integrity) § Verfügbarkeit (availability) § Ergänzung Benutzersicht § Zurechenbarkeit (accountability) § Verbindlichkeit (liability) § Schutzziele der IT-Sicherheit sind Ziele eines jeden ITSicherheitskonzept § Unterbrechung, gerichtet gegen die Verfügbarkeit § Abhören, gerichtet gegen die Vertraulichkeit § Fälschung gerichtet gegen die Authentifizierung § Modifikation gerichtet gegen die Integrität VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 5 Historie der Methoden zur IT-Sicherheit Entwicklung von 1985 - 1996 § IT-Sicherheit nicht nur technisch orientiert § Beginn von Kriterienwerken ca. 1985 (Orange Book) § Europäisches Modell ITSEC ca. 1990 § BSI-IT-Grundschutzhandbuch § (erfreut sich großer Beliebtheit) § BSI-IT-Sicherheitshandbuch § (kaum angenommen) § Management Systeme auf einer Enterprise Ebene noch nicht in Sicht!! § Erst im Jahr 1998 wurde der BS-7799-2 in UK entwickelt. VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 6 Heutiger Stand der Informationssicherheit Regelkreis der Verantwortung / Governance Einfluss von Regelkreisen zur Qualitätsprüfung „Security may not be a company‘s core competence, but it is a core requirement.“ § „Die IT-Governance soll sicherstellen, dass die Umsetzung der IT-Strategie im Sinne der Verantwortungsträger erfolgt“ (ITGI) § Bilanzskandale erschüttern das Vertrauen im Umgang mit der IT § Reaktionen darauf: Saad Saleh Alaboodi: A new Approach for Assessing the Maturity of Information Security, in Information systems Control Journal, Volume 3, 2006 Unternehmensleitung Geschäftsprozesse , Wertschöpfungskette Führung Reporting § Sarbarnes Oxley ACT (USA) § Turnbull Edict (UK) § BASEL II / Solvency II (EU) § Prinzip der Absicherung: § Informationssicherheitsziele § IT-Ziele § Kontrolle § IT-Controlling § IT-Security-Controlling § Risiko-Controlling § Berichtswesen / Reporting Führung Informations sicherheitsziele IT-Aktivitäten Planen Umsetzen Überwachen Steuerung Kontrolle (IT- C ontrolling ) IT-Ziele N utzen erzeugen R isiken beherrschen Reporting VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | IT-Mittel IT-Security -Mittel Einsatz Folie 7 Hierarchische Unternehmensstrukturen relevante Normen und ihre Einbettung in die Unternehmen Durchbruch der Management Systeme Geschäftsstrategie Unternehmenbsstrategie Effektivität Effizienz IMS ISMS ISO 20000 -1 :2005 ISO 20000 -2 :2005 ISO 27001 :2005 ISO 27002 :2007 (BS 15000 (ITIL )) (ehml . ISO 17799: 2005) ISO/ IEC 9001 :2000 ISO/ IEC 9004 :2000 ISMS- Controlling Strategische Ebene Ausrichtung auf Geschäftsprozesse und Unternehmenssteuerung S teuern/ Regeln/ K ontrollieren IMS- Controlling Effizienz des Geschäftsbetriebes Kompatibel zur ISO 14001:2004 Geschäftswachstum IT-Controlling Steuer n/ Regeln/ Kontr ollieren § Als erste Ebene ist die Geschäftsstrategie angesiedelt. § Als zweite Ebene sind Managementsysteme angesiedelt, die die Informationssysteme und Informationssicherheitssysteme steuern. § Eine geeignete Überprüfung, Überwachung und Korrektur kann nur mittels eines speziellen Controllings erfolgen (IT-Controlling). § Nachgelagert sind die taktischen und operativen Aktivitäten, insbesondere das ITSicherheitsmanagement und die Informationstechnologie. Taktische und operative Ebene IT-Sicherheitsmanagement Ausrichtung auf Technologie , Projekte , Verfahren und Methoden Informationstechnologie „If you can‘t measure it, you can‘t manage it.“ Saad Saleh Alaboodi: A new Approach for Assessing the Maturity of Information Security, in Information systems Control Journal, Volume 3, 2006 VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 8 8 Allgemeingültige Definition von Managementsystemen Management Systeme sind in offenen Systemen ideal Policies sind in geschlossenen und abgeschlossenen Systemen ideal § Definition: Managementsystem In einer fortgeschrittenen industriellen Phase haben Managementsysteme die Aufgabe, Prozesse zu steuern, deren Qualität zu definieren, Kontrollen durchzuführen, Abweichungen von den Qualitätszielen zu erkennen und wirksame Gegenmaßnahmen einzuleiten. Managementsysteme folgen einem Regelkreislauf zur Sicherung der Qualität mittels Standards. Diese allgemeine Definition kann auf IT-Systeme oder Informationssysteme angewendet werden. • Was sagt die Definition aus? • Was sind Eckpunkte der Definition? • Informationssicherheit / IT-Sicherheit Qualität von Prozessen? • Was wird in einem Managementsystem „gemanget“? • An welcher Stelle wird auf einen Regelkreis hingewiesen VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 9 Prozessketten der Wertschöpfung Qualitative Modellierung mittels ADONIS (BPMN) § Wertschöpfung im Rahmen einer Lieferkette. FP1 Geschäftsprozesssteuerung VP Vertriebsprozesse TP Technische -prozesse RP Prozesse Rechnungswesen qualitätsgesicherte und überwachte Prozesskette UP1 Marketing, Presse Öffentlichkeit UP2 Buchaltung Kunde Kunde (Kundenwunsch) Akquise - Planung - Realisierung - Betrieb/Wartung/Entstörung - Fakturierung (Kundenzufriedenheit) FP2 Prozesse der Qualitätsicherung UP3 Back Office § Prozessketten werden detaillierter in den unteren Ebenen beschrieben VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Allg. anerkanntes Prozessmodell nach Prof. Scheer wird z.B. bei SAP/ARIS eingesetzt / BPMN Prozeß Kontrolle § Es findet eine Prozesskontrolle hinsichtlich verschiedener Parameter statt. § Prozess und Subprozesse werden durch Eingaben und Ergebnisse definiert. Der Zustandsübergang von den Eingabewerten in die Ausgabewerte wird als Prozess bezeichnet. In diesem finden die Aktivitäten statt. § Prozessmitarbeiter sind die Personen (MA), die in (definierter) Input bestimmten Rollen handeln. § Ressourcen sind Betriebsmittel im weitesten Sinne § Angestoßen wird ein Prozess durch den Input (Trigger) § Ergebnis eines Prozesses ist Prozeß Initiator der output Prozeß Verantwortlicher Prozeß Ziel Prozeß Parameter (Qualität, KPI, SCF, etc.) Prozeß (definierter) Output Subprozesse und Aktivitäten Ressourcen VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Rollen Prozesse Prozess aus Sicht der Informatik E/A-Automat, Standardautomat § § § § Abgeleitet von DIN 66201: Prozess ist Folge von Aktionen in einem Zustandsraum. Zustand (x1,...,xn) mit Zustandsvariable xi Zustandsraum Z = { (x1,...,xn) | xi, n ∈ N und i = (1,...,n) } Berechnung Bi als Folge von Zuständen mit Anfangs- und Endzustand Auch: § Aktion als Menge von Wertzuweisungen an Zustandsvariablen xi, z.B. {x2 := 2} § Aktionsfunktion als Abbildung vom Zustandsraum in die Menge der Aktionen dieses Zustandsraumes, z.B. f(x1, x2) mit {x1 := x1-2} und {x2 := 2} § Berechnung, beginnend mit dem Anfangszustand, durch fortlaufende Anwendung der Aktionsfunktion auf die Zustände und Ausführung der Wertzuweisungen, geliefert durch Aktionsfunktion § Prozess Pformal = (Z, f, s) mit Z Zustandsraum, f Aktionsfunktion, s ∈ Z Menge von Anfangszuständen. Daraus folgende Eigenschaften: § § § § § Genau definierter Anfangszustand, Transformation von Anfangszustand in Folgezustand. Einzelne Berechnung kann als Teilprozess gesehen werden. Transformation (Anwendung der Aktion) läuft nach genau definierten Regeln (Aktionsfunktion) ab. Abbruch bei bestimmtem Endzustand (Aktionsfunktion für diesen Zustand nicht definiert). Prozess und Prozessablauf direkt abhängig vom Zustandsraum. Quelle: Der Geschäftsprozess als formaler Prozess – Definition, Eigenschaften, Arten ; Arbeitspapier WI 4/1996, Uni Mainz VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 12 Prozesse: Ein Vergleich Sichtweise Informatik und Wirtschaftsinformatik Informatik Wirtschaftsinformatik Formaler Prozess Geschäftsprozess § Anfangszustand s § Input § Aktionsfunktion f § Business Rules (Ablauflogik) § Beziehungsarten im Prozess § Zustandsraum Z § unternehmensinterne und –externe Faktoren § Anwendung einer Aktionsfunktion § Berechnung § Teilprozess § Endzustand als Element von Z § Output § u.U. indirekte Berücksichtigung durch Variation der Aktionsfunktion f § Auswahl d. Aufgabenträgers § Einsatz von Arbeitsmitteln Beschreibungsmittel: Automatentheorie Beschreibungsmittel: Business Prozess Management Notation (BPMN) i.d. R. quantitative Abschätzungen möglich i.d.R. qualitative Abschätzungen möglich Quelle: Der Geschäftsprozeß als formaler Prozeß – Definition, Eigenschaften, Arten ; Arbeitspapier WI 4/1996, Uni Mainz VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 13 Ereignisdiskreten Systemtheorie Management System nach ISO27001 (ISMS) § Die Vorgehensweise des Managementsystem nach ISO 27001 kann mittels der ereignisdiskrete Systemtheorie beschrieben werden. u § Es handelt sich bei der ISO 27001 um kein Standardregelsystem § Managementsysteme 2. Ord. haben darüber hinaus eine Zielfunktion die eine Optimierung beinhaltet (siehe z.B. BCMS nach BS25999). § Die Zielfunktion optimiert den Einsatz der Effektivität und Effizienz des Stellglieds (Aktuator) Klassischer Regelkreis (Störungstheorie) Stellglied (Aktuator / SoA) Regelstrecke Stellgröße uR (-) Regler (IS-Managementsystem) e yM d (krit. Geschäftsprozesse) Messglied (+) Istwert (Wirksamkeit/Wirtschaftlichkeit) w(t) (Efk) § Formulieren der Zielfunktion durch eine Dreiecksoptimierung § Transformation in ein geometrisches Problem VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | 1 0 1 0 Folie 14 (Efz) y ISMS als ereignisdiskreter Regelkreis Störungsansatz und die DES-Theorie § Mit der DES -Theorie kann ein ISMS, der gemäß dem Deming PDCAZyklus arbeitet, als Regelkreis dargestellt werden d = pertubation control value actuator controls of ISO 27002 Act-Phase) u(k)A plant (update procedures, (crit. value chain) working lists, etc.) u(k) = v(k) - (e(k) (update security policy) controller (development of the SoA) (ISO 27005) w(k) (actual level of CIA) control deviation e(k) (-) w(k)s (+) process Sensor (Check-Phase, Auditing,KPI) value v(k) reference signal (pre defined level of CIA) § Durch Überführung des Deming Zyklus und des Regelkreises in einen Standard Automaten kann ein Vergleich der Automaten vorgenommen werden (BISIMULATION) VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 15 Normenfamilie der ISO 2700x Es ist die am weitverbreiteste Norm zur Informationssicherheit Es existieren weltweit 6900 Zertifikate (Stand Nov. 2010) Weitere Normen, die jedoch zunächst keine Rolle spielen, siehe z.B. http://www.iso27001security.com/index.html VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 16 Prozessorientierter Ansatz ISO 27001:2005 (ehm. BS 7799-2, business approach) Auszug aus der Norm: § ISO 27001:2005 is designed to harmonize with ISO9001:2000 and ISO14001:1996 so that management systems can be effectively integrated. It implements the Plan-Do-Check-Act (PDCA) model and reflects the principles of the 2002 OECD guidance on the security of information systems and networks. § BS7799/BS 27001:2005 implicitly recognizes that information security and any Information Management Security System (ISMS) should form an integrated part of any Internal Control system created as part of Corporate Governance procedures and that the standard fits in with the approach adopted by the Turnbull Committee. VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 17 Einordnung der Standards Überblick und Verzweigung § Generischer Bereich und Terminologie, die verwendet wird. § Requirements bzw. Anforderungen an ein Management System für Informationssicherheit. § Guidelines und PDCA Unterstützung § Technische Ausrichtung, IDS Framework,Network Security, Incident Mgmnt ISO/IEC 27033-5: Securing communications across networks using Virtual Private Networks (VPNs) VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 18 Grundsätzlicher Zusammenhang der Normen Nur die ISO/IEC 27001 ist zertifizierbar ISO 27001:2005 Specification for Information Security Management Systems ISO 27002:2007 Code of practice for information security management VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 19 Überblick zur ISO 27001:2005 vier wesentlichen Schritte § Information Security Management System (Kapitel 4) § Verantwortung des Managements (Kapitel 5) § Management Review des ISMS (Kapitel 6,7) § ISMS Verbesserungen (Kapitel 8) Es sind weiterhin vier Anhänge (Annex) vorzufinden: A Kontrollziele und Maßnahmen (normative Control Objectives and controls) B Anleitung zur Benutzung des Standards (Guidance on use of the Standard) C Vergleich mit ISO 9001 und ISO 14001 (Correspondence between BS EN ISO 9001:2000, BS EN ISO 14001:1996 and BS 7799-2:2002) D Vergleich mit BS 7799-2:1999 (Changes to internal numbering) „Schwerpunkt bei der Überarbeitung von BS 7799-2:1999 zur 2002-Edition war die Harmonisierung des Standards mit anderen Management-Standards. Die Gliederung wurde analog zu ISO 9000 (Quality Management Systems, QMS) und ISO 14001 (Environmental Management Systems, EMS) strukturiert und das in diesen Standards referenzierte Plan-Do-Check-Act (PDCA) Model übernommen.“ VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 20 Überblick zu ISO 27001:2005 Das PDCA-Modell als Grundlage des ISMS Auszug aus der Norm: S. vi • Der PDCA-Zyklus kann als Regelkreis kontinuierlicher Verbesserung aufgefasst werden • Regelkreise als Steuerungsinstrumente sind in den Ingenieurswissenschaften sehr beliebt VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 21 Die Idee der Imperfektion Qualitätskreis von Dr. Deming § Service und Qualität § Organisation und Politik § Management von Prozessen Qualitätssteigerung D2 1 P Reifegrad der Prozesse Maturity Level • Was könnte der Winkel Beschreiben? • Wie könnte dieser gemessen werden? "We have learned to live in a world of mistakes and defective products as if they were necessary to life. It is time to adopt a new philosophy." (Dr. William Edwards Deming, 1900-1993) 3 4 C A Qualitätssicherung P = Plan (Planen) D = Do (Ausführen) C = Check (Messen) A = Act (Anpassen) Grad ° VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Zeitachse Folie 22 PDCA Modell Einzelheiten der PDCA Phasen P Establish security policy, objectives, targets, processes and procedures relevant to managing risk and improving information security to deliver results in accordance with an organization‘s overall policies and objectives. D Implement and operate the security policy, controls, processes and procedures. C Assess and, where applicable, measure process performance against security policy, objectives and practical experience and report the results to management for review. A Take corrective and preventive actions, based on the results of the management review, to achieve continual improvement of ISMS. Wo könnte eine Messung der Güte statt finden? VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 23 ISMS nach ISO 27001:2005 Projektion: PDCA-Zyklus auf die ISO 27001 (ISMS) § Aufbau, Durchführung, Prüfung und Korrektur richtet sich nach dem PDCAZyklus § Klare Orientierung und Ausrichtung auf die Geschäftsprozesse; diese stehen im Fokus. Hilfestellung in der Vorgehensweise der ISO 27003 § Korrektive und präventive Aktivitäten zur Steuerung und Justierung des Managementsystems § Nach Einführung von Metriken durch die ISO/IEC 27004 kann die Effektivität gemessen werden Define the scope and boundaries of the ISMS Define an ISMS Policy Formulate a Risk treatment Plan 1 Implement the Risk treatment Plan Implement Controls Selected from Annex A Identify the risk to the assets Analyse and evaluate the risk Define how to meassure the effektivness of the selected Controls Implement training & awareness programms Identify and evaluate options for the treatment of risk 2 Select control objectives and controls Obtain management approval for the proposed residual risk Obtain management authorisation to implement and operate the ISMS Manage operations of an ISMS Manage resources for the ISMS Implement procedures to detect of an response to security incidents Execute monitoring and review procedures DO Plan Check Act Regular management Review of ISMS Undertake a management review of the ISMS Implement identified improvments in the ISMS Communicate results to interested parties & Conduct internal ISMS ausits Prepare a Statement of Applicability (SOA ) Take appropriate corrective preventive actions Undertake regular review of ISMS effectivness Review level of residual acceptance risk Define the Risk Assessment approach 3 Ensure improvements Achive objectives 4 Update security plans Record actions and events that impact an ISMS VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 24 / ISMS nach ISO 27001:2005 ISMS= Information Security Management System § Definition: That part of the overall management system, based on business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security § Scope: The International Standard specifies a documented ISMS within the context of the organization’s overall business risks PLAN was ist zur Risiko-Handhabung zu tun DO Umsetzung der Risiko-Handhabung ISMS Regelkreis Anforderungen Managed Info. Reporting ACT Korrekturen vornehmen CHECK KPI-Prüfung bzgl. Qualität der Plan u. DO Phase VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 25 Generelle Schritte zur Umsetzung Die Plan Phase und ihre Elemente 1. 2. 3. 4. 5. Den ISMS-Geltungsbereich und dessen Umfang festlegen (ISMS-Scope) Eine ISMS Policy erstellen, aus der die Geschäftstätigkeit des Unternehmens, die Organisationsstruktur, Wirtschaftsgüter, Technologie usw. hervorgehen Einen systematischen Ansatz zur Risikoabschätzung definieren, dessen Vorgehensmodell der Geschäftstätigkeit des Unternehmens angepasst ist, dazu Politik und Ziele für das ISMS enthält, um die Risiken auf ein akzeptables Niveau zu senken, sowie Kriterien für die Akzeptanz von Risiken benennt Selektieren der Control Objectives (Schutzziele) und der aktuellen Controls, die implementiert werden müssen Definition des Statement of Applicability (SOA) 5 Schritte ISMS Handbuch ISMS Handbuch Dokumentation Dokumentation zum Gültigkeitsbereich Scope Anwendungsbereich Policy Risikoanalyse und Risikomanagement Risiko Auswahl von Gegenmaßnahmen Controls SOA VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Erklärung der Anwendbarkeit Folie 26 Generelle Schritte zur Umsetzung Die Do Phase und ihre Elemente 1. 2. 3. 4. 5. 6. Kernstück der Phase ist die Implementierung des Plans zum Risikoumgangs Hierzu gehört die Beschreibung von Policies, um die Aktivitäten zu unterstützen. Prozeduren geben eine Anleitung „wie“ die Policies zu implementieren und durchzusetzen sind Standards geben eine Anleitung „was“ implementiert wird und durchzusetzen ist Awareness, Training und Schulung ermöglichen den Umgang mit Maßnahmen und Einhaltung Betriebsaspekte des ISMS, Umgang mit Störungen, etc. Planung der Ressourcen. Einrichten der Prozeduren 6 Schritte ISMS Handbuch ISMS Handbuch Risikoumgang Durchführen des Risikoumgangs Beschreibung der Maßnahmen Dokumentation Dokumentation der Maßnahmen (BCM, BS25999) Implementieren von Policies Dokumentation der Implementieren der Policies (BCM, BS25999) Training Aktivitäten Dokumentierung der Trainings Mgmnt Operation & Ressources Dokumentierung des Maßnahmenbetrieb und Ressourcen Einrichten von Prozeduren zur Sicherheit Dokumentierung der Prozeduren zur Absicherung VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 27 Generelle Schritte zur Umsetzung Die Check Phase und ihre Elemente 6 Schritte 1. 2. 3. 4. 5. 6. Die wesentliche Idee der Check-Phase liegt in der Prüfung während des ISMS Betriebs ob die Policies und Prozeduren hinreichend sind um die Risiken entsprechend zu behandeln Messung der Effektivität Prüfung, ob die Restrisiken so noch akzeptabel sind Durchführen von internen Audit (Soll/IstVergleich) Durchführen eines Management Review Aufzeichnen der Einflüsse auf das ISMS ISMS Betrieb Prüfung der Effektivität ISMS Handbuch ISMS Handbuch Dokumentation Betriebsphase des ISMS jährliche Prüfung der Effektivität Prüfung: Restrisiko akzeptabel Restrisiko Internes Audit des ISMS Audit Mgmnt Review Impact on ISMS VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Prüfung durch das Management Aufzeichnen der Einflüsse auf das ISMS Folie 28 Generelle Schritte zur Umsetzung Die Act Phase und ihre Elemente 6 Schritte 1. 2. 3. 4. 5. 6. Die Act-Phase ist als Reaktion auf die Check-Phase zu verstehen. Es werden Verbesserungen identifiziert. Lessons learned: Was können wir zukünftig besser machen. Umsetzung der Verbesserungen Die korrigierten Maßnahmen (Verbesserungen) werden mitgeteilt und darüber eine Dokumentation erstellt Überprüfung und Validierung der Maßnahmen im Sinne der Absicherung Vorbereitung zur neuen Plan-Phase aus den Ergebnissen der Check- und ActPhase. (Analoges Beispiel: „Entfernen von Kinderkrankheiten bei einer Autoentwicklung“ ) Improvements Corr. & prev. action ISMS Handbuch ISMS Handbuch Dokumentation Identifizieren von Verbesserungen Was können wir zukünftig besser machen Dokumentation der Umsetzung Umsetzung Mitteilen Verbreiten Validierung Vorbereitung für die Plan-Phase VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Dokumentation über das Mitteilen der Verbesserungen Verifizieren und Validieren der Maßnahmen, dass diese angewandt werden und wirken Security is a process not a destination Folie 29 Die angestrebte Balance eines ISMS nach ISO 27001 Risiken und Maßnahmen gemanaget so dass ein Gleichgewicht entsteht Die Nash-Vermutung § Die wesentliche Idee der Check-Phase beruht als Pendant zur Plan-Phase in der regelmäßigen Überprüfung derjenigen Maßnahmen, die zur Risikohandhabung im Scope eingesetzt wurden. § § § § Es handelt sich um die Nachhaltigkeit der Maßnahmen im SOA Damit entsteht eine Wippe zwischen der Planung und der Überprüfung der Maßnahmen Mit geeigneten Kennzahlen ist eine Messung bzw. Überprüfung vorzunehmen Die Do- und Act-Phase sind Reaktionen auf die jeweilige vorherige Phase Dynamik des Alltags VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 30 ISMS Dokumentation Level-Ausrichtung nach A. Calder von der Vorgabe zum Nachweis der Umsetzung Level 1 Security Manuals Management framework Policies relating BS 7799 Clauses 4 Policy, scope Risk assessment Statement of applicability Level 2 Describes processes Who, what, when, where 4.1 – 4.10 Level 3 Describes how tasks and specific activities are done Level 4 Provides objectives Evidence of compliance To ISMS requirements clause 3.6 VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Procedures Working instructions, Checklists, forms Records Folie 31 ISMS nach ISO 27001:2005 Generelle Schritte ISO/IEC 27001 ISMS Documentation – Level 1 and Level 2 § Level 1 Security Policy Manual § Summary of the management framework including the information security policy and the control objectives and implemented controls given in the statement of applicability. Should reference the lower level documents. § Level 2 Procedures § Procedures adopted to implement the controls required. Describe the who, what, when, and where of security processes and interdepartmental controls; may be in BS 7799 order process order; references lower level documentation. VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 32 Generelle Schritte ISO/IEC 27001 ISMS Documentation – Level 3 and Level 4 § Level 3 Working instructions, checklists, forms § Explains details of specific tasks or activities – the how of performing a specific tasks. Includes detailed work instructions, forms, flowcharts, service standards, system manuals, etc. § Level 4 Records § Records objective evidence of activities carried out in compliance with level 1, 2 & 3 documentation. May be mandatory or implied for each BS 7799 clause. Example are records, visitors book, audit records and authorization of access. VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 33 Generelle Schritte ISO 27001 – Risk Assessment & Treatment Identifizieren von Risiken gemäß ISO 27001:2005 § Risk: the possibility of incurring misfortune or loss; hazard § At Risk: vulnerable; like to be lost or damaged § Take or run a risk: to proceed in an action without regard to the possibility of danger involved in it § Risk: (verb) to expose to danger or loss § A security risk is the potential that a given threat will exploit vulnerabilities to cause loss or damage to an asset or group of information assets. Definition: Risiko Das Risiko (risk) des möglichen Eintritts eines potentiellen Schadensereignis sowie dessen Höhe, entspricht der Wahrscheinlichkeit des Zusammenwirkens von Bedrohungen und Schwachstellen auf ein System. Eine Risikoanalyse stellt eine kalkulierte Prognose eines möglichen Schadens bzw. finanziellen Verlustes im negativen Fall her. „Threats and vulnerabilities are always present, but if they come together, then we are in the state of risk.“ VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 34 Generelle Schritte ISO/IEC 27001 Risk Assessment & Risk Treatment § Assets and asset value § Security threats and vulnerabilities § Risk Assessment § Treatment of the risks § Security controls and countermeasures § Statement of applicability „Implementation and certification to ISO/EC 27001 is based on the results of formal Risk Assessment.“ VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 35 Risk Assessment & Treatment Asset-Definitionen im Sinne der ISO 27001 § An asset is something to which an organization directly assigns value and hence for which the organization requires protection § Must be those to the scope of the Information Security Management System § Examples of assets associated with information systems are: § § § § § § § Information assets – data files, user manuals etc. Paper documents – contracts, guidelines etc. Software assets – application & systems software etc. Physical assets – computer, magnetic media etc. People – customer, personal etc. Company image and reputation Services – communications, technical etc. fundamentale Bedeutung Asset = Informationsträger VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 36 Generelle Schritte ISO 27001 – Risk Assessment & Treatment Threats (Bedrohungen) Definition: credible sources of significant harm to an information system, external to the system itself (nach Steve J. Ross) Es gibt keine allgemeingültige Klassifizierung von Bedrohungen, daher hier ein Vorschlag: 1. Allgemeine Bedrohungen (unstructured threat) 2. Spezifische Bedrohungen (strctured threats) 3. Externe Bedrohungen bezogen auf ein Scope (external threats) 4. Interne Bedrohungen bezogen auf ein Scope (internal threats) § Assets are subject to many kinds of threats which exploit vulnerabilities § Examples: § Natural disaster – flooding, hurricane, earthquake, lightning § Human – staff shortage, maintenance error, user error § Technological – failure of network, traffic overloading, hardware failure § Deliberate threats § Accidental threats „Bruce Schneier hat den Begriff § Threat frequency der digitalen Bedrohungen geprägt“ VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 37 Risk Assessment & Treatment Weakness und Vulnerabilities (Schwachstellen und Verwundbarkeit) § A vulnerability are weaknesses internal to an information system which, if exploited, would cause significant harm. § A vulnerability in itself does not cause harm, it is merely a condition or set of conditions that may allow a threat to affect an asset. § A vulnerability if not damaged, will allow a threat to materialize. § Examples: § § § § § § § § Absence of key personnel Unstable power grid Unprotected cabling lines Lack of security awareness Wrong allocation of password rights Insufficient security training No firewall installed Unlocked door Definition: Schwachstelle und Verwundbarkeit Schwachstellen (engl. weakness) sind real vorhanden (existent) und stellt eine Schwäche eines Assets (Komponente oder auch eines Systems) bzw. ein Punkt dar, an dem das Asset (Komponente bzw. das System) technisch, organisatorisch oder rechtlich verwundbar ist. Verwundbarkeit (vulnerability) ist also eine Eigenschaft eines Assets (Komponente, System) über die die Sicherheitsdienste des Assets umgangen, geändert oder getäuscht werden können. In einer ersten Approximation wird das Asset generell als Schwachstelle aufgefasst. Erst wenn diese Approximation nicht ausreicht oder ggf. sich bei der Überprüfung innerhalb des PDCA Zyklus (Regelkreis zur Verbesserung) zeigt, dass eine detailliertere Betrachtung notwendig wird, kann diese Sichtweise auf die Eigenschaften verfeinert werden. VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 38 Risk Assessment & Treatment Überblick Risk Management VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 39 Übungen zur Vorlesung VPN – Virtual Private Networks ÜBUNGEN – LV03 VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 40 Übung-LV03-Ü04 § Übung 1 § Bestimmen Sie für eBay (nur die klassische Auktionsplattform) die kritischen Geschäftsprozesse sowie die zugehörigen Assets im Sinne der ISO 27001. § Tipp: Dazu sollten Sie als Ansatzpunkt zunächst die Wertschöpfungskette betrachten. § Übung 2 1. Begründen Sie (auch anhand eines Beispiels), wieso beim PDCA-Zyklus eine reine Problembehebung nicht ausreichend ist, um Optimierung, kontinuierliche Verbesserung und Qualitätssteigerung zu erreichen. 2. Durch welchen Schritt/welche Maßnahmen wird bei der ISO 27001 sichergestellt, dass es nicht auf reine Problembehebung hinausläuft? 3. Welche Rolle spielt die Zielfunktion in einem Managementsystem? 4. Wie könnte ein Regelkreis für das Risk Management (vgl. Folie 14) aussehen? § Übung 3 § Welche Unterschiede existieren zwischen Policies und Management Systeme? § Wann wird welche Methodologie eingesetzt? § Wie werden VPN abgesichert (Policy/Management System) ? § Begründen Sie bitte Ihre Wahl Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden Nomenklatur für die Datei LV03-Ü04-Name.pdf VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 41 Literatur § Vgl. Skript zur Vorlesung § ITU-T Recommendation X.200 § Raasch, 1992: Systementwicklung mit strukturierten Methoden, ISBN 3-446-17263-7 § Comer, 1995: Internetworking with TCP/IP Vol. ISBN 0-13-216987-8 § Stevens, TCP/IP Illustrated, Volume 1,2,3 Addison-Wesley 2004, 25. Auflage. § ISO/IEC 27033-5 ISO/IEC 27033-5: Securing communications across networks using Virtual Private Networks (VPNs) § RFC-791, 792,793, 768 TCP, TCP/IP, UDP § RFC 1881 - 1888 § RFC 2460 - 2467 VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt | Folie 42