LV3 - Security Engineering Group | TU Darmstadt

Transcription

LV3 - Security Engineering Group | TU Darmstadt
VPN: wired and wireless
Fachbereich Informatik (FB 20)
Fachgruppe: Security Engineering
Modul: 2000096
LV-3
er
Skriptum und Literatur:
http://www.seceng.informatik.tu-darmstadt.de/assets/ws13/vpn/WS13VPN-3.pdf
Wolfgang BÖHMER, TU-Darmstadt,
Hochschulstr. 10, D-64289 Darmstadt,
Dep. of Computer Science, Security Engineering Group
Email: [email protected]
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Wichtige Information zur
Vorlesung und den Übungen
§  Ziel der Vorlesung/Übungen
§  Freiwilliges Lernen
§  Gute und ruhige Lernatmosphäre
§  Hausordnung während der Vorlesung
1. 
2. 
3. 
4. 
5. 
Mobiltelefone sind auszuschalten
Laptops können angeschaltet sein, um die Vorlesung zu verfolgen
Keine Privatgespräche mit Kommilitonen in der Vorlesung
Kein Essen (auch nicht vegetarisch)
Keine Verspätung
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 2
Vorlesungsinhalt LV-03
§  IT- und Informationssicherheit für VPNs
§  Definition der Schutzziele
§  Verfahren zur Erlangung einer angemessenen IT-Sicherheit
§  Technische Betrachtung herrscht in den 90er-Jahren vor
§  ITSEC, Orange Book und Common Criteria (CC) und IT-Grundschutz
§  Policy orientierte Werke für geschlossene/abgeschlossene Systeme
§  Entwicklung der Gesamtunternehmenssicherheit (Enterprise
Security)
§  Policies versus Management Systeme
§  Offene, geschlossene und abgeschlossene Systeme
§  Management Systeme der Informationssicherheit
§  Regelkreisorientierte Management Systeme (Systemtheorie) ausgerichtet
auf offene Systeme
§  Übungen
§  Literatur
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 3
Allg. Informations- und
Kommunikationssicherheit
§  Grenzen zwischen traditionellen und modernen
Kommunikationsmittel lösen sich mehr und mehr auf
§  Grundsätzlich zwei verschiedene Typen von Kommunikationsnetzen
§  Verteilnetze: Alle Teilnehmer bekommen vom Netz die gleiche
Information (Fernsehen, Radio). Jeder Teilnehmer wählt lokal aus was er
empfangen will. (Broadcast)
§  Vermittlungsnetze: Jede Teilnehmerstation erhält vom Netz individuell nur
das was vom Teilnehmer angefordert oder geschickt wurde. Es wird
generell in zwei Richtungen kommuniziert.
§  Aufbau von neuen Informationssystemen bringt nicht nur Vorteile,
Risiken und Gefährdungen müssen ebenso in Betracht gezogen
werden.
§  Zu Vertiefung dieser Frage werden Schutzziele und Mechanismen
betrachtet
§  Duale IT-Sicherheit
§  Verlässlich
§  Beherrschbarkeit etc.
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 4
Die fünf Schutzziele der IT-/Inf-Sicherheit
Wichtig: Vertraulichkeit, Verfügbarkeit, Integrität (CIA)
§  Definition der IT-/Inf-Sicherheit gemäß BSI (neue Definition, ca.
seit 2000)
§  Vertraulichkeit (confidentiality)
§  Integrität (integrity)
§  Verfügbarkeit (availability)
§  Ergänzung Benutzersicht
§  Zurechenbarkeit (accountability)
§  Verbindlichkeit (liability)
§  Schutzziele der IT-Sicherheit sind Ziele eines jeden ITSicherheitskonzept
§  Unterbrechung, gerichtet gegen die Verfügbarkeit
§  Abhören, gerichtet gegen die Vertraulichkeit
§  Fälschung gerichtet gegen die Authentifizierung
§  Modifikation gerichtet gegen die Integrität
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 5
Historie der Methoden zur IT-Sicherheit
Entwicklung von 1985 - 1996
§  IT-Sicherheit nicht nur
technisch orientiert
§  Beginn von Kriterienwerken ca.
1985 (Orange Book)
§  Europäisches Modell ITSEC ca.
1990
§  BSI-IT-Grundschutzhandbuch
§  (erfreut sich großer Beliebtheit)
§  BSI-IT-Sicherheitshandbuch
§  (kaum angenommen)
§  Management Systeme auf
einer Enterprise Ebene noch
nicht in Sicht!!
§  Erst im Jahr 1998 wurde der
BS-7799-2 in UK entwickelt.
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 6
Heutiger Stand der Informationssicherheit
Regelkreis der Verantwortung / Governance
Einfluss von Regelkreisen zur Qualitätsprüfung
„Security may not be a company‘s core competence, but it is a core requirement.“
§  „Die IT-Governance soll
sicherstellen, dass die Umsetzung der IT-Strategie im
Sinne der Verantwortungsträger erfolgt“ (ITGI)
§  Bilanzskandale erschüttern das
Vertrauen im Umgang mit der IT
§  Reaktionen darauf:
Saad Saleh Alaboodi: A new Approach for Assessing the
Maturity of Information Security, in Information systems Control
Journal, Volume 3, 2006
Unternehmensleitung
Geschäftsprozesse , Wertschöpfungskette
Führung
Reporting
§  Sarbarnes Oxley ACT (USA)
§  Turnbull Edict (UK)
§  BASEL II / Solvency II (EU)
§  Prinzip der Absicherung:
§  Informationssicherheitsziele
§  IT-Ziele
§  Kontrolle
§  IT-Controlling
§  IT-Security-Controlling
§  Risiko-Controlling
§  Berichtswesen / Reporting
Führung
Informations sicherheitsziele
IT-Aktivitäten
Planen
Umsetzen
Überwachen
Steuerung
Kontrolle
(IT- C ontrolling )
IT-Ziele
N utzen erzeugen
R isiken beherrschen
Reporting
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
IT-Mittel
IT-Security -Mittel
Einsatz
Folie 7
Hierarchische Unternehmensstrukturen
relevante Normen und ihre Einbettung in die Unternehmen
Durchbruch der Management Systeme
Geschäftsstrategie
Unternehmenbsstrategie
Effektivität
Effizienz
IMS
ISMS
ISO 20000 -1 :2005
ISO 20000 -2 :2005
ISO 27001 :2005
ISO 27002 :2007
(BS 15000 (ITIL ))
(ehml . ISO 17799: 2005)
ISO/ IEC 9001 :2000
ISO/ IEC 9004 :2000
ISMS- Controlling
Strategische Ebene
Ausrichtung auf
Geschäftsprozesse und
Unternehmenssteuerung
S teuern/
Regeln/
K ontrollieren
IMS- Controlling
Effizienz des
Geschäftsbetriebes
Kompatibel zur
ISO 14001:2004
Geschäftswachstum
IT-Controlling
Steuer n/
Regeln/
Kontr ollieren
§  Als erste Ebene ist die
Geschäftsstrategie angesiedelt.
§  Als zweite Ebene sind
Managementsysteme
angesiedelt, die
die Informationssysteme und
Informationssicherheitssysteme
steuern.
§  Eine geeignete Überprüfung,
Überwachung und Korrektur
kann nur mittels eines speziellen Controllings erfolgen
(IT-Controlling).
§  Nachgelagert sind die taktischen und operativen Aktivitäten, insbesondere das ITSicherheitsmanagement und
die Informationstechnologie.
Taktische und operative
Ebene
IT-Sicherheitsmanagement
Ausrichtung auf
Technologie , Projekte ,
Verfahren und Methoden
Informationstechnologie
„If you can‘t measure it, you can‘t manage it.“
Saad Saleh Alaboodi: A new Approach for Assessing the
Maturity of Information Security, in Information systems Control Journal,
Volume 3, 2006
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 8
8
Allgemeingültige Definition von Managementsystemen
Management Systeme sind in offenen Systemen ideal
Policies sind in geschlossenen und abgeschlossenen Systemen ideal
§  Definition: Managementsystem
In einer fortgeschrittenen industriellen Phase haben
Managementsysteme die Aufgabe, Prozesse zu steuern, deren
Qualität zu definieren, Kontrollen durchzuführen, Abweichungen
von den Qualitätszielen zu erkennen und wirksame
Gegenmaßnahmen einzuleiten. Managementsysteme folgen einem
Regelkreislauf zur Sicherung der Qualität mittels Standards.
Diese allgemeine Definition kann auf IT-Systeme oder Informationssysteme
angewendet werden.
•  Was sagt die Definition aus?
•  Was sind Eckpunkte der Definition?
•  Informationssicherheit / IT-Sicherheit Qualität von Prozessen?
•  Was wird in einem Managementsystem „gemanget“?
•  An welcher Stelle wird auf einen Regelkreis hingewiesen
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 9
Prozessketten der Wertschöpfung
Qualitative Modellierung mittels ADONIS (BPMN)
§  Wertschöpfung im Rahmen einer Lieferkette.
FP1
Geschäftsprozesssteuerung
VP
Vertriebsprozesse
TP
Technische
-prozesse
RP
Prozesse
Rechnungswesen
qualitätsgesicherte und überwachte Prozesskette
UP1
Marketing, Presse
Öffentlichkeit
UP2
Buchaltung
Kunde
Kunde
(Kundenwunsch)
Akquise - Planung - Realisierung - Betrieb/Wartung/Entstörung - Fakturierung
(Kundenzufriedenheit)
FP2
Prozesse der
Qualitätsicherung
UP3
Back Office
§  Prozessketten werden detaillierter in den unteren Ebenen
beschrieben
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Allg. anerkanntes Prozessmodell nach Prof. Scheer
wird z.B. bei SAP/ARIS eingesetzt / BPMN
Prozeß Kontrolle
§  Es findet eine
Prozesskontrolle
hinsichtlich verschiedener
Parameter statt.
§  Prozess und Subprozesse
werden durch Eingaben und
Ergebnisse definiert. Der
Zustandsübergang von
den Eingabewerten in die
Ausgabewerte wird als
Prozess bezeichnet. In
diesem finden die Aktivitäten
statt.
§  Prozessmitarbeiter sind die
Personen (MA), die in
(definierter) Input
bestimmten Rollen handeln.
§  Ressourcen sind
Betriebsmittel im weitesten
Sinne
§  Angestoßen wird ein Prozess
durch den Input (Trigger)
§  Ergebnis eines Prozesses ist Prozeß Initiator
der output
Prozeß
Verantwortlicher
Prozeß
Ziel
Prozeß Parameter
(Qualität, KPI, SCF, etc.)
Prozeß
(definierter) Output
Subprozesse und Aktivitäten
Ressourcen
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Rollen
Prozesse
Prozess aus Sicht der Informatik
E/A-Automat, Standardautomat
§ 
§ 
§ 
§ 
Abgeleitet von DIN 66201: Prozess ist Folge von Aktionen in einem Zustandsraum.
Zustand (x1,...,xn) mit Zustandsvariable xi
Zustandsraum Z = { (x1,...,xn) | xi, n ∈ N und i = (1,...,n) }
Berechnung Bi als Folge von Zuständen mit Anfangs- und Endzustand
Auch:
§  Aktion als Menge von Wertzuweisungen an Zustandsvariablen xi, z.B. {x2 := 2}
§  Aktionsfunktion als Abbildung vom Zustandsraum in die Menge der Aktionen dieses Zustandsraumes,
z.B.
f(x1, x2) mit {x1 := x1-2} und {x2 := 2}
§  Berechnung, beginnend mit dem Anfangszustand, durch fortlaufende Anwendung der Aktionsfunktion auf
die Zustände und Ausführung der Wertzuweisungen, geliefert durch Aktionsfunktion
§  Prozess Pformal = (Z, f, s) mit Z Zustandsraum, f Aktionsfunktion, s ∈ Z Menge von
Anfangszuständen. Daraus folgende Eigenschaften:
§ 
§ 
§ 
§ 
§ 
Genau definierter Anfangszustand, Transformation von Anfangszustand in Folgezustand.
Einzelne Berechnung kann als Teilprozess gesehen werden.
Transformation (Anwendung der Aktion) läuft nach genau definierten Regeln (Aktionsfunktion) ab.
Abbruch bei bestimmtem Endzustand (Aktionsfunktion für diesen Zustand nicht definiert).
Prozess und Prozessablauf direkt abhängig vom Zustandsraum.
Quelle: Der Geschäftsprozess als formaler Prozess – Definition, Eigenschaften, Arten ; Arbeitspapier WI 4/1996, Uni Mainz
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 12
Prozesse: Ein Vergleich
Sichtweise Informatik und Wirtschaftsinformatik
Informatik
Wirtschaftsinformatik
Formaler Prozess
Geschäftsprozess
§  Anfangszustand s
§  Input
§  Aktionsfunktion f
§  Business Rules (Ablauflogik)
§  Beziehungsarten im Prozess
§  Zustandsraum Z
§  unternehmensinterne und –externe
Faktoren
§  Anwendung einer Aktionsfunktion
§  Berechnung
§  Teilprozess
§  Endzustand als Element von Z
§  Output
§  u.U. indirekte Berücksichtigung durch
Variation der Aktionsfunktion f
§  Auswahl d. Aufgabenträgers
§  Einsatz von Arbeitsmitteln
Beschreibungsmittel: Automatentheorie
Beschreibungsmittel: Business Prozess
Management Notation (BPMN)
i.d. R. quantitative Abschätzungen möglich
i.d.R. qualitative Abschätzungen möglich
Quelle: Der Geschäftsprozeß als formaler Prozeß – Definition, Eigenschaften, Arten ; Arbeitspapier WI 4/1996, Uni Mainz
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 13
Ereignisdiskreten Systemtheorie
Management System nach ISO27001 (ISMS)
§  Die Vorgehensweise des
Managementsystem nach ISO 27001
kann mittels der ereignisdiskrete
Systemtheorie beschrieben werden.
u
§  Es handelt sich bei der ISO 27001 um
kein Standardregelsystem
§  Managementsysteme 2. Ord. haben
darüber hinaus eine Zielfunktion die
eine Optimierung beinhaltet (siehe z.B.
BCMS nach BS25999).
§  Die Zielfunktion optimiert den Einsatz
der Effektivität und Effizienz des
Stellglieds (Aktuator)
Klassischer Regelkreis
(Störungstheorie)
Stellglied
(Aktuator / SoA)
Regelstrecke
Stellgröße
uR
(-)
Regler
(IS-Managementsystem)
e
yM
d
(krit. Geschäftsprozesse)
Messglied
(+) Istwert
(Wirksamkeit/Wirtschaftlichkeit)
w(t)
(Efk)
§  Formulieren der Zielfunktion durch eine
Dreiecksoptimierung
§  Transformation in ein geometrisches
Problem
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
1
0
1
0
Folie 14
(Efz)
y
ISMS als ereignisdiskreter Regelkreis
Störungsansatz und die DES-Theorie
§  Mit der DES -Theorie kann ein ISMS, der gemäß dem Deming PDCAZyklus arbeitet, als Regelkreis dargestellt werden
d = pertubation
control value
actuator
controls of ISO 27002
Act-Phase)
u(k)A
plant
(update procedures,
(crit. value chain)
working lists, etc.)
u(k) = v(k) - (e(k)
(update security policy)
controller
(development of the SoA)
(ISO 27005)
w(k)
(actual level of CIA)
control deviation
e(k)
(-)
w(k)s
(+) process
Sensor
(Check-Phase, Auditing,KPI)
value
v(k)
reference signal
(pre defined level of CIA)
§  Durch Überführung des Deming Zyklus und des Regelkreises in einen
Standard Automaten kann ein Vergleich der Automaten vorgenommen
werden (BISIMULATION)
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 15
Normenfamilie der ISO 2700x
Es ist die am weitverbreiteste Norm zur Informationssicherheit
Es existieren weltweit 6900 Zertifikate (Stand Nov. 2010)
Weitere Normen, die jedoch zunächst keine Rolle spielen, siehe z.B.
http://www.iso27001security.com/index.html
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 16
Prozessorientierter Ansatz ISO 27001:2005
(ehm. BS 7799-2, business approach)
Auszug aus der Norm:
§  ISO 27001:2005 is designed to harmonize with
ISO9001:2000 and ISO14001:1996 so that
management systems can be effectively integrated. It
implements the Plan-Do-Check-Act (PDCA) model and
reflects the principles of the 2002 OECD guidance on the
security of information systems and networks.
§  BS7799/BS 27001:2005 implicitly recognizes that
information security and any Information Management
Security System (ISMS) should form an integrated part of
any Internal Control system created as part of Corporate
Governance procedures and that the standard fits in with
the approach adopted by the Turnbull Committee.
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 17
Einordnung der Standards
Überblick und Verzweigung
§  Generischer Bereich und
Terminologie, die verwendet
wird.
§  Requirements bzw.
Anforderungen an ein
Management System für
Informationssicherheit.
§  Guidelines und PDCA
Unterstützung
§  Technische Ausrichtung, IDS
Framework,Network
Security, Incident Mgmnt
ISO/IEC 27033-5: Securing communications across networks using Virtual Private Networks (VPNs)
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 18
Grundsätzlicher Zusammenhang der Normen
Nur die ISO/IEC 27001 ist zertifizierbar
ISO 27001:2005
Specification for
Information Security Management Systems
ISO 27002:2007
Code of practice for information security management
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 19
Überblick zur ISO 27001:2005
vier wesentlichen Schritte
§  Information Security Management System (Kapitel 4)
§  Verantwortung des Managements (Kapitel 5)
§  Management Review des ISMS (Kapitel 6,7)
§  ISMS Verbesserungen (Kapitel 8)
Es sind weiterhin vier Anhänge (Annex) vorzufinden:
A  Kontrollziele und Maßnahmen (normative Control Objectives and controls)
B  Anleitung zur Benutzung des Standards (Guidance on use of the Standard)
C  Vergleich mit ISO 9001 und ISO 14001 (Correspondence between BS EN ISO
9001:2000, BS EN ISO 14001:1996 and BS 7799-2:2002)
D  Vergleich mit BS 7799-2:1999 (Changes to internal numbering)
„Schwerpunkt bei der Überarbeitung von BS 7799-2:1999 zur 2002-Edition war die Harmonisierung des Standards mit anderen
Management-Standards. Die Gliederung wurde analog zu ISO 9000 (Quality Management Systems, QMS) und ISO 14001
(Environmental Management Systems, EMS) strukturiert und das in diesen Standards referenzierte Plan-Do-Check-Act (PDCA)
Model übernommen.“
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 20
Überblick zu ISO 27001:2005
Das PDCA-Modell als Grundlage des ISMS
Auszug aus der Norm: S. vi
•  Der PDCA-Zyklus kann als Regelkreis kontinuierlicher Verbesserung aufgefasst werden
•  Regelkreise als Steuerungsinstrumente sind in den Ingenieurswissenschaften sehr beliebt
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 21
Die Idee der Imperfektion
Qualitätskreis von Dr. Deming
§  Service und Qualität
§  Organisation und
Politik
§  Management von
Prozessen
Qualitätssteigerung
D2 1 P
Reifegrad der Prozesse
Maturity Level
•  Was könnte der Winkel Beschreiben?
•  Wie könnte dieser gemessen werden?
"We have learned to live in a world of mistakes
and defective products as if they were necessary
to life. It is time to adopt a new philosophy."
(Dr. William Edwards Deming, 1900-1993)
3 4
C A
Qualitätssicherung
P = Plan (Planen)
D = Do (Ausführen)
C = Check (Messen)
A = Act (Anpassen)
Grad °
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Zeitachse
Folie 22
PDCA Modell
Einzelheiten der PDCA Phasen
P Establish security policy, objectives, targets, processes and procedures relevant
to managing risk and improving information security to deliver results in
accordance with an organization‘s overall policies and objectives.
D Implement and operate the security policy, controls, processes and procedures.
C Assess and, where applicable, measure process performance against security
policy, objectives and practical experience and report the results to
management for review.
A Take corrective and preventive actions, based on the results of the management
review, to achieve continual improvement of ISMS.
Wo könnte eine Messung der Güte statt finden?
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 23
ISMS nach ISO 27001:2005
Projektion: PDCA-Zyklus auf die ISO 27001 (ISMS)
§  Aufbau, Durchführung,
Prüfung und Korrektur
richtet sich nach dem PDCAZyklus
§  Klare Orientierung und
Ausrichtung auf die
Geschäftsprozesse; diese
stehen im Fokus.
Hilfestellung in der
Vorgehensweise der ISO
27003
§  Korrektive und präventive
Aktivitäten zur Steuerung
und Justierung des
Managementsystems
§  Nach Einführung von
Metriken durch die ISO/IEC
27004 kann die Effektivität
gemessen werden
Define the scope and
boundaries of the ISMS
Define an ISMS Policy
Formulate a Risk
treatment Plan
1
Implement the Risk
treatment Plan
Implement Controls
Selected from Annex A
Identify the risk to the
assets
Analyse and evaluate the risk
Define how to meassure the
effektivness of the selected Controls
Implement training &
awareness programms
Identify and evaluate options for the
treatment of risk
2
Select control objectives
and controls
Obtain management approval for the
proposed residual risk
Obtain management authorisation to
implement and operate the ISMS
Manage operations of an ISMS
Manage resources for the ISMS
Implement procedures to detect of
an response to security incidents
Execute monitoring and review
procedures
DO
Plan
Check
Act
Regular management Review of
ISMS
Undertake a management review
of the ISMS
Implement identified
improvments in the ISMS
Communicate results
to interested parties
&
Conduct internal ISMS ausits
Prepare a Statement
of Applicability (SOA )
Take appropriate corrective
preventive actions
Undertake regular review of ISMS
effectivness
Review level of residual
acceptance risk
Define the Risk
Assessment approach
3
Ensure improvements
Achive objectives
4
Update security plans
Record actions and events
that impact an ISMS
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 24
/
ISMS nach ISO 27001:2005
ISMS= Information Security Management System
§  Definition:
That part of the overall management system, based on business risk approach, to establish,
implement, operate, monitor, review, maintain and improve information security
§  Scope:
The International Standard specifies a documented ISMS within the context of the organization’s
overall business risks
PLAN
was ist zur
Risiko-Handhabung zu tun
DO
Umsetzung der
Risiko-Handhabung
ISMS Regelkreis
Anforderungen
Managed Info.
Reporting
ACT
Korrekturen
vornehmen
CHECK
KPI-Prüfung bzgl.
Qualität der Plan
u. DO Phase
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 25
Generelle Schritte zur Umsetzung
Die Plan Phase und ihre Elemente
1. 
2. 
3. 
4. 
5. 
Den ISMS-Geltungsbereich und dessen
Umfang festlegen (ISMS-Scope)
Eine ISMS Policy erstellen, aus der die
Geschäftstätigkeit des Unternehmens, die
Organisationsstruktur, Wirtschaftsgüter,
Technologie usw. hervorgehen
Einen systematischen Ansatz zur
Risikoabschätzung definieren, dessen
Vorgehensmodell der Geschäftstätigkeit
des Unternehmens angepasst ist, dazu
Politik und Ziele für das ISMS enthält, um
die Risiken auf ein akzeptables Niveau zu
senken, sowie Kriterien für die Akzeptanz
von Risiken benennt
Selektieren der Control Objectives
(Schutzziele) und der aktuellen Controls,
die implementiert werden müssen
Definition des Statement of Applicability
(SOA)
5 Schritte
ISMS Handbuch
ISMS Handbuch
Dokumentation
Dokumentation zum Gültigkeitsbereich
Scope
Anwendungsbereich
Policy
Risikoanalyse und Risikomanagement
Risiko
Auswahl von Gegenmaßnahmen
Controls
SOA
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Erklärung der Anwendbarkeit
Folie 26
Generelle Schritte zur Umsetzung
Die Do Phase und ihre Elemente
1. 
2. 
3. 
4. 
5. 
6. 
Kernstück der Phase ist die
Implementierung des Plans zum
Risikoumgangs
Hierzu gehört die Beschreibung von
Policies, um die Aktivitäten zu
unterstützen. Prozeduren geben eine
Anleitung „wie“ die Policies zu
implementieren und durchzusetzen sind
Standards geben eine Anleitung „was“
implementiert wird und durchzusetzen ist
Awareness, Training und Schulung
ermöglichen den Umgang mit
Maßnahmen und Einhaltung
Betriebsaspekte des ISMS, Umgang mit
Störungen, etc. Planung der Ressourcen.
Einrichten der Prozeduren
6 Schritte
ISMS Handbuch
ISMS Handbuch
Risikoumgang
Durchführen des Risikoumgangs
Beschreibung
der Maßnahmen
Dokumentation
Dokumentation der Maßnahmen
(BCM, BS25999)
Implementieren
von Policies
Dokumentation der Implementieren der Policies
(BCM, BS25999)
Training
Aktivitäten
Dokumentierung der Trainings
Mgmnt Operation
& Ressources
Dokumentierung des
Maßnahmenbetrieb und Ressourcen
Einrichten von
Prozeduren zur
Sicherheit
Dokumentierung der Prozeduren zur
Absicherung
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 27
Generelle Schritte zur Umsetzung
Die Check Phase und ihre Elemente
6 Schritte
1. 
2. 
3. 
4. 
5. 
6. 
Die wesentliche Idee der Check-Phase
liegt in der Prüfung während des ISMS
Betriebs ob die Policies und Prozeduren
hinreichend sind um die Risiken
entsprechend zu behandeln
Messung der Effektivität
Prüfung, ob die Restrisiken so noch
akzeptabel sind
Durchführen von internen Audit (Soll/IstVergleich)
Durchführen eines Management Review
Aufzeichnen der Einflüsse auf das ISMS
ISMS
Betrieb
Prüfung der
Effektivität
ISMS Handbuch
ISMS Handbuch
Dokumentation
Betriebsphase des ISMS
jährliche Prüfung der Effektivität
Prüfung: Restrisiko akzeptabel
Restrisiko
Internes Audit des ISMS
Audit
Mgmnt
Review
Impact
on ISMS
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Prüfung durch das Management
Aufzeichnen der Einflüsse auf das
ISMS
Folie 28
Generelle Schritte zur Umsetzung
Die Act Phase und ihre Elemente
6 Schritte
1. 
2. 
3. 
4. 
5. 
6. 
Die Act-Phase ist als Reaktion auf die
Check-Phase zu verstehen. Es werden
Verbesserungen identifiziert.
Lessons learned: Was können wir
zukünftig besser machen.
Umsetzung der Verbesserungen
Die korrigierten Maßnahmen
(Verbesserungen) werden mitgeteilt und
darüber eine Dokumentation erstellt
Überprüfung und Validierung der
Maßnahmen im Sinne der Absicherung
Vorbereitung zur neuen Plan-Phase aus
den Ergebnissen der Check- und ActPhase. (Analoges Beispiel: „Entfernen von
Kinderkrankheiten bei einer Autoentwicklung“ )
Improvements
Corr. &
prev. action
ISMS Handbuch
ISMS Handbuch
Dokumentation
Identifizieren von Verbesserungen
Was können wir zukünftig besser
machen
Dokumentation der Umsetzung
Umsetzung
Mitteilen
Verbreiten
Validierung
Vorbereitung für die
Plan-Phase
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Dokumentation über das Mitteilen
der Verbesserungen
Verifizieren und Validieren der
Maßnahmen, dass diese angewandt
werden und wirken
Security is a process not a destination
Folie 29
Die angestrebte Balance eines ISMS nach ISO 27001
Risiken und Maßnahmen gemanaget so dass ein Gleichgewicht entsteht
Die Nash-Vermutung
§  Die wesentliche Idee der Check-Phase beruht als Pendant zur Plan-Phase in der
regelmäßigen Überprüfung derjenigen Maßnahmen, die zur Risikohandhabung im Scope
eingesetzt wurden.
§ 
§ 
§ 
§ 
Es handelt sich um die Nachhaltigkeit der Maßnahmen im SOA
Damit entsteht eine Wippe zwischen der Planung und der Überprüfung der Maßnahmen
Mit geeigneten Kennzahlen ist eine Messung bzw. Überprüfung vorzunehmen
Die Do- und Act-Phase sind Reaktionen auf die jeweilige vorherige Phase
Dynamik des Alltags
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 30
ISMS Dokumentation
Level-Ausrichtung nach A. Calder
von der Vorgabe zum Nachweis der Umsetzung
Level 1
Security Manuals
Management framework
Policies relating BS 7799
Clauses 4
Policy, scope
Risk assessment
Statement of applicability
Level 2
Describes processes
Who, what, when, where
4.1 – 4.10
Level 3
Describes how tasks and
specific activities are done
Level 4
Provides objectives Evidence of compliance
To ISMS requirements clause 3.6
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Procedures
Working instructions,
Checklists, forms
Records
Folie 31
ISMS nach ISO 27001:2005
Generelle Schritte ISO/IEC 27001
ISMS Documentation – Level 1 and Level 2
§  Level 1 Security Policy Manual
§  Summary of the management framework including the information security
policy and the control objectives and implemented controls given in the
statement of applicability. Should reference the lower level documents.
§  Level 2 Procedures
§  Procedures adopted to implement the controls required. Describe the who,
what, when, and where of security processes and interdepartmental
controls; may be in BS 7799 order process order; references lower level
documentation.
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 32
Generelle Schritte ISO/IEC 27001
ISMS Documentation – Level 3 and Level 4
§  Level 3 Working instructions, checklists, forms
§  Explains details of specific tasks or activities – the how of performing a
specific tasks. Includes detailed work instructions, forms, flowcharts, service
standards, system manuals, etc.
§  Level 4 Records
§  Records objective evidence of activities carried out in compliance with level
1, 2 & 3 documentation. May be mandatory or implied for each BS 7799
clause. Example are records, visitors book, audit records and authorization
of access.
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 33
Generelle Schritte ISO 27001 – Risk Assessment & Treatment
Identifizieren von Risiken gemäß ISO 27001:2005
§  Risk: the possibility of incurring misfortune or loss; hazard
§  At Risk: vulnerable; like to be lost or damaged
§  Take or run a risk: to proceed in an action without regard to the
possibility of danger involved in it
§  Risk: (verb) to expose to danger or loss
§  A security risk is the potential that a given threat will exploit
vulnerabilities to cause loss or damage to an asset or group of
information assets.
Definition: Risiko
Das Risiko (risk) des möglichen Eintritts eines potentiellen Schadensereignis sowie dessen Höhe, entspricht
der Wahrscheinlichkeit des Zusammenwirkens von Bedrohungen und Schwachstellen auf ein System.
Eine Risikoanalyse stellt eine kalkulierte Prognose eines möglichen Schadens bzw. finanziellen Verlustes im
negativen Fall her.
„Threats and vulnerabilities are always present, but if they
come together, then we are in the state of risk.“
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 34
Generelle Schritte ISO/IEC 27001
Risk Assessment & Risk Treatment
§  Assets and asset value
§  Security threats and vulnerabilities
§  Risk Assessment
§  Treatment of the risks
§  Security controls and countermeasures
§  Statement of applicability
„Implementation and certification to ISO/EC 27001 is based
on the results of formal Risk Assessment.“
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 35
Risk Assessment & Treatment
Asset-Definitionen im Sinne der ISO 27001
§  An asset is something to which an organization directly assigns
value and hence for which the organization requires protection
§  Must be those to the scope of the Information Security
Management System
§  Examples of assets associated with information systems are:
§ 
§ 
§ 
§ 
§ 
§ 
§ 
Information assets – data files, user manuals etc.
Paper documents – contracts, guidelines etc.
Software assets – application & systems software etc.
Physical assets – computer, magnetic media etc.
People – customer, personal etc.
Company image and reputation
Services – communications, technical etc.
fundamentale
Bedeutung
Asset = Informationsträger
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 36
Generelle Schritte ISO 27001 – Risk Assessment & Treatment
Threats (Bedrohungen)
Definition: credible sources of significant harm to an information system,
external to the system itself (nach Steve J. Ross)
Es gibt keine allgemeingültige Klassifizierung von Bedrohungen, daher hier ein Vorschlag:
1.  Allgemeine Bedrohungen (unstructured threat)
2.  Spezifische Bedrohungen (strctured threats)
3.  Externe Bedrohungen bezogen auf ein Scope (external threats)
4.  Interne Bedrohungen bezogen auf ein Scope (internal threats)
§  Assets are subject to many kinds of threats which exploit vulnerabilities
§  Examples:
§  Natural disaster – flooding, hurricane, earthquake, lightning
§  Human – staff shortage, maintenance error, user error
§  Technological – failure of network, traffic overloading, hardware failure
§  Deliberate threats
§  Accidental threats
„Bruce Schneier hat den Begriff
§  Threat frequency
der digitalen Bedrohungen geprägt“
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 37
Risk Assessment & Treatment
Weakness und Vulnerabilities
(Schwachstellen und Verwundbarkeit)
§  A vulnerability are weaknesses internal to an information system which, if exploited, would cause
significant harm.
§  A vulnerability in itself does not cause harm, it is merely a condition or set of conditions that may
allow a threat to affect an asset.
§  A vulnerability if not damaged, will allow a threat to materialize.
§  Examples:
§ 
§ 
§ 
§ 
§ 
§ 
§ 
§ 
Absence of key personnel
Unstable power grid
Unprotected cabling lines
Lack of security awareness
Wrong allocation of password rights
Insufficient security training
No firewall installed
Unlocked door
Definition: Schwachstelle und Verwundbarkeit
Schwachstellen (engl. weakness) sind real vorhanden (existent) und stellt eine Schwäche eines Assets (Komponente
oder auch eines Systems) bzw. ein Punkt dar, an dem das Asset (Komponente bzw. das System) technisch,
organisatorisch oder rechtlich verwundbar ist.
Verwundbarkeit (vulnerability) ist also eine Eigenschaft eines Assets (Komponente, System) über die die
Sicherheitsdienste des Assets umgangen, geändert oder getäuscht werden können. In einer ersten Approximation wird
das Asset generell als Schwachstelle aufgefasst. Erst wenn diese Approximation nicht ausreicht oder ggf. sich bei der
Überprüfung innerhalb des PDCA Zyklus (Regelkreis zur Verbesserung) zeigt, dass eine detailliertere Betrachtung
notwendig wird, kann diese Sichtweise auf die Eigenschaften verfeinert werden.
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 38
Risk Assessment & Treatment
Überblick Risk Management
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 39
Übungen zur Vorlesung VPN – Virtual Private Networks
ÜBUNGEN – LV03
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 40
Übung-LV03-Ü04
§  Übung 1
§  Bestimmen Sie für eBay (nur die klassische Auktionsplattform) die kritischen Geschäftsprozesse sowie
die zugehörigen Assets im Sinne der ISO 27001.
§  Tipp: Dazu sollten Sie als Ansatzpunkt zunächst die Wertschöpfungskette betrachten.
§  Übung 2
1.  Begründen Sie (auch anhand eines Beispiels), wieso beim PDCA-Zyklus eine reine Problembehebung
nicht ausreichend ist, um Optimierung, kontinuierliche Verbesserung und Qualitätssteigerung zu
erreichen.
2.  Durch welchen Schritt/welche Maßnahmen wird bei der ISO 27001 sichergestellt, dass es nicht auf
reine Problembehebung hinausläuft?
3.  Welche Rolle spielt die Zielfunktion in einem Managementsystem?
4.  Wie könnte ein Regelkreis für das Risk Management (vgl. Folie 14) aussehen?
§  Übung 3
§  Welche Unterschiede existieren zwischen Policies und Management Systeme?
§  Wann wird welche Methodologie eingesetzt?
§  Wie werden VPN abgesichert (Policy/Management System) ?
§  Begründen Sie bitte Ihre Wahl
Falls Sie eine Übung einreichen möchten, dann bitte in der folgenden
Nomenklatur für die Datei
LV03-Ü04-Name.pdf
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 41
Literatur
§  Vgl. Skript zur Vorlesung
§  ITU-T Recommendation X.200
§  Raasch, 1992: Systementwicklung mit strukturierten Methoden, ISBN
3-446-17263-7
§  Comer, 1995: Internetworking with TCP/IP Vol. ISBN 0-13-216987-8
§  Stevens, TCP/IP Illustrated, Volume 1,2,3 Addison-Wesley 2004, 25.
Auflage.
§  ISO/IEC 27033-5 ISO/IEC 27033-5: Securing communications across
networks using Virtual Private Networks (VPNs)
§  RFC-791, 792,793, 768 TCP, TCP/IP, UDP
§  RFC 1881 - 1888
§  RFC 2460 - 2467
VPN-Virtual Private Networks | Vorlesung 2000096 | WS13/14| TU-Darmstadt |
Folie 42