© 2013 OneConsult GmbHwww.oneconsult.comGriffige Information Security PoliciesYves Kraft – Team Leader Consulting & Traini...
© 2013 OneConsult GmbHwww.oneconsult.comHacking Day 2013 – Security Lifecycle2Beamte konsumierten Porno am ArbeitsplatzDEL...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 201...
© 2013 OneConsult GmbHwww.oneconsult.comÜber mich→ Yves Kraft→ Team Leader Consulting & Training→ Theorie◦ Informatiker◦ S...
© 2013 OneConsult GmbHwww.oneconsult.comDienstleistungen→ Security Audits 60%◦ Security Scan◦ Penetration Test◦ Applicatio...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 201...
© 2013 OneConsult GmbHwww.oneconsult.comÜbersicht Information SecurityEinleitung7InfrastrukturHuman ResourcesNetzwerk Segm...
© 2013 OneConsult GmbHwww.oneconsult.comÜbersicht Information SecurityEinleitung8IT-Sicherheits-strategieInformations-/IT-...
© 2013 OneConsult GmbHwww.oneconsult.comIT-Sicherheitsstrategie→ Generelles Dokument zur Planung, Gewährleistungund ständi...
© 2013 OneConsult GmbHwww.oneconsult.comIT-Sicherheitsrichtlinie→ Verfolgt die IT-Sicherheitsstrategie→ Ziele und Massnahm...
© 2013 OneConsult GmbHwww.oneconsult.comPolicies, Checkliste, Guidelines→ Spezifische Security Policies◦ Verträge & SLAs◦ ...
© 2013 OneConsult GmbHwww.oneconsult.comNormen und Standards→ ISO/IEC 27000 Reihe◦ ISO 27000 – Begriffe und Definitionen◦ ...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 201...
© 2013 OneConsult GmbHwww.oneconsult.comWas will ich erreichen?→ Informationssicherheit dient dem Schutz◦ Gefahren bzw. Be...
© 2013 OneConsult GmbHwww.oneconsult.comBedrohungen in der Praxis→ Irrtum und Nachlässigkeit→ Malware→ Social Engineering→...
© 2013 OneConsult GmbHwww.oneconsult.comProbleme in der Praxis…→ Resignation, Fatalismus und Verdrängung→ Kommunikationspr...
© 2013 OneConsult GmbHwww.oneconsult.comProbleme im Zusammenhang mit Policies…→ Policies sind nicht individualisiert→ Poli...
© 2013 OneConsult GmbHwww.oneconsult.com…und die Konsequenzen→ Konfusion im Notfall→ lückenhafte Datensicherung→ fehlende ...
© 2013 OneConsult GmbHwww.oneconsult.comImplementation nach ISO 2700xBalance in der Praxis19ITSecurityOrganisationITRiskMa...
© 2013 OneConsult GmbHwww.oneconsult.comGrundvoraussetzungen→ Awareness: Geschäftsleitung anerkennt IT-Security alsnotwend...
© 2013 OneConsult GmbHwww.oneconsult.comInhalt & Sprache von Richtlinien→ Zielgruppenorientierung◦ Zielgruppe(n) Geschäfts...
© 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 201...
© 2013 OneConsult GmbHwww.oneconsult.comAnerkannte Standards→ BS 25999-2:2007→ BSI Standard 100-1/4 (eh. Grundschutzhandbu...
© 2013 OneConsult GmbHwww.oneconsult.comMotivation für eine Zertifizierung→ Differenzierung im Wettbewerb◦ Managementkompe...
© 2013 OneConsult GmbHwww.oneconsult.comDer Weg zur Zertifizierung (ISO/IEC 27001)→ Stufe 1: Dokumentenprüfung (teils vor ...
© 2013 OneConsult GmbHwww.oneconsult.comTipps betreffend Zertifizierung→ Normverständnis schaffen→ Verfügbarkeit aller not...
© 2013 OneConsult GmbHwww.oneconsult.comHacking Day 2013 – Security Lifecycle27Beamte konsumierten Porno am ArbeitsplatzDE...
© 2013 OneConsult GmbHwww.oneconsult.com«Sicherheit ist kein Produkt, sondern ein Prozess»Bruce SchneierHacking Day 2013 –...
© 2013 OneConsult GmbHwww.oneconsult.com© 2013 OneConsult GmbHwww.oneconsult.comBüro DeutschlandNiederlassung der OneConsu...
Nächste SlideShare
Wird geladen in …5
×

Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

514 Aufrufe

Veröffentlicht am

Neben den klassischen technischen Massnahmen der Informationssicherheit, wie z.B. Firewalls, Virenscanner und Intrusion Detection Systeme (IDS), ist der organisatorische Rahmen in Form von Sicherheitsrichtlinien und Verfahren für Unternehmen genauso relevant.

Referent: Yves Kraft

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
514
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
85
Aktionen
Geteilt
0
Downloads
29
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

  1. 1. © 2013 OneConsult GmbHwww.oneconsult.comGriffige Information Security PoliciesYves Kraft – Team Leader Consulting & Training – OneConsult GmbHHacking Day 2013 – Security LifecycleBalance zwischen Theorie und Praxis16. Mai 2013
  2. 2. © 2013 OneConsult GmbHwww.oneconsult.comHacking Day 2013 – Security Lifecycle2Beamte konsumierten Porno am ArbeitsplatzDELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseitenim Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet.14. Januar 2013 - BlickDatenklau bei Julius Bär: Anklage noch im MaiZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen denverhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhobenwerden.25. März 2013 - HandelszeitungHacker-Attacke auf SRFZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden.Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar.08. März 2013- NZZ
  3. 3. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 2013 – Security Lifecycle3
  4. 4. © 2013 OneConsult GmbHwww.oneconsult.comÜber mich→ Yves Kraft→ Team Leader Consulting & Training→ Theorie◦ Informatiker◦ Studium BSc FH CS (Vertiefung IT-Security)◦ OPST, OPSA, OSSTMM Trainer→ Praxis◦ 11 Jahre Berufserfahrung , davon 4 Jahre in IT-Security◦ System Engineer & System Administrator◦ Technische Security Audits◦ Konzeptionelles Consulting◦ Security Officer◦ Training & Coaching4Vorstellung
  5. 5. © 2013 OneConsult GmbHwww.oneconsult.comDienstleistungen→ Security Audits 60%◦ Security Scan◦ Penetration Test◦ Application Security Audit◦ Ethical Hacking◦ Social Engineering◦ Conceptual Security Audit→ Consulting 20%◦ Strategy & Organisation◦ Policies & Guidelines◦ Processes & Documentation◦ Business Continuity & DisasterRecovery◦ Engineering & Project Management→ Incident Response 10%◦ Emergency Response◦ Computer Forensics→ Training & Coaching 10%◦ OSSTMM Zertifizierungskurse◦ Practical Security Scanning◦ Secure Web Development◦ Coaching→ Security as a ServiceVorstellung5
  6. 6. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 2013 – Security Lifecycle6
  7. 7. © 2013 OneConsult GmbHwww.oneconsult.comÜbersicht Information SecurityEinleitung7InfrastrukturHuman ResourcesNetzwerk SegmenteProzesseComplianceInformationSecurity OrganisationDatenDokumente
  8. 8. © 2013 OneConsult GmbHwww.oneconsult.comÜbersicht Information SecurityEinleitung8IT-Sicherheits-strategieInformations-/IT-SicherheitsrichtlinieSpezifische Security Policies, Verträge, SLAs,Merkzettel, Weisungen, Checklisten, Guidelines,etc.
  9. 9. © 2013 OneConsult GmbHwww.oneconsult.comIT-Sicherheitsstrategie→ Generelles Dokument zur Planung, Gewährleistungund ständigen Aufrechterhaltung der IT-Sicherheit→ Festlegungen werden zumeist zu IT-Sicherheits-Policies/IT-Sicherheitsleitlinien→ IT-Sicherheitsstrategien beinhalten u.a.◦ Angaben den lokalen Zielen der IT-Sicherheit◦ Zugrunde liegenden Sicherheitsstandards (z.B. IT-Grundschutz, ISO27001)◦ Festlegung von Sicherheitsdomänen◦ organisatorischer Aufbau des Sicherheitsmanagements◦ Berichtspflichten und Kontrollinstanzen◦ QualitätssicherungEinleitung9
  10. 10. © 2013 OneConsult GmbHwww.oneconsult.comIT-Sicherheitsrichtlinie→ Verfolgt die IT-Sicherheitsstrategie→ Ziele und Massnahmen zur Umsetzung derInformationssicherheit◦ Stellenwert der Informationssicherheit◦ Benennung der Sicherheitsziele◦ Beschreibung der Organisationsstruktur◦ Auf Leitungsebene durchsetzen und Verstösse sanktionieren◦ Periodische Überprüfung der Sicherheitsmassnahmen◦ Erhalt und Förderung der Security Awareness durch Schulungs- undSensibilisierungsmassnahmen◦ Verantwortlichkeiten im InformationssicherheitsprozessEinleitung10
  11. 11. © 2013 OneConsult GmbHwww.oneconsult.comPolicies, Checkliste, Guidelines→ Spezifische Security Policies◦ Verträge & SLAs◦ Merkzettel◦ Weisungen◦ Checklisten◦ Guidelines→ Beispiele: Betriebshandbücher, Installationsanleitungen,Hardening Guides, GebäudepläneEinleitung11
  12. 12. © 2013 OneConsult GmbHwww.oneconsult.comNormen und Standards→ ISO/IEC 27000 Reihe◦ ISO 27000 – Begriffe und Definitionen◦ ISO 27001 – Anforderungen für Sicherheitsmechanismen◦ ISO 27002 – Code of Practice◦ ISO 27005 – Risk Management→ BSI Standard 100-1/4 (eh. Grundschutzhandbuch)→ Weitere◦ COBIT◦ SOX◦ PCI-DSS◦ …Einleitung12
  13. 13. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 2013 – Security Lifecycle13
  14. 14. © 2013 OneConsult GmbHwww.oneconsult.comWas will ich erreichen?→ Informationssicherheit dient dem Schutz◦ Gefahren bzw. Bedrohungen◦ Vermeidung von Schäden◦ Minimierung von Risiken→ Vertraulichkeit, Verfügbarkeit und Integrität sicherstellenBalance in der Praxis14
  15. 15. © 2013 OneConsult GmbHwww.oneconsult.comBedrohungen in der Praxis→ Irrtum und Nachlässigkeit→ Malware→ Social Engineering→ Hacking→ Wirtschaftsspionage→ Diebstahl von IT-MittelnBalance in der Praxis15
  16. 16. © 2013 OneConsult GmbHwww.oneconsult.comProbleme in der Praxis…→ Resignation, Fatalismus und Verdrängung→ Kommunikationsprobleme→ Sicherheit wird als rein technisches Problem mit technischenLösungen gesehen→ Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten→ Ad-hoc Vorgehen (unter Zugzwang) bzw. falsche Methodik→ Management: fehlendes Interesse, schlechtes Vorbild→ Sicherheitskonzepte richten sich an ExpertenBalance in der Praxis16
  17. 17. © 2013 OneConsult GmbHwww.oneconsult.comProbleme im Zusammenhang mit Policies…→ Policies sind nicht individualisiert→ Policies sind nicht umsetzbar→ Freigabe, Bekanntmachung und Zielgruppe werden vergessen→ Policies werden nicht aktualisiertBalance in der Praxis17
  18. 18. © 2013 OneConsult GmbHwww.oneconsult.com…und die Konsequenzen→ Konfusion im Notfall→ lückenhafte Datensicherung→ fehlende Klassifizierung von Informationen→ gefährliche Internetnutzung→ DisziplinlosigkeitBalance in der Praxis18
  19. 19. © 2013 OneConsult GmbHwww.oneconsult.comImplementation nach ISO 2700xBalance in der Praxis19ITSecurityOrganisationITRiskManagementControlsIT SecurityPolicyIT SecurityResources and ServicesStrategischeEbeneTaktischeEbeneOperativeEbene→ IT Security PolicyAnforderungen an ISMS→ IT Security OrganisationOrganisationsstrukturen,Prozesse, Regelungen→ IT Risk ManagementErmittlung von Risiken vonKomponenten und derenAuswirkung→ ControlsSicherheitsmechanismen→ IT Security Res. & ServicesTechnologien, Anlagen,Anwendungen, Personal
  20. 20. © 2013 OneConsult GmbHwww.oneconsult.comGrundvoraussetzungen→ Awareness: Geschäftsleitung anerkennt IT-Security alsnotwendiger Faktor→ Commitment: Geschäftsleitung◦ spricht die finanziellen und zeitlichen Ressourcen◦ unterstützt das ProjektBalance in der Praxis20
  21. 21. © 2013 OneConsult GmbHwww.oneconsult.comInhalt & Sprache von Richtlinien→ Zielgruppenorientierung◦ Zielgruppe(n) Geschäftsleitung, IT-Abteilung, Mitarbeiter und/oder weitereStakeholder/Interessenten◦ Akademischer Schreibstil vs. möglichst nahe an der Umgangssprache◦ Sprache: Deutsch oder Englisch→ Aufbau/Dokumentenstruktur◦ rein direktive Vorgaben vs. detaillierte Erläuterungen der Entscheide◦ umfassendes Dokument vs. Hauptdokument mit Anhängen oder Beilagen→ Umfang und Etappierung◦ Kurzversion: ca. 2 - 5 Seiten◦ Langversion: ca. 15 - 40 Seiten◦ Erstellung aller Dokumente in einem Zug vs. etappierte Erstellung(z.B. Kurzversion und danach Voll-/Langversion)Balance in der Praxis21
  22. 22. © 2013 OneConsult GmbHwww.oneconsult.comAgenda→ Vorstellung→ Theorie→ Balance in der Praxis→ ZertifizierungHacking Day 2013 – Security Lifecycle22
  23. 23. © 2013 OneConsult GmbHwww.oneconsult.comAnerkannte Standards→ BS 25999-2:2007→ BSI Standard 100-1/4 (eh. Grundschutzhandbuch)→ ISO/IEC 27001:2005Zertifizierung von Informationssicherheits-Managementsystemen (ISMS)Zertifizierung23
  24. 24. © 2013 OneConsult GmbHwww.oneconsult.comMotivation für eine Zertifizierung→ Differenzierung im Wettbewerb◦ Managementkompetenz im Bereich Informationssicherheit◦ Zuverlässigkeit als Partner◦ Sich von der Konkurrenz abheben (Zertifikat ist kein Massenprodukt)→ Interner Nutzen einer Zertifizierung◦ Mögliche Verluste Infolge von Sicherheitsschwachstellen minimieren→ Vorschriften◦ Derzeit keine gesetzlichen Anforderungen betreffend zwingenderZertifizierung◦ aber: Sorgfaltspflicht, Datenschutzgesetz, etc.Zertifizierung24
  25. 25. © 2013 OneConsult GmbHwww.oneconsult.comDer Weg zur Zertifizierung (ISO/IEC 27001)→ Stufe 1: Dokumentenprüfung (teils vor Ort)→ Stufe 2: Audit vor Ort→ Auditbericht und Zertifikat mit 3-jähriger Gültigkeit→ Überwachungsaudits nach dem ersten und zweiten Jahr→ Re-Zertifizierung nach dem dritten Jahr→ Überwachungsaudits nach dem vierten und fünften Jahr→ …Zertifizierung25
  26. 26. © 2013 OneConsult GmbHwww.oneconsult.comTipps betreffend Zertifizierung→ Normverständnis schaffen→ Verfügbarkeit aller notwendigen Dokumente sicherstellen→ Enge Zusammenarbeit mit der Zertifizierungsstelle→ «Klassische» Prüfpunkte beachten und so Fehlerquellenbeseitigen→ Nachbesserungsfrist sinnvoll nutzen und Termine einhalten→ Nach dem Audit ist vor dem AuditZertifizierung26
  27. 27. © 2013 OneConsult GmbHwww.oneconsult.comHacking Day 2013 – Security Lifecycle27Beamte konsumierten Porno am ArbeitsplatzDELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseitenim Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet.14. Januar 2013 - BlickDatenklau bei Julius Bär: Anklage noch im MaiZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen denverhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhobenwerden.25. März 2013 - HandelszeitungHacker-Attacke auf SRFZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden.Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar.08. März 2013- NZZ
  28. 28. © 2013 OneConsult GmbHwww.oneconsult.com«Sicherheit ist kein Produkt, sondern ein Prozess»Bruce SchneierHacking Day 2013 – Security Lifecycle28
  29. 29. © 2013 OneConsult GmbHwww.oneconsult.com© 2013 OneConsult GmbHwww.oneconsult.comBüro DeutschlandNiederlassung der OneConsult GmbHKarlstraße 3580333 MünchenDeutschlandTel +49 89 452 35 25 25Fax +49 89 452 35 21 10info@oneconsult.deBüro ÖsterreichNiederlassung der OneConsult GmbHWienerbergstraße 11/12A1100 WienÖsterreichTel +43 1 99460 64 69Fax +43 1 99460 50 00info@oneconsult.atHauptsitzOneConsult GmbHSchützenstrasse 18800 ThalwilSchweizTel +41 43 377 22 22Fax +41 43 377 22 77info@oneconsult.comDanke für Ihre Aufmerksamkeit! Fragen?Yves KraftBSc FH CS, OPST&OPSATeam Leader Consulting & Trainingyves.kraft@oneconsult.com+41 79 308 15 15

×